Сервер тұрақтылығына ең көп не әсер етеді
Сервердің тұрақты жұмысы электр қорегіне, дискілердің күйіне, салқындатуға, жаңартуларға, қолжетімділік баптауларына және резервтік көшірмелерге байланысты. Ол үшін нәтижесі тексерілмейтін анда-сандағы әрекеттер емес, жауапты адам белгіленген жоспарлы қызмет көрсету қажет.
Дүкен үшін сервер көбіне Windows орнатылған, Torgsoft пен дерекқор жұмыс істейтін жеке компьютер болады. Егер ол қолжетімсіз болса, қызметкерлер есепке, кассалық және қоймалық операцияларға қолжетімділігін жоғалтуы мүмкін. Сондықтан сервер сырттай қарапайым компьютерден ерекшеленбесе де, оны бөлек жұмыс торабы ретінде күтіп ұстау керек.
Кибершабуылдардан қорғаныс та жұмыстың үздіксіздігіне әсер етеді. CERT-UA-ның 2025 жылдың екінші жартыжылдығына арналған есебінде Windows жүйелеріне жасалған ransomware шабуылдары сипатталған: бастапқы қолжетімділік интернетке ашық әкімшілендіру интерфейстері, негізінен RDP арқылы алынған. Шифрлау алдында шабуылдаушылар қалпына келтіруді қиындату үшін Windows-тың көлеңкелі көшірмелерін жойған. Дереккөз: 2025 жылдың екінші жартыжылдығына арналған «Киберқауіптер: Украина» есебі.
Негізгі тәртіпЖауапты әкімшіні тағайындаңыз, серверді пайдалануды шектеңіз, жаңартулар мен қорғанысты баптаңыз, интернеттен тікелей қолжетімділікті жабыңыз, бірнеше резервтік көшірме ұйымдастырып, қалпына келтіруді тексеріңіз. UPS және жабдық күйін бақылауды қосыңыз.
Серверді тек жұмыс міндеттері үшін пайдаланыңыз
Серверде немесе Torgsoft орнатылған негізгі компьютерде поштаны оқу, мессенджерлерді пайдалану, кездейсоқ сайттарды ашу, құжаттарды жүктеу немесе жеке қажеттіліктерге арналған бағдарламаларды орнату қажет емес. Әрбір артық бағдарлама жаңартуларды, қызметтерді, есептік жазбаларды және ықтимал осалдықтарды қосады.
Пошта, құжаттар, банкинг және күнделікті жұмыс үшін басқа компьютерді пайдаланыңыз. Қызметкерлерге олардың міндеттеріне қажет функциялар мен бумаларға ғана қолжетімділік беріңіз. Қонақтарға арналған Wi-Fi желісін сервер, кассалар және жұмыс компьютерлері істейтін желіден бөліп қойыңыз.
Жүйені белгіленген уақытта жаңартыңыз
Сервер өндіруші қолдайтын Windows нұсқасында жұмыс істеуі керек. Операциялық жүйенің, драйверлердің, қорғаныс құралдарының және серверде қолданылатын бағдарламалардың жаңартуларын орнатыңыз. Елеулі өзгерістер алдында жарамды резервтік көшірменің бар екенін және жаңартудың жұмыс бағдарламаларымен үйлесімді екенін тексеріңіз.
Апта сайынғы қайта жүктеу өздігінен техникалық қызмет көрсету болып саналмайды. Серверді мұны талап ететін жаңартулардан кейін, жүйелік баптауларды өзгерткеннен кейін немесе диагностика кезінде қайта жүктеңіз. Мұны пайдаланушылар жұмысты аяқтағаннан кейін келісілген қызмет көрсету терезесінде жасаңыз. Microsoft серверлер үшін орнатуды және қайта жүктеуді бөлек басқаруды ұсынады; тиісті параметрлер Windows қайта жүктеулерін басқару құжаттамасында сипатталған.
Қайта жүктеу алдындаРезервтік көшірудің қатесіз аяқталғанына көз жеткізіңіз, пайдаланушыларға ескертіңіз, жұмыс сеанстарын жабыңыз және жаңартудан кейін бағдарламаның іске қосылуын әрі кассалардың қосылуын кім тексеретінін анықтаңыз.
Антивирус пен брандмауэрді өшірмеңіз
Серверде зиянды бағдарламалардан қорғайтын үйлесімді құрал тұрақты жұмыс істеуі керек. Windows үшін бұл кіріктірілген Microsoft Defender немесе басқа өндірушінің корпоративтік шешімі болуы мүмкін. Анықтау базаларын, қорғаныс модулінің өзін және бұлттық тексеру механизмдерін үнемі жаңартып отыру қажет. Microsoft басқа белсенді қорғаныс құралы болмаса, Defender-ді өшіруді немесе жоюды ұсынбайды: Microsoft Defender Antivirus шолуы.
