Алдымен нені тексеру керек
Дүкен сервері операциялық жүйе, қашықтан қол жеткізу, пайдаланушы тіркелгілері, желі және резервтік көшірмелер деңгейінде қорғалуы керек. Бірінші кезектегі міндет — интернеттен RDP-ге тікелей қол жеткізуді жабу, жаңартуларды орнату, көп факторлы аутентификацияны қосу және оқшауланған көшірмеден деректерді қалпына келтіруді тексеру.
Сервер көбіне есеп бағдарламасының, тауар базасының, кассалардың, қойманың және қашықтағы пайдаланушылардың жұмысын қамтамасыз етеді. Оған рұқсатсыз қол жеткізу сатуды тоқтатуы, есеп деректерін өзгертуі немесе жоюы, жеке деректерге қол жеткізуді ашуы және желідегі басқа компьютерлерге шабуыл жасауға мүмкіндік беруі мүмкін.
| Мерзім | Не істеу керек | Жауапты |
|---|---|---|
| Бүгін | RDP, маршрутизатор панелі, резервтік көшіру құралы немесе басқа басқару интерфейсі ашық интернетте қолжетімді емес екенін тексеру. Белсенді тіркелгілер мен әкімшілерді қарап шығу. | Жүйелік әкімші |
| 24 сағат ішінде | Маңызды жаңартуларды орнату, антивирустық қорғаныстың, брандмауэрдің, кіру журналдарының және соңғы резервтік көшірмелердің күйін тексеру. | Жүйелік әкімші |
| 72 сағат ішінде | MFA бар VPN немесе RD Gateway баптау, бөлек тіркелгілер жасау, бір резервтік көшірмені оқшаулау және бөлек ортада сынақ қалпына келтіруін орындау. | Әкімші және иесі |
| Ай сайын | Жаңартуларды, қол жеткізу құқықтарын, қауіпсіздік оқиғаларын, резервтік көшіру нәтижелерін және конфигурация өзгерістерін қарап шығу. | Тағайындалған жауапты тұлға |
Неліктен шағын бизнес серверлері нысана болып қала береді
Verizon Data Breach Investigations Report 2026 деректері бойынша, іріктемедегі расталған дерек ағып кетулердің 31%-ы бағдарламалық осалдықтарды пайдаланудан басталған, ал бопсалаушы бағдарламалар ағып кетулердің 48%-ында болған. Есеп 2024 жылғы 1 қарашадан 2025 жылғы 31 қазанға дейінгі оқиғаларды қамтиды. Бұл көрсеткіштер украиналық ритейлді бөлек сипаттамайды, бірақ жаңартулардың, қашықтан қол жеткізуді бақылаудың және қалпына келтірудің басымдығын растайды.
Украина үшін қосымша қауіп — ұйымдарға бағытталған мақсатты белсенділік және үйреншікті қолдау арналарының қолданылуы. CERT-UA пайдаланушыларды қорғалғандықты тексеру үшін деген сылтаумен AnyDesk іске қосуға көндіру әрекеттерін тіркеген. AnyDesk қолданылған шабуыл әрекеттері туралы хабарламасында CERT-UA қашықтан қол жеткізуді сұраған адамның жеке басы мен өкілеттігін тексеруге кеңес береді.
Дүкенге тән сценарий төрт көздің бірінен басталады: жабылмаған осалдық, ұрланған құпиясөз, ашық RDP немесе қызметкердің зиянды файлды іске қосуы. Кіргеннен кейін шабуылдаушы тіркелгі деректерін ұрлап, құқықтарын көтеріп, қорғанысты өшіріп, қолжетімді резервтік көшірмелерді жойып, серверді желілік ресурстармен бірге шифрлай алады.
Серверді қорғауға арналған 20 ұсыныс
1. Сервер иесін тағайындаңыз және жүйе паспортын жүргізіңіз
Сервер үшін нақты адам немесе компания жауап беруі керек. Жүйе паспортында модельді немесе виртуалды машинаны, операциялық жүйені, орнатылған бағдарламаларды, порттардың мақсатын, пайдаланушылар тізімін, резервтік көшіру орындарын, мердігерлердің байланыстарын және соңғы тексеру күнін белгілеңіз. Бизнес иесінде келісімшарттарға, лицензияларға, MFA резервтік кодтарына және апаттық қалпына келтіру байланыстарына қол жеткізу болуы керек.
