2025 ж. 16 там.·6 мин

Жабдықтаушыдан алынған ОС образын аудит: телеметрия мен қызметтерді тексеру

Жабдықтаушыдан алынған ОС образын партияны қабылдағанға дейін тексеріп, қызметтерді, тапсырмаларды, автозапуск пен желілік шақыруларды анықтап, артық компоненттерді болдырмау.

Жабдықтаушыдан алынған ОС образын аудит: телеметрия мен қызметтерді тексеру

Неліктен жабдықтаушыдан келген ОС образын қабылдамас бұрын тексеру керек

Жабдықтаушыдан келген ОС образ — партия бойынша орнатылатын дайын «алтын» Windows конфигурациясы. Практикада ол жиі күткендей болмайды: ішінде «қолайлылық үшін» утилиталар, драйвер-пакеттер, мониторинг агенттері, сынақ мерзімі бар бағдарламалар немесе поставщиктің барлығына қоятын типтік баптаулар болуы мүмкін.

Мәселе мынада: артық компоненттер көбіне фондық режимде жұмыс істейді. Олар ресурстарды пайдаланады, желі трафигін жасайды және жаңа шабуыл нүктелерін қосады. Сондықтан образды қабылдағанға дейін аудиттен өткізу жақсы: сол кезде сізде рычагтар бар — жеткізілімді тоқтату, түзетуді талап ету немесе ауытқуларды тіркеу.

Ең ықпалдысы — жасырын іске қосу нүктелері: автозапуск, қызметтер және жоспарланған тапсырмалар. Пайдаланушы бұлтарды көрмейді, бірақ олар жаңартқыштар, телеметрия, қашықтан басқару немесе интернетке келісімсіз шығатын «көмекшілерді» іске қосуы мүмкін.

Көп кездесетін тәуекелдер:

  • белгісіз мақсаттағы артық қызметтер мен драйверлер;
  • келісілмеген басқару және мониторинг агенттері;
  • жоспарланған тапсырмалар, жүйелі түрде фондық әрекеттер тудыратындар;
  • телеметрия және сыртқа жасалатын фондық байланыстар;
  • жаңартудан немесе доменге қосылудан кейін «қайтып» пайда болатын автозапуск.

Мысал: сіз 200 жұмыс орнын қабылдап, желіге қосасыз да тұрақты шығыс байланыстарын көресіз. Бұл қабылдаудан кейін анықталса — түзету дауға, қызмет көрсетудің тоқтауына және образды қайта құруға әкелуі мүмкін.

Жабдықтаушымен алдын ала қандай шарттар мен жазбалар қажет

Тексерулерге кірісерден бұрын не қабылдап жатқанңызды келісіп алыңыз. Сонда аудит келісілген техникалық сипаттамамен сәйкестікті тексеру болады, ал тосынсыйларды іздеу емес.

ОС-тың негізгі параметрлерін тіркеңіз: нұсқа және редакция (мысалы, Windows 10/11 Enterprise), тіл, разрядылық, лицензиялау схемасы және образ құрастырылған дата. Күзгі күні маңызды — ол жаңартуларға, құрамдас бөліктерге және жоспарланған тапсырмалар жиынына әсер етеді.

Алдын ала орнатылған бағдарламалар мен драйверлер тізімін, нұсқаларын сұраңыз. "Драйверлер орнатылған" деген жалпылама жазба жарамайды: хаттамаға атаулар, нұсқалар және қайдан алынғаны (өндіруші пакеті, корпоративтік репозиторий, OEM-набір) көрсетілуі керек. Бұл артық утилиталарды жылдам ажыратуға көмектеседі.

Қауіпсіздік баптауларын бөлек келісіңіз: саясаттар (жергілікті және домендік), диск шифрлауы, антивирус/EDR және шегерімдер ережелері. Егер мониторинг немесе қашықтан басқару агенттері болса — олардың тағайындалуы, қосылу нүктелері және жауаптылары туралы ақпарат сұраңыз.

