Защита сервера офиса от взлома: чек-лист для IT-директора 2026
Я Семёнов Евгений Сергеевич, директор АйТи Фреш. Каждый второй новый клиент в АйТи Фреш приходит после того, как у него уже что-то сломали, зашифровали или вынесли. Каждый второй из них до этого был уверен, что «у нас же стоит Касперский, что нам угрожает». В этой статье я разложу по полочкам, какие реальные угрозы есть для офисного сервера в 2026 году в Москве и что с ними делать. Без излишней технической нудятины — для IT-директора, который должен принять решение, а не сам ставить fail2ban в полночь.
Реальная картина: что происходит каждый день
В январе 2026 года я взял один типичный VDS клиента — обычный сервер 1С на Windows Server 2022, поставленный в дата-центр Selectel две недели назад. Просто посмотрел логи безопасности за сутки. Вот что было:
- 11 247 попыток подбора пароля на RDP (порт 3389, потом 3390).
- 3 412 попыток входа на SSH (хотя SSH на Windows-сервере не было — атаковали порт «на всякий случай»).
- 847 запросов к /wp-admin, /admin, /phpmyadmin (хотя на сервере нет ни WordPress, ни PHP).
- 42 уникальных страны атаковали — от Китая и Вьетнама до Бразилии и Нидерландов.
И это за одни сутки на сервере, который ничем не примечателен. Для боты в интернете нет «больших» и «маленьких» компаний — есть IP-адреса, которые сканируются автоматически 24/7. Если у вашей компании есть хоть один внешний сервер с белым IP — он атакуется ровно так же, прямо сейчас.
Чем реально ломают и зачем
За пятнадцать лет работы в АйТи Фреш я видел десятки случаев успешных атак на офисы 10-50 ПК. Делю их по сценариям, потому что защита от каждого — своя.
Сценарий 1. Шифровальщик через RDP. Самый частый. У клиента сервер 1С с RDP в интернет, чтобы бухгалтер из дома работала. Атакующий подбирает пароль к учётке, заходит, отключает антивирус, шифрует все диски и оставляет требование выкупа. Цена восстановления: от 800 тыс. руб., если есть бэкапы; от 3 млн руб., если бэкапов нет.
Сценарий 2. Майнер на сервере. Клиент жалуется: «Сервер тормозит, 1С тупит». Прихожу, вижу — на сервере крутятся три процесса xmrig, грузят CPU на 95%, майнят Monero на чужой кошелёк. Убытки прямые небольшие — оплата электричества и снос производительности — но факт того, что чужой человек был у вас на сервере с правами админа, должен пугать.
Сценарий 3. Утечка через бывшего сотрудника. Уволили сисадмина, не отозвали его учётки, не сменили пароли VPN и почты. Через месяц обнаруживается, что половина клиентской базы оказалась у конкурента. По моей статистике за пять лет: семь случаев из десяти увольнений «по плохому» заканчиваются такой утечкой.
Сценарий 4. Фишинг и компрометация почты. Бухгалтерия получает письмо «от директора» с просьбой срочно оплатить счёт. Реквизиты подставные, письмо ушло с похожего домена. Из недавних кейсов — компания потеряла 2,4 млн руб. за одну транзакцию.
Сценарий 5. Атака на цепочку поставок. Подрядчик с удалённым доступом к вашей системе сам оказался скомпрометирован. Через его подключение зашли к вам. Защита здесь — отдельная история про подрядную безопасность.
Шесть ошибок, из-за которых ломают офисные серверы
Когда я приезжаю на аудит к новому клиенту в Москве, в 8 случаях из 10 нахожу одни и те же проблемы. Привожу честный список — посмотрите по своей инфраструктуре.
- RDP открыт в интернет на стандартном или соседнем порту. 3389, 3390, 3391, 33890 — все эти варианты сканируются ботами за минуты. Просто перенести порт — не защита.
