Ce trebuie verificat mai întâi
Serverul magazinului are nevoie de protecție la nivelul sistemului de operare, accesului la distanță, conturilor de utilizator, rețelei și copiilor de rezervă. Prima prioritate este închiderea accesului direct la RDP din internet, instalarea actualizărilor, activarea autentificării multifactor și verificarea recuperării datelor dintr-o copie izolată.
Serverul asigură adesea funcționarea programului de evidență, a bazei de produse, caselor, depozitului și utilizatorilor la distanță. Accesul neautorizat la acesta poate opri vânzările, modifica sau distruge datele contabile, deschide accesul la date personale și permite atacarea altor computere din rețea.
| Termen | Ce trebuie făcut | Responsabil |
|---|---|---|
| Astăzi | Verificați dacă RDP, panoul routerului, instrumentul de backup sau altă interfață de administrare nu sunt expuse în internetul deschis. Examinați conturile active și administratorii. | Administrator de sistem |
| În 24 de ore | Instalați actualizările critice, verificați starea protecției antivirus, firewallului, jurnalelor de autentificare și ultimelor copii de rezervă. | Administrator de sistem |
| În 72 de ore | Configurați VPN sau RD Gateway cu MFA, creați conturi separate, izolați o copie de rezervă și efectuați o recuperare de test într-un mediu separat. | Administratorul și proprietarul |
| Lunar | Revizuiți actualizările, drepturile de acces, evenimentele de securitate, rezultatele backupului și modificările de configurare. | Persoana responsabilă desemnată |
De ce serverele afacerilor mici rămân o țintă
Conform Verizon Data Breach Investigations Report 2026, 31% dintre breșele confirmate din eșantion au început prin exploatarea vulnerabilităților software, iar ransomware-ul a fost prezent în 48% dintre breșe. Raportul acoperă incidentele din perioada 1 noiembrie 2024 - 31 octombrie 2025. Acești indicatori nu descriu separat retailul ucrainean, dar confirmă prioritatea actualizărilor, controlului accesului la distanță și recuperării.
Pentru Ucraina, un risc suplimentar este activitatea țintită împotriva organizațiilor și utilizarea canalelor obișnuite de suport. CERT-UA a înregistrat încercări de a convinge utilizatorii să pornească AnyDesk, chipurile pentru verificarea securității. În mesajul despre încercările de atac folosind AnyDesk, CERT-UA recomandă verificarea identității și împuternicirilor persoanei care solicită acces la distanță.
Un scenariu tipic pentru un magazin începe din una dintre cele patru surse: o vulnerabilitate neînchisă, o parolă furată, RDP deschis sau lansarea unui fișier malițios de către un angajat. După intrare, atacatorul poate fura date de autentificare, ridica privilegiile, dezactiva protecția, șterge copiile de rezervă disponibile și cripta serverul împreună cu resursele de rețea.
20 de recomandări pentru protecția serverului
1. Desemnați proprietarul serverului și țineți evidența sistemului
De server trebuie să răspundă o persoană concretă sau o companie. În evidența sistemului fixați modelul sau mașina virtuală, sistemul de operare, programele instalate, destinația porturilor, lista utilizatorilor, locurile de backup, contactele contractorilor și data ultimei verificări. Proprietarul afacerii trebuie să aibă acces la contracte, licențe, coduri de rezervă MFA și contacte pentru recuperare de urgență.
Inventarierea este necesară pentru actualizări și reacție. Nu este posibilă închiderea la timp a unei vulnerabilități într-o componentă despre existența căreia nu știe nimeni.
2. Folosiți o versiune Windows Server cu suport
Windows Server 2008 și 2012 nu trebuie folosite pentru implementări noi: suportul lor obișnuit s-a încheiat. Începând cu iulie 2026, sunt suportate Windows Server 2016, 2019, 2022 și 2025, dar suportul extins pentru Windows Server 2016 se încheie la 12 ianuarie 2027. Datele actuale sunt indicate pe pagina Windows Server release information.
Dacă serverul funcționează pe Windows Server 2016, este deja necesar un plan de migrare. Actualizările sistemului de operare, SQL Server, driverelor, instrumentelor de acces la distanță, browserului, arhivatorului și routerului trebuie incluse într-un singur grafic. Înainte de instalarea actualizărilor, administratorul creează o copie utilizabilă, verifică spațiul liber și aprobă fereastra tehnică.
