Differences
This shows you the differences between two versions of the page.
kb:uputstva:ransomware_protection_zastita [2019/05/13 08:27] – created milano | kb:uputstva:ransomware_protection_zastita [2019/05/13 09:11] (current) – milano | ||
---|---|---|---|
Line 3: | Line 3: | ||
Preuzeto iz PC Press članka, nakon što su preživeli napad: | Preuzeto iz PC Press članka, nakon što su preživeli napad: | ||
- | - **RDC (3389) port na Windows‑u ne sme da bude otvoren za ceo svet**. Preusmeren ili ne, on predstavlja preveliku opasnost. Zato pristup treba eventualno omogućiti samo saradnicima koji imaju statičke IP adrese, a za sve ostale konfigurisati VPN, dobro ga obezbediti i koristiti kao jedini ulaz u mrežu. | ||
- | - Operativni sistem treba da bude update‑ovan **na najnoviju reviziju.** | ||
- | - **Treba sistemski zahtevati da lozinke budu složene i ne obazirati se na to što se kolege (pa čak i menadžment) bune da im je teško da ih zapamte.** | ||
- | - Korisniku Administrator **treba zadati veoma složenu lozinku**, a poželjno je i preimenovati ga u neko drugo ime (možda na srpskom?), tako da napadač mora da gađa kako username tako i password administratora. | ||
- | - Veoma je poželjno da definišete Control Panel / Administrative Tools / Local Security Policy / Account policies / Account lockout policy. Stavite da posle, recimo, 3 neuspešna pokušaja pogađanja lozinke **username bude blokiran na 5 minuta**, što će ojaditi svakog bota koji pokušava da pogodi lozinku. Doduše, može se desiti da, tokom nekog većeg napada na sistem, i regularni korisnik ne može da se prijavi jer mu je username blokiran, ali do takvih stvari valjda neće prečesto dolaziti. Šteta što ne postoji neki sistemski način da se zabrani bilo kakav saobraćaj s neke IP adrese ako je s nje došlo X pogrešnih pokušaja logovanja, zbog čega kolege koje se bave sistem administracijom preporučuju posebne alate kao što je TSplus. | ||
- | - Kad ste već u editoru sigurnosnih polisa, posetite i sekciju Local Policies / Audit Policy pa **zatražite da se beleže uspešna i neuspešna logovanja** | ||
- | - Samo beleženje događaja u mreži nije dovoljno: **treba pažljivo proveravati logove, ne samo na ruteru nego i na serverima**. Dobro je osmisliti mogućnost da se kopije logova čuvaju negde van mreže. | ||
- | - **Backup treba da bude redovan, automatski i višestepeni.** | ||
- | - Tokom backup‑a server ne treba da kopira podatke na eksterni uređaj – **bolje je da eksterni uređaj kopira podatke sa servera, a da server nema nikakva prava na tom uređaju**. S druge strane, uređaj treba da ima samo prava čitanja podataka na serveru, za slučaj da neko hakuje backup uređaj. | ||
- | - **Bolje je da se kopiraju fajlovi** | ||
- | - **Treba čuvati i ranije verzije fajlova**, dakle predvideti dovoljan prostor za backup, ali i način da se kasnije izdvoje fajlovi koji su na serveru obrisani, a na backup‑u sačuvani. | ||
- | - **Obavezno mora da postoji zadnja rezerva u vidu backup‑a koji je off‑line**, | ||
- **RDC (3389) port na Windows‑u ne sme da bude otvoren za ceo svet**. Preusmeren ili ne, on predstavlja preveliku opasnost. Zato pristup treba eventualno omogućiti samo saradnicima koji imaju statičke IP adrese, a za sve ostale konfigurisati VPN, dobro ga obezbediti i koristiti kao jedini ulaz u mrežu. | - **RDC (3389) port na Windows‑u ne sme da bude otvoren za ceo svet**. Preusmeren ili ne, on predstavlja preveliku opasnost. Zato pristup treba eventualno omogućiti samo saradnicima koji imaju statičke IP adrese, a za sve ostale konfigurisati VPN, dobro ga obezbediti i koristiti kao jedini ulaz u mrežu. | ||
- Operativni sistem treba da bude update‑ovan **na najnoviju reviziju.** | - Operativni sistem treba da bude update‑ovan **na najnoviju reviziju.** |