- Учётные записи без двухфакторной аутентификации. Один украденный пароль = полный доступ. 2FA через приложение (Google Authenticator, Яндекс Ключ) убирает 99% риска.
- Один пароль на всё. Админ с паролем «Qwerty2024!» от RDP, того же RDP-сервера и почты. После любой утечки — ломают всё.
- Бэкапов нет, либо они на том же сервере. Шифровальщик зашифровывает и резервные папки тоже. Бэкап обязан быть в другом физическом месте и проверяться на восстановление.
- Уволенные сотрудники сохраняют доступ. Учётки не блокируются, пароли VPN не меняются. Бывший сотрудник полгода свободно ходит в ваши системы.
- Антивирус — единственная мера защиты. Касперский, ESET, Доктор Веб — это полезно, но недостаточно. Современные атаки идут через легальные инструменты, которые антивирус не блокирует.
Если у вас хотя бы две из этих проблем — вы реально в зоне риска. Не «теоретически», а статистически: компании с такими дырами компрометируются в среднем за 4-8 месяцев.
Защита, которая реально работает: пять уровней
В АйТи Фреш мы строим защиту по принципу «эшелонированной обороны»: даже если один уровень пробьют, остальные держат. Привожу укрупнённую схему — для каждого офиса 10-50 ПК это рабочий шаблон.
| Уровень | Что защищает | Что используем |
|---|---|---|
| 1. Периметр сети | Внешний доступ к серверам | VPN (WireGuard / OpenConnect), межсетевой экран Mikrotik |
| 2. Аутентификация | Вход в системы | Двухфакторка, политики паролей, отзыв учёток |
| 3. Сетевая сегментация | Распространение атаки внутри | VLAN, ограничение трафика между подсетями |
| 4. Защита конечных точек | Сервер и рабочие места | Антивирус, EDR, ограничение прав, обновления |
| 5. Бэкап и восстановление | Последняя линия обороны | 3-2-1, оффлайн-копии, тесты восстановления |
Дальше расскажу про каждый уровень практически, чтобы вы могли проверить, насколько у вас всё это закрыто.
Уровень 1. Периметр: VPN — это база
Главное правило 2026 года: в интернет наружу не должен смотреть ни один корпоративный сервис управления. Ни RDP, ни SSH, ни админка 1С, ни админка коммутатора, ни веб-интерфейс NAS. Доступ ко всему этому — только через VPN.
Что мы ставим клиентам в АйТи Фреш:
- WireGuard на маршрутизаторе Mikrotik — для офисов, где нужна простая VPN на 5-30 пользователей. Скорость, лёгкость в обслуживании, бесплатно. Стоит развернуть один раз, потом пользователи с приложением подключаются за 10 секунд.
- OpenConnect / Cisco AnyConnect — для компаний с более серьёзными требованиями к корпоративному стандарту. Чуть дороже в настройке, но интегрируется с Active Directory, журналируется, работает на любых клиентах.
- 3X-UI с Reality — на случай, если основной VPN-протокол начнут блокировать. Запасной канал, который маскируется под обычный HTTPS-трафик и работает там, где не работает остальное.
Базовая настройка межсетевого экрана: входящий трафик из интернета — запрещён весь, кроме явно разрешённых портов (обычно 443 для веб-сайта компании, 80 для редиректа, 25/465/587 для почты, если она внутри офиса). Всё остальное — закрыто. RDP, SSH, MS SQL, MySQL — наружу ни в коем случае.
Уровень 2. Аутентификация: двухфакторка обязательна
Один пароль — это не аутентификация в 2026 году. Это формальность, которую пробивают за минуты. Что должно быть у любой компании:
- 2FA на VPN. WireGuard сам по себе не имеет 2FA, но подключение организуется так, что после VPN всё равно нужно второе подтверждение для входа в RDP / 1С / почту.
- 2FA на корпоративную почту. Яндекс 360 Бизнес, Mail.ru — у всех в админке включается одной галочкой. Стоит ноль рублей.
