Čo najviac ovplyvňuje stabilitu servera
Stabilná prevádzka servera závisí od napájania, stavu diskov, chladenia, aktualizácií, nastavení prístupu a záloh. Na to je potrebná plánovaná údržba s určenou zodpovednou osobou, nie občasné úkony bez kontroly výsledku.
Pre obchod je serverom často samostatný počítač so systémom Windows, na ktorom beží Torgsoft a databáza. Ak je nedostupný, zamestnanci môžu stratiť prístup k evidencii, pokladničným a skladovým operáciám. Preto sa server oplatí udržiavať ako samostatný pracovný uzol, aj keď navonok nevyzerá inak ako bežný počítač.
Ochrana pred kybernetickými útokmi takisto ovplyvňuje nepretržitosť práce. V správe CERT-UA za druhý polrok 2025 sú opísané ransomvérové útoky na systémy Windows, pri ktorých bol počiatočný prístup získaný cez administrátorské rozhrania otvorené do internetu, najmä RDP. Pred šifrovaním útočníci vymazávali tieňové kópie Windows, aby sťažili obnovu. Zdroj: správa „Kybernetické hrozby: Ukrajina“ za druhý polrok 2025.
Základný postupUrčite zodpovedného administrátora, obmedzte používanie servera, nastavte aktualizácie a ochranu, zatvorte priamy prístup z internetu, zorganizujte niekoľko záloh a otestujte obnovu. Pridajte UPS a monitorovanie stavu zariadenia.
Používajte server iba na pracovné úlohy
Na serveri alebo hlavnom počítači s Torgsoftom by sa nemali čítať e-maily, používať messengery, otvárať náhodné webové stránky, sťahovať dokumenty ani inštalovať programy na osobné potreby. Každý nadbytočný program pridáva aktualizácie, služby, účty a možné zraniteľnosti.
Na e-mail, dokumenty, bankovníctvo a bežnú prácu používajte iný počítač. Zamestnancom poskytujte prístup iba k tým funkciám a priečinkom, ktoré potrebujú na svoje povinnosti. Hosťovskú Wi-Fi sieť oddeľte od siete, v ktorej pracuje server, pokladnice a pracovné počítače.
Aktualizujte systém v určenom čase
Server musí pracovať na verzii Windows, ktorú výrobca podporuje. Inštalujte aktualizácie operačného systému, ovládačov, ochranných nástrojov a programov používaných na serveri. Pred významnými zmenami skontrolujte dostupnosť použiteľnej zálohy a kompatibilitu aktualizácie s pracovnými programami.
Samotný týždenný reštart nie je technická údržba. Reštartujte server po aktualizáciách, ktoré to vyžadujú, po zmene systémových nastavení alebo počas diagnostiky. Robte to v dohodnutom servisnom okne, keď používatelia ukončili prácu. Microsoft odporúča pre servery spravovať inštaláciu a reštartovanie oddelene; príslušné nastavenia sú opísané v dokumentácii k správe reštartov Windows.
Pred reštartomUistite sa, že zálohovanie skončilo bez chýb, upozornite používateľov, zatvorte pracovné relácie a skontrolujte, kto dohliadne na spustenie programu a pripojenie pokladníc po aktualizácii.
Nevypínajte antivírus a firewall
Na serveri musí neustále fungovať kompatibilný nástroj na ochranu pred škodlivým softvérom. Pre Windows to môže byť vstavaný Microsoft Defender alebo podnikové riešenie iného výrobcu. Detekčné databázy, samotný ochranný modul a mechanizmy cloudovej kontroly je potrebné pravidelne aktualizovať. Microsoft neodporúča vypínať ani odstraňovať Defender bez iného aktívneho ochranného nástroja: prehľad Microsoft Defender Antivirus.
Windows Firewall musí takisto zostať zapnutý. Otvárajte iba porty a pripojenia potrebné na prácu konkrétnych programov, najlepšie s obmedzením podľa adries vnútornej siete. Všeobecné pravidlá nastavenia sú uvedené v dokumentácii Microsoft k Windows Firewallu.
Nepridávajte celý priečinok databázy alebo programu do výnimiek antivírusu len preto, že kontrola spomaľuje prácu. Výnimky má nastavovať administrátor po kontrole odporúčaní vývojára a záznamov o záťaži. Príliš široká výnimka necháva údaje bez kontroly.
Oddeľte bežné a administrátorské účty
Pokladníci, predavači a ďalší používatelia by nemali pracovať vo Windows s právami administrátora. Na inštaláciu programov a zmenu systémových nastavení vytvorte samostatný administrátorský účet. Každý administrátor a IT dodávateľ má používať vlastný účet, aby bolo v zázname viditeľné, kto a kedy sa pripájal.
