Polskie Forum Synology

@Przemusss - z moimi klientami bywa różnie. Generalnie wszyscy przeszli mniejsze lub większe szkolenia - ale to nie zawsze działa. Niby świadomość jest - ale pośpiech, napięcie i stres, często powodują, że użytkownik i tak kliknie przysłowiową FV od "Orange". NIgdy do końca nikogo nie obwiniam, nie szukam winnych w takich przypadkach... po prostu działam. Użytkownik i tak jest w stresie, że przeskrobał.

W dużych firmach mamy pewne ustalenia [ja <=> pracownicy]. Wszystko co jest NIEPEWNE w @ - wysyłają do mnie, a ja to uruchamiam, bądź badam - na specjalnej maszynie, odłączonej od sieci. Ustalenie się sprawdza i kilka razy uratowało to dane użytkownika

Zabezpieczenia jakie wdrażam, to:
1. Dodatkowy backup wewnętrzny [najczęściej za pomocą Active Backup - żeby nie mapować katalogów]
2. Migawki na wszystkich serwerach
3. Oczywiście komputery też się kopiują [pełen profil] na serwer NAS za pomocą wbudowanego systemu backupów [mówię o świetnym moim zdaniem systemie wbudowanym w Windows'10 - doskonale działa z Synology].
4. Myślałem jeszcze o regułach w outlookach, które by wywalały określone @... no ale autorzy szkodników są przebiegli i to się niestety nie sprawdza.

Powyższe oczywiście dotyczy tylko ransomware, bo dla "zwykłych" wirusów w grę wchodzą jeszcze inne zabezpieczenia na routerach czy firewallach oraz odpowiednie programy antywirusowe na komputerach.

Do tego właśnie dąże iż samo poinstruowanie pomaga na kilka dni a czasem nawet w ogóle. Wszystko zależy od pracownika.
Osobiście mam wdrożone:
- całkowita blokada dysków USB
- częściowa blokada czytników płyt CD/DVD
- podział sieci na vlany
- autoryzacja po mac adresie (obcemu router się nawet nie odezwie)
- podwójny backup (pamięć z 30 dni + migawki)
- przymierzam się jeszcze do blokady obcych plików exe (jedynie z konkretnych katalogów z dysku C będą dopuszczalne). Ale czy to mi wyjdzie się okaże.



Wysłane z mojego LG-H440n przy użyciu Tapatalka

Tylko pamiętaj, że w niektórych przypadkach [charakter pracy danej firmy] - blokada USB i dysków USB - po prostu nie jest możliwa. VLAN'y - ok i blokowanie w MAC'ów w macierzystym - też ok i nad tym pomyślę [bo mam VLANy bez blokad].

Widzę, że należysz do bardzo restrykcyjnych administratorów Ma to wiele plusów... lubią CIę jeszcze

Mnie "nie lubią" za hasła, które wymyślam, a tam gdzie wdrażam politykę zmian haseł co miesiąc, to klną mnie przy każdej wizycie

Do zabezpieczeń które wdrażam - dodam jeszcze rzecz, która nie dla każdego admina jest oczywista, czyli USER zawsze jest USEREM, a nie że ma uprawnienia ADMINISTRATORA...

Wszyscy w domenie więc nie mają za wiele praw. Do tego wiele obcięte przy pomocy polis grupowych. User na prawach admina to same problemy. Niestety jest wielu po fachu co tego nie rozumie albo im się nie chce, albo nie wiedzą.

Co do haseł to się nasłuchałem przez pierwsze 3 miesiące od wdrożena jaki to ja zły jestem dla nich. Do tego wymuszona zmiana co 30 dni, wygaszacz z blokadą, pamięć 24 ostatnich haseł by to cwani nie jechali ciągle na jednym, złożoność hasła. Sądziłem że będzie już dobrze ale doczytałem się iż w moim przypadku potrzeba haseł 8 znakowych a nie 6 więc zaczęło się od początku.
Do wymiany danymi miedzy pokojami, wydziałami mają utworzone i podmapowane dyski sieciowe wspólny ogólny i wydziałowy.
Sądzę że tak źle ze mną nie mają.

Wysłane z mojego LG-H440n przy użyciu Tapatalka

Przemuss pisze:A wiesz chociaż skąd ta osoba wzięła ten niebezpieczny program?
Są w sumie 2 drogi:
- na USB
- dostała linka poczta i go uruchomiła

Wysłane z mojego LG-H440n przy użyciu Tapatalka

Tak. Program dostała na maila.
Była to placówka budżetowa więc nie ma tam serwera i domeny. Nie mogę wymusić pewnych zabezpieczeń. Jest ograniczona możliwość konfiguracji bo są wersje Home ulubionego systemu. Konto z ograniczeniami ale niewiele to pomogło.

Blokowanie usb, cd lub inne większe lub mniejsze restrykcje nie wchodzą w grę.

Brakuje wam jeszcze blokowania makr w office na stacjach roboczych

Z poziomu gpo można to zrobić na każdej stacji.

Wysłane z mojego LG-H440n przy użyciu Tapatalka