Осыны бір құжатқа жинап алсаңыз ыңғайлы:

  • ОС құрамдасы (нұсқа, редакция, тіл, разрядылық, құрау датасы);
  • орнатылған ПО мен драйверлер тізімі (нұсқаларымен);
  • саясаттар мен қорғаныс құралдары (шифрлауды қоса алғанда);
  • жаңартуларға, активацияға және бастапқы баптауға жауаптылық;
  • рұқсат етілген желілік байланыстар (жаңартулар, активация, уақыт синхрондау) және уақытша терезелер.

Мысал: мектепке немесе мемлекеттік органға ПК партиясын қабылдап жатқанда сіз бастапқы 2 сағат ішінде активация мен жаңартудан басқа шығыс байланыстарға тыйым саласыз деп жазып қоюыңыз керек. Олай істелмесе, пайда болған телеметрия немесе көмекші агент дау тудырады, ал емес — бұзушылық болады.

Аудит стендін дайындау және бастапқы күйді тіркеу

Бүкіл партианы орнатудың қажеті жоқ. 1–2 құрылғы таңдаңыз: біреуі — типтік конфигурация, екіншісі — «айырмашылығы бар» (басқа диск, байланыс модулі, BIOS нұсқасы). Осылайша әртүрлілікті оңай табуға болады.

Стенд оқшауланған ортада болғаны дұрыс: интернетке шығуы шектелген немесе бақылаудағы тест желісі, сонда барлық трафик сіздің қадағалауыңызда болады. Жеке домендік тіркелгілерді пайдаланбаңыз — әкімшіні тек тексерулер үшін қалдырыңыз.

Кез келген әрекетке дейін бастапқы күйді тіркеңіз. Жүйенің суретін немесе диск резервтік көшірмесін алу тиімді — сол арқылы қайтаруға және тексеруді дәл қайталауға болады.

Есепке алдын ала келесі «отпечаткаларды» қосыңыз:

  • алынған образдың хэштері (егер образ бөлек берілсе) және маңызды файлдардың контрольдік сомалары;
  • ОС құрауының нөмірі, редакциясы, тілі, орнату күні;
  • орнатылған жаңартулар тізімі;
  • BIOS/UEFI және драйвер-пак нұсқалары.

Алдын ала есеп форматын және қабылдау критерийлерін келісіңіз. Стоп-фактор болуы мүмкін: белгісіз қашықтан басқару агенті, сипатталмаған телеметрия немесе порт ашатын қызметтер.

Жылдам қарап шығу: процестер, автозагрузка және орнатылған компоненттер

Бірінші сағаттағы тексеру әдетте көп нәрсені көрсетеді. Мақсат — автоматты түрде не іске қосылатынын, не жұмыс істеп жатқанын және не орнатылғанын көру.

Автозапусты тексеруден бастаңыз. Windows-та бұл — тапсырмалар менеджеріндегі «Автозагрузка» вкладкасы ғана емес, сонымен қатар Startup қалталары және Run/RunOnce жазбалары (пайдаланушы және жүйе үшін). Көбінесе «көмекшілер» Updater, Helper, Service Host сияқты бейтарап атаулармен жасырынады, бірақ егер олар белгісіз папкадан іске қосылса, күдік тудыруы мүмкін.

Одан кейін ағымдағы процестерді қараңыз. Үш күмәнді белгі: белгісіз жариялаушы, оғаш жол (мысалы, AppData немесе Temp-тен іске қосу) және түсініксіз себепсіз тұрақты белсенділік. Атаулар мен жолдарды спецификациямен салыстырыңыз.

Қысқа тексеру тәртібі:

  • автозапуск (Startup, Run, RunOnce);
  • процестер (жариялаушы, файл жолы, CPU мен желі жүктемесі);
  • орнатылған қосымшалар мен компоненттер (жабдықтаушы ұсынған тізіммен сәйкестендіру);
  • браузерлер (қосымшалар, фондық «көмекшілер», автозапуск);
  • құжаттау (скриншоттар мен тізімдердің экспорттары).