Pre každý účet používajte samostatné heslo. Heslo sa nemá ukladať do otvoreného textového súboru, nechráneného prehliadača ani na papier pri počítači. Na ukladanie používajte overený správca hesiel s chráneným hlavným účtom a záložným spôsobom obnovenia prístupu.
Aktuálne vydanie NIST SP 800-63B odporúča aspoň 15 znakov pre heslo, ktoré je jediným faktorom prihlásenia, povoľuje správcov hesiel a nevyžaduje pravidelnú zmenu hesla bez známok kompromitácie. Pravidlo „meniť všetky heslá každé dva-tri mesiace“ je teda zastarané. Heslo je potrebné okamžite zmeniť po úniku, podozrivom prihlásení, odchode zamestnanca s prístupom alebo odovzdaní hesla inej osobe. Zdroj: NIST SP 800-63B.
Pre vzdialený prístup, e-mail, cloudové úložisko a účet zálohovania zapnite viacfaktorové overenie, ak ho služba podporuje. Druhý faktor znižuje riziko prihlásenia po odcudzení hesla.
Neotvárajte RDP priamo do internetu
Protokol vzdialenej pracovnej plochy Windows (RDP) nemá byť dostupný z akejkoľvek adresy na internete. Na trvalý vzdialený prístup používajte zabezpečené súkromné pripojenie (VPN) alebo bránu vzdialeného prístupu s viacfaktorovým overením. Obmedzte povolené adresy, čas pripojenia a zoznam používateľov. Zapnite zaznamenávanie úspešných aj neúspešných prihlásení.
Program vzdialenej podpory spúšťajte alebo povoľujte iba na čas dohodnutej relácie, ak trvalý prístup nie je potrebný. Po dokončení prác reláciu zatvorte, vypnite dočasný prístup a skontrolujte, či nezostali nové účty alebo služby. CISA odporúča viesť evidenciu nástrojov vzdialeného prístupu, obmedzovať ich používanie a chrániť účty viacfaktorovým overením: Guide to Securing Remote Access Software.
Nebezpečná konfiguráciaPresmerovanie portu RDP na server a krátke heslo nie sú prijateľným spôsobom vzdialenej práce. Zmena štandardného čísla portu tiež nenahrádza VPN, viacfaktorové overenie a kontrolu prístupu.
Uchovávajte niekoľko nezávislých záloh
Záloha na tom istom disku alebo v inom priečinku servera nechráni pred poruchou úložiska, šifrovaním, krádežou ani požiarom. Trvalo pripojený externý disk a sieťový priečinok môžu byť takisto zašifrované spolu so serverom.
Ako praktický základ používajte pravidlo 3–2–1: aspoň tri kópie údajov, na dvoch rôznych médiách, jedna z nich mimo hlavného pracoviska. Jednu kópiu držte odpojenú od pracovnej siete alebo chránenú pred zmenou a vymazaním z účtu servera. Túto schému a potrebu pravidelného testovania opisuje Národné centrum kybernetickej bezpečnosti Spojeného kráľovstva.
Frekvencia kopírovania závisí od toho, koľko údajov je podnik pripravený po výpadku znova zadať. Ak je prípustná strata operácií iba za jednu hodinu, kópie raz denne nestačia. Určite toto obdobie spolu so zodpovedným administrátorom.
Úspešný zápis súboru ešte nepotvrdzuje možnosť obnovy. Pravidelne nasaďte kópiu v samostatnom testovacom prostredí, skontrolujte integritu databázy, dátum posledných operácií a prístup používateľov. NCSC tiež odporúča uchovávať predchádzajúce verzie záloh a kontrolovať obnovu ešte pred skutočným zlyhaním: odporúčania na ochranu údajov.
Archív databázy TorgsoftPozrite si návod na vytvorenie archívu databázy Torgsoft. Archív je potrebné preniesť do nezávislého úložiska; kópia, ktorá zostáva iba na serveri, nerieši úlohu havarijnej obnovy.
Používajte UPS s automatickým ukončením práce
Zdroj neprerušovaného napájania, alebo UPS, dáva serveru čas prežiť krátky výpadok elektriny alebo korektne ukončiť prácu počas dlhého výpadku. Jeho výkon a výdrž batérie musia zodpovedať celkovej záťaži servera, sieťového vybavenia a ďalších zariadení, ktoré musia fungovať spolu.
