מדי שנה בתחילת אפריל ובפרט בשנה זו וחודש זה, גוברת הדריכות וההיערכות לתקיפות סייבר של גורמי חוץ עויינים כנגד מרחב האינטרנט הישראלי.

גם השנה, קמפיין OPIsrael# ובפרט OPJeruslaem# משמשים לקידום תקיפות סייבר למטרות תודעה (CNI) כנגד יעדים שונים בישראל.

בשל כך תורגש בתקופה הקרובה עלייה בתקיפות למטרות תודעה והשפעה (CNI) במרחב האינטרנט הישראלי, כגון השחתות אתרים, תקיפות DDoS והפצת “מידע כוזב” (News Fake).

ישנה עליה בהתעניינות התוקפים בגישה לממשקי ניהול אתרים (CMS), גישה לנתוני הזדהות בדף הארגון, או הישענות על חולשות בדפי (Web (Injection SQL, חולשות בספריות חיצוניות חינמיות ועוד.

מי עומד מאחורי הפעילות?

הפעילות מזוהה עם ארגון Anonymous ובאופן עקבי משתתפים בה קבוצות תקיפה מאורגנות, אנרכיסטים ואקטיביסטים אחרים. מניסיון העבר, מדובר במתקפות גדולות וחריגות בעוצמתן והפעילות העוינת העיקרית מתרחשת סביב ה-7 באפריל, כאשר המתקפות מתחילות מספר ימים לפני תאריך זה ונמשכות גם כמה ימים אחריו.

מי עלול להיפגע?

מעריכים כי ארגונים מרכזיים ומשפיעים יהיו יעד להתקפות ההאקרים גם בהתקפה הקרובה, כפי שארע לא פעם בשנים קודמות.

מה עלול להיפגע?

ההתקפות יכולות להיות מגוונות- על אתר האינטרנט, המייל והרשת הארגוניים , שיחות זום וכו’.
בעבר, רוב מערכות הארגונים בישראל שיישמו מתודולוגיות אבטחת מידע יזומות והקשחות, עמדו בפני ההתקפות ולא נגרם כל נזק לטרמינלים, לאתרי האינטרנט או למערכות המחשוב. כל זאת ובשיתוף מטה הסייבר הלאומי נערכים הארגונים בישראל לאבטחת השרתים, מערכות המחשוב כמו גם אתרי האינטרנט ועוקבים בדריכות אחר ההתפתחויות.

חשוב לציין כי ברוב הארגונים מערכות אבטחת המידע כיום פועלות כל הזמן ומזהות באופן אוטומטי איומים כנגד מערכות המחשוב ואתרי האינטרנט. במידה ובהתקפה הקרובה יזוהה איום – יופעלו בארגון מערכי הגנה שונים על מנת למנוע נזקים.

על רקע זה, ובעקבות נסיונות התקפה בארגונים יתכן ויחסמו זמנית:

• גלישה לאתרים מכתובות IP מחו”ל
• גלישה באתרי אינטרנט מחו”ל
• קבלת מיילים מחו”ל.

בהתאם להתפתחות המתקפה וחומרתה יש לנקוט בפעולות חסימה נוספות. לאחר שחלפה המתקפה – ייפתחו כל החסימות.

איך ניתן להתגונן?

במקביל להעלאת הערנות יש לוודא כי כלל המערכות מוכנות להמלצות הבאות (ההמלצות מאת רשות הסייבר):

ברמת הסיסטם ואבטחת המידע

• ב-Firewall- חסימת כתובות  IPבעלות פוטניצאל סיכוני
• חסימת שירותים כגון TOR או Anonymizer המאפשרים גלישה אנונימית
• ברמת ה-VPN- בדיקה אם כלל משתמשי הארגון (כולל ספקים) משתמשים בשירותי VPN. אם לא- מומלץ לשקול לחסום (יש לכך השלכה תפעולית לארגון)
• על מנת להימנע מחשיפת ממשקי הניהול של השרתים, יש לבצע הגדרה של גישה מתוך הרשת הארגונית בלבד, ואם נדרשת גישה מהאינטרנט יש להגדיר גישה באמצעות VPN.
• יש לחייב מנהלי רשת להשתמש ב-MFA
• עדכונים שוטפים- יש לוודא עדכונים של כל השרתים, מערכי האחסון, הפיירוול, וכלל המערכות בדגש על מערכות הפעלה, ממשקי ניהול, יישומים, וספריות קוד פתוח.
• חסימה עולמית- יש לשקול ביצוע חסימת תעבורה ממדינות בעלות אופי סיכוני ע”י שימוש ב-Geo Location
• ניטור לוגים- הפעלת ניטור לוגים וזיהוי פעילות חריגה.
• הקשחת חוקי פיירוול- הגבלת גישה לפרוטוקולים לגיטימיים בלבד.
• מומלץ לבחון העברת תעבורה דרך ספקי תקשורת או חברות ייעודיות דוגמת Primeter81
• הגבלת הרצת קוד Powershell בשרתים
• הגבלת שימוש בהרשאות Local Admin