Мысал: сатып алу бөліміне арналған ПК партиясын қабылдағанда барлық жерде бірдей «Helper» автозапускада болса, жолы пайдаланушы профильіне апарады, жариялаушы көрсетілмеген және ПО тізімінде жоқ — тоқтап, барлық артефактілерді тіркеп, жабдықтаушыдан жазбаша түсініктеме сұраңыз.

Барлық табылғандарды дереу тіркеңіз: файл атауы, жолы, күні, нұсқасы, хэш (егер қолдансаңыз) және қай ПК-де табылғаны. Бұл даулар мен қайталау тексерулеріне кететін уақытты үнемдейді.

Қызметтер мен драйверлер: не тексеру керек және не күдік тудырады

Қызметтер мен драйверлер жүйеде ұзақ уақыт қалады және беймәлім түрде жұмыс істей береді. Тізімді көру ғана емес, не автоматты түрде іске қосылатынын, қай есептік жазбадан және қайдан басталатынын түсіну маңызды.

Қызметтер бойынша негізгі мәліметтер жинаңыз: атауы, күйі, іске қосу түрі және есептік жазба (LocalSystem, NetworkService немесе жеке пайдаланушы). Көп жүйелік қызметтер қалыпты, бірақ құжаттамасы жоқ, түсініксіз атаулы элементтер және Temp, ProgramData немесе пайдаланушы профильдерінен іске қосылатындар күдік тудырады.

Жиі кездесетін қызыл ту белгілері:

  • қызмет автоматты түрде іске қосылады және LocalSystem-тан жұмыс істейді, бірақ оның мақсаты түсініксіз;
  • қызмет файлы цифрлық қолтаңбасы жоқ немесе қолтаңба күтуге сәйкес емес;
  • орындалатын файлдың жолы стандартты емес (Windows немесе Program Files емес);
  • қызмет іске қосылғаннан кейін дереу желі байланыстарын жасайды;
  • жанында жоспарлаушы тапсырмалары немесе автозапуск жазбалары пайда болады.

Драйверлар мен сүзгілерге де назар аударыңыз. Арнайы назар — желілік (NDIS, WFP), дискілік және файлдық минифильтрлерге: олар трафик пен файл операцияларын ұстап қалуы мүмкін. Керек емес ядро драйвері пайда болса, оның шыққан жерін дәлелдеу қажет.

Windows-та тез тіркеу (протокол үшін минимум):

sc query type= service state= all
driverquery /v
pnputil /enum-drivers

Қашықтан басқару агенттері бар-жоғын бөлек тексеріңіз. Олар қажет болса — кім басқаратынын, қалай өшірілетіні және қосылымдардың қалай тіркелетіні туралы келісіңіз. Жауап жоқ болса — қабылдауды ішкі түсініктеме шыққанға дейін тоқтатқан дұрыс.

Жоспарланған тапсырмалар мен саясаттар: жасырын іске қосу нүктелері

Рабочие места для госсектора
Оборудование местного производства подходит для закупок с приоритетом местного содержания.
Уточнить условия

Жоспарланған тапсырмалар мен саясаттар көбінесе пайдаланушыға көрінбейтін іске қосуларды жасырады. Қабылдауда жүйеге кіргенде, уақыт бойынша, тыныштықта немесе желіге қосылғанда не басталатынын тексеріңіз.

Планировщикті ашып, кітапхананы және Microsoft мен үшінші тарап папкаларын қарап шығыңыз. Тек атын ғана емес, триггерлерді, әрекеттерді және іске қосу есептік жазбасын қараңыз. SYSTEM ретінде немесе өскен құқықтармен іске қосылатын тапсырмаларға ерекше назар аударыңыз.

Күдікті белгілер:

  • әрекет PowerShell, cmd, wscript, mshta немесе белгісіз exe-ні іске қосады;
  • жол Temp, AppData, Downloads немесе пайдаланушы профиліне сілтейді;
  • аргументтерде жүктеу, желіден орындау, base64 немесе жасырын режим бар;
  • триггер кіргенде, тыныштықта, құлыптан шығару немесе желіге қосылу кезінде қыдырылады;
  • тапсырма жасырын, сипаттамасы жоқ немесе соңғы кезде пайда болған.

