Две идеи «неубиваемого» компьютера
Любые мероприятия по обеспечению безопасности преследуют две цели: предотвратить утечку или порчу информации и поддерживать постоянную работоспособность компьютеров и программ на них. Мы рассмотрели основные технические решения, теперь опять вернемся к тактике и организации.
Почти во всех маленьких компаниях на первый план выступает задача обеспечить бесперебойную работу техники, минимизировать простои и расходы на восстановление. Одна из самых распространенных причин простоя — действия вредоносных программ, особенно широко распространенных «блокировщиков».
Самый очевидный и проторенный путь борьбы со «зловредами» — работающее антивирусное ПО. Забота руководителя и местного компьютерщика — выбрать «любимый» антивирус, установить его на все компьютеры и своевременно приобретать нужное количество лицензий. Если вам понравится антивирус MSSE, вопрос лицензирования и оплаты отпадает.
Если же вы решили использовать во всей фирме операционную систему Linux, проблема защиты от вредоносных программ вообще не возникнет.
Следующий шаг требует определенных усилий по воспитанию всех работников. Основной принцип безопасной работы можно сформулировать как «трех «не»»: «Не качать», «Не ставить» и «Не лазить». Если каждый будет сознательно придерживаться таких правил, риск попадания на компьютеры любых «зловредов» становится минимальным.
На рабочем компьютере вполне хватит однажды установленного набора программ. Программ для работы! Необходимость установить что-то еще, требующееся для работы, возникает очень редко. Скажем больше: тот, кто устанавливает на компьютер в офисе какие-либо нелицензированные платные приложения, может серьезно «подставить» и себя, и руководство компании.
Серьезное препятствие на пути «зловредов» представляет механизм контроля учетных записей Windows (User Accounts Control, UAC). Когда появляется сообщение UAC, значит, начинается установка какой-нибудь программы или готовится изменение настроек системы от имени администратора. Как мы уже решили, в рамках «трех «не»» такого не должно происходить в принципе — можно смело нажимать кнопку Нет. Если используются какие-то приложения, требующие запуска от имени администратора, проще однажды настроить их запуск через Планировщик задач и соответствующие ярлыки на рабочем столе.
Единственная «нормальная» ситуация, в которой может запрашиваться разрешение UAC — установка обновлений. На мой взгляд, автоматическое обновление ОС Windows и прикладных программ вполне можно отключить. Пусть вместо этого кто-то «самый грамотный» или приходящий системный администратор станет ежемесячно выполнять обновления на всех компьютерах фирмы вручную. Заодно он проведет и некоторую профилактику компьютеров.
Второе решение может показаться парадоксальным. Если наладить частое и регулярное резервное копирование образа системы и всех пользовательских документов, у компьютеров возникает надежный «иммунитет» к любому «заражению». В принципе, это альтернатива использованию антивирусного ПО! Даже в самой критической ситуации, например, при заражении «блокировщиком-вымогателем» достаточно будет вернуться к последней работоспособной резервной копии. Проблемы «лечения» системы и исправления ее настроек при таком подходе отсутствуют. Что бы ни случилось, на восстановление уходит всего несколько минут.
Основной недостаток — большой расход дискового пространства. Однако емкость современных винчестеров позволяет хранить десятки и даже сотни инкрементных копий. При ежедневном резервном копировании будут доступны копии за последний месяц или два.
Резервное копирование ради полной защиты от «зловредов» лучше выполнять не встроенными средствами Windows, а сторонней программой, например Acronis TrueImage. Расписание позволяет автоматизировать создание резервных копий. Например, копия может создаваться каждый раз при запуске системы или перед выключением компьютера. Важный момент — наличие загрузочного компакт-диска с полной версией программы. При таком способе запуска не страшны ни повреждения загрузчика, ни удаление системных файлов.
Если сочетать оба подхода, мы получим воистину «неубиваемый» компьютер. Единственной проблемой останутся аппаратные поломки. Однако вспомним, что с помощью резервных копий очень легко перенести рабочую среду (документы и саму настроенную систему с приложениями) на другой аналогичный компьютер. Тем самым непрерывность работы будет обеспечена почти на 100%!