ברמת האתר

• הגנה על אתר האינטרנט- שימוש בפיירוול מסוג WAF עם הטמעת יכולת Bot Mitigation
• עדכון גרסאות אתרים- אתרים כמו Wordpress צריכים להיות מעודכנים באופן אוטומטי. כנ”ל לגבי תוספים.
• מומלץ לשקול גישה באמצעות MFA להתחברות לשירות הניהול של האתר
• חסימה עולמית- יש לשקול ביצוע חסימת תעבורה ממדינות בעלות אופי סיכוני ע”י שימוש ב-Geo Location
• ביצוע גיבויים סדירים לאתר- בנוסף לגיבוי בענן יש לוודא כי יש גיבוי Offline
• שדות הטפסים באתרים- נטרול האפשרות של הקלדת תווים שעלולים לשמש כתקיפה, לדוגמה נטרול של תווים כגון: {}()<>:”
• בדיקת אתרים- יש לבדוק את הקוד באתרים אם הוא מאובטח ואין בו פגיעויות.
• הגבלת גישה לניהול האתר לכתובות IP המוכרות לכם בלבד- מצמצם משמעותית את הסיכון
• הכנת דף אינטרנט חלופי אליו ניתן להפנות מבקרים בעת הצורך.
• העברת האתר לענן- ברוב המקרים נותן שקט נפשי ומאפשר גמישות (אנחנו משתמשים ב-UPRESS)

בנוסף, יש להדריך את העובדים להעלות גם כן את רמת הערנות- מפורט להלן. בתקופה זו יש לשים לב במיוחד לכל דבר דואר אלקטרוני ואתרי אינטרנט חשודים ולפנות ל-IT באופן מיידי במידת הצורך .

הנחיות אבטחת מידע כלליות לעובדים

• מערכת המייל הינה אחת מיעדי / אמצעי התקיפה המרכזיים.
• אין לפתוח מייל ממקור לא ידוע.
• אין לפתוח מסמכים מצורפים שנראים חשודים / שלא ציפיתם להם / מגורמים לא מוכרים.
• אין לפתוח לינקים לאתרים המגיעים בגוף המייל.
• אין לספק פרטים אישיים לגורמים לא מוכרים/חשודים. בכל מקרה בו אתם מתבקשים להזין את כתובת המייל והסיסמא שלכם צריכה להידלק לכם נורה אדומה ולדווח ל-IT.
• אין לעשות שימוש בכתובת הדואר הארגוני לרישום/התחברות לאתרי אינטרנט/שירותים שאינם לצרכי העבודה. במידה ונרשמתם באמצעות כתובת הדואר הארגוני לאתר/שירות מסוים לצרכי העבודה, חל איסור להשתמש באותה הסיסמה של מערכות המחשב בארגון.
• במקרים בהם אתם לא בטוחים במהימנות המייל נא להפנות ל-IT.

גלישה באינטרנט באתרים לא בטוחים

• יש להימנע מגלישה באתרי אינטרנט לא בטוחים ובאתרים המבקשים אישור מיוחד להפעלת קבצי Active X
• יש להימנע מכניסה לקישור המוביל לאתר לא מוכר.
• לא לאשר שמירת סיסמאות פרטיות באתרים שונים.
• להקפיד על שימוש בסיסמאות מורכבות והחלפה תקופתית של סיסמאות בחשבונות ארגוניים ופרטיים.

וכמובן, יש לדווח על חשד או התנהגות חריגה של טרמינל, מחשב או אתר ל-IT.

המלצות אבטחה מקיפות מאת רשות הסייבר

לעיון ברשימת המלצות האבטחה המקיפות מאת רשות הסייבר לחצו כאן

כולנו תקוה כי נעבור אתגר זה בשלום וללא נזקים.

תודה על שיתוף הפעולה!

מתחילים

בדוגמה שלפנינו הלכנו על התקנה של שרת חתימות חדש עם מערכת הפעלה Server 2022

דגם השרת:

אלו כלים צריך לזכור להביא?

• לפטופ טעון עד הסוף + מטען
• מסך עם יציאת VGA (או עמדה ניידת)
• מקלדת ועכבר חוטיים/אלחוטיים USB
• סט כלים ומברגים
• כבל USB to console- עבור התחברות דרך SSH במידה ונצטרך
• כבל רשת באורך 3 מטר לפחות

דגשים בהתקנה ראשונית של השרת

• הגדרות BIOS- לוודא RAID6 שמוגדרים על הדיסקים
• חיבור 2 כרטיסי הרשת אל 2 סוויצים נפרדים שונים (לבצע רישום של הפורטים + חוק בפיירוול)
• הגדרת כתובות סטטיות ל2 כרטיסי הרשת (לצרך תמונה של שרת עם 3 יציאות אתרנט)
• לוודא הגדרה של כתובת רשת סטטית עבור ה-IDRAC
• לחבר את הפורט של ה-IDRAC לסוויץ- חשוב מאוד!
• להגדיר סיסמה ל-IDRAC
• לוודא שמצליחים להתחבר ל-IDRAC מרחוק + הגדרה של הפורטים בפיירוול + רישום פורטים
• לבצע רישום של כתובת IP , שם המשתמש והסיסמה להתחברות לIDRAC
• לאחר התקנת השרת לבצע רישום של שם השרת ברשת + שם משתמש וסיסמה להתחברות לאדמין מקומי.

ברמת ההתקנה הפיזית

• לוודא שהמסילות מחוברות ויושבות יציב, מוברגות ומחוברות היטב
• לחבר כבל חשמל אחד מהשרת לריכוז של UPS והשני לחשמל ישירות

מה עוד חשוב לזכור?

• שיש ארונות עמוקים, ואם השרת לא תואם לעומק, במקרה הטוב הוא ישב על 4 ברגים מקדימה והשאר באוויר (אלא אם כן תשימו אותו על גבי שרת אחר).
• ששרתים בארונות תקשורת מחוברים לריכוז חשמל עם חיבורי חשמל זכר ונקבה, ולא עם כבל חשמל קומקום סטנדרטי.
• לדגם את חיבורי הרשת- בסופו של דבר זה משפיע על זרימת האוויר מבפנים החוצה והפוך.
• לשים Ptouch על השרת לזיהוי
• אופציונלי: לשים ptouch על כבל הרשת של הIDRAC בשני הכיוונים

בהצלחה!

