Callback
  • De la tarabă la magazin

  • -

  • De la magazin la lanț de retail

  • -

  • De la retail la producție

Cum mențineți stabil serverul unui magazin

Vladimir Vitishchenko
Vladimir Vitishchenko

Expert în automatizarea tranzacțiilor la Torgsoft

Ce influențează cel mai mult stabilitatea serverului

Funcționarea stabilă a serverului depinde de alimentarea cu energie, starea discurilor, răcire, actualizări, setările de acces și copiile de rezervă. Pentru aceasta este necesară mentenanță planificată, cu o persoană responsabilă desemnată, nu acțiuni periodice fără verificarea rezultatului.

Pentru un magazin, serverul este adesea un computer separat cu Windows, pe care rulează Torgsoft și baza de date. Dacă acesta devine indisponibil, angajații pot pierde accesul la evidență, operațiuni de casă și operațiuni de depozit. De aceea, serverul trebuie întreținut ca un nod de lucru separat, chiar dacă la exterior nu se deosebește de un PC obișnuit.

Protecția împotriva atacurilor cibernetice influențează, de asemenea, continuitatea activității. Raportul CERT-UA pentru al doilea semestru al anului 2025 descrie atacuri ransomware asupra sistemelor Windows, în care accesul inițial era obținut prin interfețe de administrare expuse pe internet, în principal RDP. Înainte de criptare, atacatorii ștergeau copiile shadow Windows pentru a îngreuna recuperarea. Sursă: raportul „Amenințări cibernetice: Ucraina” pentru al doilea semestru al anului 2025.

Procedura de bazăDesemnați un administrator responsabil, limitați utilizarea serverului, configurați actualizările și protecția, închideți accesul direct din internet, organizați mai multe copii de rezervă și verificați recuperarea. Adăugați un UPS și monitorizarea stării echipamentului.

Utilizați serverul doar pentru sarcini de lucru

Pe server sau pe computerul principal cu Torgsoft nu este recomandat să citiți e-mailuri, să folosiți mesagerie, să deschideți site-uri aleatorii, să descărcați documente sau să instalați programe pentru nevoi personale. Fiecare program suplimentar adaugă actualizări, servicii, conturi și posibile vulnerabilități.

Pentru e-mail, documente, banking și munca obișnuită, utilizați un alt computer. Oferiți angajaților acces doar la funcțiile și folderele necesare atribuțiilor lor. Separați rețeaua Wi-Fi pentru oaspeți de rețeaua în care funcționează serverul, casele de marcat și computerele de lucru.

Actualizați sistemul la o oră stabilită

Serverul trebuie să ruleze o versiune de Windows susținută de producător. Instalați actualizările sistemului de operare, ale driverelor, ale instrumentelor de protecție și ale programelor utilizate pe server. Înainte de schimbări importante, verificați existența unei copii de rezervă utilizabile și compatibilitatea actualizării cu programele de lucru.

Repornirea săptămânală în sine nu reprezintă mentenanță tehnică. Reporniți serverul după actualizările care necesită acest lucru, după modificarea setărilor de sistem sau în timpul diagnosticării. Faceți acest lucru într-o fereastră de mentenanță convenită, după ce utilizatorii au terminat lucrul. Microsoft recomandă pentru servere gestionarea separată a instalării și repornirii; parametrii corespunzători sunt descriși în documentația privind gestionarea repornirilor Windows.

Înainte de repornireAsigurați-vă că backupul s-a finalizat fără erori, anunțați utilizatorii, închideți sesiunile de lucru și verificați cine va controla pornirea programului și conectarea caselor de marcat după actualizare.

Nu dezactivați antivirusul și firewallul

Pe server trebuie să funcționeze permanent un instrument compatibil de protecție împotriva programelor malițioase. Pentru Windows, acesta poate fi Microsoft Defender integrat sau o soluție corporativă a altui producător. Bazele de detecție, modulul de protecție și mecanismele de verificare în cloud trebuie actualizate regulat. Microsoft nu recomandă dezactivarea sau eliminarea Defender fără un alt instrument de protecție activ: prezentarea Microsoft Defender Antivirus.

Windows Firewall trebuie, de asemenea, să rămână activat. Deschideți doar porturile și conexiunile necesare pentru funcționarea anumitor programe, de preferat cu restricții după adresele rețelei interne. Regulile generale de configurare sunt prezentate în documentația Microsoft privind Windows Firewall.

