Ремонт компьютеров и электроники

Безопасность локальной сети компании — одна из первоочерёдных задач любого системного администратора. Она зиждется на трёх китах: избыточности данных, грамотной политике прав пользователей и антивирусной защите. В этой статье мне хотелось бы остановить на последнем пункте, т.к. антивирусы для серверных систем достаточно дорогая вещь и мелкие компании в целях экономии предпочитают не тратиться на защиту: а что, сисадмин же всё исправит в случае чего? Или не исправит?.. Исходя из собственного опыта могу сказать, что руководители мелких фирмочек вообще не представляют себе, что такое кибер безопасность и зачем, например, ноутбук бухгалтера должен быть оснащён нормальным платным антивирусником. О покупке дорогого (по их мнению) программного комплекса защиты сервера и речи не идёт!

Системный администратор в случае обслуживания подобных жлобов экономных клиентов должен сам обо всём позаботиться. Подтверждением моих слов является популярность запросов «бесплатный антивирус для сервера», «скачать бесплатный антивирус для Windows Server» в сети. Как бы там ни было, а каноны защиты должны соблюдаться. В конце-концов, ну не оставлять же огромную брешь в безопасности компьютерной сети из-за чьего-то недалёкого ума? Задавшись  когда-то этим вопросом мне удалось найти удачное решение по защите серверной платформы не заплатив ни копейки. Затраченные нервы сисадмина в счёт не идут, они ведь железные 😠.

 

Активируем Microsoft Security Essentials на Windows Server 2012

В кои-то веки Microsoft расщедрилась и начала встраивать «Защитник Windows» в серверные операционки начиная с Windows Server 2016. А кому не повезло и он застрял на устаревших платформах? Можно конечно скачать антивирус отдельным пакетом и попытаться его установить, однако, эта попытка заранее обречена на провал, т.к. данный антивирус не поддерживается операционной системой Window Server 2008/2012.

 

 

Однако не всё так печально. При помощи ловкости рук и командной строки установить антивирус Microsoft Security Essentials на Windows Server 2012 вполне представляется возможным!

Для начала необходимо скачать бесплатный антивирус Microsoft Security Essentials с сайта компании.

 

 

Далее, необходимо в свойствах установщика выставить режим совместимости. Для этого кликаем на скачанном файле пр. кл. мыши и на вкладке «Совместимость» окна свойств ставим галочку «Запустить программу в режиме совместимости с Windows 7».

 

 

Жмём «Применить» и «Ок». Но это ещё не всё. Инсталятор антивируса необходимо будет запустить из командной строки с определёнными параметрами. Для этого открываем cmd от имени админа (как это делать, думаю, объяснять не надо) и вводим туда команду: Путь\MSEinstall.exe /disableoslimit

 

Где: путь — место нахождения скачанного файла, MSEinstall — имя скачанного файла, /disableoslimit — параметр указывающий на то, что можно забить на версию ОС при установке.

При соблюдении вышеприведённых условий, процесс инсталляции антивируса на серверную операционную систему пройдёт без ошибок.

 

Главное — не отключать обновления Windows, т.к. антивирусные базы будут подтягиваться через эту службу.

 

Устанавливаем второй антивирус на Windows Server

Дополнительным рубежом защиты серверной платформы будет Malwarebytes Antiransom. Это не совсем антивирус, скорее — утилита защиты от троянов-шифровальщиков. С работающими с системе антивирусами она никак не взаимодействует и конфликтов не вызывает. Распространяется бесплатно.

Скачать бета-версию антишифровальщика можно загуглив «Malwarebytes Anti Ransom beta».

Трояны-шифровальщики могут больно ударить по бизнесу, но согласитесь, глупо обвинять преступников, если сам оказался слаб. После драки кулаками не машут и вместо того, чтобы искать способы дешифровки заражённых файлов, лучше заранее подготовиться и отрепетировать возможные атаки на сеть предприятия.

Опрометчиво так же будет слепо полагаться на антивирусы. Исправно функционирующий и годами защищающий нерадивых пользователей от заражения, ваш любимый антивирусный продукт может внезапно проморгать атаку Zero-day со всеми вытекающими последствиями.