למה זה קורה?

ישנן סיבות רבות לכך. זה יכול לנבוע מקבצי מערכות חסרים או פגומים, כולל בעיות בRegistry, כוננים קשיחים לא תואמים ללוח האם, קבצים תקולים באתחול של Windows, וירוס, או אפילו עדכון Windows פגום.

כעת נעבור לחלק האומנותי.

מתחילים

ראשית יש בצע לפי סדר הפעולות הבאות:

• כבה את המחשב
• נתק אותו מהחשמל
• כאשר כבל החשמל בחוץ- לחץ מספר פעמים על כפתור ההדלקה (לפריקת מתח)
• הסר את בטריית ה-CMOS המשמשת את ה-BIOS
• המתן דקה כשהבטריה בחוץ
• חבר את בטריית ה-CMOS חזרה
• חבר את כבל החשמל והדלק את המחשב

לא עבד? נמשיך לחלק הבא

תיקון דרך CMD

בחלונית הבאה נלחץ על Troubleshoot

כאן נקליק על Command Prompt

ביטול  Automatic Repair באתחול

לא הרבה מכירים את האפשרות הזו, אך היא עובדת לעיתים קרובות.

לאחר שהפעלנו את ה-CMD, נכניס את הפקודה הבאה:

bcdedit / set {current} recoveryenabled No

אם זה עדיין לא עובד, השתמש בפקודה הבאה:

bcdedit /set {default} recoveryenabled no

אם עדיין לא עובד נריץ את הפקודה הבאה:

bcdedit /set {current} disableelamdrivers yes

ריסטרט ונבדוק אם עובד.

הרצת פקודות CMD אחרות

אם הפקודות מעלה לא סייעו, נתחיל בהרצת מספר פקודות שעשויות להציל את המצב.

ניתן להתחיל עם הפקודה הבאה:

sfc /scannow

במידה ולא עבד נריץ את הפקודה (בהנחה ואות הכונן שלנו היא c):

chkdsk c: /r

אם הפקודה נכשלת או לא מתקנת שום דבר, נעבור לפקודה הבאה:

fixboot c:

פקודות נוספות שעשויות לסייע

הריצו את הפקודה:

bootrec / fixmbr

bootrec / fixboot

או

bootrec / rebuildbcd

תיקון דרך Safe Mode

היות ואין באפשרותנו להתחבר למערכת הפעלה במצב תקין ולא נוכל לבצע Boot במצב בטוח, יש להיכנס אל מערכת ההפעלה דרך Safe Mode עם Networking , לפתוח CMD כאדמין, ולהקליד את הפקודה הבאה:

DISM /Online /Cleanup-Image /RestoreHealth

אם גם זה לא עוזר, נסו להקליד בתוך ה-Safe Mode בחלונית CMD כאדמין, את כל הפקודות דלעיל.

עדיין לא עובד?

אם כל זה לא עזר, ייתכן ומדובר בבעייה חומרתית שמשפיעה על המערכת.

יש לשקול רכישת דיסק קשיח חדש, התקנת מערכת ההפעלה והתוכנות מחדש (מומלץ. זה מאפשר למחשב להתחיל מחדש באמת), והעברת החומר לתוכו (יש להסתייע במדריך הבא לטובת העניין).

בהצלחה!

מתחילים

על מנת להעלות את המערכת דרך Safe Mode עם Networking יש לבצע לפי סט הפעולות הבאות:

לאחר עליית מערכת Windows 10 יש להיכנס אל Run (מקש חלונות + האות R) להקליד msconfig ואנטר:

כאן נעבור ללשונית Boot

ונסמן את האפשרויות לכדלהלן, ונלחץ על OK:

לאחר מכן יש לבצע ריסטרט למחשב:

מערכת ההפעלה תעלה כעת מתוך Safe Mode:

החזרת האתחול לאחר הטיפול

בסיום השימוש ב-Safe Mode יש לנקוט באותן פעולות על מנת להחזיר את ה-Boot להפעלה רגילה (בכל זאת, לא נרצה שמערכת ההפעלה תמשיך לנצח לעלות דרך Safe Mode):

ניגש לחלונית Boot ונסיר את כל האפשרויות לכדלהלן ונלחץ על OK:

העלאת Safe Mode באמצעות פקודת CMD

לעיתים (בזמן שהמערכת מנוטרלת גישה או בלופ אינסופי של Automatic Repair) נרצה להעלות את המערכת שלנו דרך CMD

להעלאת Safe Mode עם Network נקליד את הפקודה הבאה:

bcdedit /set {default} safeboot network

להעלאה בצורה מינימלית נשתמש בבאה:

bcdedit /set {default} safeboot minimal

להעלאת Safe Mode עם חלונית CMD בלבד נקליד את אותה פקודה של minimal שביצענו מקודם, ולאחר מכן נקליד את הפקודה הבאה:

bcdedit /set {default} safebootalternateshell yes

צפיה בהגדרות העלאת המערכת דרך Safe Mode

אם נפתח חלונית CMD כאדמין ונקליד bcdedit נוכל לראות את מה שמוגדר כרגע על העלאת המערכת כ-Safe Mode:

C:\Windows\system32>bcdedit

Windows Boot Manager
--------------------
identifier              {bootmgr}
device                  partition=\Device\HarddiskVolume1
path                    \EFI\Microsoft\Boot\bootmgfw.efi
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
default                 {current}
resumeobject            {834d4214-cfa1-1234ee-83234d-efd423c3f32c}
displayorder            {current}
toolsdisplayorder       {memdiag}
timeout                 30

Windows Boot Loader
-------------------
identifier              {current}
device                  partition=C:
path                    \Windows\system32\winload.efi
description             Windows 10
locale                  en-US
inherit                 {bootloadersettings}
recoverysequence        {834d4214-cfa1-1234ee-83234d-efd423c3f32c}
displaymessageoverride  Recovery
recoveryenabled         Yes
isolatedcontext         Yes
allowedinmemorysettings 0x15000075
osdevice                partition=C:
systemroot              \Windows
resumeobject            {834d4214-cfa1-1234ee-83234d-efd423c3f32c}
nx                      OptIn
bootmenupolicy          Standard

נטרול Safe Mode באמצעות פקודה

להחזרת האתחול למצב הקודם, נשתמש בפקודה הבאה:

bcdedit /deletevalue {default} safeboot

בהצלחה!