Pripojte UPS k serveru cez USB, sieťový modul alebo iné rozhranie určené výrobcom. Nastavte riadiaci program tak, aby automaticky vypol server pred úplným vybitím batérie. Takýto scenár znižuje riziko poškodenia otvorených súborov a databázy; jeho účel je opísaný v príručke Schneider Electric na správu UPS.
Kontrolujte stav batérie, chybové hlásenia a skutočný čas autonómnej prevádzky. Batériu vymieňajte podľa výsledkov testu a odporúčaní výrobcu. UPS nenahrádza zálohy a nezaručuje prevádzku počas dlhého výpadku.
Používajte RAID podľa jeho účelu
RAID spája niekoľko diskov a podľa úrovne umožňuje serveru pokračovať v práci po zlyhaní jedného alebo viacerých úložísk. Konkrétnu úroveň RAID treba vyberať podľa prípustného výpadku, objemu údajov, rýchlosti a rozpočtu. RAID 0 nemá redundanciu a nie je vhodný na ukladanie kritických údajov.
RAID nie je záloha. Nevráti náhodne vymazaný záznam, predchádzajúcu verziu databázy ani súbory po zašifrovaní. Nechráni ani pred krádežou servera, poškodením radiča, požiarom alebo chybou administrátora. Dokumentácia Red Hat definuje RAID ako spôsob ukladania údajov na viacerých diskoch na zníženie následkov zlyhania úložiska: Managing RAID.
Nastavte upozornenia na degradáciu poľa. Ak disk zlyhá, treba ho nahradiť kompatibilným úložiskom a skontrolovať obnovu poľa. RAID bez monitorovania môže dlhý čas pracovať v degradovanom stave, kým nezlyhá ďalší disk.
Kontrolujte teplotu, disky a voľné miesto
Server sa inštaluje na suchom, čistom a vetranom mieste bez priameho slnka, vody a voľného prístupu návštevníkov. Nezakrývajte ventilačné otvory a neumiestňujte systémovú jednotku pri zdrojoch tepla. Prípustná teplota, vlhkosť a vzdialenosti na vetranie závisia od modelu zariadenia, preto sa riaďte dokumentáciou výrobcu.
Administrátor má kontrolovať teplotu procesora a úložísk, stav ventilátorov, chyby diskov, stav RAID, zaťaženie operačnej pamäte a zásobu miesta na systémovom disku. Prudký nárast vstupno-výstupných chýb, teploty alebo času odozvy si vyžaduje diagnostiku. Nečakajte na úplné zlyhanie disku.
Čistenie od prachu vykonávajte po korektnom vypnutí a odpojení napájania. Nerozoberajte server ani UPS bez potrebnej kvalifikácie. Ak je zariadenie v záruke, dodržiavajte podmienky výrobcu alebo dodávateľa.
Veďte denník údržby a nastavte upozornenia
Do denníka zapíšte model servera, sériové čísla, zloženie diskov, verziu Windows, sieťové nastavenia, licencie, dátum záruky, zodpovedné osoby a kontakty dodávateľov. Heslá a kódy obnovy uchovávajte oddelene v chránenom úložisku.
Monitorovanie má upozorňovať na nedostupnosť servera, nedostatok miesta, chyby zálohovania, zastavenie ochrany, degradáciu RAID, problémy UPS a nezvyčajné pokusy o prihlásenie. Upozornenia majú prichádzať osobe, ktorá má oprávnenie reagovať.
Praktický harmonogram kontrol
Nižšie je uvedený základný harmonogram pre malý obchod. Administrátor môže zmeniť periodicitu s prihliadnutím na záťaž, zariadenie, požiadavky výrobcov a prípustný čas výpadku.
| Periodicita | Čo skontrolovať | Zodpovedný |
|---|---|---|
| Denne automaticky | Dostupnosť servera, výsledok zálohovania, antivírusová ochrana, voľné miesto, stav diskov a UPS | Monitorovací systém; upozornenie dostáva administrátor |
| Týždenne | Záznamy kritických chýb, neúspešné prihlásenia, nedokončené aktualizácie, dostupnosť aktuálnej kópie mimo servera | Administrátor |
| Mesačne | Plánovaná inštalácia aktualizácií, kontrolovaný reštart podľa potreby, kontrola prístupov a programov vzdialenej správy | Administrátor; vlastník schvaľuje čas výpadku |
| Štvrťročne | Testovacia obnova databázy, kontrola UPS pod záťažou, revízia účtov a prístupových práv | Administrátor spolu so zodpovedným pracovníkom podniku |
| Ročne | Posúdenie životnosti zariadenia, záruk, kapacity diskov, podpory Windows, plánu výmeny a havarijnej obnovy | Vlastník a administrátor |
Čo robiť pri príznakoch útoku alebo poškodenia údajov
Príznakmi incidentu môžu byť hromadné premenovanie alebo šifrovanie súborov, požiadavka na výkupné, neznáme účty, neočakávané programy vzdialeného prístupu, početné neúspešné prihlásenia, vypnutý antivírus alebo nezvyčajná sieťová aktivita.