Тапсырмалар тізімін файлға шығару (протоколға қосуға ыңғайлы):

schtasks /query /fo LIST /v > tasks.txt

Содан кейін саясаттарды тексеріңіз. Домены болмаса да жергілікті саясаттар телеметрияны қосуы, жаңартулар ережелерін белгілеуі, антивирустың шегерімдерін қосуы немесе қосымшаларды іске қосуға рұқсат беруі мүмкін. Қолданылған саясаттар туралы есеп шығарып, келісілгенімен салыстырыңыз:

gpresult /r > gpresult.txt

Қауіпсіздік шегерімдері мен қолданба бақылау ережелерін де салыстырыңыз. Белгісіз жариялаушыларға, AppData немесе уақытша папкаларға жол ашатын кез келген рұқсат жабдықтаушыдан түсініктеме талап етеді.

Телеметрия мен желілік байланыстар: қажетсіз трафикті қалай табу керек

Мақсат — жүйені алғаш қосқаннан кейін қай мекендермен байланыс жасалатынын және қандай процестердің қатысатынын анықтау. "Таза" эксперименттен бастаңыз: ПК-ны барлық трафик көрінетін тест желісіне қосыңыз.

Алғашқы 10–20 минут ішінде жасалатын сыртқа сұраныстар мен домендердің тізімін жинаңыз. Сол уақытта белсенді қосылыстарды (мысалы, Resource Monitor мен netstat арқылы) және DNS-сервердегі DNS жазбаларын бақылаңыз.

Әдетте уақыт, лицензия тексеруі, жаңартулар және сертификаттардың тіркелімін сұрау қалыпты. Күдікті — түсініксіз домендерге тұрақты қосылымдар, 1–5 минут сайын қысқа қосылыстар және интернетке шығуы қажет емес процестерден шыққан трафик.

Телеметрия жиі жасырылатын үш орын:

  • DNS және прокси баптаулары (мұнда мәжбүрленген прокси немесе бөтен DNS жоқтығын тексеріңіз);
  • түптік сертификаттар қоймасы (қосылған «түбір» сертификаттар жоқтығын тексеріңіз);
  • брандмауэр ережелері және шегерімдер ("барлық программаларға" рұқсат жоқтығын тексеріңіз).

Протоколға: домен немесе IP, процесс, уақыт, жиілік, көлем тіркелсін. Мысал: жүйеге кіргеннен кейін белгісіз қызметтен шығатын тұрақты трафик анықталды — бұл активация мен жаңартуларға қатысы жоқ. Мұндай жағдайда түсініктеме және қабылдауға дейін өшіруге болатын баптама талап етіледі.

"Артық" агенттер және қашықтан басқару: байқамай қалмау үшін

Ең жағымсыз табылыс — тіркелмеу кезінде де жұмыс істейді беретін жасырын қашықтан басқару агенті. Іздеңіз — тек айқын бағдарламаларды ғана емес, қызмет, драйвер немесе тапсырма ретінде старт алатындарды да.

RMM-агенттер, инвентаризация, қашықтан көмекші және артық VPN-клиенттер бар-жоғын тексеріңіз. Олар жиі Support, Monitor, Update Service сияқты бейтарап атаулармен маскировкаланады және жеке қызметтері мен автоқұрастырулары болады.

Терең тексеруді талап ететін белгілер:

  • сипаттамасында "қашықтан қолдау" көрсетілген қызмет, бірақ иесі мен келісімі жоқ;
  • жаңа жергілікті әкімші немесе "техникалық" тіркелгі пайда болуы;
  • токендер, кілттер, сертификаттар немесе алдын ала бапталған қосылым профильдері;
  • келісімсіз RDP қосылған немесе VNC тәрізді құралдар орнатылған;
  • жүктеу кезінде бірден жасалатын белгісіз шығыс қосылыстар.