לאחר שהגדרנו את כל ההגדרות הדרושות בסינולוגי, נרצה לגבות את השרתים שלנו.

הקדמה

במדריך זה נסקור את אפשרויות הגיבוי והשחזור של שרתי VMware vSphere (ניתן כמובן לגבות וונדורים נוספים)

מסך ניהול הגיבויים של Active Backup for Business

ראשית נכיר את המסך הכי חשוב ב-Synology

אזור ניהול הגיבויים של Active Backup for Business

כאן נוכל לנהל את הגיבויים של:

• מחשבים
• שרתים פיזיים
• שרתים וירטואליים
• שרתי קבצים (גם כ-SCSI)

במדריך זה נתעכב על גיבוי ושחזור שרתי ESXI:

הגדרת גיבוי שרת

לפני שנתחיל, צריך להבין את השיטה:

1. ראשית, יש להוסיף את ה-Hypervisor שלנו. לצורך הדוגמה ESXI
2. לאחר מכן יש ליצור את ה-Task בסינולוגי
3. לאחר השחזור יש לסמן את המשימה, וללחוץ על Migrate VM

הוספת Hypervisor

ניכנס אל Active Backup for Business

נלחץ על Manage Hypervisor

כאן בחלונית ניהול ה-Hypervisor נלחץ על Add

לאחר מכן נכניס את פרטי ה-Hypervisor שלנו, ונקליק Next:

ונלחץ על Done

ואז על Close

יצירת המשימה

כעת נקליק על Create Task

כעת ניתן שם למשימה, נפתח את עץ השרתים, נבחר את המכונה/נות, ונקליק על Next

בשלב הבא נבחר את ה-Shared Folder הרצויה לנו, אליה נרצה לשמור את הגיבוי, ונלחץ על Next

במסך הבא נוכל לראות את ההגדרות שמושפעות מהמיקום בו בחרנו (ה-Shared folder שלנו). נלחץ על Next

במסך הבא ניתן להגדיר הגדרות נוספות ברמת המשימה. נקליק על Next

בשלב הבא, נוכל לראות שהמערכת בודקת אם המכונה שלנו למעלה ומאפשרת גיבוי. נקליק על Next

כאן נגדיר את התזמון למשימה, ונלחץ על Next

במסך הבא נגדיר כמה גרסאות אחורה נרצה לשמור, או כמה ימים אחורה, ונלחץ על Next

בשלב זה נגדיר מי המשתמש שיורשה לבצע שחזורים, ונלחץ על Next

כאן נצפה בסיכום של כל המשימה שלנו, ולסיום נלחץ על Done

לאחר לחיצה נוספת של OK על השאלה “האם ברצונך להתחיל בגיבוי כעת” – הגיבוי יחל לרוץ, ונוכל לראות את אחוזי ההתקדמות:

שחזור גיבוי שרת

שחזור שרת הוא תהליך הרבה יותר פשוט.

במסך ה-Active Backup for Business , נסמן את (כמובן לאחר שבוצע לפחות גיבוי אחד) הגיבוי הרצוי לשחזור, ונקליק על Restore

במסך הבא, נבחר את הנקודה הרצויה לנו לשחזור, ונלחץ על Next

בשלב הבא נבחר ב-Restore to VMware vSphere ואז על Next

במסך הבא נבחר ב-Instant Restore ונלחץ על Next

כאן נסמן את Restore to the original location ונלחץ על Next

בשלב הבא נעבור על הסיכום, ונלחץ על Done

כעת השחזור יתחיל לרוץ. אם נעבור לחוצץ Restore Status נוכל לראות את מצב השחזור.

השלב הבא הוא להמתין עד לסיום השחזור, ואז ללחוץ על Migrate VM

זהו. ביצעתם את השחזור בהצלחה!

לאחר שעברנו והגדרנו את כל ההגדרות הדרושות בסינולוגי, נרצה לגבות כעת את התיבות אימייל והדרייב שלנו.

הקדמה

במדריך זה נסקור את אפשרויות הגיבוי והשחזור שסינולוג’י מציעה:

• גיבוי תיבות Google Workspace
• שחזור תיבות Google Workspace
• גיבוי קבצים מה-Drive של Google Workspace
• שחזור קבצים מה-Drive של Google Workspace

הנה כיצד תעשו זאת:

הכרת אזור המשימות

במסך הבית נקליק על Active Backup הצהוב – Active Backup for Google Workspace

במסך שנפתח נקליק על Tasks List

כאן נקליק על Create

גיבוי תיבות אימייל Google Workspace

על מנת לבצע גיבוי של תיבות האימייל יש לעקוב אחר סדר הפעולות הבאות :

• יש ליצור ולהוריד JSON ב-Google Workspace
• יש להגדיר Task גיבוי חדש בסינולוגי
• בשדה הראשון יש להכניס כתובת דומיין של ה-Google Workspace שלנו
• בשדה השני יש להכניס שם משתמש וסיסמה של דומיין אדמין ב-Google Workspace
• בשדה השלישי יש להעלות את קובץ ה-JSON שיצרנו בשלב הראשון והורדנו למחשב

ונבחר בקובץ ה-JSON:

לאחר שהעלאנו את הקובץ נלחץ על Next

במסך הבא, בשורה הראשונה- ניתן שם למשימה

בשורה השניה- נבחר את היעד G-Suite (תזכורת: זה אותו ה-LUN שיצרנו עבור ה-GSUITE), ונלחץ על ערוך על מנת לבחור את תיבות האימייל של המשתמשים:

במסך זה נבחר את תיבות האימייל של המשתמשים הרלוונטיים:

נלחץ על Next

תחת Backup Policy נקליק על Set Schedule

כאן נבחר מתי הגיבוי ירוץ:

לחיצה על Finish והמשימה תתחיל לרוץ בזמן שהוגדר לה.

