Повышенный уровень

Урок 161 из 257
Автор: Анна Кокина
Сложность урока:
3 уровень - средняя сложность. Необходимо внимание и немного подумать.
3 из 5
Просмотров: 71039
Дата изменения: 30.09.2024
Недоступно в лицензиях:
Текущую редакцию Вашего 1С-Битрикс можно просмотреть на странице Обновление платформы (Marketplace > Обновление платформы).
Старт

Повышенный уровень

Чтобы защита веб-проекта осуществлялась на повышенном уровне безопасности, сначала необходимо настроить защиту на стандартном и высоком уровне, а затем настроить параметры повышенного уровня:

Повышенный уровень безопасности

* для быстрого перехода к описанию настройки нужного Вам параметра кликните по одной из ссылок ниже:

Внимание: если хотя бы один параметр повышенного уровня безопасности принимает несоответствующее значение, то защита сайта будет осуществляться на том уровне, который настроен полностью, но при этом будут учтены настройки параметров всех уровней.

1 Двухэтапная авторизация

Двухэтапная авторизация позволяет дополнить стандартную систему авторизации и позволяет значительно усилить систему безопасности сайта.

При каждой авторизации пользователь должен дополнительно, помимо логина и пароля ввести секретный код со специального устройства или мобильного приложения, который каждый раз имеет новое значение. Такой подход исключает возможность несанкционированного доступа, в случае, например, кражи основного пароля.

Подробнее про механизм двухэтапной авторизации можно посмотреть в соответствующей главе Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности продуктов «1С-Битрикс».

При каждой авторизации пользователь получает новый секретный код, что исключает возможность его получения злоумышленниками. При включении системы OTP в продукте «1C-Битрикс» можно авторизоваться только с использованием дополнительного одноразового пароля.
Подробнее...
.

2 Контроль целостности

Форма, расположенная на странице Контроль целостности (Настройки > Проактивная защита > Контроль целостности), служит для выполнения проверки целостность ядра, системных областей, публичной части продукта.

Для защиты веб-проекта на повышенном уровне безопасности необходимо регулярно (примерно раз в неделю) выполнять проверку целостности системы. Кроме того, проверку целостности следует выполнять перед установкой обновлений системы, а после установки обновлений необходимо собрать новую информацию по файлам.

Примечание: некоторые обновления модуля могут потребовать переподписания скрипта контроля.


Первый запуск проверки целостности

Сбор информации по файлам

Проверка целостности системы

3 , 4 , 5 , 6 Веб-антивирус

Веб-антивирус - система противодействия заражениям сайтов. Веб-антивирус выявляет в html-коде потенциально опасные участки и "вырезает" подозрительные объекты из кода сайта, тем самым препятствуя проникновению вирусов на компьютер пользователя.

Внимание! веб-антивирус не является заменой обычного антивируса.

Включение или отключение веб-антивируса выполняется на странице Веб-антивирус (Настройки > Проактивная защита > Веб-антивирус) с помощью кнопки Включить веб-антивирус (или Выключить веб-антивирус).

По умолчанию веб-антивирус всегда включен. Отключая его, Вы снижаете контроль за безопасностью своего сайта. Несмотря на ограничения доступа из Всемирной сети, корпоративный проект можно инфицировать.

С целью уменьшения нагрузки на сервер веб-антивирус не проводит автоматически проверку с заданной периодичностью, а проверяет код непосредственно в момент его отдачи браузеру. Вирус будет обнаружен именно в этот момент, а уведомления об обнаруженном вирусе администратор сайта будет получать в интервале, заданном в настройках веб-антивируса. Прежде всего настройте периодичность оповещения и параметры реакции антивируса на обнаруженный подозрительный код.

Перейдите на страницу Настройки > Проактивная защита > Веб-антивирус, на вкладку Параметры. Откроется форма настройки параметров реагирования на угрозы.

В поле Интервал оповещения (минуты) можно изменить периодичность уведомления администратора при обнаружении модулем вируса. Значение можно оставить по умолчанию.

Вне зависимости от выбранного режима работы (только Оповестить или Вырезать) пользователь не получает сообщения. Но в первом случае система выдает посетителю сайта вместе с кодом запрошенной страницы код подозрительного объекта (и компьютер сотрудника тоже может заразиться вирусом). Во втором случае подозрительный код вырезается из отдаваемой пользователю страницы. В любом случае администратор получает уведомление (на почту и в Журнал вторжений).

Примечание: Строго говоря, вирус не присутствует на сайте. На сайте есть ссылка на связку скриптов и вирус, которыми заражаются посетители проекта. Заражение может реализоваться двумя способами:
  • Первый: на каком-либо сайте выставляется ссылка на вирус. Задача вируса — заразить посетителей. Если этот сайт посещает некоторый человек с устаревшим браузером, то связка скриптов (эксплоитов) "пробивает" браузер и заражает ПК посетителя. Компьютер посетителя пополняет армию ботов в какой-нибудь зомби-сети.
  • Второй: на этот сайт заходит не просто посетитель, а администратор другого сайта и тоже заражается. В этом случае вирус не просто пополняет зараженным компьютером армию ботов, а находит на компьютере сохраненные пароли от серверов, обслуживаемых этим администратором. Пароли передаются автору вируса, который заходит на сайты с помощью похищенных паролей и добавляет на них ссылки на свой вирус.

С полем Действия при обнаружении вируса нужно быть внимательными. Проблема заключается в том, что любая система может допускать ложные срабатывания. Количество ложных срабатываний веб-антивируса минимально, но, к сожалению, они все же встречаются. Иными словами, если вы выберете параметр Вырезать из кода сайта, то в случае ошибки можете нанести ущерб самим себе.


Как отличить ошибку от ложного срабатывания?

При обнаружении вируса на сайте

Документация по теме:


Нам жаль это слышать… Но мы постараемся быть лучше!

Мы благодарны Вам за помощь в улучшении документации.

Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас
Курсы разработаны в компании «1С-Битрикс»