Түгендеу жаңартулар мен әрекет ету үшін қажет. Бар екенін ешкім білмейтін компоненттегі осалдықты уақтылы жабу мүмкін емес.
2. Windows Server жүйесінің қолдау көрсетілетін нұсқасын пайдаланыңыз
Windows Server 2008 және 2012 жаңа орналастыру үшін қолданылмауы керек: олардың негізгі қолдауы аяқталған. 2026 жылғы шілде жағдайында Windows Server 2016, 2019, 2022 және 2025 қолдау көрсетіледі, бірақ Windows Server 2016 кеңейтілген қолдауы 2027 жылғы 12 қаңтарда аяқталады. Өзекті күндер Windows Server release information бетінде берілген.
Егер сервер Windows Server 2016 жүйесінде жұмыс істесе, көшу жоспары қазірдің өзінде қажет. Операциялық жүйе, SQL Server, драйверлер, қашықтан қол жеткізу құралдары, браузер, архиватор және маршрутизатор жаңартуларын бір кестеге енгізу керек. Жаңартуларды орнату алдында әкімші жарамды көшірме жасайды, бос орынды тексереді және техникалық терезені келіседі.
3. Базалық қауіпсіздік конфигурациясын қолданыңыз
Серверді қолмен баптағанда бір нәрсені өткізіп алу немесе кездейсоқ кері қайтару оңай. Windows Server 2025 үшін Microsoft домен контроллері, домендегі сервер және жұмыс тобындағы сервер үшін рөлдік базалық конфигурацияларды жариялайды. Олар, атап айтқанда, барлық профильдер үшін брандмауэрді қосады, қауіпті ескі протоколдарды бұғаттайды және тіркелгі деректерін қорғауды күшейтеді. Сипаттамасы мен тексеру тәртібі Windows Server 2025 базалық конфигурациясында берілген.
Алдымен тестілеуБазалық конфигурацияны жұмыс серверіне тексерусіз қолдануға болмайды. Ол желілік протоколдарды, қол жеткізу ережелерін, басып шығаруды және ескі жабдықпен өзара әрекетті өзгертуі мүмкін. Әкімші өзгерістерді тестілеп, қажетті ерекшеліктерді тіркеп, алдыңғы конфигурацияға қайту тәртібін дайындауы керек.
4. RDP-ді интернетке тікелей ашпаңыз
Қашықтағы жұмыс үстелі порты интернеттің кез келген мекенжайынан қолжетімді болмауы керек. Қашықтан жұмыс істеу үшін MFA бар VPN немесе Remote Desktop Gateway пайдаланыңыз. Microsoft RD Gateway RDP-ді ішкі RDP портын ашпай, қорғалған HTTPS-қосылым арқылы беретінін және көп факторлы аутентификация мен қол жеткізу саясаттарын қолдайтынын көрсетеді.
Егер тікелей қол жеткізуді уақытша алып тастау мүмкін болмаса, оны брандмауэр арқылы нақты сенімді IP-мекенжайлармен шектеңіз, Network Level Authentication қосыңыз, уақытша схеманы жоюдың қысқа мерзімін белгілеңіз және әрбір кіру әрекетін бақылаңыз.
Портты өзгерту RDP-ді қорғамайдыRDP-ді 3389 портынан ауыстыру журналдағы автоматты әрекеттер санын азайтуы мүмкін, бірақ сканерлеу қызметті басқа порттан табады. Бұл VPN немесе RD Gateway, MFA, мекенжайларды шектеу және журналдауды алмастырмайтын қосымша өзгеріс.
5. Қашықтан қол жеткізу үшін қорғалған аутентификацияны қосыңыз
RDP үшін Network Level Authentication қосулы болуы керек: пайдаланушы толық қашықтағы сессия жасалғанға дейін тексеріледі. Microsoft көптеген орталар үшін NLA қолдануды ұсынады.