Британская компания Sophos специализирующаяся на антивирусных решениях провела недавно исследование в ходе которого были опрошены 5000 ИТ-менеджеров из 26 стран (500 из США и 200 из Великобритании) в различных секторах и размерах компаний от 100 до 5000 сотрудников. Выяснилось, что компании-жертвы, решившие заплатить выкуп злоумышленникам получают свои данные назад целыми и невредимыми в 94% случаев. Отчаянный шаг — пойти на сделку с вымогателями объясняется рядом причин: публичной оглаской, высоким процентом риска от простоя бизнеса, вмешательством в дела компании внешних силовых структур в случае обращения пострадавшей стороны за помощью. Злоумышленники же со своей стороны заботливо поддерживают свой имидж возвращая доступ к данным после оплаты. Тем самым внедряя в умы будущих жертв тезис — лучше заплатить, чем пытаться вернуть данные самостоятельно.

Не имеет значения, насколько велика ваша организация, в какой стране она находится, какой сектор бизнеса она занимает, находятся под угрозой абсолютно все! Безобидный клик на почтовом вложении или по новостной ссылке может обернуться огромной бедой для компании.

По иронии судьбы, несмотря на то, что организации ужесточают меры безопасности для уменьшения атак они все же случаются. Это происходит из-за таргетирования злоумышленников на конкретную жертву: изучения и использования уязвимостей отдельно взятой сети предприятия путём атак с нескольких «направлений».

В целом, исследование показало, что хотя вредоносная загрузка файлов или ссылок по-прежнему представляла наибольшую опасность (29% успешных атак), другие методы, такие как удаленные атаки на серверы (21%), незащищенный протокол удаленного рабочего стола (9%), внешние поставщики (9%) и зараженные USB-накопители (7%) также были популярны.

Облачные репозитории не являются панацеей и тоже находятся под угрозой.

 

Не платите выкуп

Важно отметить, что выплата выкупа стоит дороже, чем восстановление данных с использованием резервных копий.

Некоторые могут указать на то, что простой бизнеса часто называют самой дорогой частью атаки вымогателей, но суммы запрашиваемые преступниками за расшифровку файлов могут достигать стоимости сервера на котором они были зашифрованы.

Гораздо проще позаботиться о хранении резервных копий в безопасных местах, усилению защиты специализированными утилитами следящими за попыткой шифрования данных, провести беседу с сотрудниками на предмет кибер-безопасности, чем тратить деньги на дешифровку данных или выкуп преступникам.

 

Что делать

Конечно, полностью защититься от атаки невозможно, но любому грамотному ИТ-специалисту вполне по силам свести её последствия к минимуму.

Что можно предпринять:

• Составьте и протестируйте план резервного копирования , в том числе храните данные в тех местах, где злоумышленники не смогут найти его (удалённые FTP серверы, облачные хранилища).
• Используйте специальную защиту от вымогателей . Программы защиты от шифровальщиков такие как Kaspersky Antiransom Tool for Business или Malwarebytes Anti-Ransomware for Business (доступна так же бесплатная beta версия) — будут хорошим дополнением к уже имеющейся антивирусной защите.
• Блокировка протокола удаленного рабочего стола (RDP) . Преступники используют слабые учетные данные RDP для запуска целевых атак вымогателей. Отключите RDP, если вам это не нужно, и используйте ограничение скорости, двухфакторную аутентификацию (2FA) или виртуальную частную сеть (VPN), если вам необходим удалённый рабочий стол.
• Выбирайте надежные пароли и используйте многофакторную аутентификацию как можно чаще . И никогда не используйте пароли повторно.
• Не забывайте вовремя обновлять операционные как клиентские, так и серверные. Такие вымогатели, как WannaCry и NotPetya, полагались на уязвимости в программном коде Windows.