Nu adăugați întregul folder al bazei de date sau al programului în excluderile antivirus doar pentru că verificarea încetinește lucrul. Excluderile trebuie configurate de administrator după verificarea recomandărilor dezvoltatorului și a jurnalelor de încărcare. O excludere prea largă lasă datele neverificate.

Separați conturile obișnuite de cele administrative

Casierii, vânzătorii și alți utilizatori nu trebuie să lucreze în Windows cu drepturi de administrator. Pentru instalarea programelor și modificarea setărilor de sistem, creați un cont administrativ separat. Fiecare administrator și contractor IT trebuie să folosească propriul cont, astfel încât în jurnal să fie vizibil cine și când s-a conectat.

Pentru fiecare cont utilizați o parolă separată. Parola nu trebuie păstrată într-un fișier text deschis, într-un browser fără protecție sau pe o foaie lângă computer. Pentru stocare, utilizați un manager de parole verificat, cu un cont principal protejat și o metodă de rezervă pentru recuperarea accesului.

Ediția actuală NIST SP 800-63B recomandă cel puțin 15 caractere pentru o parolă care este singurul factor de autentificare, permite managerii de parole și nu cere schimbarea periodică a parolei fără semne de compromitere. Prin urmare, regula „schimbați toate parolele o dată la două-trei luni” este depășită. Parola trebuie schimbată imediat după o scurgere de date, o autentificare suspectă, concedierea unui angajat cu acces sau transmiterea parolei altei persoane. Sursă: NIST SP 800-63B.

Pentru acces la distanță, e-mail, stocare cloud și contul de backup, activați autentificarea multifactor, dacă serviciul o acceptă. Al doilea factor reduce riscul de autentificare după furtul parolei.

Nu deschideți RDP direct în internet

Protocolul Windows Remote Desktop (RDP) nu trebuie să fie accesibil de la orice adresă din internet. Pentru acces la distanță permanent, utilizați o conexiune privată securizată (VPN) sau un gateway de acces la distanță cu autentificare multifactor. Limitați adresele permise, timpul de conectare și lista utilizatorilor. Activați jurnalizarea autentificărilor reușite și nereușite.

Porniți sau permiteți programul de suport la distanță doar pe durata unei sesiuni convenite, dacă accesul permanent nu este necesar. După finalizarea lucrărilor, închideți sesiunea, dezactivați accesul temporar și verificați dacă nu au rămas conturi sau servicii noi. CISA recomandă evidența instrumentelor de acces la distanță, limitarea utilizării acestora și protejarea conturilor prin autentificare multifactor: Guide to Securing Remote Access Software.

Configurație periculoasăRedirecționarea portului RDP către server și o parolă scurtă nu reprezintă o metodă acceptabilă de lucru la distanță. Schimbarea numărului portului standard nu înlocuiește VPN-ul, autentificarea multifactor și controlul accesului.

Păstrați mai multe copii de rezervă independente

O copie de rezervă pe același disc sau într-un alt folder al serverului nu protejează împotriva defectării unității, criptării, furtului sau incendiului. Un disc extern conectat permanent și un folder de rețea pot fi, de asemenea, criptate împreună cu serverul.

Ca bază practică, utilizați regula 3–2–1: cel puțin trei copii ale datelor, pe două suporturi diferite, dintre care una în afara locului principal de lucru. Păstrați o copie deconectată de la rețeaua de lucru sau protejată împotriva modificării și ștergerii din contul serverului. Această schemă și necesitatea testării regulate sunt descrise de Centrul Național de Securitate Cibernetică al Regatului Unit.

Frecvența copierii depinde de câte date este pregătită afacerea să reintroducă după o defecțiune. Dacă este acceptabilă pierderea operațiunilor doar pentru o oră, copiile o dată pe zi nu sunt suficiente. Stabiliți această perioadă împreună cu administratorul responsabil.

Scrierea reușită a fișierului nu confirmă încă posibilitatea recuperării. Implementați regulat copia într-un mediu de test separat, verificați integritatea bazei, data ultimelor operațiuni și accesul utilizatorilor. NCSC recomandă, de asemenea, păstrarea versiunilor anterioare ale copiilor și verificarea recuperării înainte de o defecțiune reală: recomandări privind protecția datelor.

Arhiva bazei TorgsoftConsultați instrucțiunea pentru crearea arhivei bazei de date Torgsoft. Arhiva trebuie transferată într-un spațiu de stocare independent; o copie care rămâne doar pe server nu rezolvă sarcina de recuperare în caz de dezastru.

