Что выбрать для защищенного окружения бухгалтера?

Question

[Алексей]

Чтобы вы посоветовали для создания защищенного режима работы для бухгалтера:
1. Работа из дома на отдельном новом ПК с Windows 10 или 11
2. Работа с несколькими онлайн банками в браузере используя токены и флешки с сертификатами
3. Наверняка перекидывание информации куда-то и получение её

Как все это можно защитить от вирусов, кражи данных, подмены на лету в буфере обмена данных.
Пока я вижу так:

• Работа с правами обычного пользователя, или еще более ограниченно
  
• Защищенный режим работы браузера Brave или Iridium через песочницу антивируса или какую-то отдельную песочницу.
  

Comments

[aleks-th]

Никак, дикий юзер не подконтролен.

Компьютер его и он может сотворить все что захочет...

Особенно подписи, когда они установлены в системе то подписать имми можно все что угодно.
Даже вирусов ловить особо не нужно.

[Алексей]

aleks-th, с подписями вопросов нет, тут задача защитить от зловредов или мошенников.

[NikolenkoTE]

Я бы присмотрелся к Eset Endpoint Security. У него и фаервол и защита браузера.

[NikolenkoTE]

aleks-th,

дикий юзер не подконтролен.

аксиома

[Алексей]

NikolenkoTE, в России вместо него теперь доступен только PRO32, еще не пробовал такой.

[RStarun]

Есть по поводу банков один хороший момент. Если банк может делать верификацию каждого исходящего платежа через смс, то кнопочный телефон сразу снимает огромное количество рисков.
В остальном все стандартно, пользователь должен понимать что можно делать, а что нельзя.

[LetuchiZ]

Алексей, PRO32 к ESET не имеет никакого отношения, построен на движке K7 индийского производителя K7 Computing. Отзывы в интернете в основном плохие.

Answer 1

[kalapanga]

Предложенные пункты решения очень вероятно будут конфликтовать с задачей 2. Так что без личной ответственности и разумного поведения пользователя вряд ли что-то получится. Если бухгалтер не будет заниматься на этом компе ничем посторонним, совсем ничем - уже будет хорошо. Грубо говоря, в банк ходим с этого компа, в Одноклассники с другого. Это должно быть как закон.
Перекидывание информации - это слабое звено, лучше свести его к минимуму или исключить совсем. Обычно на таком компе ещё есть клиент 1С (или какой-то Вашей учётной системы), чтобы на месте что-то выгрузить в банк или эдо и в обратную сторону загрузить, а не таскать файлы. Всякие почту, офис - на другой комп.

Answer 2

[pindschik]

Не прокатит.

1) Часто требуются права администратора - для обновления компонентов.
2) Все эти браузеры сразу идут боком, нужны плагины для банков, и скорее всего потребуется ходить в личный кабинет налогоплательщика. Смотрели требования? Туда не зайдете таким макаром.

Вы ставите технические ограничения выше решения основной задачи. Какой смысл в безопасности, если работа не будет выполняться? Бухгалтер будет решать проблему сперва с вами, потом плюнет, и позовет другого специалиста. А тот вернет права, поставит и Gost Chromium и остальной необходимый софт. И может еще проведет беседу об основных и актуальных информационных опасностях - применительно к работе бухгалтера.

Comments

[NikolenkoTE]

а потом смотришь в истории браузера этого бухгалтера а там запросы уровня "Как сделать смайлик вместо курсора виндоус")) и понимаешь что говорил всё зря

[pindschik]

Смайлик еще еще не приговор, хуже когда "скачать вацап бесплатно без регистрации и смс" - и примерно 15 открывавшихся ссылок по этому запросу...

Answer 3

[bim1chek]

1. Linux - если сможете настроить 1С, плагины ЕЦП итд;
2. Windows
- Антивирус
- AdBlock
- Яндекс.DNS в режиме "Семейный" на все устройства бух., до которых сможете дотянуться
- Права юзера + отдельно админа + объяснить бух., что пароль админа не давать никому, иначе вирусы
- Запуск .exe только из определённых папок групповыми политиками

Выше на картинке звёздочка запрещает запуск exe отовсюду.
Руками отдельно прописываете папки, где запуск exe возможен: Program Files, Windows, Downloads итд
- Настраиваете автоматические инкрементальные бэкапы каждый день. Veeam в помощь.

Answer 4

[Dimonchik]

вообще Мак
можете виндоус до первого серьезного случая, потом купите Мак
или линух дешево/сердито
что касается винды - то юзать ТОЛЬКО банки -то есть Ваш первый варик, но
* у бухгалтера есть жена (или муж, рассказываю случай когда финансист мужчина) - вы открываете принесенный ноут, а там поиски одежды, белья... ну - красиво, что уж
* у бухгалтера есть дети - дети это игры - игры это читы "вечные патроны" - привет стилер

в общем винда - слабое звено

Comments

[Sanes]

Сейчас не то время, когда один ПК на семью роскошь.

[Dimonchik]

Sanes, именно ))))

там где совсем не роскошь - мак

[Алексей]

Мак

Учитывая банк клиенты разнообразных банков, сомневаюсь что они все работают под мак или линукс.

[Dimonchik]

Алексей, верно, но браузер есть везде
конечно, встречаются жесткие сертификаты которые только под IE - хаха , ну... думаю такие уже в прошлом

но вообще - ваши деньги, я просто описал что все хорошо, до пока ВДРУГ...

и это мы еще мыла не касались или недавной уязвимости в rar

Answer 5

[CityCat4]

Лучше так просто не делать. Разве только бух и директор - муж и жена. Потому что ключ от счета конторы, который бух унесет домой... я бы не подписался на такую ответственность.

Comments

[NikolenkoTE]

Если ключ на зашифрованой флешке то пусть носит. Главное стикер-пароль от флешки отклеить

Answer 6

[Drno]

Никак. Потому что это технически невозможно.
Она может тыкнуть левую флешку, может получить письмо из "налоговой" скачать файл и запустить его итд...

А по стандарту - антивирь, тот же drWeb + убрать права админа