Задать вопрос
@nevill44
системное-администрирование

Как настроить безопасное рабочее место для бухгалтера?

При переносе баз и программ со старого компьютера главбуха на новый возник вопрос как организовать максимально безопасную работу и обеспечить приемлемый уровень сохранности данных. На компьютере помимо 1С (файловая версия, по сети предоставляется доступ остальным бухгалтерам) установлен ряд ПО необходимый для выполнения повседневных задач. Из наиболее важного по конфигурации компьютера:
ОС Microsoft Windows 10 Pro;
антивирус KSOS 5;
SSD 1 шт. (разделен на 2 логических под ОС и под базы 1С:Предприятие 8.3);
жесткий диск 1 шт.;
доступ в Интернет (и локальную сеть).

Предполагаю настроить резервное копирование данных и баз с SSD на НЖМД, с помощью secpol.msc настроить запрет на выполнение .bat .js .pif .scr .vbs .wsf. Разблокировать учетную запись локального системного администратора и забрать у пользователя права администратора.
Хотелось бы узнать у системных администраторов со стажем и специалистов по инф. безопасности:
1. Насколько верно я подхожу к решению поставленной задачи?
2. Как сделать правильно с помощью имеющегося оборудования и ПО либо бесплатных решений?
3. Как сделать правильно и на что обратить внимание в подобной ситуации в общих чертах?
  • Вопрос задан
  • 497 просмотров
Комментировать
Подписаться 6 Простой Комментировать
Решения вопроса 2
athacker
@athacker
Хранение рабочей информации на компе пользователя -- это зло. Это я про базы 1С и их раздачу по сети. На рабочих станциях вообще должна быть остановлена и запрещена к запуску служба "Сервер". А также "Браузер сети". Вся информация должна храниться на серверах, на дисках, организованных в RAID-массивы. И вот уже туда должен быть доступ у всех, кому эта информация по долгу службы положена.

Пароль админа пользователю не давать -- это само собой.

Что касается безопасных настроек винды, то можно воспользоваться рекомендациями CIS: https://www.cisecurity.org/benchmark/microsoft_win...

Для скачивания PDF там нужно зарегиться, регистрация бесплатна и ни к чему не обязывает.

Резервное копирование -- в обязательном порядке. Причём на другой носитель, не внутри сервера или уж тем более -- рабочей станции.

Про белый список приложений вам уже сказали выше.
Ответ написан
Комментировать
Комментировать
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
SSD 1 шт. (разделен на 2 логических под ОС и под базы 1С:Предприятие 8.3);
Зачем? Если конечно у вас огромный объем SSD так в принципе можно сделать, в иных случаях проще и надежней держать на одном диске?

Предполагаю настроить резервное копирование данных и баз с SSD на НЖМД
Это обязательно, однако помните что резервная копия должна хранится на другой машине. Т.е копия на другой диск, не является полноценным резервным копированием.
Кроме резервного копирования включите теневое копирование на томе с БД. Очень полезная штука.
с помощью secpol.msc настроить запрет на выполнение .bat .js .pif .scr .vbs .wsf.
Неплохо, но надежнее будет запретить запуск всех приложений кроме установленных, чтобы нельзя было запустить приложение размещенное в профиле пользователя.

Нормальное решение резервного копирования - настраиваете полное копирование системы и БД встроенными средствами Windows на HDD, плюс к этому копируете архив с БД и важные файлы на другой компьютер, NAS, или облако.
Резервное копирование лучше делать специально созданным для этого пользователем.
Права на запись в папку резервного копирования должны быть только у этого пользователя, у администратора их не должно быть ни в коем случае.

В общем так - точнее можно сказать, если знать что в вашем понимании безопасность. Защита от утечки данных, или защита от повреждения данных, или защита от простоев в работе.
Ответ написан
6 комментариев
6 комментариев
Пригласить эксперта
Ответы на вопрос 2
fosihas
@fosihas
Автоматизации учета на 1С.
под базы 1С:Предприятие 8.3);

поставь линуск))))
у 1С есть клиент.

Пользовательские права, урезанные. Антивирус. Архивы, лучше куда на сторону.
Ответ написан
2 комментария
2 комментария
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
Хранение рабочей информации на компе пользователя -- это зло.


Это даже не прсто зло - это аЦкое зло. Вся информация должна быть на сервере, а еще резервироваться куда-то, что не связано с сервером. Правильность проверить очень просто - пришел ночью злоумышленник и снял винт с компа. За сколько Вы восстановите рабочее место полностью? (чтобы бух пришел, сел и начал работать :))
Ответ написан
3 комментария
3 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Системный администратор (инженер) 🚀
Хабр Москва
от 140 000 ₽
Системный Администратор
DBI Ростов-на-Дону
от 100 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Требуется завершить backend (проектная работа)
25 апр. 2024, в 19:42
49000 руб./за проект
Проверить тест по Data Science
25 апр. 2024, в 19:41
2000 руб./за проект
Верстка сайта и натяжка на wordpress
25 апр. 2024, в 19:22
18000 руб./за проект
Ещё заказы