Защита сервера офиса от взлома: чек-лист для IT-директора 2026
Привет! Я, Семёнов Евгений Сергеевич, директор компании АйТи Фреш. Знаете, какая закономерность? Каждый второй наш новый клиент обращается к нам только после того, как у него уже что-то сломали, зашифровали или, того хуже, вынесли данные. И, что самое интересное, до этого момента каждый второй из них был на 100% уверен: «Да у нас же стоит Касперский! Что нам, собственно, угрожает?» В этой статье я постараюсь простыми словами, без всякой заумной технической "воды", разложить по полочкам, с какими реальными угрозами для офисного сервера мы сталкиваемся в 2026 году здесь, в Москве, и что с ними, наконец, делать. Это информация для IT-директора, которому нужно принять взвешенное решение, а не сидеть до полуночи, пытаясь настроить fail2ban.
Реальная картина: что происходит каждый день
Вот живой пример: в январе 2026-го я взял под наблюдение один совершенно обычный VDS клиента. Это был стандартный сервер 1С на Windows Server 2022, который установили в дата-центр Selectel всего пару недель назад. Я просто заглянул в его логи безопасности за одни сутки. И то, что я там увидел, меня, честно говоря, не удивило:
- 11 247 попыток подбора пароля на RDP (порт 3389, потом 3390).
- 3 412 попыток входа на SSH (хотя SSH на Windows-сервере не было — атаковали порт «на всякий случай»).
- 847 запросов к /wp-admin, /admin, /phpmyadmin (хотя на сервере нет ни WordPress, ни PHP).
- 42 уникальных страны атаковали — от Китая и Вьетнама до Бразилии и Нидерландов.
Представьте: это всего за одни сутки! На сервере, который, казалось бы, ничем не выделяется. Для вездесущих ботов в интернете нет разницы между «большими» и «маленькими» компаниями. Для них существуют только IP-адреса. Эти адреса сканируются автоматически, без перерыва, 24/7. Так что, если у вашей фирмы есть хотя бы один внешний сервер с белым IP — будьте уверены, его атакуют точно так же, как и этот.
Чем реально ломают и зачем
За все пятнадцать лет, что я работаю в АйТи Фреш, я, к сожалению, насмотрелся на десятки успешных атак на офисы с 10-50 ПК. Я обычно делю их по сценариям, потому что для каждого из них требуется своя, особенная защита.
Сценарий 1. Шифровальщик через RDP. Самый частый. У клиента сервер 1С с RDP в интернет — чтобы бухгалтер работала из дома. Атакующий подбирает пароль к учётке, заходит, отключает антивирус, шифрует все диски и оставляет требование выкупа. Цена восстановления: от 800 тыс. руб., если бэкапы есть; от 3 млн руб., если бэкапов нет.
Сценарий 2 — это когда на сервере поселяется майнер. Клиент звонит в панике: «Евгений, сервер тормозит, а 1С вообще тупит нещадно!» Приезжаю, смотрю — а там крутятся три процесса xmrig, загружая CPU на 95% и старательно майня Monero на чей-то чужой кошелёк. Прямые убытки, конечно, не гигантские — это в основном оплата электричества и просевшая производительность. Но сам факт того, что посторонний человек проник на ваш сервер и получил права админа, должен, по-моему, очень сильно насторожить и даже напугать.
Сценарий 3 — утечка информации через бывшего сотрудника. Вот уволили, например, сисадмина, а его учётки не отозвали, пароли от VPN и почты забыли сменить. Проходит месяц, и тут выясняется, что половина вашей клиентской базы уже благополучно перекочевала к конкурентам. По моей личной статистике за последние пять лет, семь из десяти «плохих» увольнений заканчиваются именно такой вот утечкой.
Сценарий 4 — это фишинг и компрометация почты. Представьте: в бухгалтерию приходит письмо, якобы «от директора», с просьбой срочно оплатить какой-то счёт. Но реквизиты там подставные, а письмо прилетело с домена, который лишь похож на ваш. Из недавних кейсов: одна компания потеряла 2,4 млн руб. всего за одну такую транзакцию. Жутко, правда?
Сценарий 5 — атака на цепочку поставок. Это когда ваш подрядчик, у которого есть удалённый доступ к вашей системе, сам оказывается скомпрометирован. В итоге через его подключение злоумышленники проникают уже к вам. Защита от такого рода угроз — это, конечно, отдельная, большая история про подрядную безопасность.
Шесть ошибок, из-за которых ломают офисные серверы
Когда я приезжаю проводить аудит к новому клиенту в Москве, то в 8 случаях из 10 я нахожу одни и те же, до боли знакомые проблемы. Сейчас я приведу вам этот честный список. Пройдитесь по нему и проверьте свою собственную инфраструктуру.
