· 16 мин чтения

Защита удалённого доступа к серверам офиса: RDP, SSH, VPN в 2026 году

Защита удалённого доступа к серверам офиса: RDP, SSH, VPN в 2026 году

Привет! Меня зовут Семёнов Евгений Сергеевич, и уже целых 15 лет я занимаюсь обслуживанием корпоративных IT-инфраструктур в Москве. Знаете, что самое интересное? За последние два года 60 % всех ЧП, которые происходили у моих клиентов, начинались по одному и тому же сценарию: кто-то временно открывал порт 3389 в интернет, чтобы бухгалтер смог поработать из дома, а потом просто забывал его закрыть. В этом тексте я подробно, шаг за шагом расскажу, как можно надёжно защитить удалённый доступ к вашему серверу 1С, NAS, IP-АТС и другим важным узлам в офисе, рассчитанном до 50 рабочих мест. И самое главное — для этого не понадобятся дорогие корпоративные решения.

Почему стандартные «удобные» схемы — это бомба

Когда я впервые прихожу на аудит к новому клиенту, очень часто вижу одну и ту же картину: терминальный сервер с 1С просто торчит в интернет через стандартный порт 3389. Объяснение всегда одно: «бухгалтерия же работает удалённо по выходным». Иногда вместо целого терминала — это прямой RDP-доступ к рабочей станции главбуха. А порой — и вовсе открытый Anydesk или TeamViewer, и при этом даже без двухфакторной аутентификации! Как-то раз мне попался сервер 1С, где админский пароль был '1c2024', а порт 3389 был открыт весь 2024 год. Через каких-то 4 месяца после того, как я закончил там работу, этого клиента взломали, все базы оказались зашифрованы, и за них потребовали ни много ни мало 18 BTC.

Кстати, вот вам ещё цифры: по статистике ФинЦЕРТ ЦБ РФ за 2025 год, 64 % российских компаний малого бизнеса, попавших в их сводку, взломали именно через открытый RDP. Сценарий, как правило, всегда один и тот же: злоумышленник начинает сканировать диапазоны IP-адресов российских провайдеров, находит открытый порт 3389, а затем подбирает пароль — либо из слитых баз, либо просто по словарю. Поверьте, на это уходит максимум неделя-две, и успех практически гарантирован! После этого он заходит в систему, отключает антивирус, скачивает базу 1С, а потом шифрует все диски. Средняя сумма выкупа за такие данные, кстати, колеблется от 1.5 до 8 млн рублей.

Но самое неприятное здесь вот в чём: даже очень сложные пароли тут, к сожалению, не спасают. У одного моего клиента стоял пароль, который выглядел как QwErTy_45sd!Jh39, — казалось бы, ну куда уж сложнее? Но их всё равно взломали через 11 дней. Как потом выяснилось, админ когда-то давно использовал именно этот пароль на каком-то форуме автомобилистов, а базу того форума потом слили в сеть. Поэтому я уже давно перестал верить в концепцию «достаточно сложного пароля» и теперь в любой инфраструктуре настаиваю на двух вещах: обязательном закрытии всех портов за VPN и внедрении многофакторной аутентификации.

Шаг 1. Закрываем все наружные порты, кроме явно нужных

С чего я обычно начинаю свой аудит? Сначала запускаю сканер портов по белому IP-адресу клиента и внимательно смотрю, что же там "торчит" наружу. И, поверьте, у 80 % тех, кто только начинает работать, картина всегда одна и та же:

А вот как должна выглядеть действительно правильная конфигурация: наружу должен "смотреть" только порт VPN (это UDP 51820 для WireGuard или UDP 1194 для OpenVPN), ну и, конечно, порт почтового сервера, если вы используете свой. И это всё, точка! Доступ к 1С, RDP, NAS, IP-камерам, админкам роутеров — всё это должно быть доступно исключительно из вашей внутренней сети или только после того, как вы подключитесь к VPN.

На Mikrotik это делается одной командой через firewall:

# Открываем только VPN наружу
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 comment="WireGuard VPN"
add chain=input action=accept connection-state=established,related comment="Established"
add chain=input action=accept in-interface=bridge-lan comment="LAN to router"
add chain=input action=drop comment="Drop everything else"

После такой настройки сканер портов снаружи увидит закрытое наглухо устройство. Если кто-то хочет работать удалённо — сначала поднимает VPN, потом подключается к терминалу или 1С по внутреннему адресу.

