Полезный список протокола безопасности айти инфраструктуры организации

🎯 Конечная цель

ИТ-инфраструктура работает по принципу «всё запрещено, открыто только нужное». Шифровальщик не может распространиться по сети. Гость не видит корпоративные ресурсы. Любая атака на стандартные порты ведет в ловушку и бан. Система сама себя защищает.

Управление доступом и учетные записи

Основа основ: AD, пароли, 2FA

Централизованное управление (AD/Entra ID) — все пользователи и компьютеры в домене. Локальные учетки запрещены (кроме локального админа для аварийного доступа, пароль запечатан в конверт).

Запрет сохранения паролей в браузерах — через GPO или реестр отключено. Корпоративный менеджер паролей (KeePass / Bitwarden) — обязателен.

Многофакторная аутентификация (MFA/2FA) — включена для VPN, почты, RDP, админских панелей.

Политика паролей — длина от 12 символов, сложность, смена раз в 90 дней. Запрет на использование предыдущих 5 паролей.

Процедура Onboarding/Offboarding — создание учетки в первый день, блокировка/удаление в последний день (скрипт автоматизации).

Принцип минимальных привилегий — никто не имеет прав администратора на рабочей станции. Установка ПО — только через админа или самообслуживание с согласованием.

🧠 Важно: Отключение локального админа у пользователя останавливает 90% шифровальщиков, потому что вирус не может записаться в системные папки.

Сетевая архитектура и сегментация

VLAN, гостевая сеть, изоляция

Гостевой Wi-Fi (VLAN) — отдельный VLAN для личных устройств сотрудников и гостей. Доступ только в интернет, в корпоративную LAN — ни-ни.

Сегментация по отделам — бухгалтерия, сервера (DMZ), склад/АСУ ТП — в разных VLAN с жесткими правилами на фаерволе.

Принцип «Все запрещено» (Default Deny) — на межсетевом экране правило по умолчанию DROP. Разрешены только явно необходимые порты и протоколы.

Изоляция управляющих интерфейсов — админка Wi-Fi, коммутаторов, IP-камер висит в отдельной management VLAN, доступной только с джамп-хостов.

Безопасность конечных точек

AppLocker, антивирус, USB-блокировка

Белые списки приложений (AppLocker/SRP) — разрешен запуск только из Program Files, Windows и доверенных путей. Запуск .exe из Temp, Downloads, AppData — заблокирован.

Современный антивирус/EDR — не просто сигнатурный, а с поведенческим анализом (Kaspersky Endpoint, CrowdStrike, MS Defender for Business).

Блокировка USB-накопителей — через GPO запрещено использование съемных носителей, кроме корпоративных зашифрованных (BitLocker To Go).

Блокировка макросов и опасных расширений — в Office отключены макросы из интернета, на почтовом шлюзе режутся .js, .vbs, .scr, .exe в архивах.

⚡ Лайфхак: AppLocker в связке с групповыми политиками за 1 день режет 99% мусорных вирусов, которые любят прятаться в папке пользователя.

Защита удаленного доступа + Ловушки

Нестандартные порты, Honeypot, Fail2ban

VPN обязательно — никаких открытых RDP (3389) и SSH (22) в интернет. Только через VPN (WireGuard, OpenVPN, IKEv2).

Смена стандартных портов — SSH наружу слушает порт 22022, RDP — 33389. Это снижает шум от сканеров.

Ловушка (Honeypot) на стандартном порту — на порту 22 (SSH) или 3389 (RDP) висит fake-сервис (например, Cowrie). При подключении IP ботана автоматически уходит в бан на 24 часа (через фаервол).

Защита от брутфорса (Fail2ban/аналоги) — после N неудачных попыток IP блокируется на уровне фаервола.

GeoIP блокировка — на внешнем фаерволе разрешен доступ только из стран, где есть офисы/сотрудники. Остальные — мимо.

# Пример настройки iptables для ловушки (перенаправление с 22 на Honeypot)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 192.168.10.10:2222
# Затем добавляем правило на бан IP, который стучится на 22
fail2ban-regex /var/log/honeypot.log /etc/fail2ban/filter.d/ssh-honeypot.conf
            

Контроль портов и протоколов

Фаервол на каждом ПК, закрытые шары

Host Firewall (Windows Firewall) — на каждом компьютере включен, входящие соединения по умолчанию запрещены, разрешены только необходимые (например, RDP только с IP администраторов).

Блокировка SMB (порт 445) наружу — рабочие станции не могут инициировать SMB-соединения в интернет (это убивает WannaCry-подобные атаки).

Ограничение сетевого доступа к принтерам и камерам — эти устройства находятся в отдельном VLAN и доступны только по необходимым портам (9100 для принтеров, 80/554 для камер).

Мониторинг и оповещение

Логи, SIEM, алерты

Централизованный сбор логов — все события безопасности (входы, выходы, ошибки, установка ПО) стекаются в SIEM или хотя бы в Elastic Stack/Wazuh.

Алерты на подозрительное поведение — настроены уведомления на: массовое переименование файлов (признак шифровальщика), запуск PowerShell с обходом политик, вход в нерабочее время.

Аудит изменений в AD — включен аудит на изменение групп администраторов, создание новых пользователей, сброс паролей.

Резервное копирование

Оффлайн, правило 3-2-1

Правило 3-2-1 — 3 копии данных, на 2 разных носителях, 1 из которых — оффлайн (вне сети).

Неизменяемость (Immutability) — бэкапы хранятся в режиме WORM (write once, read many) или на ленте/диске, отключенном от сети.

Регулярное тестирование восстановления — раз в квартал пробное восстановление с бэкапа на тестовой среде.

💾 Суть: Если шифровальщик дошел до бэкапов и зашифровал их — ты труп. Поэтому оффлайн или immutable — обязательно.

Политики и люди

Чистый стол, фишинг-тренинги

Политика чистого стола — нет стикеров с паролями на мониторах, бумаги с доступом не валяются на столе.

Тренинг по фишингу — раз в квартал рассылаем тестовые фишинговые письма. Кто кликнул — отправляем на повторный инструктаж.

Памятка для новых сотрудников — краткая выжимка по безопасности при выдаче ноутбука.

📊 Сводка ключевых объектов

Тип	Имя / Назначение	Где настроено	Статус
Группа AD	`VPN_Allowed`	Пользователи, которым разрешен VPN-доступ	✅ Создана
VLAN	`VLAN10_Guest`	Гостевая сеть (только интернет)	✅ Настроен
VLAN	`VLAN20_Corp`	Рабочие станции	✅ Настроен
Правило FW	`Default Deny`	Межсетевой экран	⚙️ Настроено
Honeypot	`SSH-Trap`	Порт 22 → Cowrie + бан IP	⚙️ Установлен

🛠 Полезные команды для проверки

# Проверка открытых портов на ПК (слушающие службы)
netstat -an | find "LISTEN"

# Принудительное обновление политик
gpupdate /force

# Проверка членства пользователя в группах
whoami /groups

# Проверка доступа к ресурсам (от имени пользователя)
net use \\server\share

# Поиск открытых шаров в сети (опасность!)
net view /all

# Открытые порты на маршрутизаторе (из WAN)
nmap -p 1-65535 your.external.ip
        

⚠️ Типичные ошибки (чего НЕ делать)

Оставили RDP (3389) наружу — привет, шифровальщик и брутфорс.
Все в одной подсети — гость ловит Wi-Fi и сканирует бухгалтерию.
Пользователь — локальный админ — вирус ставится без спроса.
Не отключили SMBv1 — WannaCry зайдет как домой.
Забыли убрать Authenticated Users из фильтрации GPO — политика применяется ко всем, хотя хотели только на группу компьютеров.

✅ Все шаги выполнены

Офис теперь похож на крепость: сегментация работает, порты закрыты, ловушки отлавливают сканеры, шифровальщику негде развернуться. Пользователи работают, администраторы спят спокойно.

🔐 Ты просто легенда безопасности!

➕

Мои будущие доработки

Сюда буду добавлять новые фишки

Пример: Запретить PowerShell с обходом политик ( ConstrainedLanguage mode )

Пример: Включить LAPS для уникальных локальных паролей на всех ПК

🧨 Реальная атака: «Открыла, ничего не открылось, переслала в бухгалтерию»

А чтобы закрепить эту информацию, рассказываю ситуацию, которая случилась недавно ) Свежий кейс из офиса: менеджер получила письмо с архивом, внутри — один Excel-файл «Акт сверки взаимных расчетов предприятия № 274 от 2 апреля 2026 года». Открыла, «ничего не произошло», переслала в бухгалтерию. В итоге — заражённые ПК, потерянное время и аврал IT-отдела.