בסיום נוכל לראות שנוצר גיבוי:

שחזור אימיילים מגיבוי של תיבת Google Workspace

ניגשים אל כתובת הסינולוגי שלנו, למשל:

לאחר מכן נלחץ על Main Menu למעלה בצד שמאל:

נקליד בחיפוש את המילה portal

ונבחר בפורטל של Active Backup for Google Workspace Portal

החלון שייפתח הוא למעשה פורטל שמאגד בתוכו אפשרויות שחזור של אימייל,דרייב, לוח שנה, ואנשי קשר

אנו נתעכב כעת על היכולות הללו, וכיצד הן נראות:

הכרת מבנה פורטל Google Workspace

פורטל Google Workspace הוא למעשה מקום בו ניתן לשחזר מגיבויים:

• אימיילים מתיבות Google Workspace
• קבצים מגוגל דרייב
• אירועים מלוח השנה
• אנשי קשר המקושרים לתיבה

כאשר נקליק כאמור על ה-Google Workspace Portal נגיע תחילה לעמוד שחזור מגיבוי הגוגל דרייב.

בעמוד זה ניתן לראות את קבצי הדרייב של כתובת המייל הפיקטיבית alvin@demo.synology.com

על מנת לשנות לכתובת אימייל אחרת נלחץ על ה-View Role ונבחר בכתובת הרצויה:

בחלונית הבאה יש לבחור את משתמש רצוי וללחוץ על OK:

אפשרויות שחזור נוספות

אם ניגש בצד ימין למעלה ונקליק על האייקון עם 4 הריבועים עליו, נוכל לראות אפשרויות נוספות, כמו שחזור אימייל. אנו נקליק על Mail

שחזור מיילים

נקבל מסך שנראה אותו דבר, אך עם שינויים מותאמים לשחזור מיילים מגיבויים שנעשו.

על מנת לשחזר אימייל בודד, יש לסמן את האימייל הרצוי, ללחוץ על Restore, ואז על האפשרות הראשונה:

תיפתח לנו חלונית Destination שנראית כך:

לצורך הדוגמה: כאשר נלחץ על OK, תיפתח חלונית בה נוכל לראות אם השחזור בוצע בהצלחה.

לאחר מכן, אם ניגש לתוך תיבת המשתמש, נוכל לראות שבתוך תיבת ה-Google Workspace של המשתמש (alvin@demo.synology.cmo) נוצרה תווית Label עם השם Restore_20240227_111113 , ובתוכה יופיע האימייל שנבחר לשחזור:

שחזור קבצים מהדרייב

כאמור לעיל נכנסים אל הפורטל של Active Backup for Google Workspace Portal

נכנסים בדרייב אל

יופיע המסך הבא:

כאן נבחר את התיקיות או הקבצים הרצויים ונלחץ על Restore:

כאן נלחץ על OK לסיום

בדומה לשחזור אימיילים- אם ניגש לתוך הדרייב של המשתמש, נוכל לראות כי נוצרה תיקיה חדשה עם השם Restore_20240227_114415 עם הקובץ News release.xls בתוכה:

כך מגבים ומשחזרים מידע מ/אל שירות Google Workspace

בהצלחה!

לאחר שהגדרנו את כל ההגדרות הדרושות בסינולוגי, נרצה לגבות את המחשבים שלנו.

כך זה מתבצע:

הקדמה

במדריך זה נסקור את אפשרויות הגיבוי והשחזור של עמדות קצה של מיקרוסופט (ניתן כמובן לגבות גם MAC)

מסך ניהול הגיבויים של Active Backup for Business

ראשית נכיר את המסך הכי חשוב ב-Synology

אזור ניהול הגיבויים של Active Backup for Business

כאן נוכל לנהל את הגיבויים של:

• מחשבים
• שרתים פיזיים
• שרתים וירטואליים
• שרתי קבצים (גם כ-SCSI)

הגדרת גיבוי על עמדה/לפטופ

לפני שנתחיל, צריך להבין את השיטה:

1. ראשית, יש לוסיף את העמדה/לפטופ בסינולוגי ע”י התקנת ה-Agent על העמדה של המשתמש
2. לאחר מכן יש לבצע את הגדרות הסינולוגי על ה-Agent בעמדה עצמה
3. רק לאחר מכן יש ליצור את ה-Task בסינולוגי

מתקינים את ה-Agent

כאמור בשלב ראשון נגש אל הטאב Windows ונקליק על Add Device

כאן נוריד את קובץ ה-msi המתאים למערכת ההפעלה שלנו (32bit/64bit):

כעת נוריד ונתקין את ה-Agent בעמדה או בלפטופ של העובד (ניתן לבצע גם דרך GPO וגם מרחוק).