- RDP открыт в интернет на стандартном или соседнем порту. 3389, 3390, 3391, 33890 — все эти варианты сканируются ботами за минуты. Просто перенести порт — не защита.
- Учётные записи без двухфакторной аутентификации. Один украденный пароль = полный доступ. 2FA через приложение (Google Authenticator, Яндекс Ключ) убирает 99% риска.
- Один пароль на всё. Админ с паролем «Qwerty2024!» от RDP, того же RDP-сервера и почты. После любой утечки — ломают всё.
- Бэкапов нет, либо они на том же сервере. Шифровальщик зашифровывает и резервные папки тоже. Бэкап обязан быть в другом физическом месте и проверяться на восстановление.
- Уволенные сотрудники сохраняют доступ. Учётки не блокируются, пароли VPN не меняются. Бывший сотрудник полгода свободно ходит в ваши системы.
- Антивирус — единственная мера защиты. Касперский, ESET, Доктор Веб — это полезно, но недостаточно. Современные атаки идут через легальные инструменты, которые антивирус не блокирует.
Если у вас обнаружится хотя бы две из этих проблем, то вы, поверьте мне, реально находитесь в зоне риска. И это не просто «теоретически», а совершенно чётко статистически доказано: компании с такими вот "дырами" в безопасности компрометируются в среднем за 4-8 месяцев.
Защита, которая реально работает: пять уровней
В АйТи Фреш мы строим нашу защиту, придерживаясь принципа «эшелонированной обороны». Смысл простой: если один уровень пробьют, то остальные обязательно удержат удар. Ниже я привожу вам укрупнённую схему. Могу сказать точно: для любого офиса на 10-50 ПК это абсолютно рабочий шаблон.
| Уровень | Что защищает | Что используем |
|---|---|---|
| 1. Периметр сети | Внешний доступ к серверам | VPN (WireGuard / OpenConnect), межсетевой экран Mikrotik |
| 2. Аутентификация | Вход в системы | Двухфакторка, политики паролей, отзыв учёток |
| 3. Сетевая сегментация | Распространение атаки внутри | VLAN, ограничение трафика между подсетями |
| 4. Защита конечных точек | Сервер и рабочие места | Антивирус, EDR, ограничение прав, обновления |
| 5. Бэкап и восстановление | Последняя линия обороны | 3-2-1, оффлайн-копии, тесты восстановления |
Давайте теперь я пройдусь по каждому уровню защиты, применительно к практике. Так вам будет проще проверить, насколько хорошо всё это закрыто у вас.
Уровень 1. Периметр: VPN — это база
Запомните главное правило 2026 года: в интернет наружу не должен «смотреть» ни один из ваших корпоративных сервисов управления. Это касается всего: ни RDP, ни SSH, ни админка 1С, ни админка коммутатора, ни веб-интерфейс NAS. Доступ ко всему этому должен осуществляться исключительно через VPN.
Что мы ставим клиентам в АйТи Фреш:
- WireGuard на маршрутизаторе Mikrotik — для офисов, где нужна простая VPN на 5-30 пользователей. Скорость, лёгкость в обслуживании, бесплатно. Стоит развернуть один раз, потом пользователи с приложением подключаются за 10 секунд.
- OpenConnect / Cisco AnyConnect — для компаний с более серьёзными требованиями к корпоративному стандарту. Чуть дороже в настройке, но интегрируется с Active Directory, журналируется, работает на любых клиентах.
- 3X-UI с Reality — на случай, если основной VPN-протокол начнут блокировать. Запасной канал, который маскируется под обычный HTTPS-трафик и работает там, где не работает остальное.
Базовая настройка межсетевого экрана у нас такая: весь входящий трафик из интернета полностью запрещён. Исключение — только явно разрешённые порты. Обычно это 443 для сайта вашей компании, 80 для редиректа, а также 25/465/587 для почты, если она находится внутри офиса. Всё остальное должно быть наглухо закрыто. А RDP, SSH, MS SQL, MySQL — выводить наружу нельзя ни в коем случае.
Уровень 2. Аутентификация: двухфакторка обязательна
Один пароль — это уже не считается надёжной аутентификацией в 2026 году. Это скорее формальность, которую взламывают за считанные минуты. Вот что должно быть обязательно у любой уважающей себя компании:
- 2FA на VPN. WireGuard сам по себе не имеет 2FA, но подключение организуется так, что после VPN всё равно нужно второе подтверждение для входа в RDP / 1С / почту.
- 2FA на корпоративную почту. Яндекс 360 Бизнес, Mail.ru — у всех в админке включается одной галочкой. Стоит ноль рублей.