3. Aplicați configurația de securitate de bază
Configurarea manuală a serverului este ușor de omis sau de anulat accidental. Pentru Windows Server 2025, Microsoft publică configurații de bază pe roluri pentru controler de domeniu, server în domeniu și server în grup de lucru. Acestea, printre altele, activează firewallul pentru toate profilurile, blochează protocoalele vechi nesigure și întăresc protecția datelor de autentificare. Descrierea și procedura de verificare sunt prezentate în configurația de bază Windows Server 2025.
Mai întâi testareaConfigurația de bază nu trebuie aplicată pe un server de producție fără verificare. Ea poate modifica protocoalele de rețea, regulile de acces, imprimarea și interacțiunea cu echipamente vechi. Administratorul trebuie să testeze modificările, să fixeze excepțiile necesare și să pregătească procedura de revenire la configurația anterioară.
4. Nu deschideți RDP direct în internet
Portul Remote Desktop nu trebuie să fie accesibil de la orice adresă de internet. Pentru lucrul la distanță folosiți VPN cu MFA sau Remote Desktop Gateway. Microsoft menționează că RD Gateway transmite RDP printr-o conexiune HTTPS protejată fără deschiderea portului RDP intern și acceptă autentificare multifactor și politici de acces.
Dacă accesul direct nu poate fi eliminat temporar, limitați-l prin firewall la adrese IP de încredere concrete, activați Network Level Authentication, stabiliți un termen scurt pentru eliminarea schemei temporare și controlați fiecare încercare de autentificare.
Schimbarea portului nu protejează RDPMutarea RDP de pe portul 3389 poate reduce numărul încercărilor automate în jurnal, dar scanarea detectează serviciul pe alt port. Aceasta este o schimbare auxiliară care nu înlocuiește VPN sau RD Gateway, MFA, limitarea adreselor și jurnalizarea.
5. Activați autentificarea securizată pentru accesul la distanță
Pentru RDP trebuie activată Network Level Authentication: utilizatorul este verificat înainte de crearea unei sesiuni complete la distanță. Microsoft recomandă NLA pentru majoritatea mediilor.
MFA trebuie activată pentru VPN, RD Gateway, contul cloud, panoul de hosting, instrumentul de backup și sistemul de suport la distanță. Pentru administratori sunt preferabile metode rezistente la phishing: chei FIDO2, certificate sau passkeys, dacă serviciul le acceptă. Un cod unic în aplicație este mai bun decât o singură parolă, dar nu este rezistent la phishing; această diferență este delimitată direct în NIST SP 800-63B-4.
6. Creați un cont separat pentru fiecare persoană
Un login comun pentru vânzători sau administratori nu permite stabilirea persoanei care a intrat pe server și ce a modificat. Fiecare angajat și fiecare specialist al contractorului trebuie să aibă propriul cont. Conturile neutilizate se blochează imediat după concediere, finalizarea lucrărilor sau schimbarea rolului.
Contul trebuie să conțină setul minim de drepturi și termen de valabilitate, dacă accesul este temporar. CERT-UA, în regulile de igienă cibernetică, recomandă separarea conturilor administrative de cele obișnuite și blocarea conturilor care nu mai sunt utilizate.
7. Separați lucrul zilnic de administrare
Vânzătorul, operatorul, contabilul și proprietarul lucrează fără drepturi de administrator local. Administratorul de sistem folosește un cont obișnuit pentru vizualizarea documentelor și un cont administrativ separat doar pentru configurări. Aceasta limitează consecințele lansării unui fișier periculos sau furtului unei parole obișnuite.
Pentru o rețea cu mai multe computere Windows, merită folosit Windows LAPS. Acesta creează și schimbă automat o parolă unică de administrator local pentru fiecare dispozitiv. Setările sunt descrise în documentația Windows LAPS.
8. Înlocuiți vechea politică de parole
Pentru un cont protejat doar prin parolă, setați o frază-parolă unică de cel puțin 15 caractere. Dacă parola este folosită împreună cu MFA, minimul NIST este de 8 caractere, dar o frază unică mai lungă rămâne adecvată. Păstrați parolele într-un manager corporativ de parole și interziceți reutilizarea.
NIST SP 800-63B-4 nu recomandă impunerea unui amestec arbitrar de litere mari, cifre și simboluri și nici schimbarea periodică a parolei fără semne de compromitere. Serviciul trebuie să blocheze parolele răspândite și cele cunoscute din breșe. Pentru Windows se poate lua ca reper inițial 10 încercări nereușite și 15 minute de blocare, dar administratorul trebuie să evalueze riscul blocării intenționate a conturilor.
9. Lăsați deschise doar porturile necesare
Windows Firewall și firewallul de rețea trebuie să funcționeze după regula: conexiunile de intrare sunt interzise, cu excepția celor permise explicit. În mod implicit, Windows Firewall blochează traficul de intrare nedorit dacă acesta nu corespunde unei reguli permise; acest lucru este descris în documentația Windows Firewall.