Шаг 2. Поднимаем WireGuard на роутере Mikrotik за 30 минут

Уже пятый год подряд я везде предпочитаю ставить WireGuard вместо OpenVPN. Почему? Да потому что он гораздо проще, работает быстрее, его настроить легче, а клиенты под него найдутся на любой, абсолютно любой платформе. Кстати, Mikrotik с RouterOS 7.x умеет работать с WireGuard прямо "из коробки". А вот вам пример конфигурации для офиса, где работает 25 человек:

# Создаём интерфейс WireGuard
/interface wireguard
add listen-port=51820 mtu=1420 name=wg-office private-key="генерируем командой /interface wireguard generate-key"

# Назначаем адрес для интерфейса
/ip address
add address=10.10.10.1/24 interface=wg-office network=10.10.10.0

# Добавляем пира (клиента) — для каждого пользователя
/interface wireguard peers
add allowed-address=10.10.10.2/32 interface=wg-office \
    public-key="публичный ключ клиента" comment="ivanov-laptop"

# Открываем порт в файрволе (если не открыли выше)
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 place-before=0

На клиенте (Windows, macOS, iOS, Android) ставится официальное приложение WireGuard, в него импортируется конфиг — и через 5 секунд у пользователя есть защищённый туннель в офис. Скорость — почти как по проводу, на iPhone аккумулятор не сажает, в отличие от OpenVPN.

Для офиса, где работает около 30 человек, настройка всего этого с нуля у меня занимает примерно 1.5 часа. Из них 30 минут уходит на сам роутер, ещё час — на то, чтобы раздать всем конфиги и установить нужные приложения пользователям. И, честно говоря, ещё один час я трачу на инструктаж бухгалтерии, чтобы они точно не перепутали кнопку «Подключить VPN» с кнопкой «Закрыть».

Шаг 3. Многофакторная аутентификация на сервере 1С

VPN — это первый рубеж. Но если у атакующего на руках конфиг VPN кого-то из сотрудников (украл с ноутбука, скажем), он окажется внутри сети. Поэтому нужен второй обязательный рубеж — MFA на критичных ресурсах: терминальный сервер, RDP к серверу 1С, админка Mikrotik, веб-морда NAS.

Под Windows Server есть бесплатный Rohos Logon Key и платный Duo Security. Я обычно ставлю Rohos — 1 990 ₽ за пользователя разово, работает с любыми TOTP-приложениями (Google Authenticator, Microsoft Authenticator, Яндекс.Ключ). Настройка через GUI — 15 минут на сервер плюс 2 минуты на каждого пользователя.

Есть и бесплатная альтернатива, правда, с ней придётся немного повозиться. Вы можете поднять SSO через Yandex 360 для бизнеса, где двухфакторная аутентификация будет обязательной, а затем подключить терминал через RD Web Access с интеграцией в Yandex SSO. Да, хлопот с этим больше, но если у вас уже есть Yandex 360, то это позволит заметно сэкономить на лицензиях Rohos.

Что касается NAS-систем, таких как Synology и QNAP, то здесь двухфакторная аутентификация включается буквально одной галочкой в админке. Просто нужно не забыть это сделать! У меня, кстати, была такая история: одному клиенту взломали Synology из-за утечки админского пароля, и в итоге 12 ТБ архивных документов оказались зашифрованы. А ведь двухфакторка спасла бы их данные, это всего лишь 30 секунд работы при настройке.

Шаг 4. SSH к Linux-серверам — ключи и порт

Если у вас в офисе есть Linux-серверы — например, для бэкапов, IP-АТС на Asterisk или файловый сервер на Samba — то SSH-доступ к ним нужно настроить, что называется, "по уму". Я обычно провожу стандартный hardening, и это занимает всего 10 минут на каждый сервер:

# /etc/ssh/sshd_config
Port 22022                       # Перенос со стандартного 22
PermitRootLogin no               # Запрет входа от root
PasswordAuthentication no        # Только по ключам
PubkeyAuthentication yes
AllowUsers admin operator        # Только конкретные пользователи
ClientAliveInterval 300
MaxAuthTries 3

# Перезапускаем
systemctl restart sshd

Ключ генерируется на рабочей станции администратора командой ssh-keygen -t ed25519 -C "admin@office" — алгоритм ed25519 короче и безопаснее RSA. Публичный ключ копируется на сервер через ssh-copy-id, парольный вход после этого отключается.

