У процесі аудиту було виявлено, що мережеві комутатори та маршрутизатори, встановлені понад 15 років тому, не підтримують сучасні протоколи безпеки, QoS та не гігабітні з'єднання. Це створювало “вузьке горлечко” в локальній мережі, впливало на швидкість передачі даних та загальну стабільність з'єднання. Ми повністю замінили обладнання на сучасне: керовані комутатори з підтримкою VLAN, маршрутизатори з функціями фаєрволу та резервування. Це дозволило підвищити швидкість мережі в кілька разів, ізолювати відділи в окремі сегменти та підвищити захист внутрішньої інфраструктури.

Для централізованого управління користувачами, правами доступу та ресурсами мережі ми впровадили службу каталогів Microsoft Active Directory. Це дало змогу створити єдину точку входу для всіх співробітників (single sign-on), структурувати користувачів за відділами, задати політики безпеки, та швидко керувати обліковими записами. Кожен співробітник отримав корпоративний обліковий запис з відповідними правами. При звільненні або зміні ролі — права одразу змінюються або блокується доступ повністю, без ризику несанкціонованого використання.

Ми реалізували групові політики (GPO), які обмежують встановлення стороннього ПЗ, забороняють запуск небажаних процесів, а також керують налаштуваннями робочих станцій. Особливу увагу було приділено контролю USB-пристроїв. Було встановлено політику, яка дозволяє використовувати лише авторизовані USB-накопичувачі. Неавторизовані флешки не розпізнаються системою. Це допомогло значно знизити ризик зараження вірусами та витоку даних через зовнішні носії.

Для централізованого керування оновленнями Windows ми розгорнули локальний сервер WSUS (Windows Server Update Services). Тепер усі оновлення спочатку завантажуються на внутрішній сервер, перевіряються нашими адміністраторами, і лише після схвалення — встановлюються на клієнтські ПК. Це дозволяє: уникнути проблем з “сирими” оновленнями; зменшити навантаження на інтернет-канал; тримати всі системи актуальними та захищеними.

На основні вузли IT-інфраструктури (сервер, маршрутизатори, критичні ПК) встановлено моніторинг-систему Zabbix, яка цілодобово відстежує навантаження, доступність та помилки. Паралельно впроваджено автоматичне резервне копіювання з перевіркою цілісності даних. Бекапи створюються щодня та зберігаються у кількох місцях (локально та в хмарі), що дозволяє швидко відновити систему навіть після повного збою.

Після завершення впровадження ми підготували технічну документацію: карта мережі, інструкції з доступу до сервісів, список користувачів та прав, політики безпеки. Окрім цього, проведено інструктаж для співробітників з базових питань IT-безпеки: як користуватись корпоративними системами, як працювати з поштою, як не піддаватись фішингу, куди звертатись у разі технічних проблем. Це значно зменшило кількість помилок користувачів і підвищило загальний рівень кібергігієни в компанії.