Мы разобрали этот файл в изолированной среде (песочница Windows). Результат — 100% вирус с поддельной цифровой подписью AO Kaspersky Lab и вредоносным макросом.

⚠️ Ключевой вывод: «ничего не открылось» — это и есть работа вируса. Макрос запустился, распаковал вредоносный файл и попытался скачать троян (помешало отсутствие интернета в песочнице).

📧 Первое правило: СМОТРИ НА ОТПРАВИТЕЛЯ

Прежде чем открыть любое вложение или даже прочитать письмо — посмотрите, от кого оно пришло. Это занимает 3 секунды и спасает от 90% атак.

ПРИМЕР ИЗ ЖИЗНИ 6932@mail.ru → ✉️ «Акт сверки от 2 апреля 2026»

Вопрос: ваша компания работает с @mail.ru ящиками? Получаете ли вы официальные документы от отправителя 6932@mail.ru?
Ответ: НЕТ. Это случайный ящик-однодневка, созданный злоумышленниками за 5 минут.

✅ БЕЗОПАСНЫЙ отправитель

@вашакомпания.ru — корпоративный ящик
@kontur.ru — знакомый контрагент
ivan.petrov@partner.ru — проверенный партнёр
налоговая@nalog.ru — официальный госорган

❌ ОПАСНЫЙ отправитель

какие-то цифры@mail.ru — 6932@, 15789@
zakaz@, info@, invoice@ — общие безликие ящики
ivanov123@gmail.com — личная почта
@yahoo.com, @rambler.ru — бесплатные сервисы

🎯 ЗОЛОТОЕ ПРАВИЛО БУХГАЛТЕРИИ:

Никаких пересылок, оплат, сверок и актов, если письмо пришло НЕ с корпоративного ящика контрагента. Даже если внутри «печать», «подпись» и «акт сверки». Это ФЕЙК.

🔍 ЧТО ПРОВЕРИТЬ В ОТПРАВИТЕЛЕ (за 5 секунд):

Домен: после собачки @ — это почтовый адрес контрагента или бесплатный сервис?
Имя: совпадает с реальным контактным лицом или просто «Бухгалтерия», «Отдел сверок»?
Цифры: много случайных цифр в ящике — 99% мошенники
Опечатки: @gooogle.com, @yandex.ru — подмена букв?

☁️ Главное правило: всё в облако, на ПК — только песочница

Самый надёжный способ не подхватить вирус — не открывать вложения на рабочем компьютере вообще. Используйте облачные хранилища как «санитарный кордон».

☁️

Правильная схема работы

Файл пришёл на почту → не открываем
Загружаем архив в Облако (Mail.ru Cloud, Yandex Disk, Google Drive)
Облачный антивирус автоматически проверяет файл
Если антивирус молчит — открываем предпросмотр в браузере (он безопасен)
Нужно редактировать? → Только в веб-версии офисного пакета
На локальный ПК файл попадает только после проверки IT

🖥️

Что происходит на ПК

Никаких вложений из почты
Никаких архивов на рабочем столе
Никаких «быстрых» открытий
Если очень надо — только Windows Sandbox
После работы в песочнице — закрыть без сохранения
Результат → сохранить в облако, на ПК ничего не остаётся

📦 Почему архив — это красный флаг?

Архив (ZIP/RAR) нужен злоумышленникам, чтобы обмануть антивирус на почтовом шлюзе. Антивирус часто не заглядывает внутрь архива, а если и заглядывает — вирус там «спит» и не обнаруживается. Только при распаковке и запуске он просыпается. В облаке же антивирус проверяет архив ДО того, как вы его откроете.

🧪 Экспертный совет: «Песочница как привычка»

Если без локального открытия никак — Windows Sandbox ваш лучший друг. Запустили, скопировали архив внутрь, посмотрели, закрыли — и следов вируса не осталось. Именно так мы и анализировали тот самый Excel-файл с поддельной подписью Kaspersky. Без песочницы я бы этот файл даже не открыл.