הגדרות הסינולוגי ב-Agent

יש הגדרות נוספות כמובן שאותן נדרש לבצע על ה-Agent שמותקן על העמדה/לפטופ, על מנת שהתוכנה תדע לעבוד מול ה-NAS שלנו, ועל מנת שנוכל להמשיך לשלב הבא וליצור את ה-Task בהצלחה:

בהפעלה ראשונית של ה-Agent בעמדה, נתבקש לספק את המידע הבא:

• כתובת IP של הסינולוגי שלנו
• שם משתמש אדמין
• סיסמה

ונלחץ על Connect

אם מתקבלת ההודעה הבאה, לחצו על Proceed anyway:

איך ה-Synology Agent נראה בצד המשתמש?

על מנת להתקין את ה-Agent על עמדה, ניתן כאמור לבצע התקנה מרחוק (יפורט בהמשך) של התוכנה או לחילופין להוריד את התוכנה למחשב המשתמש ולהפעיל אותה.

לאחר התקנת התוכנה חוויית המשתמש נראית כך:

כאשר למשתמש תופיע בצד ההתראה הבאה:

הגדרת משימת גיבוי למחשב

נקליק על PC/MAC נוכל לראות את רשימת גיבויי ה-PC/MAC, ונקליק על Task List:

כעת נקליק על Create ואז על Windows task :

כאן נבחר את העמדה או הלפטופ אותם הכנסנו, ונלחץ על Next:

בשלב הבא נבחר את ההגדרות הרצויות ונקליק על Next

כעת נבחר את ה-Shared Folder המתאים (שימו לב שהפרדתם קודם את ה-LUN וה-Volume):

כאן נבחר הגדרות נוספות אותן נרצה להגדיר בגיבוי (כיווץ או הצפנה של הגיבוי) ונלחץ על Next:

כאן נבחר את המקום והזמן ונלחץ על Next:

במסך הבא נבחר כמה עותקים אחורה נרצה לשמור (או לפי ימים) ונלחץ על Next:

כאן נוודא את הפרטים וההגדרות שהכנסנו ונלחץ על Done

שחזור קובץ/תיקיה אל ה-PC

על מנת לבצע שחזור של קובץ או תיקיה, נקליק על Restore ואז על File/Folder

יוקפץ המסך הבא (שאגב ניתן להגיע אליו גם על ידי לחיצה על Active Backup for Business Portal):

על מנת לגשת לאזור גיבויי ה-PC , נלחץ למעלה על Task

יופיע המסך הבא:

במסך הבא ננווט אל התיקיה הרצויה ונבחר את הקובץ אותו אנו מעוניינים לשחזר, ונלחץ על Restore:

בחלונית שקפצה נבחר את העמדה אליה נרצה לשלוח את הקובץ:

כאשר בסיום השחזור נראה את הקובץ משוחזר על הדסקטופ של המשתמש:

מתחילים

לפני שמתקינים שרת פיזי מאפס, או יותר נכון- לפני שאפילו רוכשים אחד, יש לוודא את הפרטים הבאים:

התאמות לארון

1. יש לבחור שרת שמתאים לארון שלנו מבחינת עומק, רוחב ואורך. לא נעים בכלל למצוא שהשרת שלכם גדול מדי לארון. השתמשו במטר לטובת העניין.
2. לוודא שהמסילות מתאימות לארון, וכי הרכבנו אותם בצורה תקינה.
3. מעברי אוויר נקיים- הכבילה חייבת להיות מסודר בסדר מופתי. יש להשתמש באזיקונים להצמדת הכבילה, על מנת שהאוויר יזרום בתוך הארון- נדרשת עבודה של איש מקצוע מן השורה.
4. חשמל- יש לוודא שהארון שלנו מסוגל לתת חשמל לשרת החדש שנכנס
5. גיבוי UPS- יש לרכוש UPS שיתאים לצריכת חשמל של השרת שלנו
6. בדיקת הימצאות חלקים- פתחו את האריזה, וודאו שכל החומרה שהזמנתם- אכן הגיעה.
7. התקינו את החלקים בשרת- דיסקים, זיכרונות, ועבדו לפי המדריך שמגיע עם השרת.
8. הגדירו רישום של המחשב + הדביקו מדבקת PTouch על השרת על מנת שיקל לזיהוי.

התאמות שרת

1. יש לבצע בחירה נכונה של סוג שרת רצוי ושמתאים לארגון שלנו מבחינת הצורך והשימושיות- לפעמים בוחרים שרת לא בהתאם לצורך או מפני שמכרו לנו חלום.
2. לעיתים זה יכול להוביל לאחר זמן להשבתה של השירותים באירגון עקב בחירה לא נכונה של שרת.
3. הזמנת שרת עם 2 כרטיסי רשת + ו-2 ספקי כוח על מנת שתהיה שרידות (וכמובן להגדיר אותם לשרידות).
4. בחירה של מערכת הפעלה נכונה. תשתמשו במה שהכי נכון עבורכם-יש גרסת Standard או Datacenter, או בכלל גרסת Core
5. חשוב מאוד: בצעו עדכון ל-Firmware של השרת.
6. דרייברים מתאימים- בעידן החדש של ה-NVME ושיטת הVMD הרבה דברים יכולים להשתבש עד להתקנה חלקה. תנו עדיפות לחלקים אמינים.
7. הגדרת RAID- תנו עדיפות ל-RAID6. זה עולה טיפה יותר כסף, אבל נותן יותר שקט ואיכות חיים בהמשך.
8. הדליקו את השרת, כנסו אל ה-BIOS, והגדירו את כל ההגדרות הנחוצות לכם.

התקנה פיזית של השרת בארון שרתים

תוכלו להיעזר במדריך הבא על מנת לקבל דגשים להתקנה פיזית של השרת בארון

התקנת Server 2022 Standard

לאחר שחיברנו את השרת ל-UPS שלנו (דרך שימוש בכבל קומקום זכר ונקבה), וחיברנו את כבל הרשת, נכניס את ה-USB שלנו עליו הגדרנו את מערכת ההפעלה.

