Как настроить безопасное рабочее место для бухгалтера?

При переносе баз и программ со старого компьютера главбуха на новый возник вопрос как организовать максимально безопасную работу и обеспечить приемлемый уровень сохранности данных. На компьютере помимо 1С (файловая версия, по сети предоставляется доступ остальным бухгалтерам) установлен ряд ПО необходимый для выполнения повседневных задач. Из наиболее важного по конфигурации компьютера:
ОС Microsoft Windows 10 Pro;
антивирус KSOS 5;
SSD 1 шт. (разделен на 2 логических под ОС и под базы 1С:Предприятие 8.3);
жесткий диск 1 шт.;
доступ в Интернет (и локальную сеть).

Предполагаю настроить резервное копирование данных и баз с SSD на НЖМД, с помощью secpol.msc настроить запрет на выполнение .bat .js .pif .scr .vbs .wsf. Разблокировать учетную запись локального системного администратора и забрать у пользователя права администратора.
Хотелось бы узнать у системных администраторов со стажем и специалистов по инф. безопасности:
1. Насколько верно я подхожу к решению поставленной задачи?
2. Как сделать правильно с помощью имеющегося оборудования и ПО либо бесплатных решений?
3. Как сделать правильно и на что обратить внимание в подобной ситуации в общих чертах?
  • Вопрос задан
  • 460 просмотров
Решения вопроса 2
athacker
@athacker
Хранение рабочей информации на компе пользователя -- это зло. Это я про базы 1С и их раздачу по сети. На рабочих станциях вообще должна быть остановлена и запрещена к запуску служба "Сервер". А также "Браузер сети". Вся информация должна храниться на серверах, на дисках, организованных в RAID-массивы. И вот уже туда должен быть доступ у всех, кому эта информация по долгу службы положена.

Пароль админа пользователю не давать -- это само собой.

Что касается безопасных настроек винды, то можно воспользоваться рекомендациями CIS: https://www.cisecurity.org/benchmark/microsoft_win...

Для скачивания PDF там нужно зарегиться, регистрация бесплатна и ни к чему не обязывает.

Резервное копирование -- в обязательном порядке. Причём на другой носитель, не внутри сервера или уж тем более -- рабочей станции.

Про белый список приложений вам уже сказали выше.
Ответ написан
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
SSD 1 шт. (разделен на 2 логических под ОС и под базы 1С:Предприятие 8.3);
Зачем? Если конечно у вас огромный объем SSD так в принципе можно сделать, в иных случаях проще и надежней держать на одном диске?

Предполагаю настроить резервное копирование данных и баз с SSD на НЖМД
Это обязательно, однако помните что резервная копия должна хранится на другой машине. Т.е копия на другой диск, не является полноценным резервным копированием.
Кроме резервного копирования включите теневое копирование на томе с БД. Очень полезная штука.
с помощью secpol.msc настроить запрет на выполнение .bat .js .pif .scr .vbs .wsf.
Неплохо, но надежнее будет запретить запуск всех приложений кроме установленных, чтобы нельзя было запустить приложение размещенное в профиле пользователя.

Нормальное решение резервного копирования - настраиваете полное копирование системы и БД встроенными средствами Windows на HDD, плюс к этому копируете архив с БД и важные файлы на другой компьютер, NAS, или облако.
Резервное копирование лучше делать специально созданным для этого пользователем.
Права на запись в папку резервного копирования должны быть только у этого пользователя, у администратора их не должно быть ни в коем случае.

В общем так - точнее можно сказать, если знать что в вашем понимании безопасность. Защита от утечки данных, или защита от повреждения данных, или защита от простоев в работе.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
fosihas
@fosihas
под базы 1С:Предприятие 8.3);

поставь линуск))))
у 1С есть клиент.

Пользовательские права, урезанные. Антивирус. Архивы, лучше куда на сторону.
Ответ написан
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
Хранение рабочей информации на компе пользователя -- это зло.


Это даже не прсто зло - это аЦкое зло. Вся информация должна быть на сервере, а еще резервироваться куда-то, что не связано с сервером. Правильность проверить очень просто - пришел ночью злоумышленник и снял винт с компа. За сколько Вы восстановите рабочее место полностью? (чтобы бух пришел, сел и начал работать :))
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы