zapros@belrus.biz | Бесплатный телефон: 8-800-707-708-7 (пн-пт 9.00-18.00, московское время)
+7-918-55-444-37 | 8 (499) 673-0-345 (Москва), 8 (812) 679-0-345 (Санкт-Петербург), 8 (863) 285-0-345 (Ростов-на-Дону)
Меню

Меню

Как не допустить зашифровки данных корпоративной сети

Проблема

Специалисты «Доктор Веб» обратили внимание, что в компаниях не уменьшается количество инцидентов с заражением рабочих систем троянскими программами. Иногда действия таких программ приносят большой финансовый ущерб бизнесу.

Это значит, что у любого сотрудника есть риск остаться без доступа к документам или по- терять контроль над управлением данными. Также любой сотрудник может невольно стать мошенническим «пропуском» в корпоративную систему.

Как этого избежать?

Как проблема возникает

В большинстве случаев мы фиксируем попадание троянских программ в систему через RDP — протокол удаленного подключения к рабочему столу. Злоумышленники получают доступ к паролю одной из учетных записей через подбор или слив информации. После взлома — настраивают максимальные права и нейтрализуют действие антивирусных программ. Далее загружают вспомогательное ПО и запускают шифровальщика.

Что делать

Если злоумышленник вошел в систему с правами администратора и отключил или удалил антивирус, наша команда помогает расшифровать данные пострадавших в 5-7% случа- ев. Поэтому мы стараемся делать всё, чтобы усложнить взлом и максимально предотвра- тить его.

В подборке наши специалисты делятся рекомендациями для предотвращения зашифровки данных.

Рекомендации по защите от взлома от техподдержки «Доктор Веб»

Измените пароли

Защитите все учетные записи:

  • задайте сложный пароль из 8 или более символов;
  • включите в пароль буквы разного регистра, цифры и специальные символы;
  • заблокируйте неиспользуемые учетные записи, чтобы у злоумышленника не оказалось в руках набора учетных записей, через которые можно попасть в компьютер.

Действия при использовании Windows Active Directory

  • активируйте такую системную политику, при которой запрещается использование ненадежных паролей;
  • укажите максимальный срок действия пароля — это позволит избежать использования украденных паролей, когда учетная запись использовалась на ранее зараженном ПК;
  • используйте «политику блокировки учетной записи» через редактор GPO. Задайте количество ошибочных вводов неправильного пароля — это защитит от успешного подбора пароля с помощью перебора.

Выполните обновления системы

Включите службу автоматического обновления, если отключили её ранее. Установите все предложенные обновления.

Во всех системах локальной сети должны быть установлены как минимум все обновления безопасности для критических уязвимостей.

Установите ограничение на удаленное подключение

  • установите ограничение на удаленное подключение с помощью брандмауэра на внешнем периметре (роутере или шлюзе);
  • оставьте возможность подключения только с определенных IP-адресов;
  • измените стандартный порт для подключения к RDP через реестр. Пример в https://support.microsoft.com/ru-ru/help/306759;
  • примените меры защиты от сканеров портов извне. Проведите аудит доступных сетевых сервисов и закройте их для внешней сети;
  • рассмотрите вариант изменения политики доступа к RDP, разместив RDP за шифрованным туннелем;
  • сделайте доступ к серверу извне только через

Используйте антивирус

  • повышайте безопасность данных с установкой новейшей версии антивируса. Сейчас это версия 13.0 Центра управления Dr.Web Enterprise Security Suite и агентов. Либо Dr.Web Security Space версия 12.0;
  • управляйте списком разрешенных приложений в сети компании с помощью компонента «Контроля приложений» для Dr.Web Enterprise Security Suite. 
  • никогда не отключайте файловый монитор SpIDer Guard и превентивную защиту; 
  • защитите настройки програ
  • если компания использует клиент-серверное решение Web Enterprise Security Suite с централизованным управлением, не предоставляйте право на отключение компонентов и редактирование настроек. Это регулируется в центре управления:
  • не отключайте и не ограничивайте автоматическое обновление антивируса.

В среднем обновления Dr.Web выпускаются с периодичностью 1–1,5 часа. В норме антивирус должен показывать, что вирусная база актуальна и нет ошибок обновления;

  • не вносите в исключения широкие маски, папки с временными файлами, программами и не отключайте детектирование для программ взлома и потенциально опасного ПО на постоянной основе и без острой необходимости;
  • включите в настройках системы отображение расширений файлов для того, чтобы всегда видеть какой тип файла вы запускаете:

Выполняйте резервное копирование

Делайте резервное копирование ценной информации на носители, которые недоступны для записи из основной системы, где хранятся оригиналы. Предварительно ознакомьтесь с популярными методиками организации бэкапов данных, подобрав наиболее оптималь- ную политику резервного копирования и ПО для его реализации.

Включите аудит безопасности

Для систем, выполняющих роль серверов с внешним доступом, включите аудит безопасности:

Регулярно анализируйте журналы безопасности системы, чтобы вовремя увидеть любые попытки несанкционированного доступа и принять меры.

Дополнительные действия

Создайте еще одного пользователя с правами админа и зашифрованным именем. При этом администратора нужно сделать неактивным. Тогда системный админ будет неизвестен нико- му, что усложнит задачу злоумышленникам.