Nu deschideți intervale de porturi „pentru orice eventualitate”. Pentru fiecare regulă fixați programul, protocolul, portul, sursele permise și responsabilul. Accesul la SQL Server, foldere partajate, consola de backup și panoul de control trebuie limitat la rețeaua locală de serviciu sau VPN.
10. Separați serverul, casele, dispozitivele de birou și Wi-Fi-ul pentru oaspeți
O singură rețea pentru server, case, telefoane personale, camere, televizoare și vizitatori simplifică răspândirea atacului. Creați segmente separate sau VLAN-uri: server, case, birou, echipamente și oaspeți. Între ele permiteți doar conexiunile necesare.
Pentru Wi-Fi folosiți WPA3 sau WPA2-AES dacă echipamentele vechi nu acceptă WPA3. Dezactivați WPS, schimbați parola standard de administrator a routerului, actualizați firmware-ul și dezactivați administrarea din internet. Ascunderea numelui Wi-Fi nu este un mijloc de protecție: numele rețelei poate fi detectat prin traficul de serviciu. Parametrii principali de criptare sunt indicați în recomandările CISA privind Wi-Fi.
11. Nu dezactivați antivirusul, firewallul și UAC
Pe server este necesar un antivirus cu protecție în timp real. Pentru un server important este adecvată protecția de clasă EDR, care păstrează evenimentele și detectează comportamentul suspect. Controlul conturilor de utilizator UAC și protecția împotriva modificării parametrilor antivirusului trebuie, de asemenea, să rămână activate.
Nu excludeți de la verificare întregul catalog Torgsoft sau întregul disc. Microsoft menționează că excluderile personalizate de obicei nu sunt necesare, iar un fișier infectat exclus nu va fi detectat de antivirus. Dacă se confirmă un conflict sau o scădere semnificativă a performanței, creați cea mai restrânsă excludere pentru un proces sau fișier concret, agreați-o cu furnizorul programului, documentați motivul și termenul de revizuire. Vedeți regulile de excludere Microsoft Defender.
12. Folosiți serverul doar conform destinației
Pe serverul sistemului de evidență nu trebuie citită poșta, deschise mesagerii, accesate site-uri întâmplătoare, descărcate documente, conectate stickuri personale sau instalate programe pentru nevoi personale. Pentru aceste acțiuni este necesar un computer de lucru separat.
Browserul pe server se păstrează doar atunci când este necesar pentru administrare sau pentru funcționarea unui serviciu aprobat. Descărcarea programelor se face de pe site-uri oficiale după verificarea semnăturii digitale. Instalarea programelor este permisă administratorului desemnat.
13. Controlați lansarea programelor și utilizarea USB
Pentru o configurație stabilă, administratorul poate permite lansarea doar a programelor aprobate cu ajutorul App Control for Business sau AppLocker. Mai întâi politica se pornește în modul audit, se analizează jurnalele și abia apoi se trece la blocare. Microsoft recomandă începerea implementării App Control în modul audit.
Autopornirea de pe suporturi amovibile trebuie dezactivată. Stickurile necunoscute nu se conectează la server. Dacă suportul amovibil este necesar pentru o copie de rezervă, acesta se marchează, se criptează, se păstrează într-un loc controlat și se conectează doar pe durata copierii sau recuperării.
14. Criptați discurile și protejați cheile de recuperare
BitLocker reduce riscul citirii datelor după furtul discului sau serverului. Înainte de activare, verificați compatibilitatea echipamentului, existența TPM și impactul asupra procedurii de recuperare. Cheia BitLocker trebuie păstrată separat de server, într-un loc cu acces controlat. Fără cheia de recuperare, o defecțiune TPM sau schimbarea pornirii poate bloca accesul la disc. Microsoft descrie aceste scenarii în BitLocker recovery overview.
Criptarea discului nu protejează fișierele de ransomware care rulează într-un sistem deja deblocat. Pentru aceasta sunt necesare limitări ale drepturilor, control antivirus și copii de rezervă izolate.
15. Construiți backupul după regula 3–2–1
Păstrați cel puțin trei copii ale datelor importante, pe două tipuri diferite de suporturi, o copie — în afara încăperii principale. Pentru protecția împotriva ransomware-ului, o copie trebuie să fie offline sau imuabilă: serverul și utilizatorii obișnuiți nu trebuie să aibă posibilitatea de a o suprascrie sau șterge. CISA recomandă copii offline, criptare și testarea regulată a recuperării.
