Ustawienia “eTeczka admin”
eTeczka admin posiada dodatkowo moduł Ustawienia umożliwiający zmianę ustawień dla całej organizacji, tzn. wielu firm jednocześnie w zakresie:
- Logowanie – możliwość zmiany ustawień dotyczące
- możliwości logowania standardowego, Microsoft i Google
- ustawień uwierzytelniania dwuetapowego (2FA)
- Rozszerzenia plików – możliwości zmiany ustawień dot. blokowania rozszerzeń plików dokumentów jakie mogą zostać przekazane do eTeczki.
Logowanie
Możliwa jest zmiana ustawień logowania na dwa sposoby:
- Ustawienia globalne dla wszystkich firm
- Ustawienia indywidualne konfigurowane per firma (może być istotne dla przypadku wielofirmowości np. dla biura rachunkowego obsługującego różnych Klientów, którzy preferują różne metody logowania)
W obydwu przypadkach dostępne są dwa rodzaje ustawień:
- Domyślne sposoby logowania – takie sposoby zostaną automatycznie ustawione dla każdego nowego Użytkownika
- Dostępne metody logowania – takie sposoby będą dostępne do zmiany dla każdego indywidualnego Użytkownika (czyli inicjalnie każdy użytkownik może być wskazany do logowania standardowego przez hasło, ale jest możliwość zmiany dla tego użytkownika np. dla administratorów ustawienie logowania wyłącznie na ‘Microsoft’)
Jeżeli użytkownik ma przypisaną metodę logowania Microsoft lub Google, powinien korzystać z odpowiedniego przycisku na ekranie logowania. W przypadku niezgodności metody logowania aplikacja wyświetli komunikat, a konfigurację można sprawdzić właśnie w ustawieniach konta użytkownika.
W/w ustawienia są później wykorzystywane w procesie logowania.
Uwierzytelnianie dwuetapowe (2FA)
Na tym samym ekranie możliwa jest zmiana ustawień uwierzytelniania 2FA na dwa sposoby:
- Ustawienia globalne dla wszystkich firm
- Ustawienia indywidualne konfigurowane per firma (analogicznie jak w ustawieniach logowania)
W obydwu przypadkach dostępne są trzy rodzaje ustawień:
- Opcjonalne – Użytkownicy mogą samodzielnie włączyć 2FA w swoim profilu. System będzie rekomendował tą opcję podczas aktywacji konta, ale nie będzie jej wymuszał przy logowaniu.
- Wymagane admin – 2FA obowiązkowe dla kont z uprawnieniami administratora w dowolnej firmie. Pozostali użytkownicy będą mieli tą opcję rekomendowaną podczas aktywacji konta i będą mogli samodzielnie włączyć 2FA w swoim profilu.
- Wymagane – 2FA obowiązkowe dla wszystkich użytkowników. System wymusi jej ustawienie przy kolejnym logowaniu w przypadku braku wcześniejszego ustawienia dla konkretnego użytkownika
UWAGA: W przypadku, gdy użytkownik loguje się do wielu firm, a każda z nich ma inne ustawienia wymagalności 2FA, wobec jego konta stosowane będą najbardziej restrykcyjne ustawienia.
W/w ustawienia są później wykorzystywane w procesie logowania dwuetapowego. Jeżeli 2FA jest wymagane i użytkownik nie ma jeszcze aktywnego zabezpieczenia, system skieruje go do konfiguracji przy najbliższym logowaniu. Jeżeli 2FA jest opcjonalne, użytkownik może samodzielnie włączyć je w ustawieniach konta, w sekcji Weryfikacja dwustopniowa.
Niedozwolone rozszerzenia plików
Blokowanie zagrożeń związanych z niebezpiecznymi rozszerzeniami plików to kluczowy element ochrony systemu przed atakami złośliwego oprogramowania. Zwiększa to bezpieczeństwo systemu, eliminując możliwość uruchamiania potencjalnie niebezpiecznych programów, skryptów i plików. Dzięki tym restrykcjom system staje się mniej podatny na ataki z zewnątrz, takie jak infekcje malware, złośliwe skrypty czy zmiany w rejestrze systemowym.