🛡️ Протокол безопасности для сотрудников (коротко и жестко)

Читать всем, кто работает с почтой, документами и особенно — с вложениями.

Признак вирусного письма	Нормальное письмо
📧 Случайный отправитель: 6932@mail.ru, zakaz123@gmail.com	Корпоративный ящик: @вашакомпания.ru или известный контрагент
📦 Архив (ZIP/RAR) с ОДНИМ файлом внутри (Excel, Word, .exe)	Прямая ссылка на документ, PDF, обычный Excel без макросов
🖋️ Странные буквы: «взaимныx pacчeтoв» (латиница вместо русских)	Чёткое название документа без подмены символов
📅 Дата в названии — из будущего или прошлого (документы обычно все свежие)	Реальная дата создания документа
🔐 Просит «включить макросы» или выдает жёлтое предупреждение	Открывается сразу, не требует дополнительных действий

🚨 ЧТО ДЕЛАТЬ, ЕСЛИ ВЫ УЖЕ ОТКРЫЛИ ПОДОЗРИТЕЛЬНЫЙ ФАЙЛ?

Закройте все программы (Excel, Word, почту).
Отключитесь от интернета (Wi-Fi / кабель).
Не перезагружайте компьютер без команды IT.
Не удаляйте письмо — специалисту нужны заголовки.
НЕ ПЕРЕСЫЛАЙТЕ НИКОМУ (это распространяет заразу).
Немедленно позвоните в IT-отдел.

❌

НИКОГДА НЕ ДЕЛАЙТЕ

Не открывайте вложения от незнакомых отправителей
Не включайте макросы
Не пересылайте подозрительные письма коллегам
Не работайте под админом

✅

ОБЯЗАТЕЛЬНЫЕ ПРИВЫЧКИ

Смотреть отправителя перед открытием
Сообщать в IT о странных письмах
Перезагружать ПК раз в неделю
Если сомневаетесь — позвоните в IT

📢 ОСОБОЕ ПРАВИЛО ДЛЯ БУХГАЛТЕРИИ:

Никаких актов сверки, счетов и договоров, если отправитель — НЕ корпоративный ящик вашего контрагента.
Даже если «всё красиво оформлено», «печать есть» и «очень срочно». Это 100% мошенники.

🔐 Этот случай — идеальная иллюстрация того, почему нужны политики из чек-листа выше: отключение локального админа, сегментация сети, запрет макросов через GPO и регулярные фишинг-тренинги. Не заставляйте IT бороться с последствиями — учитесь распознавать угрозу до того, как нажали «открыть».

☁️ Золотое правило современного офиса: документы живут в облаке, на компьютере — только разрешённые программы. Вирусу просто некуда приземлиться.

📧 Главный фильтр — отправитель. Не корпоративный ящик? Не открывай. Не пересылай. Не верь.

Теги: #honeypot #active_directory #защита

Оставить комментарий

← Назад к списку статей

Категории

Чек-лист it протокола безопасности компании

🎯 Конечная цель

📊 Сводка ключевых объектов

🛠 Полезные команды для проверки

⚠️ Типичные ошибки (чего НЕ делать)

✅ Все шаги выполнены

🧨 Реальная атака: «Открыла, ничего не открылось, переслала в бухгалтерию»

📧 Первое правило: СМОТРИ НА ОТПРАВИТЕЛЯ

☁️ Главное правило: всё в облако, на ПК — только песочница

🛡️ Протокол безопасности для сотрудников (коротко и жестко)

Категории:

Категории

Комментарии

Оставить комментарий

Категории

Чек-лист it протокола безопасности компании

🎯 Конечная цель

📊 Сводка ключевых объектов

🛠 Полезные команды для проверки

⚠️ Типичные ошибки (чего НЕ делать)

✅ Все шаги выполнены

🧨 Реальная атака: «Открыла, ничего не открылось, переслала в бухгалтерию»

📧 Первое правило: СМОТРИ НА ОТПРАВИТЕЛЯ

☁️ Главное правило: всё в облако, на ПК — только песочница

🛡️ Протокол безопасности для сотрудников (коротко и жестко)

Категории:

Категории

Комментарии

Оставить комментарий

Обратная связь