Защита 1С Предприятия на сервере терминалов. (Часть 3)

И так мы свами уже разобрали базовую защиту 1С Предприятия в простом файловом варианте, когда с 1С работают, используя расшаренную папку.

Теперь в этой статье мы разберем способы защиты 1С Предприятия на сервере терминалов.

Пока все по инструкции для защиты файловых информационных баз.

Уже в следующей статье мы будем разбирать защиту 1С в клиент-серверном варианте.

А пока сделаю небольшую ремарку.

Уже переход на веб версию 1С, или переход на сервер терминалов даже в простом файловом варианте, повышает защиту информационной базы 1С, так как мы исключаем прямой доступ к «ИБ» пользователей и вредоносного «ПО».

Тем не менее, переход на веб открывает новую «дыру» в безопасности, ведь 1с становиться доступной любому пользователю, у которого есть подключение к сети интернет, собственно так происходит и с сервером терминалов.

Существуют различные способы по защите 1С Предприятия на сервере терминалов, например защита при помощи сертификатов SSL.

Защита при помощи VPN Virtual Private Network — виртуальная частная сеть, и другие.

Конечно, проще всего в обслуживании будет настройка VPN. Так Вам не придется постоянно думать о защите других служб и сервисов в вашей локальной сети, на каждую ставить сертификат, защищать по отдельности. Можно защитить все вместе создав VPN.

Если пока возможности поднять ,VPN у Вас нет, и SSL сертификаты не вариант, тогда используйте, следующие бесплатные советы.

Они помогут Вам хотя бы на базовом уровне защитить сервер терминалов. 

1.       Центр обновления Windows.

Следите за обновлениями Windows, для этого будет достаточно включить утилиту: Центр обновления Windows. И все обновления будут устанавливаться на Ваш сервер автоматически.

Обновление Windows server 2012

Обновление Windows server 2012

Часто Microsoft выпускает обновления, которые закрывают различные «дыры» в безопасности.

Поэтому важно держать Windows в актуальном состоянии.

 

2.       Смена стандартного порта для сервера терминалов.

По умолчанию для сервера терминалов  Microsoft используется порт 3389.

Различное вредоносное «ПО» может пытаться подобрать пару логин пароль для подключения к вашему серверу по протоколу RDP, а заменив стандартный порт на другой, вы усложните задачу злоумышленнику или «брутфорс» программе.

Для изменения RDP порта на WIndows нужно запустить редактор реестра.

Нажимаем Win+R и вводим в окне regedit, чтоб быстро добраться к редактору реестра.

В появившемся окне нужно найти раздел HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp

Далее нужно найти ключ PortNumber.

Smena_porta

По умолчанию используется шестнадцатеричное значение  00000D3D — это соответствует десятичному 3389.

Измените, номер порта на необходимый для вас  и сохраните. Для удобства изменения можно выбрать «Десятичное» и ввести нужный номер порта цифрой.

reg_3389

Затем нужно сохранить новый номер порта, и перезагрузить сервер.

Также не забудьте добавить правило на новый порт в брандмауэре.

 

3.       Переименуйте стандартную учетную запись администратора.

Если учетная запись Администратора на сервере терминалов имеет стандартное имя Administrator, тогда ее следует изменить.  Это позволит защитить сервер от «брутфорса».

lusrmgr.msc – команда, чтоб быстрее добраться к локальным учетным записям сервера.

17-01-2017 15-20-03

Также советую изменить имена учетных записей созданных для пользователей терминала:  User1, User2, Admin, Test и подобные очевидные.

Такие имена в первую очередь будут подбирать злоумышленники.

 

4.       Пароли учетных записей пользователей терминала.

Для удобства и быстрого входа на терминал, пользователям, иногда создают слабые пароли, которые часто состоят из одних цифр, а это очень плохо.

Обязательно (как минимум) пароль пользователя должен состоять как из цифр, так и букв, минимум 7 символов.  А еще лучше, если там будут символы или верхний и нижний регистр букв, как собственно и требует политика паролей по умолчанию на Windows server 2012.

5.       Блокируем подключения по RDP учётным записям с пустым паролем

Для блокировки подключений к удаленным рабочим столам пользователю, пароль для которого не указан, откройте утилиту «Computer Configuration» -> «Настройки Windows» -> «Настройки безопасности» -> «Локальные политики безопасности -> «Параметры безопасности» и включите (Enable) параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе(Accounts: Limit local account use of blank passwords to console logon only).

pic3

 

Помните! Не существует 100%-тной защиты. Поэтому ежедневный бэкап, это лучший способ защитить базу 1С.

Часть 4  >>>

 Курс: 1С Предприятие: Защита от взлома и вирусных атак

Защита 1С Предприятия на сервере терминалов. (Часть 3)
4 (80%) 3 votes
yaadmin.kuharbogdan.com