- Odpojte podozrivý server od lokálnej siete a internetu: vytiahnite sieťový kábel alebo vypnite sieťové rozhranie.
- Nepripájajte záložné disky a nespúšťajte obnovu v napadnutom systéme.
- Nemažte súbory, záznamy ani účty pred obhliadkou odborníkom. Zaznamenajte čas, hlásenia na obrazovke a kroky, ktoré predchádzali problému.
- Kontaktujte administrátora alebo špecialistu na reakciu na incidenty. Informujte vlastníka a určte, ktoré operácie obchodu treba presunúť na záložný postup.
- Skontrolujte ďalšie počítače, účty a nástroje vzdialeného prístupu. Kompromitované heslá meňte z čistého zariadenia.
- Obnovujte systém v čistom a aktualizovanom prostredí z kópie vytvorenej pred prienikom a skontrolovanej na neprítomnosť škodlivých súborov.
CISA odporúča najprv určiť napadnuté systémy a okamžite ich izolovať; napájanie sa má vypnúť vtedy, keď izolácia od siete nie je možná. Úplný postup je uvedený v zozname krokov pri ransomvérovom útoku.
Nezačínajte preinštalovanímUnáhlené formátovanie disku alebo spustenie náhodného dešifrovacieho nástroja môže zničiť dôkazy, sťažiť určenie vstupného bodu a poškodiť údaje. Najprv izolujte systém a prizvite odborníka.
Kto za čo zodpovedá
| Rola | Zodpovednosť |
|---|---|
| Vlastník podniku | Určuje administrátora, schvaľuje prípustnú stratu údajov a čas obnovy, financuje záložné médiá, UPS, výmenu zariadenia a kontroly |
| Systémový administrátor | Nastavuje aktualizácie, ochranu, účty, vzdialený prístup, zálohovanie, monitorovanie a testovaciu obnovu |
| Zamestnanci obchodu | Nepoužívajú server na vedľajšie úlohy, neodovzdávajú heslá, hlásia chyby a podozrivé udalosti |
| Technická podpora Torgsoft | Poskytuje konzultácie k práci programu, môže pomôcť nainštalovať Torgsoft a nasadiť použiteľnú databázu v rámci podmienok servisu |
Ak je databáza Torgsoft uložená lokálne a klient nepoužíva samostatnú službu záložného ukladania, spoločnosť Torgsoft nemá jej kópiu a nemôže obnoviť chýbajúce obchodné údaje. Technická podpora programu nenahrádza systémového administrátora ani špecialistu na reakciu na kybernetické útoky a nie je službou na dešifrovanie infikovaných súborov. O konzultáciu k Torgsoftu môžete požiadať službu technickej podpory.
Kontrolný zoznam vlastníka
- Je určená osoba zodpovedná za server a zálohy.
- Server sa nepoužíva na e-mail, messengery a náhodné stránky.
- Windows a ďalší softvér dostávajú bezpečnostné aktualizácie.
- Antivírus a firewall sú zapnuté; ich stav sa kontroluje.
- Zamestnanci pracujú bez práv administrátora.
- Na vzdialený prístup nie je RDP otvorené do internetu.
- Administrátorské a cloudové účty sú chránené viacfaktorovým overením.
- Existuje aspoň jedna záloha, ktorú nemožno zo servera meniť.
- Testovacia obnova databázy bola vykonaná a výsledok je zaznamenaný.
- UPS dokáže automaticky korektne ukončiť prácu servera.
- Stav diskov, RAID, teploty a voľného miesta sa monitoruje.
- Existuje krátky návod na postup pri poruche alebo kybernetickom útoku.
Zdroje
- CERT-UA a Štátna služba špeciálnych komunikácií: „Kybernetické hrozby: Ukrajina“, druhý polrok 2025.
- NIST SP 800-63B: Digital Identity Guidelines, Authentication and Authenticator Management.
- CISA: Guide to Securing Remote Access Software.
- CISA: Ransomware Response Checklist.
- NCSC: Offline backups in an online world.
- NCSC: Data security and backup guidance.
- Microsoft: Microsoft Defender Antivirus in Windows overview.
- Microsoft: Manage device restarts after updates.
- Schneider Electric: UPS Management Software Guide.
- Red Hat: Managing RAID.

Vráťte sa na predchádzajúci krok