Utilizați un UPS cu oprire automată

Sursa de alimentare neîntreruptibilă, sau UPS, oferă serverului timp să treacă peste o scurtă întrerupere a energiei sau să se oprească corect în timpul unei întreruperi prelungite. Puterea și autonomia acesteia trebuie să corespundă sarcinii totale a serverului, echipamentului de rețea și altor dispozitive care trebuie să funcționeze împreună.

Conectați UPS-ul la server prin USB, modul de rețea sau altă interfață prevăzută de producător. Configurați programul de administrare astfel încât să oprească automat serverul înainte de descărcarea completă a bateriei. Acest scenariu reduce riscul deteriorării fișierelor deschise și a bazei; scopul său este descris în ghidul Schneider Electric pentru administrarea UPS.

Verificați starea bateriei, mesajele de eroare și autonomia reală. Înlocuiți bateria pe baza rezultatelor testului și a recomandărilor producătorului. UPS-ul nu înlocuiește copiile de rezervă și nu garantează funcționarea în timpul unei întreruperi îndelungate.

Utilizați RAID conform scopului său

RAID combină mai multe discuri și, în funcție de nivel, permite serverului să continue funcționarea după defectarea unuia sau mai multor unități. Nivelul RAID concret trebuie ales în funcție de timpul de nefuncționare acceptabil, volumul datelor, viteză și buget. RAID 0 nu are redundanță și nu este potrivit pentru stocarea datelor critice.

RAID nu este o copie de rezervă. Acesta nu va readuce o înregistrare ștearsă accidental, o versiune anterioară a bazei sau fișiere după criptare. De asemenea, nu protejează împotriva furtului serverului, deteriorării controllerului, incendiului sau erorii administratorului. Documentația Red Hat definește RAID ca o metodă de stocare a datelor pe mai multe discuri pentru reducerea consecințelor defectării unei unități: Managing RAID.

Configurați notificări despre degradarea matricei. Dacă un disc se defectează, acesta trebuie înlocuit cu o unitate compatibilă și trebuie controlată reconstruirea matricei. RAID fără monitorizare poate funcționa mult timp în stare degradată, până când se defectează următorul disc.

Controlați temperatura, discurile și spațiul liber

Serverul se instalează într-un loc uscat, curat și ventilat, fără soare direct, apă și acces liber al vizitatorilor. Nu acoperiți orificiile de ventilație și nu puneți unitatea de sistem lângă surse de căldură. Temperatura, umiditatea și distanțele admise pentru ventilație depind de modelul echipamentului, de aceea orientați-vă după documentația producătorului.

Administratorul trebuie să controleze temperatura procesorului și a unităților, starea ventilatoarelor, erorile discurilor, starea RAID, încărcarea memoriei RAM și spațiul liber pe discul de sistem. O creștere bruscă a erorilor de intrare-ieșire, a temperaturii sau a timpului de răspuns necesită diagnosticare. Nu așteptați defectarea completă a discului.

Curățarea de praf se face după oprirea corectă și deconectarea alimentării. Nu demontați serverul și UPS-ul fără calificarea necesară. Dacă echipamentul este în garanție, respectați condițiile producătorului sau furnizorului.

Țineți un jurnal de mentenanță și configurați notificări

În jurnal, notați modelul serverului, numerele de serie, componența discurilor, versiunea Windows, setările de rețea, licențele, data garanției, persoanele responsabile și contactele contractorilor. Păstrați parolele și codurile de recuperare separat, într-un spațiu de stocare protejat.

Monitorizarea trebuie să raporteze indisponibilitatea serverului, lipsa spațiului, erorile de backup, oprirea protecției, degradarea RAID, problemele UPS și încercările neobișnuite de autentificare. Notificările trebuie să ajungă la o persoană care are autoritatea de a reacționa.

Grafic practic de verificări

Mai jos este prezentat un grafic de bază pentru un magazin mic. Administratorul poate modifica periodicitatea ținând cont de încărcare, echipament, cerințele producătorilor și timpul de nefuncționare acceptabil.