Windows брандмауэрі де қосулы қалуы керек. Тек нақты бағдарламалардың жұмысына қажет порттар мен қосылымдарды ашыңыз, мүмкіндігінше ішкі желі мекенжайлары бойынша шектеумен. Баптаудың жалпы ережелері Microsoft-тың Windows брандмауэрі жөніндегі құжаттамасында берілген.
Тексеру жұмысты баяулатады деген себеппен дерекқордың немесе бағдарламаның бүкіл бумасын антивирус ерекшеліктеріне қоспаңыз. Ерекшеліктерді әзірлеуші ұсынымдарын және жүктеме журналдарын тексергеннен кейін әкімші баптауы керек. Шамадан тыс кең ерекшелік деректерді тексерусіз қалдырады.
Қарапайым және әкімшілік есептік жазбаларды бөліңіз
Кассирлер, сатушылар және басқа пайдаланушылар Windows-та әкімші құқықтарымен жұмыс істемеуі керек. Бағдарламаларды орнату және жүйелік баптауларды өзгерту үшін бөлек әкімшілік есептік жазба жасаңыз. Әр әкімші мен IT мердігер өз есептік жазбасын пайдалануы керек, сонда журналда кімнің және қашан қосылғаны көрінеді.
Әрбір есептік жазба үшін бөлек құпиясөз пайдаланыңыз. Құпиясөзді ашық мәтіндік файлда, қорғаныссыз браузерде немесе компьютер жанындағы қағазда сақтамау керек. Сақтау үшін қорғалған негізгі есептік жазбасы және қолжетімділікті қалпына келтірудің резервтік тәсілі бар тексерілген құпиясөз менеджерін пайдаланыңыз.
NIST SP 800-63B-ның қолданыстағы редакциясы кірудің жалғыз факторы болатын құпиясөз үшін кемінде 15 таңба ұсынады, құпиясөз менеджерлеріне рұқсат береді және компрометация белгілері болмаса, құпиясөзді мерзімді ауыстыруды талап етпейді. Демек, «барлық құпиясөздерді екі-үш ай сайын өзгерту» ережесі ескірген. Құпиясөзді ақпараттың таралуынан, күдікті кіруден, қолжетімділігі бар қызметкер жұмыстан шыққаннан немесе құпиясөз басқа адамға берілгеннен кейін дереу ауыстыру қажет. Дереккөз: NIST SP 800-63B.
Қашықтан қолжетімділік, пошта, бұлттық сақтау орны және резервтік көшіру есептік жазбасы үшін, егер сервис қолдаса, көпфакторлы аутентификацияны қосыңыз. Екінші фактор құпиясөз ұрланғаннан кейін кіру қаупін азайтады.
RDP-ді интернетке тікелей ашпаңыз
Windows қашықтағы жұмыс үстелі протоколы (RDP) интернеттегі кез келген мекенжайдан қолжетімді болмауы керек. Тұрақты қашықтан қолжетімділік үшін қорғалған жеке қосылымды (VPN) немесе көпфакторлы аутентификациясы бар қашықтан қолжетімділік шлюзін пайдаланыңыз. Рұқсат етілген мекенжайларды, қосылу уақытын және пайдаланушылар тізімін шектеңіз. Сәтті және сәтсіз кірулерді журналға жазуды қосыңыз.
Егер тұрақты қолжетімділік қажет болмаса, қашықтан қолдау бағдарламасын тек келісілген сеанс уақытына іске қосыңыз немесе рұқсат етіңіз. Жұмыс аяқталғаннан кейін сеансты жабыңыз, уақытша қолжетімділікті өшіріңіз және жаңа есептік жазбалар немесе қызметтер қалмағанын тексеріңіз. CISA қашықтан қолжетімділік құралдарының есебін жүргізуді, олардың қолданылуын шектеуді және есептік жазбаларды көпфакторлы аутентификациямен қорғауды ұсынады: Guide to Securing Remote Access Software.
Қауіпті конфигурацияRDP портын серверге бағыттау және қысқа құпиясөз қашықтан жұмыс істеудің қолайлы тәсілі емес. Стандартты порт нөмірін өзгерту де VPN-ді, көпфакторлы аутентификацияны және қолжетімділікті бақылауды алмастырмайды.
