​Как не допустить зашифровки данных корпоративной сети

23 октября 2023
644 просмотра
время чтения ~ мин

Специалисты «Доктор Веб» обратили внимание, что в компаниях не уменьшается количество инцидентов с заражением рабочих систем троянскими программами. Иногда действия таких программ приносят большой финансовый ущерб бизнесу. Это значит, что у любого сотрудника есть риск остаться без доступа к документам или потерять контроль над управлением данными. Также любой сотрудник может невольно стать мошенническим «пропуском» в корпоративную систему.

Как избежать шифрования данных?

Как проблема возникает?
В большинстве случаев специалисты  фиксируют попадание троянских программ в систему через RDP — протокол удаленного подключения к рабочему столу. Злоумышленники получают доступ к паролю одной из учетных записей через подбор или слив информации. После взлома — настраивают максимальные права и нейтрализуют действие антивирусных программ. Далее загружают вспомогательное ПО и запускают шифровальщика.
Что делать?
Если злоумышленник вошел в систему с правами администратора и отключил или удалил антивирус, наша команда помогает расшифровать данные пострадавших в 5-7% случаев. Поэтому мы стараемся делать всё, чтобы усложнить взлом и максимально предотвратить его.
В подборке наши специалисты делятся рекомендациями для предотвращения зашифровки данных.

Рекомендации по защите от взлома корпоративной сети:

Измените пароли

Защитите все учетные записи:

  • задайте сложный пароль из 8 или более символов;
  • включите в пароль буквы разного регистра, цифры и специальные символы;
  • заблокируйте неиспользуемые учетные записи, чтобы у злоумышленника не оказалось в руках набора учетных записей, через которые можно попасть в компьютер.

Действия при использовании Windows Active Directory

  • активируйте такую системную политику, при которой запрещается использование ненадежных паролей;
  • укажите максимальный срок действия пароля — это позволит избежать использования украденных паролей, когда учетная запись использовалась на ранее зараженном ПК;
  • используйте «политику блокировки учетной записи» через редактор GPO. Задайте количество ошибочных вводов неправильного пароля — это защитит от успешного подбора пароля с помощью перебора.

Политика паролей находятся в разделе редактора GPO:

Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика паролей

Выполните обновления системы

Включите службу автоматического обновления, если отключили её ранее. Установите все предложенные обновления.
Во всех системах локальной сети должны быть установлены как минимум все обновления безопасности для критических уязвимостей, в том числе:
MS17-010

https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/MS17- 010

https://support.microsoft.com/ru-ru/help/4013389/title

BlueKeep, BlueKeep2

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-0708
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-1181
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708

SMBGhost

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0796

По возможности не ограничивайтесь установкой только этих обновлений.

Установите ограничение на удалённое подключение с помощью брандмауэра на внешнем периметре (роутере или шлюзе)

  • оставьте возможность подключения только с определенных IP-адресов;
  • измените стандартный порт для подключения к RDP через реестр. 
  • Пример в https://support.microsoft.com/ru-ru/help/306759

    • примените меры защиты от сканеров портов извне. Проведите аудит доступных сетевых сервисов и закройте их для внешней сети;
    • рассмотрите вариант изменения политики доступа к RDP, разместив RDP за шифрованным туннелем;
    • сделайте доступ к серверу извне только через VPN.
    • Используйте антивирус

    • повышайте безопасность данных с установкой новейшей версии антивируса. Сейчас это версия 13.0 Центра управления Dr.Web Enterprise Security Suite и агентов. Либо Dr.Web Security Space версия 12.0;
    • управляйте списком разрешенных приложений в сети компании с помощью компонента «Контроля приложений» для Dr.Web Enterprise Security Suite
    • Ссылка: https://news.drweb.ru/show/?i=13842;

      • никогда не отключайте файловый монитор SpIDer Guard и превентивную защиту;
      • защитите настройки программ паролем, чтобы невозможно было отключить компоненты защиты даже с правами администратора. 

      Читайте по ссылке https://download.geo.drweb.com/pub/drweb/windows/workstation/12.0/documentation/html/

      ss/ru/settings_general_password.html

      • если компания использует клиент-серверное решение Dr.Web Enterprise Security Suite с централизованным управлением, не предоставляйте право на отключение компонентов и редактирование настроек. 

      Это регулируется в центре управления Антивирусная сеть → Станция или группа → Права

      • не отключайте и не ограничивайте автоматическое обновление антивируса.

      В среднем обновления Dr.Web выпускаются с периодичностью 1–1,5 часа. В норме антивирус должен показывать, что вирусная база актуальна и нет ошибок обновления;

      • не вносите в исключения широкие маски, папки с временными файлами, программами и не отключайте детектирование для программ взлома и потенциально опасного ПО на постоянной основе и без острой необходимости;
      • включите в настройках системы отображение расширений файлов для того, чтобы всегда видеть какой тип файла вы запускаете: 

      Панель управления → Параметры папок → Вид → убрать галочку напротив «Скрывать расширения для зарегистрированных типов файлов»

      Выполняйте резервное копирование

      Делайте резервное копирование ценной информации на носители, которые недоступны для записи из основной системы, где хранятся оригиналы. Предварительно ознакомьтесь с популярными методиками организации бэкапов данных, подобрав наиболее оптимальную политику резервного копирования и ПО для его реализации.

      Включите аудит безопасности

      Для систем, выполняющих роль серверов с внешним доступом, включите аудит безопасности: 

      Локальная политика безопасности → Локальные политики → Политика аудита

      Регулярно анализируйте журналы безопасности системы, чтобы вовремя увидеть любые попытки несанкционированного доступа и принять меры.

      Дополнительные действия

      Создайте еще одного пользователя с правами админа и зашифрованным именем. При этом администратора нужно сделать неактивным. Тогда системный админ будет неизвестен никому, что усложнит задачу злоумышленникам.