PeriodicitateCe trebuie verificatResponsabil
Zilnic automat Disponibilitatea serverului, rezultatul backupului, protecția antivirus, spațiul liber, starea discurilor și UPS Sistemul de monitorizare; notificarea este primită de administrator
Săptămânal Jurnalele erorilor critice, autentificările nereușite, actualizările nefinalizate, existența unei copii actuale în afara serverului Administrator
Lunar Instalarea planificată a actualizărilor, repornire controlată la nevoie, verificarea acceselor și a programelor de administrare la distanță Administrator; proprietarul aprobă timpul de nefuncționare
Trimestrial Recuperare de test a bazei, verificarea UPS sub sarcină, revizuirea conturilor și a drepturilor de acces Administratorul împreună cu angajatul responsabil al afacerii
Anual Evaluarea resursei echipamentului, garanțiilor, capacității discurilor, suportului Windows, planului de înlocuire și recuperare în caz de dezastru Proprietarul și administratorul

Ce trebuie făcut la semne de atac sau deteriorare a datelor

Semnele unui incident pot fi redenumirea sau criptarea masivă a fișierelor, cererea de răscumpărare, conturi necunoscute, programe neașteptate de acces la distanță, numeroase autentificări nereușite, antivirus dezactivat sau activitate de rețea neobișnuită.

  1. Deconectați serverul suspect de la rețeaua locală și de la internet: scoateți cablul de rețea sau dezactivați interfața de rețea.
  2. Nu conectați discuri de rezervă și nu porniți recuperarea în sistemul afectat.
  3. Nu ștergeți fișiere, jurnale și conturi înainte de examinarea de către un specialist. Notați ora, mesajele de pe ecran și acțiunile care au precedat problema.
  4. Contactați administratorul sau un specialist în răspuns la incidente. Anunțați proprietarul și stabiliți ce operațiuni ale magazinului trebuie trecute la procedura de rezervă.
  5. Verificați celelalte computere, conturi și instrumente de acces la distanță. Schimbați parolele compromise de pe un dispozitiv curat.
  6. Recuperați sistemul într-un mediu curat și actualizat, dintr-o copie creată înainte de intruziune și verificată pentru absența fișierelor malițioase.

CISA recomandă mai întâi identificarea sistemelor afectate și izolarea lor imediată; alimentarea trebuie oprită atunci când izolarea de rețea este imposibilă. Procedura completă este prezentată în lista de acțiuni în cazul unui atac ransomware.

Nu începeți cu reinstalareaFormatarea grăbită a discului sau rularea unui decriptor aleatoriu poate distruge dovezi, poate îngreuna determinarea punctului de intrare și poate deteriora datele. Mai întâi izolați sistemul și implicați un specialist.

Cine pentru ce răspunde

RolResponsabilitate
Proprietarul afacerii Desemnează administratorul, aprobă pierderea acceptabilă de date și timpul de recuperare, finanțează suporturile de backup, UPS-ul, înlocuirea echipamentului și verificările
Administratorul de sistem Configurează actualizările, protecția, conturile, accesul la distanță, backupul, monitorizarea și recuperarea de test
Angajații magazinului Nu folosesc serverul pentru sarcini externe, nu transmit parole, raportează erori și evenimente suspecte
Suportul tehnic Torgsoft Consiliază privind funcționarea programului, poate ajuta la instalarea Torgsoft și la implementarea unei baze utilizabile în limitele condițiilor de service
Limitele ajutorului Torgsoft

Dacă baza Torgsoft este stocată local și clientul nu folosește un serviciu separat de stocare a copiilor de rezervă, compania Torgsoft nu are copia acesteia și nu poate recupera date comerciale lipsă. Suportul tehnic al programului nu înlocuiește administratorul de sistem sau specialistul în răspuns la atacuri cibernetice și nu este un serviciu de decriptare a fișierelor infectate. Pentru consultanță privind Torgsoft, puteți contacta serviciul de suport tehnic.

Checklistul proprietarului

  • A fost desemnată o persoană responsabilă de server și copiile de rezervă.
  • Serverul nu este folosit pentru e-mail, mesagerie și site-uri aleatorii.
  • Windows și celelalte programe primesc actualizări de securitate.
  • Antivirusul și firewallul sunt activate; starea lor este monitorizată.
  • Angajații lucrează fără drepturi de administrator.
  • Pentru acces la distanță nu există RDP deschis în internet.
  • Conturile administrative și cloud sunt protejate prin autentificare multifactor.
  • Există cel puțin o copie de rezervă care nu poate fi modificată de pe server.
  • Recuperarea de test a bazei a fost efectuată și rezultatul a fost consemnat.
  • UPS-ul poate opri automat și corect serverul.
  • Starea discurilor, RAID, temperaturii și spațiului liber este monitorizată.
  • Există o instrucțiune scurtă de acțiuni în caz de defecțiune sau atac cibernetic.