В целях повышения безопасности и защиты от несанкционированного доступа к программному обеспечению банкоматов, работающих под управлением операционной системы Windows, а также для защиты от вредоносных программ рекомендуется произвести следующий комплекс мероприятий:
1. Произведите настройки BIOS.
А. Отключите загрузку с внешних устройств.
После запуска BIOS происходит поиск устройств хранения информации для запуска операционной системы — обычно это жесткий диск. Различные типы BIOS могут использовать разную технику выбора устройств хранения. Некоторые требуют полностью отключить загрузку с внешних устройств. Также есть BIOS, которые имеют способность обходить нормальную процедуру загрузки через PC-клавиатуру, например нажатием клавиши ESC во время загрузки. Такую возможность тоже нужно отключить. В BIOS возможность загрузки с USB при отсутствии загрузочного USB-устройства может не отображаться и, следовательно, при настройке это устройство по факту может оказаться первым. Если в BIOS запрещена загрузка со всех устройств, кроме HD, возможен вариант игнорирования запрета на запуск с CD, рекомендуется установить загрузку с CD второй, то есть когда неисправен HD.
Б. Установите пароль в BIOS.
После того как сделаны все настройки BIOS, доступ к нему должен быть защищен паролем. Большинство BIOS имеют два пароля: Supervisor и User. Нужно использовать только Supervisor. Пароль User должен быть выключен (disabled). Длину и корректные символы для ввода пароля определяет тип BIOS.
2. Осуществляйте инсталляцию ПО на банкомате при отключенном сетевом кабеле.
3. Произведите настройку учетных записей в Windows.
Для доступа к рабочему столу нужно использовать не менее двух учетных записей: администратор и рабочая.
4. Установите парольную политику и измените пароли по умолчанию у всех учетных записей.
Необходимо установить/изменить все пароли, установленные по умолчанию, в том числе для удаленного доступа, установки обновлений и т. п.
5. Отключите функцию автозапуска (autoplay, autorun).
6. Используйте стойкое шифрование каналов связи.
7. Установите межсетевой экран или используйте изолированную сетевую инфраструктуру.
8. Удалите неиспользованные службы и приложения.
9. Установите политику обновлений программного обеспечения (по согласованию с поставщиком ПО).
10. Задайте различные учетные записи пользователя прикладного ПО.
Прикладное ПО должно работать под учетной записью с минимальными полномочиями.
11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.
12. Используйте в диспенсере функцию шифрования.