יצירת עמדת הלבנה

אז איך יוצרים עמדת הלבנה מנותקת מאינטרנט, וחוסמים גישה לכל האפשרויות גישה הפיזיות (כגון USB)? המדריך הבא בשבילכם

אבטחת מידע -דגשים

• על העמדה להיות מנותקת לחלוטין מרשת החשמל. חשמל יחובר רק לצורך העבודה בלבד.
• העמדה חייבת להיות Custom Made ולא עמדה עם Brand כמו Dell או Lenovo

• בתוך העמדה תורכב מגירה עם דיסק HDD נשלף (דיסקים פיזיים מסתובבים ולא Flash) של 2TB

• יש לבחור לוח עם יציאות טוריות עבור מקלדת ועכבר, ולקנות מקלדת ועכבר עם חיבורי PS2 תואמים.

• לאחר התקנת התוכנות (מערכת הפעלה+אופיס+תוכנת ההלבנה) יש לנתק את הדיסק הנשלף, ולהכניסו לכספת שעומדת בתקן.
• את מארז המחשב יש לשים בחדר בו יש נעילה עם כרטיס כניסה בעל הרשאות. עדיפות לחדר בו יש נעילה + מצלמה פעילה 24/7 שתפקח על המארז.

דגשים

1. ההתקנה והעדכון של תוכנות במחשב יבוצעו אך ורק במשרדי החברה.
2. המחשב לא יחובר לעולם לרשת האינטרנט או רשת פנימית כלשהי. ניתן להיעזר בחוסמי פורט RJ45 ייעודיים.
3. אין לחבר מדיה חיצונית בעלת חיבור USB (או כל כונן חיצוני אחר).
4. אין להתקין תוכנות ממאגרי קבצים קיימים – שרתי תוכנות, אימג’ים (ISO), התקנים ניידים פרטיים וכד’.
5. כלל התוכנות יהיו מקוריות בלבד ויותקנו באמצעות:

• דיסק CD מקורי וחדש (לא בוצע שימוש במחשב קודם) בלבד.
• תוכנה צרובה על גבי CD, שנצרבה במחשב לא מזוהה (לא במחשבי החברה!) ועברה הלבנה.

תוכנות להתקנה

• מערכת הפעלה 10 Microsoft Windows (או גרסה מעודכנת יותר)- דיסק מקורי בלבד!
• אופיס 2013 (או גרסה מעודכנת יותר)- דיסק מקורי בלבד!
• הפעלת התוכנות (אקטיבציה) תתבצע טלפונית (Offline) מול מרכז התמיכה של מייקרוסופט בטלפון 1-800-350-444
• אין להתקין עדכוני Windows Update לרבות עדכוני אבטחה או Service Packs מעבר למגיע בדיסק המקורי. אם יש צורך בעדכונים, יש לצרוב אותם על גבי CD, ולהעבירם בהליך הלבנה.

בקרת משתמשים

1. יש לעשות שימוש בחשבונות משתמשים אישיים בלבד, ולא גנריים כגון User, Admin וכדומה.
2. המשתמש יהיה בעל הרשאות מוגבלות, ללא הרשאות ניהוליות (התקנת תוכנות, שינוי מדיניות וכו’)
3. יש להקים חשבון מנהל בעל הרשאות חזקות לטובת טיפול ותחזוקה של המחשב:

הגדרות חשבון מנהל (Admin)

1. כאמור יש להגדיר שם חשבון שונה מהשם הגנרי Admin, Administrator, Root וכו’).
2. סיסמה צריכה להיות בת 10 תווים, מורכבת מתווים רגילים (A-Z), ספרות (0-9) ותווים מיוחדים (%5).
3. תוקף הסיסמה: עד 90 ימים.
4. מניעת אפשרות חזרה על 10 הסיסמאות האחרונות.

הגדרות חשבון יוזר (User)

1. יש להגדיר שם חשבון משתמש שונה מהשם הגנרי User, Username, user1 וכו’
2. סיסמה תהיה בת 8 תווים לפחות, מורכבת מתווים רגילים (Aa-ZZ), ספרות (0-9) ותווים מיוחדים (%5).
3. תוקף סיסמא: עד 120 ימים.
4. מניעת אפשרות חזרה על 10 הסיסמאות האחרונות.

פרמטרים נוספים שחשוב להגדיר

1. נעילת חשבון לאחר 5 ניסיונות עוקבים כושלים.
2. משך זמן הנעילה יוגדר למקסימום המחייב שחרור ע”י Admin (בדרך כלל 15 דקות)
3. נעילת מחשב באמצעות שומר מסך מוגן סיסמא לאחר 5 דקות.
4. יש להגדיר כיבוי המחשב לאחר זמן אי פעילות משתמש (לצורך העניין 5 דקות).
5. יש לשמור לוגים על ניסיונות גישה כושלים, עבודה בשעות חריגות ונעילת משתמשים לתקופה של חצי שנה לפחות.
6. ביטול האפשרות להעלאת המערכת ב Safe-Mode.

הגדרות BIOS

1. הגדרת העלאת המערכת (BOOT) מהדיסק הקשיח בלבד (ללא DOK, CD או LAN)
2. ביטול האפשרות להעלאת המערכת דרך כרטיס הרשת PXE
3. ביטול האפשרות של Wake-On-LAN
4. קביעת סיסמה לכניסה ושינוי פרטים ב-BIOS לפי הגדרות סיסמת Admin
5. קביעת סיסמה להפעלת המחשב לפני העלאת מערכת ההפעלה.

לאחר מכן יש להתקין את תוכנת ההלבנה מדיסק CD צרוב.

פתרון בעיות

במידה ובטעות עשיתם את ההגדרות כולל הסיסמאות, וננעלתם מצד ה-BIOS (לא זוכרים סיסמה), תוכלו לבצע איפוס לבטריה של ה-BIOS לפי ההוראות הבאות:

1. מכבם את המחשב
2. מנתקים את החשמל מהמחשב, וממתינים דקה לפריקת המתח (בדרך כלל נורת חיווי שעל הלוח נכבית)
3. עם מברג פס דק מנתקים את הבטריה מהלוח, וממתינים כ-20 שניות
4. מחזירים את הבטריה חזרה
5. סוגרים את המארז, ומדליקים את המחשב
6. התוצאה: כל הגדרות ה-BIOS התאפסו

בהצלחה