Защита базы 1С от «шифровальщиков»

Казалось бы, уже все сто раз слышали о том, как защитить базу 1С от вирусов «шифровальщиков».

В сети опубликованы сотни, а то и тысячи статей по этому поводу.

Конечно, данная тема также подымается и на курсе: Администратор 1С!

 

Да вот только на практике картинка другая, увы, по-прежнему вижу, что многие компании до сих пор ровным счетом ничего не сделали для защиты от подобных атак.

virus

Уязвимости как были, так и остались!

В связи, с чем решил  еще раз поднять вопрос безопасности, напомнить о необходимости выполнить несколько простых шагов по защите ИТ инфраструктуры от таких угроз как WannaCry, Petya.A и других вирусов.

 

Итак, первое, что нужно сделать, так это установить все доступные обновления на клиентских ПК под управлением Windows и Windows server на серверах соответственно.

План минимум, ставим вот этот патч –

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Что позволит закрыть уязвимость ETERNALBLUE в SMB.

Собственно эту уязвимость (или как сейчас стало модно называть эксплойт) под названием

ETERNALBLUE и использовали создатели WannaCry и Petya.A.

А нашли они ее благодаря команде хакеров «The Shadow Brokers» которые в 2016

взломали информационные системы агентства национальной безопасности США (АНБ)

и опубликовали эти уязвимости в сеть. Странно, но если АНБ знали об этих «дырах», тогда почему не предпринимали никаких действий по защите пользователей, (сообща например, в компанию Microsoft).

Можно предположить что АНБ сами использовали для слежки например, кто знает )).

 

Так, это я немного отвлекся, продолжим работу:

Закрываем на «сетевом экране» порт 445 TCP (Именно его WannaCry сканировал, и если порт был открыт извне, тогда «начиналась работа» загружался шифровальщик и все что далее следовало).

Также очень рекомендую закрыть порты: 137, 138, 139. (Там где они не нужны).

 

Затем отключаем протокол SMB v1 на сервере.

Используем PowerShell.

 Для этого выполним следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

 

Если по каким-то причинам нет возможности выполнить скрипт, тогда можно сделать это в реестре.

Находим ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Запись реестра: SMB1

REG_DWORD: 0 = отключено

REG_DWORD: 1 = включено

По умолчанию: 1 = включено

 

Отключаем файловый доступ на клиентских компьютерах и серверах где он не нужен.

Продолжение статьи доступно только зарегистрированным пользователям!

Зарегистрироваться / Войти

Если Вы хотите больше узнать о технической стороне 1С, тогда регистрируйтесь на первый бесплатный модуль курса: Администратор 1С >>>

 



Есть вопросы? пишите в группу Telegram!

Сканируйте и присоединяйтесь к сообществу!