בעלייה נבחר להעלות את מערכת ההפעלה מה-USB ונלחץ אנטר

לאחר המתנה נגיע לחלונית הבאה, בה נסמן את השפה והמקלדת הרצויה, ונלחץ Next

כאן נלחץ על Install now

כאן נמתין בסבלנות

כאן נבחר ב-Windows Server 2022 Standard (Desktop Experience) ונלחץ על Next

כאן נסמן את הסימון ונלחץ על Next

כאן נבחר ב-Custom

נבחר את הדיסק שלנו, ונלחץ על Next

כאן ההתקנה תתחיל לרוץ

ולאחר פרק זמן לא רב

נגיע לשלב בו המערכת תבצע אוטומטית ריסטרט לשרת

כאן לאחר זמן המתנה קצר

נגיע לחלון שיבקש מאיתנו להגדיר סיסמה דיפולטיבית לשרת. יש לבחור סיסמה קשיחה.

כאן נלחץ Ctrl+Alt+Delete

ונשים את הסיסמה שהכנסנו מקודם

לאחר המתנה קצרה נגיע לדשבורד הבית

ולאחר מכן תופיע בפנינו חלונית ה-Server Manager

סיימתם את התקנת Windows Serve 2022 בהצלחה!

אבטחת מידע -דגשים

• על העמדה להיות מנותקת לחלוטין מרשת החשמל. חשמל יחובר רק לצורך העבודה בלבד.
• העמדה חייבת להיות Custom Made ולא עמדה עם Brand כמו Dell או Lenovo

• בתוך העמדה תורכב מגירה עם דיסק HDD נשלף (דיסקים פיזיים מסתובבים ולא Flash) של 2TB

• יש לבחור לוח עם יציאות טוריות עבור מקלדת ועכבר, ולקנות מקלדת ועכבר עם חיבורי PS2 תואמים.

• לאחר התקנת התוכנות (מערכת הפעלה+אופיס+תוכנת ההלבנה) יש לנתק את הדיסק הנשלף, ולהכניסו לכספת שעומדת בתקן.
• את מארז המחשב יש לשים בחדר בו יש נעילה עם כרטיס כניסה בעל הרשאות. עדיפות לחדר בו יש נעילה + מצלמה פעילה 24/7 שתפקח על המארז.

דגשים

1. ההתקנה והעדכון של תוכנות במחשב יבוצעו אך ורק במשרדי החברה.
2. המחשב לא יחובר לעולם לרשת האינטרנט או רשת פנימית כלשהי. ניתן להיעזר בחוסמי פורט RJ45 ייעודיים.
3. אין לחבר מדיה חיצונית בעלת חיבור USB (או כל כונן חיצוני אחר).
4. אין להתקין תוכנות ממאגרי קבצים קיימים – שרתי תוכנות, אימג’ים (ISO), התקנים ניידים פרטיים וכד’.
5. כלל התוכנות יהיו מקוריות בלבד ויותקנו באמצעות:

• דיסק CD מקורי וחדש (לא בוצע שימוש במחשב קודם) בלבד.
• תוכנה צרובה על גבי CD, שנצרבה במחשב לא מזוהה (לא במחשבי החברה!) ועברה הלבנה.

תוכנות להתקנה

• מערכת הפעלה 10 Microsoft Windows (או גרסה מעודכנת יותר)- דיסק מקורי בלבד!
• אופיס 2013 (או גרסה מעודכנת יותר)- דיסק מקורי בלבד!
• הפעלת התוכנות (אקטיבציה) תתבצע טלפונית (Offline) מול מרכז התמיכה של מייקרוסופט בטלפון 1-800-350-444
• אין להתקין עדכוני Windows Update לרבות עדכוני אבטחה או Service Packs מעבר למגיע בדיסק המקורי. אם יש צורך בעדכונים, יש לצרוב אותם על גבי CD, ולהעבירם בהליך הלבנה.

בקרת משתמשים

1. יש לעשות שימוש בחשבונות משתמשים אישיים בלבד, ולא גנריים כגון User, Admin וכדומה.
2. המשתמש יהיה בעל הרשאות מוגבלות, ללא הרשאות ניהוליות (התקנת תוכנות, שינוי מדיניות וכו’)
3. יש להקים חשבון מנהל בעל הרשאות חזקות לטובת טיפול ותחזוקה של המחשב:

הגדרות חשבון מנהל (Admin)

1. כאמור יש להגדיר שם חשבון שונה מהשם הגנרי Admin, Administrator, Root וכו’).
2. סיסמה צריכה להיות בת 10 תווים, מורכבת מתווים רגילים (A-Z), ספרות (0-9) ותווים מיוחדים (%5).
3. תוקף הסיסמה: עד 90 ימים.
4. מניעת אפשרות חזרה על 10 הסיסמאות האחרונות.

הגדרות חשבון יוזר (User)

1. יש להגדיר שם חשבון משתמש שונה מהשם הגנרי User, Username, user1 וכו’
2. סיסמה תהיה בת 8 תווים לפחות, מורכבת מתווים רגילים (Aa-ZZ), ספרות (0-9) ותווים מיוחדים (%5).
3. תוקף סיסמא: עד 120 ימים.
4. מניעת אפשרות חזרה על 10 הסיסמאות האחרונות.