MFA VPN, RD Gateway, бұлттық тіркелгі, хостинг панелі, резервтік көшіру құралы және қашықтан қолдау жүйесінде қосылуы керек. Әкімшілер үшін фишингке төзімді құралдар қолайлы: FIDO2 кілттері, сертификаттар немесе passkey, егер сервис оларды қолдаса. Қолданбадағы бір реттік код жалғыз құпиясөзден жақсы, бірақ ол фишингке төзімді емес; бұл айырмашылық NIST SP 800-63B-4 құжатында тікелей көрсетілген.
6. Әр адамға жеке тіркелгі жасаңыз
Сатушылардың немесе әкімшілердің ортақ логині серверге кім кіргенін және не өзгерткенін анықтауға мүмкіндік бермейді. Әр қызметкер мен әр мердігер маманның жеке тіркелгісі болуы керек. Қолданылмайтын тіркелгілер жұмыстан шыққаннан, жұмыс аяқталғаннан немесе рөл өзгергеннен кейін бірден бұғатталады.
Тіркелгіде ең аз құқықтар жиынтығы және, егер қол жеткізу уақытша болса, әрекет ету мерзімі болуы керек. CERT-UA кибергигиена ережелерінде әкімшілік тіркелгілерді әдеттегі тіркелгілерден бөлуге және енді қолданылмайтын тіркелгілерді бұғаттауға кеңес береді.
7. Күнделікті жұмысты әкімшілендіруден бөліңіз
Сатушы, оператор, бухгалтер және иесі жергілікті әкімші құқықтарынсыз жұмыс істейді. Жүйелік әкімші құжаттарды қарау үшін әдеттегі тіркелгіні, ал баптаулар үшін ғана бөлек әкімшілік тіркелгіні пайдаланады. Бұл қауіпті файлды іске қосудың немесе әдеттегі құпиясөздің ұрлануының салдарын шектейді.
Бірнеше Windows-компьютері бар желі үшін Windows LAPS қолданған жөн. Ол әр құрылғы үшін жергілікті әкімшінің бірегей құпиясөзін автоматты түрде жасайды және өзгертеді. Баптаулар Windows LAPS құжаттамасында сипатталған.
8. Ескі құпиясөз саясатын ауыстырыңыз
Тек құпиясөзбен қорғалатын тіркелгі үшін кемінде 15 таңбадан тұратын бірегей құпиясөз-фраза орнатыңыз. Егер құпиясөз MFA-мен бірге қолданылса, NIST минимумы 8 таңба, бірақ ұзынырақ бірегей фраза бәрібір орынды. Құпиясөздерді корпоративтік құпиясөз менеджерінде сақтаңыз және қайта пайдалануға тыйым салыңыз.
NIST SP 800-63B-4 үлкен әріптер, цифрлар және таңбалардың ерікті қоспасын талап етуді және компрометация белгілері болмаса, құпиясөзді мерзімді түрде ауыстыруды ұсынбайды. Сервис кең таралған және бұзылған базалардан белгілі құпиясөздерді бұғаттауы керек. Windows үшін бастапқы бағдар ретінде 10 сәтсіз әрекет және 15 минут бұғаттау алуға болады, бірақ әкімші тіркелгілерді әдейі бұғаттау қаупін бағалауы керек.
9. Тек қажетті порттарды ашық қалдырыңыз
Windows Firewall және желілік брандмауэр мына ереже бойынша жұмыс істеуі керек: кіріс қосылымдар тыйым салынған, тек нақты рұқсат етілгендері ғана ашық. Әдепкі бойынша Windows Firewall рұқсат етілген ережеге сәйкес келмейтін қажетсіз кіріс трафикті бұғаттайды; бұл Windows Firewall құжаттамасында сипатталған.
Порттар диапазондарын «керек болып қалар» деп ашпаңыз. Әр ереже үшін бағдарламаны, протоколды, портты, рұқсат етілген көздерді және жауапты адамды белгілеңіз. SQL Server, ортақ қалталар, резервтік көшіру консолі және басқару панеліне қол жеткізу жергілікті қызметтік желімен немесе VPN-мен шектелуі керек.
10. Серверді, кассаларды, кеңсе құрылғыларын және қонақ Wi-Fi желісін бөліңіз
Сервер, кассалар, жеке телефондар, камералар, теледидарлар және келушілер үшін бір желі шабуылдың таралуын жеңілдетеді. Бөлек сегменттер немесе VLAN жасаңыз: серверлік, кассалық, кеңселік, жабдық және қонақ. Олардың арасында тек қажетті қосылымдарға рұқсат етіңіз.
