По результатам анализа инцидентов информационной безопасности за 2024-2025 годы ФСТЭК России выявила распространенные ошибки настройки системного и прикладного ПО, которые повышают риск успешных целых атак, и выпустила рекомендации по их устранению.

Мы ориентируемся на эти требования при развитии и эксплуатации «Ассистента». Кроме того, применяем дополнительные меры защиты для инфраструктурных компонентов, которые работают вместе с системой — веб-служб, баз данных и прокси.

В документе приведён большой перечень настроек. Мы выделили некоторые из них — те, на которые рекомендуем обратить внимание в первую очередь и сверить с конфигурацией вашей инфраструктуры.

Для ОС Windows:

• отключение автоматического входа в ОС;
• отключение учетной записи «Гость» в локальной группе «Администраторы».

Для ОС Linux:

• запрет авторизации по паролю через SSH.

Для всех ОС:

• усложнение паролей;
• запрет хранения учетных данных в открытом виде;
• блокировка неиспользуемых портов;
• задание прав доступа ко всем файлам и директориям;
• отключение неиспользуемых служб;
• удаление неиспользуемых учетных записей, а также учетных записей с избыточными правами доступа.

Для PostgreSQL:

• установка обязательной аутентификации для доступа к базе данных;
• настроить шифрование трафика.

Для nginx:

• задание прав доступа к ресурсам;
• ограничение частоты запросов;
• использование HTTP-заголовков безопасности.

Рекомендуем сверить настройки — даже простые изменения заметно снижают риски компрометации.