Un disc USB conectat permanent, un folder de rețea cu drepturi de scriere și un folder cloud sincronizat sub același cont pot fi deteriorate împreună cu datele principale. Pentru stocarea cloud activați MFA, un cont administrativ separat, jurnalizarea, istoricul versiunilor, termenul de păstrare și protecția împotriva ștergerii în masă.
16. Verificați nu fișierul copiei, ci recuperarea completă
Existența unei arhive nu confirmă încă faptul că activitatea poate fi restabilită din aceasta. Verificați zilnic reușita sarcinii de backup, iar conform unui grafic stabilit desfășurați copia într-un mediu de test izolat. Verificați baza de date, fotografiile produselor, șabloanele de documente, drepturile utilizatorilor, versiunea programului și posibilitatea de lansare.
Proprietarul stabilește pierderea admisibilă de date și timpul de nefuncționare. De exemplu, dacă pierderea admisibilă este de o zi lucrătoare, copia zilnică poate fi suficientă. Dacă vânzările nu pot fi pierdute nici pentru câteva ore, sunt necesare copii mai frecvente sau alt mecanism de toleranță la defecțiuni. NCSC recomandă păstrarea versiunilor pe perioadă și testarea regulată a stării copiilor de rezervă.
17. Activați jurnalele și notificările
Păstrați evenimentele autentificărilor reușite și nereușite, blocării conturilor, creării de noi administratori, modificărilor serviciilor, parametrilor firewallului, antivirusului, backupului și RDP. Pentru o autentificare nereușită, Windows creează evenimentul 4625. O serie de astfel de evenimente, autentificarea la o oră neobișnuită sau de la o adresă nouă necesită verificare.
Jurnalele trebuie păstrate suficient de mult pentru investigație și, dacă este posibil, copiate pe un sistem separat unde administratorul serverului atacat nu le poate șterge. CISA explică rolul jurnalelor în recomandările pentru întreprinderile mici și mijlocii.
18. Protejați fizic serverul și asigurați oprirea corectă
Serverul și echipamentele de rețea se amplasează într-un dulap închis sau într-o încăpere cu acces limitat, ventilație și protecție împotriva umezelii. Trebuie ținută o listă a persoanelor care au acces fizic.
Sursa de alimentare neîntreruptibilă trebuie dimensionată pentru server, stocare și echipamente de rețea. Configurați oprirea automată corectă la întreruperi îndelungate de energie electrică și verificați bateria sub sarcină. UPS reduce riscul deteriorării bazei din cauza opririi bruște, dar nu înlocuiește copia de rezervă.
19. Gestionați accesul suportului tehnic și al contractorilor
Înainte de conectare, verificați cine a contactat, din ce companie și pentru ce solicitare. Nu transmiteți o parolă permanentă în messenger. Pentru contractor se creează un cont temporar separat, se acordă drepturi minime, se fixează începutul și sfârșitul sesiunii, iar după lucru accesul se blochează.
Instrumentele de suport la distanță nu trebuie să funcționeze permanent cu acces necontrolat. Dacă un agent permanent este necesar conform contractului, activați MFA, permisiune doar pentru conturi aprobate, notificări despre conectare și jurnalul sesiunilor. Proprietarul trebuie să știe cum să retragă singur accesul.
20. Pregătiți un plan de reacție și efectuați o verificare de instruire
În plan indicați cine ia deciziile, cum se deconectează serverul de la rețea, unde se păstrează copiile de rezervă, cine efectuează investigația tehnică, cum funcționează casele în timpul opririi și cine trebuie notificat. Păstrați o copie a planului în afara serverului.
O dată pe an efectuați un scenariu de instruire: serverul este indisponibil, parola administratorului este compromisă, ultima copie este deteriorată. Verificarea trebuie să se încheie cu lista deficiențelor, responsabililor și termenelor de remediere.
Particularitățile serverului cu Torgsoft
În versiunea Terminal Torgsoft, utilizatorii lucrează cu o singură bază prin Remote Desktop. Aceasta nu înseamnă că RDP trebuie deschis pentru întregul internet. Accesul la serverul terminal se configurează prin VPN sau RD Gateway cu MFA, conturi separate și drepturi limitate.
Serverul sau computerul principal cu Torgsoft trebuie folosit pentru funcționarea sistemului de evidență. Poșta, mesageriile, site-urile întâmplătoare și programele terțe măresc numărul modurilor de pătrundere. Înainte de modificarea politicilor Windows, firewallului, antivirusului, SQL Server sau porturilor de rețea, trebuie verificată compatibilitatea cu configurația de lucru Torgsoft, casele, imprimantele, PRRO și integrările.