Wi-Fi үшін, егер ескі жабдық WPA3 қолдамаса, WPA3 немесе WPA2-AES пайдаланыңыз. WPS-ті өшіріңіз, маршрутизатор әкімшісінің стандартты құпиясөзін өзгертіңіз, оның микробағдарламасын жаңартыңыз және интернеттен басқаруды өшіріңіз. Wi-Fi атауын жасыру қорғаныс құралы емес: желі атауын қызметтік трафик арқылы анықтауға болады. Шифрлаудың негізгі параметрлері CISA-ның Wi-Fi бойынша ұсынымдарында берілген.
11. Антивирусты, брандмауэрді және UAC-ты өшірмеңіз
Серверде нақты уақыттағы қорғанысы бар антивирус қажет. Маңызды сервер үшін оқиғаларды сақтайтын және күмәнді әрекетті анықтайтын EDR класты қорғаныс орынды. UAC пайдаланушы тіркелгілерін бақылауы және антивирус параметрлерін өзгертуден қорғау да қосулы қалуы керек.
Тексеруден бүкіл Torgsoft каталогын немесе бүкіл дискіні шығармаңыз. Microsoft пайдаланушы ерекшеліктері әдетте қажет емес екенін, ал ерекшелікке енгізілген жұққан файлды антивирус анықтамайтынын көрсетеді. Егер қайшылық немесе өнімділіктің айтарлықтай төмендеуі расталса, нақты процесс немесе файл үшін ең тар ерекшелікті жасаңыз, оны бағдарлама жеткізушісімен келісіңіз, себебі мен қайта қарау мерзімін құжаттаңыз. Microsoft Defender ерекшелік ережелерін қараңыз.
12. Серверді тек мақсаты бойынша пайдаланыңыз
Есеп жүйесінің серверінде поштаны оқымау, мессенджерлерді ашпау, кездейсоқ сайттарды қарамау, құжаттарды жүктемеу, жеке флешкаларды қоспау немесе тұрмыстық қажеттіліктерге арналған бағдарламаларды орнатпау керек. Бұл әрекеттер үшін бөлек жұмыс компьютері қажет.
Сервердегі браузер тек әкімшілендіру немесе бекітілген сервистің жұмысы үшін қажет болғанда ғана қалдырылады. Бағдарламалар цифрлық қолтаңба тексерілгеннен кейін ресми сайттардан жүктеледі. Бағдарламаларды орнатуға тағайындалған әкімшіге ғана рұқсат беріледі.
13. Бағдарламалардың іске қосылуын және USB қолданылуын бақылаңыз
Тұрақты конфигурация үшін әкімші App Control for Business немесе AppLocker арқылы тек бекітілген бағдарламалардың іске қосылуына рұқсат бере алады. Алдымен саясат аудит режимінде іске қосылады, журналдар талданады, содан кейін ғана бұғаттауға көшеді. Microsoft App Control енгізуді аудит режимінен бастауды ұсынады.
Ауыстырмалы тасымалдағыштардан автожүктеуді өшіру керек. Белгісіз флешкалар серверге қосылмайды. Егер тасымалданатын тасымалдағыш резервтік көшірме үшін қажет болса, ол белгіленеді, шифрланады, бақыланатын жерде сақталады және тек көшіру немесе қалпына келтіру кезінде ғана қосылады.
14. Дискілерді шифрлаңыз және қалпына келтіру кілттерін қорғаңыз
BitLocker диск немесе сервер ұрланғаннан кейін деректердің оқылу қаупін азайтады. Қоспас бұрын жабдықтың үйлесімділігін, TPM бар-жоғын және қалпына келтіру процедурасына әсерін тексеріңіз. BitLocker кілтін серверден бөлек, қол жеткізуі бақыланатын жерде сақтау керек. Қалпына келтіру кілтінсіз TPM ақауы немесе жүктеу өзгерісі дискіге қол жеткізуді бұғаттауы мүмкін. Microsoft бұл сценарийлерді BitLocker recovery overview құжатында сипаттайды.