Кімнің нақты қол жеткізе алатынын тексеріңіз: жергілікті пайдаланушылар мен топтар, қашықтан кіру саясаттары, қызмет рұқсаттары және RDP баптаулары. Егер образда SSH немесе серверлік компоненттер болса — бұл бөлек негіздемені талап етеді.

Сондай-ақ үшінші тарап агенттерінің жаңарту тапсырмаларына қараңыз: олар SYSTEM атынан жоспарланып, желіден модульдер тартып алуы мүмкін. Қайда қосылатындары мен қалай жаңартылатынын тіркеңіз.

Практикалық ереже: барлық агенттерді үш топқа бөліңіз — "өшіру" (жұмысқа әсер етпейді), "жою" (мақсаты жоқ және иесі белгісіз), "келісу" (қызмет үшін қажет, бірақ нақты иесі, құқықтары және регламенті болуы керек).

Образды аудиттеуде жиі жіберілетін қателіктер және оларды қалай болдырмау

Техническая поддержка 24/7
Получите 24/7 техническую поддержку и сервис по всей стране.
Подключить поддержку

Ең жиі қате — образды жұмыс желісінде тексеру. Сол кезде Windows жаңартулары, драйверлер мен офис пакеттерінің әрекеттерін күмәнді трафикпен шатастырасыз. Аудит оқшауланған ортада жүргізілсін: бөлек стенд, интернетке бақылаулы шығу немесе оның болмауы және алдын ала анықталған ережелер.

Екінші қате — тек "Программы и компоненты" тізіміне қарап қою. Артық нәрсе жиі тереңде болады: қызметтерде, драйверлерде, жоспарланған тапсырмаларда, браузер кеңейтімдерінде және автозапуста. Тек бағдарламалар тізіміне қарап, қызмет ретінде старт алатын агентті немесе күнделікті қосылатын тапсырманы өткізіп жіберуге болады.

Тағы бір қауіп — тапқан компонентті дереу жою. Сәйнеми шарттарды білмей өшіру жүйені тұрақсыздандыруы мүмкін: басып шығару жұмыс істемей қалуы, VPN бұзылуы немесе кіріс қатесі пайда болуы ықтимал. Қауіпсіз жол:

  • алдымен күйді тіркеу (нұсқалар, баптаулар суреті);
  • компонентті өшіру (жою емес) және қайта жүктеу;
  • негізгі сценарийлерді тексеру (кіру, желі, домен, басып шығару);
  • содан кейін ғана жоюды немесе образды қайта құруды келісу.

Жабдықтаушымен даулар көбінесе артефакттардың нашар тіркелуінен ұзарады: дәл нұсқалар, қызмет атаулары, файл жолдары, тапсырма параметрлері, уақыт және желілік адрес деректері қажет. Бұлсыз "осы образта болды" деп дәлелдеу қиын.

Сондай-ақ тек бір ПК-ны тексеріп қоймаңыз. Тіпті бірдей образ болғанда әртүрлі модельдер, SSD партиялары немесе драйвер жиынтықтары әртүрлі мінез көрсетеді. Таңдау бірнеше құрылғыдан болсын.

Қорытындылау: протокол, тәуекел деңгейлері және қабылдау шешімі

Протокол — жабдықтаушыға мәселені қайта жасауға және образды түзетуге мүмкіндік беретін, ал сізге қабылдау немесе бас тартуды негіздеуге арналған құжат.

Әр табылыс үшін бір формат тиімді.

Шаблон жазбасына мысал:

  • Идентификатор және қысқаша атау: мысалы, "TelemetryService-X".
  • Орны: файл жолы, қызмет/драйвер/тапсырма атауы, регистр бұтағы.
  • Іске қосу нүктесі: автозапуск, қызмет, жоспарланған тапсырма, саясат, драйвер.
  • Бақылау: не істейді (процесс, аргументтер, желілік обращения, жиілік).
  • Дәлелдер: тізім экспорттары, журнал үзінділері, скриншоттар, pcap (егер трафик түсірсеңіз).