În Torgsoft se poate configura crearea automată a arhivei bazei. Opțiunea Arhiva cloud a datelor creează copii de rezervă după program și le păstrează în Google Drive. O astfel de arhivă poate fi unul dintre nivelurile de backup. Pentru rezistență la ransomware sunt oricum necesare drepturi de acces separate, MFA, mai multe versiuni, o copie izolată sau imuabilă și recuperare de test.
Suportul tehnic Torgsoft poate ajuta la instalarea programului și la desfășurarea unei arhive utilizabile a bazei. Protecția Windows Server, VPN, RD Gateway, routerului, conturilor, antivirusului și infrastructurii de backup ține de sarcinile administratorului de sistem. Suportul tehnic al programului nu este un serviciu de decriptare a fișierelor infectate.
Ce trebuie făcut la suspiciunea de compromitere
- Izolați serverul de rețea. Deconectați cablul de rețea sau blocați conexiunea pe switch ori firewall. Dacă serverul nu poate fi izolat rapid, opriți-l pentru a limita răspândirea atacului. Nu conectați discuri de rezervă. Această prioritate a acțiunilor este inclusă în checklistul de reacție CISA.
- Nu ștergeți fișierele și nu reinstalați Windows imediat. Păstrați jurnalele, mesajele, ora detectării, lista sistemelor conectate și fotografii ale ecranului. Aceste date sunt necesare pentru stabilirea modului de pătrundere.
- Implicați un specialist în reacție la incidente. O scanare obișnuită cu antivirus nu confirmă că accesul terț a fost eliminat.
- Schimbați parolele compromise de pe un dispozitiv curat. Mai întâi protejați conturile administrative, de poștă, cloud, VPN și de backup. Încheiați sesiunile active și revocați cheile de acces.
- Verificați alte dispozitive. Aflați dacă a fost folosită aceeași parolă, dacă există administratori noi, servicii, sarcini programate sau instrumente de acces la distanță.
- Recuperați doar într-un mediu curățat. Reinstalați sau curățați garantat sistemul, închideți metoda de pătrundere, verificați copia pentru software malițios și abia apoi recuperați datele. Această ordine este recomandată de NCSC în ghidul de combatere a software-ului malițios.
- Raportați incidentul. Dacă există semne ale unui atac cibernetic, adresați-vă CERT-UA prin contactele oficiale de pe cert.gov.ua. Dacă există extorcare, fraudă sau furt de fonduri, depuneți de asemenea o sesizare la Poliția Cibernetică și anunțați banca.
Nu restaurați peste un sistem infectatCopia poate fi utilizabilă, dar un server compromis o poate cripta din nou sau poate transmite atacatorului parole noi. Mai întâi trebuie eliminată metoda de pătrundere și pregătit un mediu curat.
Checklistul proprietarului
- Există o persoană responsabilă desemnată pentru server și o evidență actuală a sistemului.
- Sistemul de operare și toate componentele accesibile din internet sunt suportate și actualizate.
- RDP nu este deschis direct pentru întregul internet.
- VPN, RD Gateway, stocarea cloud și panourile de administrare sunt protejate cu MFA.
- Fiecare persoană are propriul cont; angajații concediați nu au acces.
- Angajații lucrează fără drepturi administrative.
- Firewallul este activat, iar fiecare port deschis are o justificare.
- Serverul, casele, tehnica de birou și Wi-Fi-ul pentru oaspeți sunt separate.
- Antivirusul funcționează în timp real; nu există excluderi permanente largi.
- Pe server nu se citește poșta, nu se folosesc mesagerii și nu se instalează programe terțe.
- Există cel puțin o copie de rezervă offline sau imuabilă.
- Recuperarea completă este verificată pe un sistem separat și documentată.
- Evenimentele de autentificare, modificările drepturilor și starea backupului sunt controlate.
- Accesul contractorilor este personal, limitat în timp și înregistrat în jurnal.
- Planul de reacție este disponibil în afara serverului și verificat printr-un scenariu de instruire.
Surse
- Verizon Data Breach Investigations Report 2026.
- CERT-UA: reguli de bază de igienă cibernetică.
- CERT-UA: încercări de atacuri cibernetice folosind AnyDesk.
- Microsoft: configurația de bază de securitate Windows Server 2025.
- Microsoft: Remote Desktop Services și RD Gateway.
- NIST SP 800-63B-4: autentificare și parole.
- CISA StopRansomware Guide.
- NCSC: copii de rezervă rezistente la ransomware.
- Microsoft Defender Antivirus: reguli de excludere.
- Microsoft: Windows Firewall.
Reveniți la pasul anterior