Как настроить безопасное рабочее место для бухгалтера?

Question

[Николай]

При переносе баз и программ со старого компьютера главбуха на новый возник вопрос как организовать максимально безопасную работу и обеспечить приемлемый уровень сохранности данных. На компьютере помимо 1С (файловая версия, по сети предоставляется доступ остальным бухгалтерам) установлен ряд ПО необходимый для выполнения повседневных задач. Из наиболее важного по конфигурации компьютера:
ОС Microsoft Windows 10 Pro;
антивирус KSOS 5;
SSD 1 шт. (разделен на 2 логических под ОС и под базы 1С:Предприятие 8.3);
жесткий диск 1 шт.;
доступ в Интернет (и локальную сеть).

Предполагаю настроить резервное копирование данных и баз с SSD на НЖМД, с помощью secpol.msc настроить запрет на выполнение .bat .js .pif .scr .vbs .wsf. Разблокировать учетную запись локального системного администратора и забрать у пользователя права администратора.
Хотелось бы узнать у системных администраторов со стажем и специалистов по инф. безопасности:
1. Насколько верно я подхожу к решению поставленной задачи?
2. Как сделать правильно с помощью имеющегося оборудования и ПО либо бесплатных решений?
3. Как сделать правильно и на что обратить внимание в подобной ситуации в общих чертах?

Answer 1

[athacker]

Хранение рабочей информации на компе пользователя -- это зло. Это я про базы 1С и их раздачу по сети. На рабочих станциях вообще должна быть остановлена и запрещена к запуску служба "Сервер". А также "Браузер сети". Вся информация должна храниться на серверах, на дисках, организованных в RAID-массивы. И вот уже туда должен быть доступ у всех, кому эта информация по долгу службы положена.

Пароль админа пользователю не давать -- это само собой.

Что касается безопасных настроек винды, то можно воспользоваться рекомендациями CIS: https://www.cisecurity.org/benchmark/microsoft_win...

Для скачивания PDF там нужно зарегиться, регистрация бесплатна и ни к чему не обязывает.

Резервное копирование -- в обязательном порядке. Причём на другой носитель, не внутри сервера или уж тем более -- рабочей станции.

Про белый список приложений вам уже сказали выше.

Answer 2

[АртемЪ]

SSD 1 шт. (разделен на 2 логических под ОС и под базы 1С:Предприятие 8.3);

Зачем? Если конечно у вас огромный объем SSD так в принципе можно сделать, в иных случаях проще и надежней держать на одном диске?

Предполагаю настроить резервное копирование данных и баз с SSD на НЖМД

Это обязательно, однако помните что резервная копия должна хранится на другой машине. Т.е копия на другой диск, не является полноценным резервным копированием.
Кроме резервного копирования включите теневое копирование на томе с БД. Очень полезная штука.

с помощью secpol.msc настроить запрет на выполнение .bat .js .pif .scr .vbs .wsf.

Неплохо, но надежнее будет запретить запуск всех приложений кроме установленных, чтобы нельзя было запустить приложение размещенное в профиле пользователя.

Нормальное решение резервного копирования - настраиваете полное копирование системы и БД встроенными средствами Windows на HDD, плюс к этому копируете архив с БД и важные файлы на другой компьютер, NAS, или облако.
Резервное копирование лучше делать специально созданным для этого пользователем.
Права на запись в папку резервного копирования должны быть только у этого пользователя, у администратора их не должно быть ни в коем случае.

В общем так - точнее можно сказать, если знать что в вашем понимании безопасность. Защита от утечки данных, или защита от повреждения данных, или защита от простоев в работе.

Comments

[fpir]

Полное резервное копирование винды средствами ос требует немереное количество свободного места и довольно низкую надёжность. Это подходит для краткосрочного теневого копирования, но не полноценного бэкапа. Для бэкапа системы лучше, всё-же, выбрать стороннее приложение. ИМХО

[АртемЪ]

Полное резервное копирование винды средствами ос требует немереное количество свободного места и довольно низкую надёжность.