Одан кейін тәуекел деңгейін белгілейтін болыңыз. Ыңғайлы үш деңгей: "қабылдауға болады" (негіздемесі бар), "келісуді талап етеді" (мүмкін заңды, бірақ иесі мен мақсаты керек), "салмақты" (жасырын іске қосу, белгісіз қашықтан кіру, күтпеген сыртқы байланыстар).

Содан кейін түзетулер талабын айтыңыз: не өшіру керек, не баптау керек, не қалдыруға болады және не үшін. Жеткізушіге жауапты және мерзімді тіркеңіз.

Решение о приемке:

Қабылдау мына шарттармен байланысты болуы тиіс:

  • салмақты мәселелер жоқ;
  • барлық "келісуді талап етеді" дегендер жазбаша түрде шешілген немесе жойылған;
  • сол сценарий бойынша қайталап тексеру жасалып, нәтижелер сәйкес келуі керек.

Мысал: мектепке ПК партиясын қабылдағанда бір жасырын жаңартқышты іске қосатын тапсырма және екі белгісіз домен анықталды — бұл түсініктеме берілмейінше критикалық. Протоколға журналдар мен pcap қоса отырып, жаңа образ талап етіп, қабылдауды актілерге қол қоймас бұрын қайталап тексере аласыз.

Мысал жоспар: партияны қабылдау және образды 1–2 күн тексеру

Серверы для вашей инфраструктуры
Подберем и поставим стойковые серверы GSE S200 под задачи домена и сервисов.
Запросить КП

Тапсырыс: 200 ПК. Мақсат — образда артық қызметтер, автозапуск, агенттер және желілік белсенділік жоқ екеніне көз жеткізу.

Жылдам таңдау 5–10 құрылғы жеткілікті. Қораптардан әртүрлі даталар мен сериялық нөмірлерді таңдаңыз, мүмкін әртүрлі модельдер мен конфигурацияларды қосыңыз. Егер бірнеше жеткізуші немесе образ нұсқалары болса — әр нұсқадан үлгі алыңыз.

1 күндік жоспар (егер образ бір және өзгерістер типтік болса):

  • 1–2 ПК желісіз қалдырыңыз: бастапқы күйді тіркеңіз (процестер, қызметтер, автозапуск, тапсырмалар), ОС нұсқасы мен компоненттер тізімін сақтаңыз.
  • 2–3 ПК тест сегментіне қосыңыз: жүйеге кіргеннен кейін 10–20 минут ішінде қай домендер/адрестер шақырылатынын тексеріңіз.
  • Бір ПК-да 2–3 қайта жүктеу жасаңыз: кейбір артықтар екінші іске қосуда немесе жаңартудан кейін ғана көрінеді.

Көбінесе табылулар қайталанады: үшінші тарап жаңартқыштары, өндірушінің алдын ала орнатқан көмектері, қашықтан қолдау агенттері, телеметриялық қызметтер және жоспарланған тапсырмалар. Кейде драйвер утилиталары қажет болады (мысалы, сенсорлық экран немесе қуат басқару үшін), бірақ олар қосымша компоненттер тартады.

Жабдықтаушымен сөйлескенде фактіге сүйеніңіз: "мында қызмет/тапсырма/процесс бар, мұндай кезде іске қосылады, мұндай желілік сұраныс бар, және бұл бізге қажет емес". Көрсетілген компонентті жоюды немесе жазбаша негіздемесін, сондай-ақ артық функцияны өшіру параметрін талап етіңіз.

Түзетулерден кейін таңдау жасаған 1–2 құрылғыда қайталап тексеріңіз және финалдық күйді тіркеңіз: рұқсат етілген қызметтер/тапсырмалар тізімі, образның контрольдік мәндері (файл хэштері немесе ПО тізімінің снимгі) және құрау датасы.

Қабылдауға қол қою алдында қысқа чек-лист

Финалдық қол қою алдында дәлел жинау маңызды. Бұл кейінгі дауларды тез шешеді.