Бірнеше тәуелсіз резервтік көшірме сақтаңыз
Сол дискідегі немесе сервердің басқа бумасындағы резервтік көшірме жинақтауыштың бұзылуынан, шифрлаудан, ұрлықтан немесе өрттен қорғамайды. Тұрақты қосылған сыртқы диск пен желілік бума да сервермен бірге шифрлануы мүмкін.
Практикалық негіз ретінде 3–2–1 ережесін пайдаланыңыз: деректердің кемінде үш көшірмесі, екі түрлі тасымалдағышта, олардың бірі негізгі жұмыс орнынан тыс жерде. Бір көшірмені жұмыс желісінен ажыратылған күйде немесе сервер есептік жазбасынан өзгерту мен жоюдан қорғалған күйде ұстаңыз. Мұндай схеманы және тұрақты тестілеу қажеттігін Ұлыбританияның Ұлттық киберқауіпсіздік орталығы сипаттайды.
Көшіру жиілігі бизнес ақаудан кейін қанша деректі қайта енгізуге дайын екеніне байланысты. Егер тек бір сағаттық операциялардың жоғалуы ғана қолайлы болса, тәулігіне бір рет жасалатын көшірмелер жеткіліксіз. Бұл кезеңді жауапты әкімшімен бірге анықтаңыз.
Файлдың сәтті жазылуы қалпына келтіру мүмкіндігін әлі растамайды. Көшірмені бөлек тестілік ортада үнемі ашып, дерекқордың тұтастығын, соңғы операциялардың күнін және пайдаланушылардың қолжетімділігін тексеріңіз. NCSC сондай-ақ көшірмелердің алдыңғы нұсқаларын сақтауды және нақты ақауға дейін қалпына келтіруді тексеруді ұсынады: деректерді қорғау жөніндегі ұсынымдар.
Torgsoft дерекқорының архивіTorgsoft дерекқоры архивін жасау нұсқаулығын қараңыз. Архивті тәуелсіз сақтау орнына көшіру қажет; тек серверде қалатын көшірме апаттық қалпына келтіру міндетін шешпейді.
Автоматты өшіруі бар UPS пайдаланыңыз
Үздіксіз қорек көзі, немесе UPS, серверге электр қуатының қысқа уақытқа өшуінен өтуге немесе ұзақ өшу кезінде жұмысты дұрыс аяқтауға уақыт береді. Оның қуаты мен автономды жұмыс уақыты бірге жұмыс істеуі тиіс сервердің, желілік жабдықтың және басқа құрылғылардың жалпы жүктемесіне сәйкес болуы керек.
UPS-ті серверге USB, желілік модуль немесе өндіруші көздеген басқа интерфейс арқылы қосыңыз. Басқару бағдарламасын батарея толық таусылғанға дейін серверді автоматты түрде өшіретіндей етіп баптаңыз. Мұндай сценарий ашық файлдар мен дерекқордың зақымдану қаупін азайтады; оның мақсаты Schneider Electric-тің UPS басқару жөніндегі нұсқаулығында сипатталған.
Батарея күйін, қате хабарламаларын және нақты автономды жұмыс уақытын тексеріңіз. Батареяны тест нәтижелері мен өндіруші ұсынымдарына сәйкес ауыстырыңыз. UPS резервтік көшірмелерді алмастырмайды және ұзақ өшу кезінде жұмысты кепілдендірмейді.
RAID-ті мақсатына сай пайдаланыңыз
RAID бірнеше дискіні біріктіреді және деңгейіне қарай бір немесе бірнеше жинақтауыш істен шыққаннан кейін серверге жұмысын жалғастыруға мүмкіндік береді. RAID-тің нақты деңгейін рұқсат етілетін тоқтап қалу уақытына, деректер көлеміне, жылдамдыққа және бюджетке қарай таңдау қажет. RAID 0-де артықтық жоқ және ол маңызды деректерді сақтау үшін жарамайды.
RAID резервтік көшірме емес. Ол кездейсоқ жойылған жазбаны, дерекқордың алдыңғы нұсқасын немесе шифрлаудан кейінгі файлдарды қайтармайды. Сондай-ақ ол сервердің ұрлануынан, контроллердің зақымдануынан, өрттен немесе әкімші қатесінен қорғамайды. Red Hat құжаттамасы RAID-ті жинақтауыш істен шыққанда салдарын азайту үшін деректерді бірнеше дискіде сақтау тәсілі ретінде анықтайды: Managing RAID.
Массивтің деградациясы туралы хабарламаларды баптаңыз. Егер диск істен шықса, оны үйлесімді жинақтауышпен ауыстырып, массивтің қалпына келуін бақылау қажет. Мониторингсіз RAID келесі диск істен шыққанға дейін ұзақ уақыт деградацияланған күйде жұмыс істеуі мүмкін.