Сам SSH-порт остаётся доступным исключительно из внутренней сети офиса или только после того, как вы подключитесь к VPN. Снаружи же он должен быть закрыт наглухо, абсолютно!

Сверху ставим fail2ban — он сам банит IP, с которых идёт подбор:

# Установка и базовая настройка
apt install fail2ban -y

# /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
findtime = 600
bantime = 86400

За первый месяц после такой настройки fail2ban на сервере одного клиента забанил 0 IP — потому что снаружи на 22022 никто не стучится, всё закрыто файрволом. Это и есть правильная архитектура.

Шаг 5. Что делать с Anydesk, TeamViewer и прочими «удобствами»

Есть ещё одна, совершенно отдельная головная боль — это всевозможные программы для удалённого доступа, которые сотрудники порой ставят сами. Я говорю про Anydesk, TeamViewer, RustDesk, Splashtop и подобные. Вся проблема в том, что они буквально "дырявят" ваш файрвол исходящими подключениями к облакам своих производителей. А это значит, что просто закрыть порты снаружи тут уже никак не получится.

В рамках одного проекта я как-то обнаружил у клиента целых 14 рабочих станций с Anydesk. И что самое страшное, на каждой второй был активирован режим «Безусловное соединение» с простым фиксированным паролем из 6 цифр! Получается, зайти на такую машину мог абсолютно любой, кто знал ID компьютера и, собственно, этот пароль. А узнал я об этом, кстати, совершенно случайно: один из сотрудников просто заметил, что курсор на его экране сам по себе ползает.

Что я делаю в таких ситуациях:

Anydesk и TeamViewer сами по себе не зло. Зло — это когда их бесконтрольно ставят пользователи, без MFA и без логирования сессий. Захотите вы как руководитель увидеть, кто и когда подключался к каким машинам, — эти инструменты не покажут ничего. А вот RDG + Active Directory покажет всё в журнале событий.

Шаг 6. Логирование и контроль

Защита без логирования — это иллюзия безопасности. О взломе вы узнаете не раньше, чем данные всплывут в даркнете. Поэтому вот минимум, что должно логироваться:

Для офиса до 50 человек хватает связки: Wazuh (бесплатный SIEM) плюс журналы Windows плюс журналы Mikrotik в syslog. Wazuh ставится на отдельную виртуалку с 4 ГБ RAM, собирает логи со всех узлов и шлёт уведомления в Telegram при подозрительных событиях. Настройка под ключ — 12–16 часов работы инженера.

Кстати, у нас в АйТи Фреш есть уже готовый, специально разработанный набор правил для Wazuh, заточенный под офисную инфраструктуру. Это целых 47 правил с алертами, которые срабатывают на самые типичные атаки: брутфорс RDP, аномальные входы в нерабочее время, массовое удаление файлов, попытки шифрования. Развернуть это у нового клиента занимает всего 1 рабочий день. После этого все алерты автоматически "летят" в наш SOC, где на них оперативно реагирует дежурный инженер.

Шаг 7. Бэкапы — последняя линия обороны

Ну а если вдруг всё предыдущее не сработало — а такое, к сожалению, бывает, ведь 100 % защиты просто не существует, — тогда наша последняя и самая главная надежда — это, конечно, бэкапы. И я говорю не про какие-то там «бэкапы где-то на NAS», а про нормальную, проверенную схему 3-2-1: это значит, три копии ваших данных, обязательно на двух разных носителях, и одна из этих копий — в офлайне или в облаке, куда никакому шифровальщику просто не дотянуться.

Стандартная схема, которую я ставлю клиентам:

Здесь есть один принципиально важный момент: ваш облачный бэкап должен работать в режиме append-only или, как его ещё называют, immutable. Это значит, что даже если шифровальщик каким-то образом пролезет в ваш офис и доберётся до учётной записи бэкапа, он просто не должен иметь возможности удалить старые копии. В Yandex Object Storage эта функция называется Object Lock, а у Selectel — WORM. Включается она, кстати, одной-единственной галочкой прямо при создании бакета.