Дискіні шифрлау ашылған жүйеде жұмыс істеп тұрған бопсалаушы бағдарламадан файлдарды қорғамайды. Ол үшін құқықтарды шектеу, антивирустық бақылау және оқшауланған резервтік көшірмелер қажет.
15. Резервтік көшіруді 3–2–1 ережесі бойынша құрыңыз
Маңызды деректердің кемінде үш көшірмесін, екі түрлі тасымалдағышта сақтаңыз, бір көшірме — негізгі үй-жайдан тыс жерде болсын. Шифрлаушыдан қорғау үшін бір көшірме офлайн немесе өзгермейтін болуы керек: сервер мен әдеттегі пайдаланушылар оны қайта жазуға немесе жоюға мүмкіндік алмауы тиіс. CISA офлайн көшірмелерді, шифрлауды және қалпына келтіруді тұрақты тестілеуді ұсынады.
Үнемі қосулы USB-диск, жазу құқығы бар желілік қалта және сол бір тіркелгімен синхрондалған бұлттық қалта негізгі деректермен бірге зақымдалуы мүмкін. Бұлттық сақтау үшін MFA, бөлек әкімшілік тіркелгі, журналдау, нұсқалар тарихы, сақтау мерзімі және жаппай жоюдан қорғауды қосыңыз.
16. Көшірме файлын емес, толық қалпына келтіруді тексеріңіз
Архивтің болуы одан жұмысты қалпына келтіруге болатынын әлі растамайды. Күн сайын резервтік көшіру тапсырмасының сәттілігін тексеріңіз, ал белгіленген кесте бойынша көшірмені оқшауланған тестілік ортада өрістетіңіз. Дерекқорды, тауар фотоларын, құжат үлгілерін, пайдаланушы құқықтарын, бағдарлама нұсқасын және іске қосылу мүмкіндігін тексеріңіз.
Иесі деректердің рұқсат етілетін жоғалуын және тоқтап қалу уақытын анықтайды. Мысалы, егер рұқсат етілетін жоғалту бір жұмыс күні болса, күнделікті көшірме жеткілікті болуы мүмкін. Егер сатылымдарды бірнеше сағатқа да жоғалтуға болмайтын болса, жиірек көшірмелер немесе басқа ақауға төзімділік механизмі қажет. NCSC нұсқаларды белгілі бір кезеңге сақтау және резервтік көшірмелердің күйін тұрақты тестілеуді ұсынады.
17. Журналдар мен хабарламаларды қосыңыз
Сәтті және сәтсіз кірулер, тіркелгілерді бұғаттау, жаңа әкімшілер жасау, қызметтерді, брандмауэр параметрлерін, антивирусты, резервтік көшіруді және RDP-ді өзгерту оқиғаларын сақтаңыз. Сәтсіз кіру үшін Windows 4625 оқиғасын жасайды. Мұндай оқиғалар сериясы, әдеттен тыс уақытта немесе жаңа мекенжайдан кіру тексеруді қажет етеді.
Журналдар тергеу үшін жеткілікті ұзақ сақталуы және, мүмкін болса, шабуыл жасалған сервердің әкімшісі оларды жоя алмайтын бөлек жүйеге көшірілуі керек. CISA журналдардың рөлін шағын және орта бизнеске арналған ұсынымдарында түсіндіреді.
18. Серверді физикалық тұрғыдан қорғаңыз және дұрыс өшіруді қамтамасыз етіңіз
Сервер мен желілік жабдық жабық шкафқа немесе қол жеткізуі шектеулі, желдетуі және ылғалдан қорғанысы бар бөлмеге орналастырылады. Физикалық қол жеткізуі бар адамдардың тізімін жүргізу керек.
Үздіксіз қуат көзі серверге, сақтау құрылғысына және желілік жабдыққа есептелуі керек. Электр қуаты ұзақ өшкен кезде автоматты түрде дұрыс жұмысты аяқтауды баптаңыз және батареяны жүктемемен тексеріңіз. UPS кенет өшіруден базаның зақымдану қаупін азайтады, бірақ резервтік көшірмені алмастырмайды.