Протоколға келесілерді енгізіңіз:

  • талапқа сәйкестік (ОС редакциясы мен нұсқасы, құрау нөмірі, активация статусы, жаңартулар, тіл және уақыт белдеуі, ТЗ-дан алынатын негізгі параметрлер);
  • "іске қосу нүктелері" тізімі (процестер, автозапуск, қызметтер, драйверлер, жоспарлағыш тапсырмалары) — барлық белгісіздерге белгі қойыңыз;
  • алғашқы 30–60 минуттағы желілік мінез-құлық (домены/адрестер мен порттар, қандай процестер қосылым бастайды, негізсіз жүйелі «шақырулар" бар ма);
  • пайдаланушылар мен қашықтан қолжетімділік (артық жергілікті әкімшілер, келісілмеген RDP, сақталған парольдер, үшінші тарап қашықтан басқару құралдары);
  • тәуекелдің қорытынды бағасы (қабылданатын, жойылатын, стоп-фактор).

Финалдық шешімді үш нұсқада көрсету ыңғайлы: қабылдау, шарттармен қабылдау (жабдықтаушы нақты компоненттерді жояды және образды қайта құрайды), қабылдамау. Мемлекеттік, білім және медицина салалары үшін қайталанып тексерілетін талапты жазып қою пайдалы: келесі образ дәл осындай нәтижелерді беруі тиіс.

Келесі қадамдар: эталон образын бекіту және жеткізілім бақылауы

Бір реттік тексеруді стандартқа айналдыру керек. Әйтпесе келесі партияда қайтадан «ерекше» образ пайда болады.

Прост ретінде бастаңыз: эталон образына жауапты тұлғаны тағайындаңыз (әдетте ИТ пен ИБ бірге) және өзгерістер ережесін бекітіңіз. Образ қалай жаңартылатынын анықтаңыз: патчтарды кім инициатива етеді, эталон қай жерде сақталады, өзгерістер журналы қалай жүргізіледі және қандай ауытқулар критикалық саналады. Ереже — агенттер мен желілік қызметтерді енгізу тек арнайы өтініш арқылы жүзеге асырылсын.

ИБ-пен алдын ала "қабылданатын телеметрияны" келісіңіз: қандай оқиғалар жіберіледі, қай мекендерге (домендер, IP, порттар), қандай уақытта және қалай бақыланады. Қабылдау кезеңі үшін желілік ережелерді бөлек жазып қойыңыз: мысалы, доменге қосылмастан және интернетке қолжетімділік болмағанда.

Бақылауды күрделі жобаға айналдырмау үшін таңдамалы тексерулер жеткілікті:

  • әр жеткізілімде 1–2 құрылғыны чек-лист бойынша тексеру;
  • тоқсан сайын типтік жұмыс станциясында желілік бақылауды қайталау;
  • қызметтер, тапсырмалар және автозапустың эталонмен салыстыруы есеп бойынша жүргізілуі;
  • ауытқуларды тіркеп, жабдықтаушыдан образды түзетуді талап ету.

Тұрақты түрде ПК және серверлер сатып алатын ұйымдарда алдын ала келісілген талаптар партиядан партияға қайталанатындықтан пайда әкеледі. Ондай жобаларда өндіруші немесе жүйелік интегратор эталон образды және қабылдау құжаттамасын жауапкершілікке ала алады. Мысалы, GSE.kz (gse.kz) жұмыс станциялары мен серверлер жеткізумен қатар интеграция мен қолдауды да ұсынады, бұл эталон образын бекіту мен қайталанатын тексерулерді ұйымдастыруға ыңғайлы.

Қарапайым ұстаным: егер өзгерісті түсіндіру және оны бақылаулы пакет ретінде қайталау мүмкін болмаса, бұл жаңарту емес — тәуекел.

FAQ

Неліктен қабылдау актісін қол қоюдан бұрын ОС образын тексеру керек, кейін емес?