Ustawienia niedozwolonych rozszerzeń
Aby edytować listę niedozwolonych rozszerzeń dla wybranej organizacji należy zalogować się do eFOBAdmin, kliknąć ikonę ustawień, a następnie wybrać pozycję “Rozszerzenia plików”. W kolejnym oknie możliwe jest wybranie listy niedozwolonych ustawień za pomocą selektora:
- aby dodać niedozwolone rozszerzenia z dostępnej listy należy zaznaczyć je w kolumnie po lewej i kliknąć przycisk strzałki w prawo “Przenieś zaznaczone”
- aby wycofać niedozwolone rozszerzenia należy zaznaczyć je w kolumnie po prawej i kliknąć przycisk strzałki w lewo “Przenieś zaznaczone”
- aby dodać własne rozszerzenia należy wprowadzić je w polu tekstowym (wprowadzany tekst musi zaczynać się od kropki) i kliknąć znajdujący się obok przycisk strzałki
- po zakończeniu edycji listy niedozwolonych rozszerzeń należy zapisać zmiany przyciskiem “Zapisz”
Ekran zarządzania niedozwolonymi rozszerzeniami
Domyślnie blokowane rozszerzenia
Aplikacja eTeczki eFOB domyślnie weryfikuje i blokuje następujące rozszerzenia plików:
1. Ochrona przed uruchamianiem złośliwego oprogramowania
Rozszerzenia takie jak .EXE, .MSI, .COM czy .SCR to formaty plików wykonywalnych, które mogą zawierać pełne programy lub elementy złośliwego oprogramowania. Złośliwe pliki mogą być ukryte w pozornie bezpiecznych instalatorach, programach lub nawet wygaszaczach ekranu, co sprawia, że są trudne do wykrycia dla użytkowników końcowych. Blokowanie tych rozszerzeń na poziomie systemu administracyjnego zapobiega przypadkowemu uruchomieniu takich plików, chroniąc system przed niepożądanymi aplikacjami i wirusami.
2. Unikanie automatycznego wykonywania skryptów
Pliki skryptowe, takie jak .BAT, .CMD, .VB, .VBS, .JS i .JSE, mogą zawierać polecenia wykonywalne, które są uruchamiane automatycznie po otwarciu pliku. Skrypty mogą być używane przez atakujących do przejęcia kontroli nad systemem, zdalnego wykonywania kodu, modyfikacji plików lub instalacji złośliwego oprogramowania. Dlatego blokowanie tych rozszerzeń jest kluczowe, aby uniknąć uruchamiania skryptów bez wiedzy użytkownika.
3. Ograniczenie ryzyka związanego z plikami rejestru
Pliki z rozszerzeniem .REG mogą wprowadzać zmiany w rejestrze Windows, co może wpłynąć na działanie systemu operacyjnego, aplikacji oraz zabezpieczeń. Złośliwe pliki rejestru mogą dodać nieautoryzowane wpisy, usunąć ważne dane, a nawet modyfikować ustawienia zabezpieczeń, co umożliwia łatwiejszy dostęp do systemu przez hakerów. Blokowanie tego typu plików zapobiega nieautoryzowanej modyfikacji rejestru.
4. Zabezpieczenie przed exploitem AutoRun i innymi skryptami systemowymi
Pliki .INF, które są używane przez funkcję AutoRun, mogą uruchamiać niebezpieczne programy automatycznie po podłączeniu nośnika (np. pendrive’a) do systemu. Tego typu pliki często są używane do rozprzestrzeniania złośliwego oprogramowania poprzez nośniki wymienne. Blokowanie ich na poziomie administracyjnym skutecznie redukuje to zagrożenie.
5. Blokowanie plików skryptów PowerShell i komponentów Windows Script Host
Pliki skryptowe PowerShell, takie jak .PS1, .PS2, .PSC1 i .PSC2, mogą uruchamiać serię komend i skryptów systemowych. Mogą one być używane zarówno w celu zarządzania systemem, jak i do przeprowadzania ataków na system. Blokowanie tych plików pomaga w zapobieganiu atakom wykorzystującym PowerShell. Podobnie pliki .WS, .WSH i .WSC (komponenty hosta skryptów Windows) mogą być wykorzystane przez atakujących do uruchamiania nieautoryzowanych działań, dlatego ich blokowanie również jest zalecane.
6. Ochrona przed nieautoryzowanymi skrótami i komendami systemowymi
Pliki .LNK (skróty do programów) i .SCF (komendy Eksploratora Windows) mogą być użyte do uruchamiania niebezpiecznych programów lub komend z dodatkowymi parametrami, które mogą na przykład usunąć pliki z systemu bez ostrzeżenia. Blokowanie tych rozszerzeń zapobiega wykorzystywaniu skrótów i komend do przeprowadzania złośliwych działań.
7. Zabezpieczenie przed importem niebezpiecznych danych
Pliki instalacyjne, takie jak .MSI i .MSP, a także pliki zawierające dane skryptowe, jak .JAR (pliki Java), mogą być używane do instalowania złośliwych aplikacji lub wykonywania niebezpiecznego kodu. Blokowanie tych plików na poziomie systemu zapobiega ich uruchomieniu bez odpowiedniej autoryzacji.