פרמטרים נוספים שחשוב להגדיר

1. נעילת חשבון לאחר 5 ניסיונות עוקבים כושלים.
2. משך זמן הנעילה יוגדר למקסימום המחייב שחרור ע”י Admin (בדרך כלל 15 דקות)
3. נעילת מחשב באמצעות שומר מסך מוגן סיסמא לאחר 5 דקות.
4. יש להגדיר כיבוי המחשב לאחר זמן אי פעילות משתמש (לצורך העניין 5 דקות).
5. יש לשמור לוגים על ניסיונות גישה כושלים, עבודה בשעות חריגות ונעילת משתמשים לתקופה של חצי שנה לפחות.
6. ביטול האפשרות להעלאת המערכת ב Safe-Mode.

הגדרות BIOS

1. הגדרת העלאת המערכת (BOOT) מהדיסק הקשיח בלבד (ללא DOK, CD או LAN)
2. ביטול האפשרות להעלאת המערכת דרך כרטיס הרשת PXE
3. ביטול האפשרות של Wake-On-LAN
4. קביעת סיסמה לכניסה ושינוי פרטים ב-BIOS לפי הגדרות סיסמת Admin
5. קביעת סיסמה להפעלת המחשב לפני העלאת מערכת ההפעלה.

לאחר מכן יש להתקין את תוכנת ההלבנה מדיסק CD צרוב.

פתרון בעיות

במידה ובטעות עשיתם את ההגדרות כולל הסיסמאות, וננעלתם מצד ה-BIOS (לא זוכרים סיסמה), תוכלו לבצע איפוס לבטריה של ה-BIOS לפי ההוראות הבאות:

1. מכבם את המחשב
2. מנתקים את החשמל מהמחשב, וממתינים דקה לפריקת המתח (בדרך כלל נורת חיווי שעל הלוח נכבית)
3. עם מברג פס דק מנתקים את הבטריה מהלוח, וממתינים כ-20 שניות
4. מחזירים את הבטריה חזרה
5. סוגרים את המארז, ומדליקים את המחשב
6. התוצאה: כל הגדרות ה-BIOS התאפסו

בהצלחה

איך נכנסים מקומית ל-Local Group Policy Editor ?

קליק ימני בעכבר על כפתור חלונות ולחיצה על Run

כאן נכתוב gpedit.msc ונלחץ אנטר

יוקפץ החלון הבא:

שינוי תוקף סיסמה

שימו לב:

על מנת להגדיר שינוי הזמן המיועד בו הסיסמה של המשתמש תפוג, נכנסים אל:

מקליקים פעמיים על Maximum password age

בחלונית שקפצה מכניסים את המספר הרצוי (לצורך הדוגמה 90) ואז לוחצים על OK

לחילופין ניתן להגדיר זאת בפקודת cmd פשוטה (להריץ כאדמין):

net accounts /maxpwage:90

מניעת חזרה על 10 סיסמאות אחרונות

על מנת למנוע מהמשתמש מלחזור על הקלדת 10 סיסאות אחרונות ניגש אל Password Policy:

נקליק פעמיים על Enforce password history

נבחר לצורך העניין ב-10 ונלחץ על OK

לחילופין ניתן לבצע זאת על ידי שימוש בפקודה הבאה:

net accounts /uniquepw:10

צפייה במצב הפוליסי

טריק קטן לצפייה במצב הפוליסי המוגדרת כרגע:

כותבים בחלונית cmd את net accounts ואנטר

התוצאה תהיה:

C:\Users\David>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    10
Lockout duration (minutes):                           10
Lockout observation window (minutes):                 10
Computer role:                                        WORKSTATION
The command completed successfully.

הגדרת מספר תווים לשימוש בסיסמה

על מנת להגדיר מספר תווים מינימלי לשימוש המשתמש בסיסמה, נגש אל Password Policy:

נקליק פעמיים על Minimum password length

נסמן לצורך העניין 8 ונלחץ על OK

לחילופין ניתן לבצע זאת על ידי הפקודה הבאה:

net accounts /minpwlen:8

הגדרת מורכבות סיסמה

הגדרת סיסמה כך שתהיה מורכבת מתווים רגילים (Aa-ZZ), ספרות (0-9) ותווים מיוחדים ($&%), מתבצעת דרך כניסה אל Password Policy:

נקליק פעמיים על Password must meet complexity requirements

נסמן על Enabled ונלחץ עם OK

נעילת חשבון לאחר מספר ניסיונות כושלים

על מנת להגדיר פוליסי של נעילת חשבון לאחר מספר ניסיונות עוקבים כושלים, נגש אל:

כאן נקליק פעמיים על Account lockout threshold

בחלונית שקפצה נקליד 5 ונלחץ על OK

לחילופין ניתן להשתמש בפקודה הבאה:

net accounts /lockoutthreshold:5

הגדרת משך זמן הנעילה

על מנת להגדיר נעילת מחשב באמצעות שומר מסך מוגן סיסמא לאחר 5 דקות, נגש אל Account Lockout Policy ,ונקליק פעמיים על Account lockout duration:

כאן נשים זמן של 15 דקות ונלחץ על OK

לחילופין ניתן להשתמש בפקודה הבאה:

net accounts /lockoutduration:15

רשימת כלל הפקודות ב-CMD

כאן תוכלו למצוא את כל הפקודות המוזכרות לעיל בעניין Password Policy

net accounts /maxpwage:90

net accounts /uniquepw:10

net accounts /minpwlen:8

net accounts /lockoutthreshold:5

net accounts /lockoutduration:15

תוספת אבטחת מידע ADMX

הגדרות אבטחת מידע נוספות ששווה ליישם, נמצאות כאן

יש להוריד את הקובץ, להתקין כאדמין, ולבצע ריסטרט למחשב/שרת.

אנו לא נתעכב כעת על כל ההגדרות, אבל טעימה קטנה בהחלט ניתן:

המשך יבוא