19. Техникалық қолдау мен мердігерлердің қол жеткізуін басқарыңыз
Қосылу алдында кім хабарласқанын, қай компаниядан екенін және қандай өтінім бойынша екенін тексеріңіз. Тұрақты құпиясөзді мессенджер арқылы жібермеңіз. Мердігерге бөлек уақытша тіркелгі жасалады, ең аз құқықтар беріледі, сессияның басталуы мен аяқталуы тіркеледі, жұмыс аяқталғаннан кейін қол жеткізу бұғатталады.
Қашықтан қолдау құралдары бақыланбайтын қол жеткізумен тұрақты жұмыс істемеуі керек. Егер келісімшарт бойынша тұрақты агент қажет болса, MFA, тек бекітілген тіркелгілерге рұқсат, қосылу туралы хабарламалар және сессия журналы қосылады. Иесі қол жеткізуді өз бетінше қалай қайтарып алуды білуі керек.
20. Әрекет ету жоспарын дайындаңыз және оқу тексерісін өткізіңіз
Жоспарда кім шешім қабылдайтынын, серверді желіден қалай ажыратуды, резервтік көшірмелер қайда сақталатынын, техникалық тергеуді кім жүргізетінін, тоқтап қалу кезінде кассалар қалай жұмыс істейтінін және кімге хабарлау керектігін көрсетіңіз. Жоспар көшірмесін серверден тыс сақтаңыз.
Жылына бір рет оқу сценарийін өткізіңіз: сервер қолжетімсіз, әкімші құпиясөзі компрометацияланған, соңғы көшірме зақымдалған. Тексеру кемшіліктер, жауапты адамдар және түзету мерзімдері тізімімен аяқталуы керек.
Torgsoft серверінің ерекшеліктері
Torgsoft Терминалдық нұсқасында пайдаланушылар бір базаға қашықтағы жұмыс үстелі арқылы жұмыс істейді. Бұл RDP-ді бүкіл интернетке ашу керек дегенді білдірмейді. Терминалдық серверге қол жеткізу MFA бар VPN немесе RD Gateway, бөлек тіркелгілер және шектеулі құқықтар арқылы бапталады.
Torgsoft орнатылған серверді немесе негізгі компьютерді есеп жүйесінің жұмысы үшін пайдаланған жөн. Пошта, мессенджерлер, кездейсоқ сайттар және бөгде бағдарламалар ену тәсілдерінің санын көбейтеді. Windows саясаттарын, брандмауэрді, антивирусты, SQL Server-ді немесе желілік порттарды өзгертпес бұрын Torgsoft жұмыс конфигурациясымен, кассалармен, принтерлермен, ПРРО және интеграциялармен үйлесімділікті тексеру керек.
Torgsoft-та база архивін автоматты түрде жасауды баптауға болады. Деректердің бұлттық архиві опциясы кесте бойынша резервтік көшірмелер жасайды және оларды Google Drive-та сақтайды. Мұндай архив резервтік көшіру деңгейлерінің бірі болуы мүмкін. Шифрлаушыға төзімділік үшін бәрібір бөлек қол жеткізу құқықтары, MFA, бірнеше нұсқа, оқшауланған немесе өзгермейтін көшірме және тестілік қалпына келтіру қажет.
Torgsoft техникалық қолдауы бағдарламаны орнатуға және жарамды база архивін өрістетуге көмектесе алады. Windows Server, VPN, RD Gateway, маршрутизатор, тіркелгілер, антивирус және резервтік инфрақұрылымды қорғау жүйелік әкімшінің міндеттеріне жатады. Бағдарламаның техникалық қолдауы жұққан файлдарды дешифрлау қызметі емес.
Бұзу күдігі болғанда не істеу керек
- Серверді желіден оқшаулаңыз. Желілік кабельді ажыратыңыз немесе коммутаторда не брандмауэрде қосылымды бұғаттаңыз. Егер серверді тез оқшаулау мүмкін болмаса, шабуылдың таралуын шектеу үшін оны өшіріңіз. Резервтік дискілерді қоспаңыз. Мұндай әрекет басымдығы CISA әрекет ету чеклістінде бар.
- Файлдарды жоймаңыз және Windows-ты бірден қайта орнатпаңыз. Журналдарды, хабарламаларды, анықталған уақытты, қосылған жүйелер тізімін және экран фотосуреттерін сақтаңыз. Бұл деректер ену тәсілін анықтау үшін қажет.