 

Компьютерные вирусы существуют так же давно как и электронно вычислительные машины в операционных системах которых они паразитируют. Первая эпидемия вызванная знаменитым червём Морриса показала миру, какие убытки может потерпеть бизнес всех мастей и калибров от небольшой программы умещавшейся на дискете. «Великий» червь (так его прозвали хакеры) по сути своей не нёс никакого зловредного функционала, а отказ в обслуживании операционной системы происходивший в следствии исчерпания аппаратного ресурса заразившегося компьютера происходил из-за логической ошибки в коде вируса. Тем не менее, ущерб от этой выходки талантливого аспиранта Корнеллского университета Роберта Т. Морриса был оценён в 96.5 млн. долларов. Эпидемия вскрыла целый ряд уязвимостей в популярных программах и показала, что нельзя безоговорочно доверять компьютерным сетям.

Вирусы за годы прогресса ушли намного вперёд и обзавелись таким функционалом, который в далёких 90-х мог привидеться только в кошмаре. Использование компьютеров в качестве хостов-зомби для атак на серверы-жертвы, хищение паролей к онлайн-банкингу, блокировка компьютера или шифрование всех файлов на нём с целью выкупа — это лишь малая толика возможностей современного вредоносного ПО.

Защититься от зловредных программ можно тремя способами:

1.  Выключить компьютер и никогда больше его не включать
2.  Периодически делать резервные копии важных данных или всей системы целиком
3.  Использовать качественно антивирусное программное обеспечение

И если первый способ подходит далеко не всем 😃, то последние два с лёгкостью могут быть реализованы практически каждым пользователем (ну и тем более сисадмином — ему это положено по долгу службы).

С выбором антивируса каждый волен определяться сам. Скажу с высоты своего опыта, что за годы использования продуктов антивирусных лабораторий Symantec, Dr.Web, Malwarebytes и Kaspersky Lab ни у меня, ни у моих клиентов проблем с вирусами не было.

В Windows 10 помимо бесплатного встроенного антивируса, имеется опция защиты выбранных папок от попытки шифрования. Для обычного пользователя не готового морочиться с облаками и программами создание образов — это отличный выход!

 

Бекапимся в облако

Думаю трудно найти человека у которого нет учётной записи в сервисе Gmail. Использование продуктов от гиганта-поисковика даёт массу преимуществ среди которых — резервное копирование на Google диск. Для того, чтобы продублировать важные данные в облаке, необходимо скачать и установить Google Drive на свой компьютер. Войти под учётной записью Gmail и указать какие папки будут синхронизированы с облачным хранилищем.

Теперь всё самое важное будет дублироваться в облаке. Google выделяет для бесплатного использования 15Гб места на своих серверах. Даже если вирус положит систему или зашифрует файлы вероятность восстановить важные персональные данные будет весьма высокой.

Однако в этой бочке мёда есть небольшая ложка дёгтя: а что, если компьютер будет заражён трояном-шифровальщиком? Предположим антивирус дал осечку и не сумел заблокировать зловреда. Тот зашифровал папку с документами и базами 1С, а они в свою очередь успешно были синхронизированы с облаком? Получаем две поврежденных копии данных. Обе бесполезны.

 

Бекапимся при помощи Acronis True Image

Выходом из этой ситуации может быть создание (возможно дополнительно к Google Drive) архива с периодичностью раз в несколько дней/недель с контролем доступа и защитой файла архива от попыток шифрования. Эта функция может быть реализована при помощи программы Acronis True Image.

Помимо гибкой настройки времени создания резервных копий, их типов, Acronis True Image имеет функционал антивируса и обеспечивает защиту архивов от вредоносных программ-шифровальщиков.

Попытки сторонней программы внести несанкционированные изменения в резервную копию будут заблокированы, а событие внесено в журнал.

 

 

Защита данных — комплексный подход

Важно понимать, что защита данных, особенно в корпоративном секторе — комплексный подход включающий в себя использование антивирусного ПО совместно с программами защищающими от попыток шифрования (Kaspersky Anti-Ransomware Tool, Malwarebytes Anti-Ransom) создание нескольких видов резервных копий данных и хранение их в разных местах.