Потому что после подписания актов у вас меньше рычагов: исправления превращаются в спор, простой и переустановку. До приемки вы можете требовать пересборку образа, остановить поставку или зафиксировать отклонения как нарушение согласованной спецификации.

Аудит алдында жабдықтаушыдан не сұрау керек?

Согласуйте и зафиксируйте письменно версию и редакцию Windows, язык, разрядность, схему лицензирования и дату сборки образа. Отдельно запросите точный список предустановленного ПО и драйверов с версиями и источником, а также настройки безопасности, шифрование, антивирус/EDR и все агенты управления с назначением и точками подключения.

Партиядан қанша компьютерді тексеру жеткілікті?

Минимум два: один типовой, второй с отличиями по железу (например, другой SSD, модуль связи или версия BIOS/UEFI). Если партия большая, лучше взять несколько устройств из разных коробок и разных дат/серий, чтобы поймать расхождения, которые не видны на одном экземпляре.

Аудит үшін стендты қалай дайындау керек, нәтижені бұрмау үшін?

Проверяйте в изолированной тестовой сети без интернета или с управляемым выходом через ваш шлюз, чтобы весь трафик был наблюдаемым. Не входите личной доменной учеткой и не подключайте устройство к рабочему домену до базовых проверок, иначе ваши политики и агенты «смешают» картину.

Бастапқыда не жазып алу керек, кейінгі дауларды болдырмау үшін?

Зафиксируйте сборку ОС, дату установки, список обновлений, версии BIOS/UEFI и драйверов, а если образ передан отдельно — его хэш. Практично иметь снимок диска или резервную копию, чтобы повторить проверки тем же способом и доказать, что изменения были в образе, а не появились позже.

Алдымен қайсысына назар аудару керек: автозапуск па, процестер ме, әлде бағдарламалар тізімі ме?

Сначала смотрите точки автозапуска и текущие процессы, потому что именно там чаще всего прячутся «помощники» и обновляторы. Настораживают неизвестный издатель, запуск из AppData/Temp, неочевидные названия и постоянная активность без причины; такие находки сразу сверяйте со спецификацией и фиксируйте путь, версию и время запуска.

Қандай қызметтер мен драйверлер қабылдауда күдік тудырады?

Проверьте, что запускается автоматически, от чьего имени работает и откуда стартует исполняемый файл. Красные флаги — автозапуск под LocalSystem без понятного владельца, отсутствие корректной подписи, нестандартные пути и сетевые соединения сразу после старта; для драйверов особенно критичны сетевые и файловые фильтры, потому что они могут перехватывать трафик и операции с данными.

Неліктен Планировщик тапсырмалары мен жергілікті саясаттарды тексеру маңызды?

Запланированные задания и политики часто запускают скрытые обновления, телеметрию или скрипты без участия пользователя. Обращайте внимание на задания, которые стартуют PowerShell/cmd/wscript/mshta или неизвестный exe, запускаются при входе/простое/подключении к сети и работают от SYSTEM; по политикам важно убедиться, что нет неожиданных исключений безопасности и включений того, что вы не согласовывали.

Қалай тез түсінуге болады, образта қажетсіз телеметрия немесе күмәнді желілік трафик бар ма?

Сделайте «чистый» запуск в тестовом сегменте и наблюдайте первые 10–20 минут после входа: какие домены и IP появляются, какие процессы инициируют соединения и с какой частотой. Нормальными обычно бывают обращения за временем, активацией, обновлениями и проверкой сертификатов, а подозрительными — регулярные «звонки» на непонятные адреса и трафик от процессов, которым интернет не нужен.

Белгісіз агент, қашықтан басқару немесе қажетсіз қосылым табылса не істеу керек?

Не удаляйте сразу: сначала зафиксируйте артефакты, отключите компонент, перезагрузите и проверьте базовые сценарии работы, чтобы не сломать зависимые функции. Затем запросите у поставщика письменное объяснение назначения, владельца и способа отключения; если это удаленное управление без согласования или непонятные внешние подключения, безопасный вариант — остановить приемку до пересборки образа.