В силу нашумевшего бестселлера http://pikabu.ru/story/kak_nas_vzlomali_ili_unosite_byekapyi... и моего обещания запилить пост #comment_85817561 выполняю его:

Здесь будет рассматриваться наиболее простенький и более ли менее надёжный способ защиты от вируса-шифровальщика, да и вообще резервного копирования важных данных пользователя, которым является например маленькое ИП с всего одним ноутбуком. Я бы даже сказал, что это несколько ключевых моментов и концепт, вы можете использовать любое другое программное обеспечение и т.д. т.п.(естественно никакой рекламы) , если у вас возникли какие-нибудь вопросы касательно изложенного ниже, например как создать пользователя или добавить ему права администратора, вы можете смело набрать свой вопрос в любой поисковой системе аля гугл/яндекс. Также подразумевается что вы умеете делать такие банальные вещи как создать папку, щёлкнуть правой кнопкой по папке ну и т.д.

Заранее отвечу на разного рода кАмменты касательно «да всё это можно сделать по-другому /всё это не так уж и секьюрно/и т.д. т .п.» - таргет сего поста не рассуждать о дата-центрах и кластерах виртуальных хостов на bladecenter, таргет объяснить рядовому пользователю как избежать неприятностей с потерей всего и всЯ.

Бонусом в конце будет куллстори о мамкином ОЙтишнеге, с которым как то я столкнулся, в период начала своей карьеры.

Далее повествование будет идти в качестве пошагового руководства:

1. Создаём в операционной системе нового пользователя, в моём примере это Уася, задаём ему хороший пароль и добавляем его в группу Администраторы

2. Это ключевой момент, описание которого я буду делать на примере Windows 8, но в любых других редакциях Windows всё почти также, по крайней мере, можно двигаться по наитию:

Создаём на диске С(или любой другой диск, не суть дела) папку с любым именем, например «архив» > щёлкаем по ней правой кнопкой > свойства > Безопасность > Дополнительно.

Далее отключаем наследования во вкладке «разрешения» > полностью удаляем всех пользователей > добавляем нашего созданного пользователя > проставлением галочек даём ему полный доступ на папку и всё что в ней есть и будет

Аналогично даём проставлением галочек доступ на «чтение и выполнение», «список содержимого папки» и «Чтение», пользователю «Все» или группе «Администраторы» .

Также особым параноикам можно поменять во вкладке дополнительно «владельца» на нашего созданного пользователя. Должно получиться что-то вроде этого.

Поясню суть происходящего: сейчас мы создали папку и назначили ей права таким образом чтобы писать что-либо в неё или менять файлы в ней мог только наш служебный пользователь, а просто прочитать/открыть файлы в ней мог кто угодно. Это и есть один из моментов нашей защиты от шифровальщика, поскольку шифрует он все доступные для записи файлы пользователю, из под которого запущен.

3. Скачиваем и устанавливаем программку effector saver – выбираем бесплатную редакцию, функционала нам будет достаточно.

Запускаем effector saver > заходим «Сервис – параметры программы»

Выбираем пункт «запустить агент как сервис» > прописываем созданного нами пользователя, как на картинке, точка и слэш обязательны, только вместо Уася, ваша созданная учётная запись и пароль от неё > щёлкаем «инсталлировать NT-сервис».

Также ставим галочку «добавить монитор …» для всех или для одного пользователя, суть сего действия: на панели задач рядом с часиками появится значок, в котором будет отображаться активность нашей программульки или её можно будет вызвать > жмакаем «сохранить».

4. Заходим в «Задачи» > «добавить задачу» > ставим галку «выполнять задачу» > набираем наименование, например «архивирование 1с» > ставим галочку «Включить в архив файлы» > переходим на вкладку «файлы» > нажав многоточие, выбираем путь к нашим базам 1С, которые нужно архивировать, в моём случае, это папка D:\1c_base

Переходим на вкладку «настройка архивов» > выбираем созданную нами папку с правильными правами, в моём примере C:\архив, также здесь можно настроить дублирование, например, в аналогично настроенную папку. > выставляем количество одновременно хранимых копий, подразумевается, что более старые копии будут перезаписываться, например 5 копий.

Переходим во вкладку расписание и настраиваем его как удобно, например раз в день, в 21.00.

Опционально, если есть желание ваши резервные копии можно зашифровать, на вкладке «параметры упаковки», задав пароль своим архивам.

Сохраняем всё это дело и видим в списке созданную нами задачу.

