IT bezpečnosť v jednoduchých slovách: žiadni nepozvaní hostia!

V tejto časti si povieme, ako zabrániť „hosťom“ vo vstupe do vašej siete a počítačov: prečo nemožno používať spoločné heslá, čo ponúka Active Directory a ako môžete ušetriť pomocou riešení založených na Linuxe.

Typický obraz v malých spoločnostiach

V mnohých organizáciách to vyzerá približne takto:

V malých spoločnostiach sa veľmi často stretávame s takýmto obrazom: Na všetkých počítačoch je nastavené rovnaké meno pre prihlásenie s právami správcu, s rovnakým (väčšinou najjednoduchším) heslom alebo vôbec bez hesla. Každý počítač v sieti má prístup ku všetkým ostatným počítačom (napríklad k spoločným zložkám). A tieto počítače sa často spúšťajú bez zadania hesla.

Teraz si predstavte, že na jeden z týchto počítačov sa dostane škodlivý program. Od tohto momentu môže útočník vidieť a zašifrovať všetko, k čomu má tento účet prístup – v podstate celú sieť.

Záver: jeden infikovaný počítač sa stáva problémom pre celú spoločnosť.

Preto je prvé pravidlo:

Spoločnosť musí mať vždy jasný, štruktúrovaný systém autorizácie používateľov a rozdelenia prístupu k zdrojom.

Pre systémy založené na MS Windows je to Active Directory (skrátene AD) – databáza používateľov a systém centralizovaného riadenia všetkých počítačov s Windows pripojených k sieti. Tento systém umožňuje pohodlne, spoľahlivo a centralizovane prideľovať používateľom oprávnenia a prístup k informačným zdrojom (k programom, súborovým zdrojom, webovým zdrojom, prístupu na internet atď.), o čom som už písal v časti 2.

Ako to funguje:

Pre každého zamestnanca sa vytvorí účet v centralizovanej databáze (AD). Následne správca siete pridá tento účet do skupín s prístupom k zdrojom (programom, zložkám atď.). Po pridaní do skupiny získa účet zamestnanca automaticky prístup k požadovanému zdroju.

Ak zamestnanec už tento prístup nepotrebuje, je možné mu ho veľmi ľahko odobrať, jednoducho ho vylúčením zo skupiny. Ak zamestnanec odišiel zo zamestnania, jeho účet sa zablokuje a prístup ku všetkým zdrojom sa mu odoberie doslova jedným kliknutím myši.

Možnosti AD sa však neobmedzujú len na správu prístupu zamestnancov. Ide aj o systém centralizovanej správy počítačov na báze Windows. Možnosti sú tu obrovské:

  • určenie vzhľadu pracovnej plochy používateľa;
  • centralizované umiestnenie profilu používateľa, čo umožňuje používateľovi pracovať v jednom prostredí na rôznych počítačoch;
  • centralizované politiky pre inštaláciu programov, čo vylučuje používanie nelicencovaného softvéru používateľmi;
  • centralizovaná správa správania Windows: je možné zapínať a vypínať komponenty operačného systému, nastavovať predvolený prehliadač atď.
  • mnoho ďalších možností

Pôvodne bolo na nasadenie AD potrebné mať server so systémom Windows Server (a pre veľké siete bolo potrebných niekoľko takýchto serverov). A to nebolo lacné (hardvér + licencie na softvér). V súčasnosti však existujú spoľahlivé a overené riešenia založené na Linuxe. Ide o Samba 4 – bezplatné (open-source) riešenie pre Linux, ktoré umožňuje vytvoriť spoľahlivý systém autentifikácie a autorizácie používateľov a zabezpečiť im dostatočne vysokú úroveň kontroly prístupu k informáciám. Navyše nie je potrebné platiť tisíce eur za licencie.

Pre siete, v ktorých sa na pracoviskách používa iba Linux, existujú podobné, úplne bezplatné riešenia.

Schéma fungovania autorizácie v sieťach s Active Directory
Schéma fungovania autorizácie v sieťach s Active Directory

Financie:

Pre malé spoločnosti stačí bežný počítač, nemusí byť ani veľmi nový (samozrejme, je vhodné mať malý server základnej úrovne). Ako softvér je možné použiť operačné systémy rodiny Linux (napríklad Debian alebo Ubuntu) s balíkom pre Samba 4. Ako už bolo spomenuté vyššie, ide o bezplatný (open-source) softvér.

Stručne:

V mnohých malých spoločnostiach to vyzerá približne takto:

  • na všetkých počítačoch je rovnaké prihlasovacie meno s právami správcu;
  • heslo je jednoduché, známe všetkým (alebo ho vôbec nemajú);
  • každý počítač vidí všetky zdieľané priečinky v sieti;
  • spustenie počítača – bez zadania hesla.

Problém: obrovské riziko straty všetkých informácií

Riešenie:

  • každý zamestnanec má svoj vlastný účet;
  • heslá sú individuálne a zložité;
  • prístup k súborom, programom a službám je podľa role a pozície;
  • pri ukončení pracovného pomeru je prístup okamžite a úplne zablokovaný.
  • stačí jednoduchý počítač a bezplatný softvér.

Active Directory: čo to je a načo to podnikom slúži

Zjednodušene povedané, Active Directory (AD) je databáza používateľov a systém centralizovaného riadenia počítačov a prístupov v doméne Windows.

  • Ukladá všetkých používateľov a ich práva.
  • Umožňuje centralizované riadenie počítačov (politiky, nastavenia, programy).
  • Zjednodušuje rozdelenie prístupu k priečinkom, aplikáciám a webovým zdrojom.
  • Pri prepustení zamestnanca sa prístupy zrušia jedným kliknutím.
  • Nestojí to veľa peňazí.
Pre vedúceho to znamená: vždy viete, kto má prístup k čomu, a môžete tento prístup rýchlo zmeniť alebo zrušiť.

Mini kontrolný zoznam: sú vo vašej sieti „nepozvaní hostia”?

  • Na všetkých počítačoch nie sú spoločné účty správcu.
  • Každý zamestnanec má svoje vlastné prihlasovacie meno a heslo.
  • Práva prístupu sú nastavené podľa rolí, nie „všetci môžu všetko“.
  • Pri ukončení pracovného pomeru sa prístupy vypínajú centrálne.
  • Používa sa Active Directory alebo Samba 4 (alebo podobný systém).
  • K serverom a dôležitým zdrojom sa dá pripojiť len s prihlasovacími údajmi s obmedzenými právami.

Nie ste si istí, či vo vašej sieti nie je „spoločný administrátor“ pre všetkých?

Pomôžeme vám dať do poriadku účty a prístupy: nastavíme doménu, roly a práva tak, aby boli údaje spoločnosti pod kontrolou.

Прокрутить вверх