Restrykcje w dostępie do danych, czyli na co pozwolić użytkownikowi

Złośliwe oprogramowanie nie bierze się z powietrza.
Aby przejąć kontrolę nad komputerem użytkownika, przestępcy muszą najpierw dostarczyć swoje narzędzia – i zmusić system, żeby je uruchomił. To tak, jakbyś chciał wynieść telewizor z czyjegoś domu – najpierw musisz jakoś tam wejść. Tymi narzędziami są aplikacje, które – choć nie widać ich na liście „Zainstalowane programy” – potrafią całkiem sporo:

Backdoory zapewniają zdalny dostęp,
Keyloggery zapisują wszystko, co piszesz (tak, również Twoje hasło do Netflixa),
Exploity wykorzystują błędy w systemie,
a inne – po prostu robią to, czego sobie zażyczą ich twórcy.

Ale żeby w ogóle zacząć działać, muszą trafić do systemu. Dlatego pierwsza zasada bezpieczeństwa brzmi: nie wpuszczaj ich. Im mniej możliwości wprowadzenia plików do systemu, tym mniejsze ryzyko, że oprócz faktury od klienta pojawi się też niespodzianka od hakera.

Internet – królestwo pokus i podejrzanych linków

Jak już wspominaliśmy w poprzednim artykule: dostęp do Internetu powinien odbywać się wyłącznie przez wymuszony tunel VPN i przechodzić przez zestaw bramek bezpieczeństwa: geolokalizacja IP, inspekcja SSL, filtrowanie WWW i plików, sandboxing, ochrona DNS.

Firewall jest tu strażnikiem, który nie pyta „czy chcesz przejść?”, tylko mówi „nie przejdziesz!”.
(Ale spokojnie – o konfiguracji firewalla opowiemy innym razem).

Pendrive – mały, niepozorny, a potrafi narobić szkód

Kolejnym kanałem dostarczania złośliwych plików są pamięci przenośne. Ten uroczy, mały pendrive potrafi przynieść więcej dramatów niż niejeden serial kryminalny. W przypadku pracy zdalnej najlepiej całkowicie zablokować możliwość korzystania z urządzeń USB. A jeśli naprawdę trzeba – niech będą to służbowe, szyfrowane pendrive’y, dopuszczone przez organizację. Jeden klucz do danych – dosłownie.

Żadne inne urządzenie nie powinno być w stanie połączyć się z komputerem pracownika. Bo dziś na wielu laptopach do pracy zdalnej wciąż można podłączyć wszystko – od dysku z filmami po pendrive’a z „prezentem” od cyberprzestępcy.

E-mail – koń trojański w garniturze

Najczęściej jednak atak zaczyna się niewinnie: od maila. „Załączam umowę, proszę pilnie otworzyć.”
„Zobacz fakturę.” „Twoja paczka czeka.” Znasz to? Tak właśnie działa najpopularniejszy wektor ataku.

Wiadomości z prywatnych skrzynek, linki i załączniki z niewiadomego źródła – to prosta droga do infekcji. Dlatego jeśli nie ma takiej potrzeby biznesowej, zablokuj dostęp do prywatnych kont e-mail.
Jeżeli jednak firma dopuszcza taki dostęp, to koniecznie przez VPN i firewalla, z pełną inspekcją SSL, skanowaniem antywirusowym, filtrowaniem plików i sandboxingiem. Inaczej prędzej czy później ktoś kliknie w coś, czego nie powinien.

Jak się ochronić przed uruchomieniem Malware?

Najczęściej to użytkownik sam „zaprasza” zagrożenie do środka. Kliknięcie w hiperłącze, pobranie „pomocnego” pliku, instalacja aplikacji „do konwersji PDF”… Wtedy w tle zaczyna się dziać magia – czyli instalacja lub uruchomienie złośliwego kodu.

Jeśli użytkownik korzysta z konta z minimalnymi uprawnieniami, instalacja zwykle się nie powiedzie.
Ale… program może nadal działać w pamięci, aż do momentu wyłączenia komputera. A że wielu użytkowników komputera nie wyłącza (bo przecież szybciej się włącza po „uśpieniu”) – malware ma wtedy urlop all inclusive na wiele tygodni.

Pro tip: wymuś systemowo wyłączanie komputerów na koniec dnia. Nie tylko oszczędzisz prąd, ale też przerwiesz działanie niechcianych procesów.

Ogranicz uruchamianie aplikacji

Z pomocą przychodzą polityki grupowe (GPO). Warto rozważyć kilka prostych, ale skutecznych ustawień:

Run only specified Windows Applications – pozwól użytkownikowi uruchamiać tylko to, co potrzebne. Reszta – zablokowana.
Prevent access to the command prompt – wyłącz dostęp do wiersza poleceń (CMD), ale zostaw możliwość wykonywania firmowych skryptów logowania.
Wyłącz makra w MS Office, jeśli nie są potrzebne. Makra to często bilety wstępu dla wirusów.

Na koniec

Zasada jest prosta:
Im mniej użytkownik może, tym więcej może organizacja.
Mniej ryzyka, mniej strat, mniej stresu.
A jeśli w trakcie lektury pojawiły się pytania – nie wahaj się Odpowiemy na wszystko (nawet na to, jak elegancko wyłączyć komputer po pracy 😉).

Rafał

2025-10-16

Bez kategorii

Poprzedni wpisPodstawowa infrastruktura bezpieczeństwa

Podobne wpisy...

Złośliwe oprogramowanie nie bierze się z powietrza. Aby przejąć kontrolę nad komputerem użytkownika, przestępcy muszą najpierw dostarczyć swoje narzędzia – i zmusić system, żeby je uruchomił. To tak, jakbyś chciał wynieść telewizor z czyjegoś domu – najpierw musisz jakoś tam wejść. Tymi narzędziami są aplikacje, które – choć nie widać ich na liście „Zainstalowane programy”...

Podstawowa infrastruktura bezpieczeństwa

2025-09-03roboczy0

Co składa się na infrastrukturę bezpieczeństwa IT? Bezpieczeństwo IT to nie tylko firewall i antywirus, niby wszyscy to wiedzą a jednak w wielu organizacjach nie zawsze jest coś więcej poza tymi podstawowymi elementami. Bezpieczeństwo IT to cały ekosystem, który chroni dane, ludzi i procesy. Widzę, że wiele firm traktuje temat wybiórczo...

Sieć jako element bezpieczeństwa IT

2025-09-03roboczy0

Sieć jako element bezpieczeństwa ITObecnie sieć komputerowa to jeden z fundamentów działania niemal każdej firmy. To dzięki niej funkcjonuje poczta elektroniczna, systemy ERP i CRM, telefonia IP czy monitoring. Jej awaria oznacza przestój i realne straty finansowe. Jeszcze groźniejszym scenariuszem jest brak odpowiedniego zabezpieczenia wtedy sieć staje się łatwym celem...

Centralny firewall czyli jak bezpieczenie podłączyć oddziały

2025-09-03roboczy0

Centralny firewall - prosta i skuteczna ochrona oddziałów w oparciu o rozwiązania SophosWiele przedsiębiorstw działa w oparciu o model centrali, która zarządza – zazwyczaj mniejszymi – oddziałami. Przykładów jest wiele, np. firmy posiadające sieci aptek, małych sklepów stacjonarnych, niewielkich terenowych biur obsługi klienta – i tak dalej, i tak dalej....