Раз в квартал я обязательно сам проверяю восстановление данных: поднимаю базу 1С из бэкапа на тестовом сервере и убеждаюсь, что все данные свежие и отлично читаются. Для меня непроверенный бэкап — это всё равно что несуществующий! У меня, например, было два таких случая, когда клиенты уверяли, что «бэкапы делались полгода», а при первой же попытке восстановления выяснялось, что они были битые с самого первого дня.

Сколько это всё стоит для офиса 25 рабочих мест

Чтобы сразу снять вопрос «а сколько это всё вместе будет стоить?», я подготовил реальную смету на полный комплект защиты удалённого доступа. Это для типичного московского офиса на 25 рабочих мест, где есть сервер 1С, NAS и IP-АТС:

Работы / оборудованиеСтоимостьСрок
Аудит удалённого доступа, отчёт0 ₽ (бесплатно при заключении договора)2 дня
Настройка WireGuard на Mikrotik + клиенты18 000 ₽1 день
Закрытие портов, hardening Mikrotik8 000 ₽4 часа
MFA Rohos на сервер 1С (25 лицензий)49 750 ₽ (1990 × 25)1 день
SSH hardening + fail2ban на Linux-серверах6 000 ₽ за сервер2 часа
Настройка Wazuh с алертами в Telegram22 000 ₽2 дня
Настройка бэкапа 3-2-1 (NAS + USB + облако)28 000 ₽1.5 дня
Итого разовых работот 132 000 ₽5–7 рабочих дней

Что идёт дальше? Конечно же, обслуживание! Сюда входит мониторинг, регулярное обновление правил Wazuh, проверка бэкапов раз в квартал и, конечно, оперативное реагирование на любые инциденты. Всё это уже включено в нашу абонентскую плату «Стандарт», которая начинается от 45 000 ₽/мес для офиса такого размера. И никаких скрытых доплат!

Чего я больше не делаю клиентам в 2026 году

За 15 лет практики список «больше никогда» вырос до приличного размера. Делюсь, чтобы вы не повторяли:

Получите бесплатный аудит инфраструктуры

На аудит к каждому новому клиенту в Москве и в радиусе 50 км от МКАД я всегда выезжаю лично. Всего за 2–3 рабочих дня вы получите от меня подробный письменный отчёт, который будет включать в себя полный список уязвимостей удалённого доступа, объективную оценку текущего состояния ваших серверов и роутера, а также честный расчёт стоимости всех работ по устранению найденных проблем. И, что важно, никаких обязательств с вашей стороны!

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по защите удалённого доступа

Можно ли вообще не закрывать RDP, если у нас сложные пароли?
Нет. За 2025 год через открытый в интернет RDP взломали 64 % российских компаний малого бизнеса. Сложные пароли не помогают, потому что атакующие используют утечки баз. Минимальная защита — закрыть RDP за VPN или поставить шлюз RDG с MFA.
Какой VPN выбрать для офиса до 50 человек?
WireGuard на роутере Mikrotik или OpenVPN на сервере с pfSense — это два рабочих варианта. Для офиса 10–25 рабочих мест WireGuard на Mikrotik hAP ax3 за 12 000 ₽ закрывает задачу полностью. Для 30+ человек ставим pfSense на отдельной железке.
Что лучше — RDG (Remote Desktop Gateway) или VPN?
Если терминальный сервер — единственное, к чему нужен доступ извне, RDG проще и безопаснее VPN. Если нужен доступ к нескольким сервисам (1С, NAS, IP-камеры, веб-админки), удобнее VPN. Часто комбинируем: RDG для бухгалтеров, VPN для администраторов.
Сколько стоит защитить удалённый доступ в офисе на 25 рабочих мест?
Если есть Mikrotik — 35 000–55 000 ₽ разовых работ за настройку WireGuard, MFA на сервер 1С, fail2ban, перенос RDP на нестандартный порт за VPN. Если нужен новый Mikrotik — добавить 12 000–18 000 ₽ за оборудование. Полный комплекс с Wazuh и бэкапами — от 132 000 ₽.
Нужен ли отдельный bastion-сервер для офиса 10 человек?
Нет, для офиса до 30 человек bastion избыточен. Достаточно VPN на роутере + MFA на сервере 1С + закрытые наружу порты. Bastion появляется при наличии 3+ серверов и распределённой команде администраторов.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.