Температураны, дискілерді және бос орынды бақылаңыз
Сервер құрғақ, таза және желдетілетін жерде, тікелей күн сәулесінен, судан және келушілердің еркін қолжетімділігінен алыс орнатылады. Желдету саңылауларын жаппаңыз және жүйелік блокты жылу көздерінің жанына қоймаңыз. Рұқсат етілетін температура, ылғалдылық және желдетуге арналған арақашықтықтар жабдық моделіне байланысты, сондықтан өндіруші құжаттамасын басшылыққа алыңыз.
Әкімші процессор мен жинақтауыштардың температурасын, желдеткіштердің күйін, диск қателерін, RAID күйін, жедел жад жүктемесін және жүйелік дискідегі бос орын қорын бақылауы керек. Енгізу-шығару қателерінің, температураның немесе жауап беру уақытының күрт өсуі диагностика қажет екенін білдіреді. Дискінің толық істен шығуын күтпеңіз.
Шаңнан тазалауды дұрыс өшіріп, қоректі ажыратқаннан кейін орындаңыз. Қажетті біліктіліксіз сервер мен UPS-ті бөлшектемеңіз. Егер жабдық кепілдікте болса, өндіруші немесе жеткізуші шарттарын сақтаңыз.
Қызмет көрсету журналын жүргізіп, хабарламаларды баптаңыз
Журналда сервер моделін, сериялық нөмірлерді, дискілер құрамын, Windows нұсқасын, желі баптауларын, лицензияларды, кепілдік күнін, жауапты адамдарды және мердігерлердің байланыстарын тіркеңіз. Құпиясөздер мен қалпына келтіру кодтарын бөлек, қорғалған сақтау орнында сақтаңыз.
Мониторинг сервердің қолжетімсіздігі, орын тапшылығы, резервтік көшіру қателері, қорғаныстың тоқтауы, RAID деградациясы, UPS мәселелері және әдеттен тыс кіру әрекеттері туралы хабарлауы керек. Хабарламалар әрекет ету өкілеттігі бар адамға келуі тиіс.
Тексерулердің практикалық кестесі
Төменде шағын дүкенге арналған негізгі кесте берілген. Әкімші жүктемені, жабдықты, өндірушілер талаптарын және рұқсат етілетін тоқтап қалу уақытын ескере отырып, мерзімділікті өзгерте алады.
| Мерзімділік | Нені тексеру керек | Жауапты |
|---|---|---|
| Күн сайын автоматты түрде | Сервердің қолжетімділігі, резервтік көшіру нәтижесі, антивирустық қорғаныс, бос орын, дискілер мен UPS күйі | Мониторинг жүйесі; хабарламаны әкімші алады |
| Апта сайын | Критикалық қателер журналдары, сәтсіз кірулер, аяқталмаған жаңартулар, серверден тыс жерде өзекті көшірменің болуы | Әкімші |
| Ай сайын | Жаңартуларды жоспарлы орнату, қажет болса бақыланатын қайта жүктеу, қолжетімділіктер мен қашықтан басқару бағдарламаларын тексеру | Әкімші; иесі тоқтап қалу уақытын келіседі |
| Тоқсан сайын | Дерекқорды тестілік қалпына келтіру, UPS-ті жүктеме астында тексеру, есептік жазбалар мен қолжетімділік құқықтарын қарау | Әкімші бизнес тарапындағы жауапты қызметкермен бірге |
| Жыл сайын | Жабдық ресурсын, кепілдіктерді, дискілер сыйымдылығын, Windows қолдауын, ауыстыру және апаттық қалпына келтіру жоспарын бағалау | Иесі және әкімші |
Шабуыл немесе деректердің зақымдану белгілері байқалса не істеу керек
Инцидент белгілері файлдардың жаппай қайта аталуын немесе шифрлануын, төлем талабын, белгісіз есептік жазбаларды, күтпеген қашықтан қолжетімділік бағдарламаларын, көптеген сәтсіз кірулерді, өшірілген антивирусты немесе әдеттен тыс желілік белсенділікті қамтуы мүмкін.
- Күдікті серверді жергілікті желіден және интернеттен ажыратыңыз: желілік кабельді суырыңыз немесе желілік интерфейсті өшіріңіз.
- Резервтік дискілерді қоспаңыз және зақымдалған жүйеде қалпына келтіруді бастамаңыз.
- Маман қарап шыққанға дейін файлдарды, журналдарды және есептік жазбаларды жоймаңыз. Уақытты, экрандағы хабарламаларды және мәселенің алдында жасалған әрекеттерді тіркеңіз.