- 2FA на RDP. Ставится через DUO, Rohos, MultiFactor — стоит от 80 руб./пользователь/мес. Дёшево, эффективно.
- Менеджер паролей для всех сотрудников. Bitwarden Server (self-hosted) или KeePass с общим хранилищем на NAS. Один пароль на всё — преступление 2010-х, которое в 2026-м всё ещё встречается.
- Регулярный отзыв учёток уволенных. У меня правило: блокировка учётки сотрудника происходит до его последнего рабочего дня, а не после. Передаются дела, потом блокируется доступ.
Уровень 3. Сегментация сети: «бухгалтерия не видит производство»
Возьмём типичный офис на 30 человек: обычно там одна плоская сеть 192.168.0.0/24, где все видят всех. Что происходит? Бухгалтер случайно подцепил шифровальщик через флешку, и за один час пострадали все 30 машин, да ещё и сервер в придачу. Это же просто катастрофа!
А правильно — разделить сеть на сегменты по функциям. Минимум:
- Серверный сегмент — туда из общих ПК идут только нужные порты (1С — 1540, файловая шара — 445, печать — 9100). Всё остальное запрещено.
- Сегмент рабочих станций — обычные офисные ПК.
- Сегмент гостевого Wi-Fi — полностью изолирован от корпоративной сети, имеет только выход в интернет.
- Сегмент IoT (камеры, IP-телефоны, принтеры) — отдельно, потому что на этих железках обновлений безопасности почти нет, и через них часто заходят.
Сделать это можно с помощью VLAN на вашем корпоративном коммутаторе и, конечно, правил в маршрутизаторе. Например, комплект Mikrotik CRS328 + RouterBoard обойдётся вам до 50 тыс. руб. на офис и полностью решит эту задачу. Коммутаторы TP-Link Easy Smart за 8 тыс. руб. тоже подойдут для этих целей.
Уровень 4. Защита конечных точек: что должно быть на сервере и ПК
Здесь тот самый «антивирус», но не только он. На каждом сервере и рабочей станции:
- Антивирус корпоративного класса — Kaspersky Endpoint Security, Dr.Web Enterprise, ESET Endpoint Protection. Управляется централизованно, обновляется автоматически. Бытовой Касперский «Стандарт» с маркета — не подходит для офиса.
- Регулярные обновления Windows и софта — через WSUS или скрипт раз в месяц. Не «когда вспомним», а по расписанию.
- Принцип минимальных прав — у бухгалтера нет прав администратора на ноутбуке, у пользователя 1С нет прав sysadmin в SQL Server. Дороже в настройке, в разы безопаснее.
- Отключение лишних служб — на сервере 1С не должно быть IIS, FTP, SMB v1, RDP-Listener на стандартном порту. Каждая ненужная служба — лишняя дверь.
- Журналирование — события безопасности (входы, изменения учёток, попытки доступа) пишутся в журнал, а лучше — в централизованный сборщик логов.
Для офисов, где работает от 25 ПК, мы дополнительно внедряем систему класса EDR. Она не просто ловит вирусы по сигнатурам, а отслеживает аномальное поведение. Это уже по-настоящему реальная защита от тех угроз, которые обычный антивирус просто не видит. Стоит такое решение от 350 руб./устройство/мес.
Уровень 5. Бэкап — последняя линия обороны
Если все предыдущие уровни пробиты — именно бэкап решает, разоритесь вы или восстановитесь за день. Правило 3-2-1:
- 3 копии данных (оригинал + 2 резерва).
- 2 разных типа носителя (диск + лента, или диск + облако).
- 1 копия за пределами офиса (облако или физически другая локация).
Для типового офиса 25 ПК с сервером 1С это:
- Ежедневный бэкап базы 1С на отдельный диск сервера + еженедельный полный — на NAS или второй сервер.
- Ежедневная репликация бэкапа в облако (Яндекс Object Storage, СберКлауд) — стоит 3-7 тыс. руб./мес за 1-3 ТБ.
- Хотя бы раз в квартал — учебное восстановление: берём бэкап, поднимаем на тестовом сервере, проверяем, что всё работает. Без этого вы не знаете, рабочие ли у вас бэкапы.
И ещё один крайне важный момент: бэкапы ни в коем случае не должны быть доступны с того же аккаунта, что и основная, продуктивная система. Мы знаем случаи, когда шифровальщики находили облачные ключи прямо в системе, спокойно заходили по ним и, что самое страшное, шифровали и сами бэкапы. Гораздо надёжнее использовать отдельную учётку с правами «только на запись».