Надежность высокая, по крайней мере с серьезными сбоями сталкивался не чаще чем у других систем резервного копирования, упаковывает тоже неплохо.

Это подходит для краткосрочного теневого копирования, но не полноценного бэкапа.

Смысл сей фразы непонятен. Как бэкап может подходить для теневого копирования?
Теневое копирование это инструмент файловой системы, применяющийся в том числе для создания бэкапов.
Для теневого копирования нужна файловая система с поддержкой copy on write.

Для бэкапа системы лучше, всё-же, выбрать стороннее приложение.

Можно и стороннее, но зачем когда штатное отлично работает?

[Николай]

АртемЪ, насчет

Резервное копирование лучше делать специально созданным для этого пользователем.
Права на запись в папку резервного копирования должны быть только у этого пользователя, у администратора их не должно быть ни в коем случае.

не соображу, это надо создать полноценного пользователя Windows? Поподробнее пожалуйста, сама концепция конечно понятна, но вот насчет реализации не совсем понятно.

[АртемЪ]

Николай, Да. создаете обычную учетную запись пользователя.
В окне входа отображать ее не надо, просто от нее запускать задания резервного копирования.
У этой учетной записи должны быть права на чтение всех данных которые нужно бэкапить, и права на запись в директорию бэкапа.

Всем остальным учетным записям, включая администраторов запрещаете запись и изменение в директории бэкапа.

[Николай]

АртемЪ, а тип учетной записи для создания резервных копий должен быть Администратор?

[АртемЪ]

Николай, Не обязательно.

Answer 3

[Константин]

под базы 1С:Предприятие 8.3);

поставь линуск))))
у 1С есть клиент.

Пользовательские права, урезанные. Антивирус. Архивы, лучше куда на сторону.

Comments

[Николай]

Не так просто навязать линукс пользователю давно работающему на винде, хотя подчеркнутые преимущества довольно серьезны.

[Ziptar]

Николай,
Как показывает практика - если пользователь работает за рабочей станцией, а не занимается посторонними вещами, то разницы особой не замечает. KDE ставите, как наиболее похожий визуально на гуй win7, и в путь.

Answer 4

[CityCat4]

Хранение рабочей информации на компе пользователя -- это зло.

Это даже не прсто зло - это аЦкое зло. Вся информация должна быть на сервере, а еще резервироваться куда-то, что не связано с сервером. Правильность проверить очень просто - пришел ночью злоумышленник и снял винт с компа. За сколько Вы восстановите рабочее место полностью? (чтобы бух пришел, сел и начал работать :))

Comments

[Николай]

Найду новую работу. В роли психиатра себя с трудом представляю.
А если серьезно, думаю почти каждый системный администратор сталкивался с пользователями "во всей красе", когда реализация не столь сложна как обоснование ее необходимости для организации и пользователя (как бы абсурдно это не звучало), особенно это ощутимо когда работаешь в небольшой организации.

[CityCat4]

особенно это ощутимо когда работаешь в небольшой организации

Плюс стопицот. Чем меньше контора, тем сложнее понимание того, что данные на винте могут стоить во много раз дороже самого винта, насколько навороченным бы он ни был.

[CityCat4]

(как бы абсурдно это не звучало),

Да почему абсурдно? "Все и так работает" - никогда разве не слышали такого? Бич всего SOHO и даже компаний средней руки, когда за "оптимизацию" берутся "эффективные манагеры", которые не понимают, что за этим "и так работает" стоит ежедневная, нудная и незаметная работа определенных людей... Бывает таких людей увольняются (или они сами уходят) - и тогда все, что работало, падает. Как правило, падает не сразу, а через некоторое время, возможно через годы. Но после того как упало - его поднять просто принципиально невозможно :)