Важное замечание, если вы действительно собрались таким образом архивировать вашу файловую базу данных 1с, то нужно помнить что с базой никто не должен работать на момент её архивирования, иначе вы получите нерабочий архив базы, поэтому нужно настроить расписание, например на ночь, когда гарантированно с ней никто не работает.

Теперь стоит протестировать нашу работу, в списке задач, выбираем нашу, щёлкаем правой кнопкой и жмём «выполнить сейчас», дожидаемся окончания > идём смотреть в нашу папку Архив, видим заархивированный файл > попытаемся его переименовать > увидим сообщение об ошибке, ровно таким же образом вирус-шифровальщик не сможет ничего поделать с нашими архивами. Для полноты теста, распакуйте архив в другую папку и убедитесь в наличии ваших файлов.

5. В нашем примере, у несчастного ИП, есть всего один ноутбук и так как помимо вируса-шифровальщика нас может одолеть такая печаль, как сломавшийся жёсткий диск, можно и нужно озаботиться дублированием архивов на флешку/в облако/синхронизацией куда-либо. Тут уж дело фломастеров и вкуса, я например в таких случаях рекомендую важные архивы(конечно жутко запароленные) дублировать на гугл-драйв/яндекс-диск/майл-диск(кстати печальный сервис у майла, был опыт что они без предупреждения просто удалили всё моё файло – больше не пользуюсь)/ а лучше любой другой облачный сервис. Как это делается – можно почитать в интернетиках, в двух словах: скачиваете клиента, добавляете в папки синхронизации нашу папку с архивами, profit. В случае наступления «страхового случая» с поломкой жёсткого диска, на новом компьютере забираете все данные из облака.

Только клиента для облака придётся выбирать исходя из объёма ваших бекапов, например если ваши бекапы занимают места на 20 гигабайт, то естественно дублировать в облако гугл, имеющего ограничение в 10-15 гигабайт не получится.

Подобным же образом вы можете добавить ещё несколько задач для архивирования рабочего стола, моих документов или любой другой папки – ограничивает вас лишь место на вашем жёстком диске и фантазия. Конечно при наличии нескольких компьютеров и сети, можно бекапить данные друг на друга. Но это уже совсем другая история.

Резюме: таким образом вы имеете, если делать всё согласно примера, 5-ти дневную резервную копию важных данных, не подверженную вирусу-шифровальщику, а в случае дублирования их в облако или на флешку, ещё и защищённую от краха жёсткого диска.

Прочитав сию статью, вы я думаю уже имеете некое представление о разграничении доступа к папкам на уровне пользователей.

Да, почти забыл, дабы избежать вредного воздействия разного рода шифровальщиков в корне, рекомендую поставить бесплатный(в том числе и для коммерческой деятельности) продукт Comodo Internet Security.., да - он задаёт вопросы, да – сложноват, зато вы будете под хорошей защитой. В качестве эксперимента я на виртуальной машине запускал шифровальщик, который успешно был автоматически запущен песочницей комодо виртуально, соответственно совершенно не навредив.

з.ы. Бонусная стори:

В далёкие времена открыл мой друг свою франшизу 1с и подтянул меня как админа.., как то к нам в сервис поступила заявка, мол помогите настроить сеть. Ну ок, едем вдвоём с другом в контору, на входе нас встречает мамин-парень-погромист

и вещает: «ребята, короче не могу настроить роутинг на DeviceName, давайте так, вы щас молча заходите и делаете, а я с вами расплачиваюсь, если кто чего спросит, скажите что мы вместе работаем», мы в непонятках: «ну ок».

Заходим и по ходу разговоров-пьесы понимаем, что парниша то пришёл по авито когда-то и держит контору на обслуживании.., но сам является клиническим идиотом. Тут нежданчиком залетает директор конторы, и начинает орать на ОЙтишнега что-то типа: «сам дебила кусок и друзей поди таких же пригласил». В общем, не выдержали мы такой несправедливости и послали мамкиного хакера подальше, всё объяснили директору и ещё долго держали эту контору за нормальную деньгу.

Прошу прощения, но чукча больше читатель, чем писатель.., надеюсь разложил всё доступно. Если будет интересно распишу в следующий раз как избежать взлома rdp-сервака, упомянутого в посте-бестселлере, хотя чего там писать-то, всего то нужно перенаправление портов и соблюдение пользователями уровня сложности паролей.

Всем удач и успехов.