- Инцидентке әрекет ету маманын тартыңыз. Әдеттегі антивирустық сканерлеу бөгде қол жеткізудің жойылғанын растамайды.
- Компрометацияланған құпиясөздерді таза құрылғыдан өзгертіңіз. Алдымен әкімшілік, пошта, бұлттық, VPN және резервтік тіркелгілерді қорғаңыз. Белсенді сессияларды аяқтап, қол жеткізу кілттерін қайтарып алыңыз.
- Басқа құрылғыларды тексеріңіз. Сол құпиясөз қолданылған-қолданылмағанын, жаңа әкімшілер, қызметтер, жоспарланған тапсырмалар немесе қашықтан қол жеткізу құралдары бар-жоғын анықтаңыз.
- Тек тазартылған ортаға қалпына келтіріңіз. Жүйені қайта орнатыңыз немесе сенімді түрде тазалаңыз, ену тәсілін жабыңыз, көшірмені зиянды бағдарламалық жасақтамаға тексеріңіз және содан кейін ғана деректерді қалпына келтіріңіз. Мұндай тәртіпті NCSC зиянды бағдарламалық жасақтамаға қарсы іс-қимыл жөніндегі нұсқаулығында ұсынады.
- Инцидент туралы хабарлаңыз. Кибершабуыл белгілері болса, cert.gov.ua сайтындағы ресми байланыстар арқылы CERT-UA-ға жүгініңіз. Егер бопсалау, алаяқтық немесе қаражат ұрлығы болса, Киберполицияға да өтініш беріп, банкке хабарлаңыз.
Жұққан жүйенің үстінен қалпына келтірмеңізКөшірме жарамды болуы мүмкін, бірақ компрометацияланған сервер оны қайта шифрлауы немесе шабуылдаушыға жаңа құпиясөздерді жіберуі мүмкін. Алдымен ену тәсілін жойып, таза орта дайындау керек.
Иесінің чеклісті
- Серверге жауапты адам тағайындалған және жүйе паспорты өзекті.
- Операциялық жүйе және интернеттен қолжетімді барлық компоненттер қолдау көрсетіледі және жаңартылады.
- RDP бүкіл интернетке тікелей ашылмаған.
- VPN, RD Gateway, бұлттық сақтау және басқару панельдері MFA арқылы қорғалған.
- Әр адамның жеке тіркелгісі бар; жұмыстан шыққан қызметкерлерде қол жеткізу жоқ.
- Қызметкерлер әкімшілік құқықтарсыз жұмыс істейді.
- Брандмауэр қосулы, ал әрбір ашық порттың негіздемесі бар.
- Сервер, кассалар, кеңсе техникасы және қонақ Wi-Fi желісі бөлінген.
- Антивирус нақты уақытта жұмыс істейді; кең тұрақты ерекшеліктер жоқ.
- Серверде пошта оқылмайды, мессенджерлер қолданылмайды және бөгде бағдарламалар орнатылмайды.
- Кемінде бір офлайн немесе өзгермейтін резервтік көшірме бар.
- Толық қалпына келтіру бөлек жүйеде тексерілген және құжатталған.
- Кіру оқиғалары, құқықтардың өзгеруі және резервтік көшіру күйі бақыланады.
- Мердігерлердің қол жеткізуі жеке, уақытпен шектелген және журналда тіркелген.
- Әрекет ету жоспары серверден тыс қолжетімді және оқу сценарийімен тексерілген.
Дереккөздер
- Verizon Data Breach Investigations Report 2026.
- CERT-UA: негізгі кибергигиена ережелері.
- CERT-UA: AnyDesk қолданылған кибершабуыл әрекеттері.
- Microsoft: Windows Server 2025 базалық қауіпсіздік конфигурациясы.
- Microsoft: Remote Desktop Services және RD Gateway.
- NIST SP 800-63B-4: аутентификация және құпиясөздер.
- CISA StopRansomware Guide.
- NCSC: бопсалаушы бағдарламаларға төзімді резервтік көшірмелер.
- Microsoft Defender Antivirus: ерекшелік ережелері.
- Microsoft: Windows Firewall.
Алдыңғы қадамға оралу