Реальный кейс: компания, которая успела
В декабре 2025-го ко мне обратилась одна торговая компания из Алтуфьево, у них работает 28 человек. А буквально за неделю до этого их сосед по этажу, тоже торговая фирма, стал жертвой шифровальщика. Они потеряли абсолютно всё: 1С, базу клиентов, весь документооборот. Восстановление обошлось им в космические 2,8 млн руб., и часть данных, к сожалению, так и не удалось вернуть.
Я приехал к ним, провёл двухдневный аудит. И что я там обнаружил? Ну, как обычно, стандартный набор проблем: RDP был открыт в интернет на 33390-м порту, бэкапы хранились только на том же сервере, антивирус Касперский стоял 11-й версии (поддержка которой, кстати, закончилась ещё год назад), и один-единственный общий пароль на всю админку. В общем, мы сделали следующее:
- Поставили Mikrotik с WireGuard, выключили RDP в интернет полностью. Удалёнщики работают через VPN.
- Включили 2FA на VPN, RDP и корпоративной почте Яндекс.
- Обновили антивирус до Kaspersky Endpoint Security 12, настроили централизованное управление.
- Развернули Veeam Backup, ежедневный бэкап на второй NAS + еженедельная отправка в Яндекс Object Storage.
- Сегментировали сеть: 1С-сервер, бухгалтерия, общие ПК, IoT — четыре VLAN.
Что касается стоимости: разовые работы обошлись в 165 тыс. руб., плюс 11 800 руб./мес за постоянную поддержку. И вот результат: уже через две недели на тот же VDS прилетела попытка атаки. Но RDP был закрыт, VPN держал защиту, и шифровальщик просто не смог пробраться. Клиент был так доволен, что потом сам попросил меня рассказать соседу, как им тоже всё это организовать.
Сколько стоит безопасность и сколько стоит её отсутствие
Чтобы вам было проще расставить приоритеты, я привожу свою стандартную смету для типичного офиса на 25 ПК с одним сервером 1С на 2026 год:
| Услуга | Разово | Ежемесячно |
|---|---|---|
| VPN-шлюз WireGuard на Mikrotik | 22 000 ₽ | — |
| Настройка 2FA для всех сервисов | 18 000 ₽ | от 2 500 ₽ (лицензии) |
| Сегментация сети, VLAN | 35 000 ₽ | — |
| Корпоративный антивирус 25 лицензий | — | от 4 500 ₽ |
| Бэкап Veeam + облачное хранение | 28 000 ₽ | от 5 500 ₽ |
| Ежемесячный аудит безопасности | — | от 8 000 ₽ |
| ИТОГО | 103 000 ₽ | 20 500 ₽ |
Просто для сравнения: средний счёт за восстановление после успешной атаки шифровальщика на офис с 20-30 ПК, по моей практике, колеблется от 800 тыс. до 4 млн руб. Плюс к этому добавьте простой бизнеса, который может затянуться на 5-15 рабочих дней. Получается, что защита окупает себя одним предотвращённым инцидентом на десять лет вперёд. Впечатляет, правда?
Бесплатный аудит безопасности вашего офиса
Я готов лично приехать в ваш офис в Москве или в радиусе 50 км от МКАД и за 2-3 рабочих дня провести полный аудит безопасности по этому чек-листу. В итоге вы получите подробный письменный отчёт со всеми найденными уязвимостями, оценкой рисков и, конечно, стоимостью их устранения. И, что важно, никаких обязательств с вашей стороны.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы IT-директоров о защите серверов
- Как часто атакуют корпоративный сервер с белым IP?
- В среднем 5-15 тысяч попыток подбора пароля в сутки. RDP на стандартном 3389-м порту — главная цель: до 80% всех атак. Это ежедневная реальность для любого внешнего сервера.
- Что делать, если зашифровали сервер с 1С?
- Не платить выкуп. Изолировать сервер от сети, сделать побайтовую копию диска, восстановиться из последнего рабочего бэкапа. Если бэкапов нет — нужен профессиональный аудит и попытки восстановления через специализированные сервисы.
- Можно ли защитить RDP без VPN?
- Технически — да, через перенос порта, 2FA и ограничение по IP. На практике для корпоративного сервера это неприемлемый риск. RDP в интернет даже с двухфакторкой ломают через уязвимости протокола. Только VPN.
- Сколько стоит защита сервера 1С от взлома?
- Базовая настройка безопасности — разово 35-65 тыс. руб. Постоянный мониторинг — от 8 тыс. руб./мес. В десятки раз дешевле восстановления после атаки.
- Антивирус Касперского защитит от шифровальщика?
- Не полностью. Современные шифровальщики обходят антивирусы через легальные инструменты. Антивирус — один слой защиты. Нужны ограничение прав, отключение опасных служб, сегментация сети, регулярные бэкапы.