- Әкімшімен немесе инцидентке әрекет ету маманымен байланысыңыз. Иесіне хабарлап, дүкеннің қандай операцияларын резервтік тәртіпке көшіру қажет екенін анықтаңыз.
- Басқа компьютерлерді, есептік жазбаларды және қашықтан қолжетімділік құралдарын тексеріңіз. Компрометацияланған құпиясөздерді таза құрылғыдан өзгертіңіз.
- Жүйені енуге дейін жасалған және зиянды файлдардың жоқтығына тексерілген көшірмеден таза әрі жаңартылған ортада қалпына келтіріңіз.
CISA ең алдымен зақымдалған жүйелерді анықтап, оларды дереу оқшаулауды ұсынады; желіден оқшаулау мүмкін болмаған кезде қоректі өшіру керек. Толық тәртіп ransomware шабуылына әрекет ету тізімінде берілген.
Қайта орнатудан бастамаңызДискіні асығыс форматтау немесе кездейсоқ дешифраторды іске қосу дәлелдерді жойып, кіру нүктесін анықтауды қиындатып және деректерді зақымдауы мүмкін. Алдымен жүйені оқшаулап, маманды тартыңыз.
Кім не үшін жауап береді
| Рөл | Жауапкершілік |
|---|---|
| Бизнес иесі | Әкімшіні тағайындайды, деректердің рұқсат етілетін жоғалуын және қалпына келтіру уақытын келіседі, резервтік тасымалдағыштарды, UPS-ті, жабдықты ауыстыруды және тексерулерді қаржыландырады |
| Жүйелік әкімші | Жаңартуларды, қорғанысты, есептік жазбаларды, қашықтан қолжетімділікті, резервтік көшіруді, мониторингті және тестілік қалпына келтіруді баптайды |
| Дүкен қызметкерлері | Серверді бөгде міндеттер үшін пайдаланбайды, құпиясөздерді бермейді, қателер мен күдікті оқиғалар туралы хабарлайды |
| Torgsoft техникалық қолдауы | Бағдарламаның жұмысы бойынша кеңес береді, Torgsoft-ты орнатуға және қызмет көрсету шарттары аясында жарамды дерекқорды өрістетуге көмектесе алады |
Егер Torgsoft дерекқоры жергілікті сақталса және клиент резервтік сақтаудың бөлек сервисін пайдаланбаса, Torgsoft компаниясында оның көшірмесі жоқ және жоқ коммерциялық деректерді қалпына келтіре алмайды. Бағдарламаның техникалық қолдауы жүйелік әкімшіні немесе кибершабуылдарға әрекет ету маманын алмастырмайды және зақымдалған файлдарды дешифрлау қызметі емес. Torgsoft бойынша кеңес алу үшін техникалық қолдау қызметіне жүгінуге болады.
Иесінің чеклисті
- Сервер мен резервтік көшірмелерге жауапты адам тағайындалған.
- Сервер пошта, мессенджерлер және кездейсоқ сайттар үшін пайдаланылмайды.
- Windows және басқа бағдарламалық жасақтама қауіпсіздік жаңартуларын алады.
- Антивирус пен брандмауэр қосулы; олардың күйі бақыланады.
- Қызметкерлер әкімші құқықтарынсыз жұмыс істейді.
- Қашықтан қолжетімділік үшін интернетке ашық RDP жоқ.
- Әкімшілік және бұлттық есептік жазбалар көпфакторлы аутентификациямен қорғалған.
- Серверден өзгертуге қолжетімсіз кемінде бір резервтік көшірме бар.
- Дерекқорды тестілік қалпына келтіру орындалған және нәтижесі тіркелген.
- UPS сервер жұмысын автоматты түрде дұрыс аяқтай алады.
- Дискілердің, RAID-тің, температураның және бос орынның күйі бақыланады.
- Ақау немесе кибершабуыл кезіндегі әрекеттер туралы қысқа нұсқаулық бар.
Дереккөздер
- CERT-UA және Арнайы байланыс мемлекеттік қызметі: «Киберқауіптер: Украина», 2025 жылдың екінші жартыжылдығы.
- NIST SP 800-63B: Digital Identity Guidelines, Authentication and Authenticator Management.
- CISA: Guide to Securing Remote Access Software.
- CISA: Ransomware Response Checklist.
- NCSC: Offline backups in an online world.
- NCSC: Data security and backup guidance.
- Microsoft: Microsoft Defender Antivirus in Windows overview.
- Microsoft: Manage device restarts after updates.
- Schneider Electric: UPS Management Software Guide.
- Red Hat: Managing RAID.

Алдыңғы қадамға оралу