Можно ли ставить автоподключение к RDP на рабочий стол юзеру?

Question

[Алексей Артюшевский]

У нас есть сервер на WinServ2008R2.
К нему есть доступ по RDP. сервер в облаке.
Там просто на каждом рабочем столе есть ярлык с 1С.
Они его открывают и работают.
Настроено резервное копирование так что если сегодня нас взломают, мы потеряем только сутки работы, если потеряются данные.

И еще вопрос вдогонку
У всех на мониторах приклеен пароль на все.
А на рабочем столе есть файл с паролем.
Это сильно плохо?
И как с этим бороться?

Comments

[Алексей Артюшевский]

hint000, Спасибо за развернутый ответ. Пока что у нас бардак. И безысходность.

[hint000]

Алексей Артюшевский, тогда я удалю комментарий, дабы не смущать неокрепшие умы, а то кто-нибудь прочитает и будет потом говорить, что так рекомендовали на Тостере :)

Answer 1

[CHolfield]

обрисуй начальству риски потери баз 1С из-за сохраненных паролей, предложи закупить смарт-карты в виде USB-токенов (etoken Java - 1400 рублей). Объясни на примере аналогии с банковской картой: нужно иметь физический объект и знать пинкод к нему, если чегото одного нет - денег (т.е. доступа) нет. Поясни отдельно и добейся, чтобы подтвердили что услышали, что ты не сможешь (и никто не сможет) расшифровать закриптованные базы и придется платить хацкерам много биткоинов, в случае описанных негативных последствий.
Ежели токены закупят - настраивай доменную политику безопасности, поднимай внутренний CA, запрещай вход по паролю.
пароли в корпоративной среде - очень плохо, почти так же как и использование Экселя для автоматизации. Эксель хуже.

Comments

[АртемЪ]

поясни отдельно и добейся, чтобы подтвердили что услышали, что ты не сможешь (и никто не сможет) расшифровать закриптованные базы и придется платить хацкерам много биткоинов, в случае описанных негативных последствий.

Какие хацкеры? Какие биткойны? Если вы о шифровальщиках - там все элементарно.
Банальный бэкап полностью нивелирует угрозу шифровальщиков - зачем кому-то платить если у вас есть бэкап.
А чтобы минимизировать угрозы - банальная настройка прав и политика ограниченного использования программ.

[Алексей Артюшевский]

АртемЪ, Спасибо за коммент. А что такое настройка прав и политика ограниченного использования программ.

Answer 2

[АртемЪ]

У всех на мониторах приклеен пароль на все.
А на рабочем столе есть файл с паролем.
Это сильно плохо?

Плохо это или хорошо решать вам. Если это создает или может создать какие-то реальные проблемы, то очевидно это плохо. Если нет - то почему бы и нет, ничего плохого в этом нет.

И как с этим боротся?

Чтобы знать как , нужно сначала узнать для чего.

Просто подумайте сколько вам будет стоить по деньгам и трудозатратам потеря данных скажем за день работы, или за полдня.
Сколько будет стоить доступ к данным сторонних лиц, или утечка данных на сторону.
Т.е банально оцените риски.
И уже после этого зная реальные угрозы можно решать что безопасно, а что нет, и как и от чего строить защиту. И главное сколько денег и времени на это тратить.

Comments

[Алексей Артюшевский]

Мне лично нисколько. Но заплачу нервами. А вот утечка данных это хуже. Тут нужно все продумать. Спасибо за участливость.

Answer 3

[CityCat4]

Начнем с такого варианта.

Где бэкапы? Если в сети появляется криптор - он до них дотянется?

Далее.

Стоимость простоя конторы за сутки. Если руководство спокойно относится к такой фигне - ну тогда можно забить. Если же оно напряжется - думать о более частом бэкапе или даже о реалтайм-зеркале.

И самое главное.

Насколько ваши данные имеют ценность? Вы монополист в своей сфере? Много ли у вас конкурентов?

К чему последние вопросы? Завтра я нанимаю девочку Машу, которая устраивается к вам на работу, отрабатывает испытательный срок, который проваливает...а в процессе работы сливает на личную почту все, до чего сможет дотянуться. Если пароли на мониторах, значит никакого контроля нет в принципе - соцсети, мессенджеры, личная почта, любые свои устройства по USB.

Или сценарий жестче - девочка Маша заносит в систему криптор, который стартанет дня через два после ее увольнения.

Готовы к такому?

Если нет, то подумайте, как будете защищаться. И самое главное, сколько денег на это готовы потратить. Потому что кроилово ведет к попадалову.

Comments

[Алексей Артюшевский]

Нет если хоть какая нечисть будет в сети мне лично все ровно. Бекапы находятся на серверах хоста. Вроде конкурентов нету. Надо подумать.
Но что касается просто рабочих станций, нуу так себе сценарий.

[CityCat4]

Алексей Артюшевский,

Бекапы находятся на серверах хоста

Криптор, запущенный в сети или злоумышленник зашедший по паролю с бумажки - до них может дотянуться?
Бухгалтерская инфа кстати в любом случае налоговую может заинтересовать, особенно если оборот большой.

[Алексей Артюшевский]

Дотянется.

[CityCat4]

Алексей Артюшевский, ну тогда бэкапов у вас нет :) нафиг они такие нужны :) И девочке Маше данные проще будет вынести - скопировал вчерашний бэкап и аля улю :)

[Алексей Артюшевский]

CityCat4, Не надо умничать как будто я одноклеточный. Они хранятся у хоста. И никто до этих бек апов не дотянется. кроме меня и хоста.

[CityCat4]

Алексей Артюшевский, Ну, раз многоклеточный - иди и разбирайся сам.