- 2FA на RDP. Ставится через DUO, Rohos, MultiFactor — стоит от 80 руб./пользователь/мес. Дёшево, эффективно.
- Менеджер паролей для всех сотрудников. Bitwarden Server (self-hosted) или KeePass с общим хранилищем на NAS. Один пароль на всё — преступление 2010-х, которое в 2026-м всё ещё встречается.
- Регулярный отзыв учёток уволенных. У меня правило: блокировка учётки сотрудника происходит до его последнего рабочего дня, а не после. Передаются дела, потом блокируется доступ.
Уровень 3. Сегментация сети: «бухгалтерия не видит производство»
Типичный офис 30 человек: одна плоская сеть 192.168.0.0/24, все видят всех. Бухгалтер случайно подцепил шифровальщик через флешку — за час пострадали все 30 машин и сервер. Это плохо.
Правильно: разделить сеть на сегменты по функциям. Минимум:
- Серверный сегмент — туда из общих ПК идут только нужные порты (1С — 1540, файловая шара — 445, печать — 9100). Всё остальное запрещено.
- Сегмент рабочих станций — обычные офисные ПК.
- Сегмент гостевого Wi-Fi — полностью изолирован от корпоративной сети, имеет только выход в интернет.
- Сегмент IoT (камеры, IP-телефоны, принтеры) — отдельно, потому что на этих железках обновлений безопасности почти нет, и через них часто заходят.
Делается через VLAN на корпоративном коммутаторе и правила в маршрутизаторе. Mikrotik CRS328 + RouterBoard — стоит до 50 тыс. руб. на офис, выполняет всю задачу. На коммутаторах TP-Link Easy Smart за 8 тыс. руб. — туда же.
Уровень 4. Защита конечных точек: что должно быть на сервере и ПК
Здесь тот самый «антивирус», но не только. На каждом сервере и рабочей станции:
- Антивирус корпоративного класса — Kaspersky Endpoint Security, Dr.Web Enterprise, ESET Endpoint Protection. Управляется централизованно, обновляется автоматически. Бытовой Касперский «Стандарт» с маркета — не подходит для офиса.
- Регулярные обновления Windows и софта — через WSUS или скрипт раз в месяц. Не «когда вспомним», а по расписанию.
- Принцип минимальных прав — у бухгалтера нет прав администратора на ноутбуке, у пользователя 1С нет прав sysadmin в SQL Server. Дороже в настройке, в разы безопаснее.
- Отключение лишних служб — на сервере 1С не должно быть IIS, FTP, SMB v1, RDP-Listener на стандартном порту. Каждая ненужная служба — лишняя дверь.
- Журналирование — события безопасности (входы, изменения учёток, попытки доступа) пишутся в журнал, а лучше — в централизованный сборщик логов.
Для офисов от 25 ПК мы дополнительно ставим систему класса EDR — она ловит не вирусы по сигнатурам, а аномальное поведение. Это уже реальная защита от того, чего антивирус не видит. Стоит от 350 руб./устройство/мес.
Уровень 5. Бэкап — последняя линия обороны
Если все предыдущие уровни прошиблены — бэкап решает, разоритесь вы или восстановитесь за день. Правило 3-2-1:
- 3 копии данных (оригинал + 2 резерва).
- 2 разных типа носителя (диск + лента, или диск + облако).
- 1 копия за пределами офиса (облако или физически другая локация).
Для типового офиса 25 ПК с сервером 1С это:
- Ежедневный бэкап базы 1С на отдельный диск сервера + еженедельный полный — на NAS или второй сервер.
- Ежедневная репликация бэкапа в облако (Яндекс Object Storage, СберКлауд) — стоит 3-7 тыс. руб./мес за 1-3 ТБ.
- Хотя бы раз в квартал — учебное восстановление: берём бэкап, поднимаем на тестовом сервере, проверяем, что всё работает. Без этого вы не знаете, рабочие ли у вас бэкапы.
Дополнительный важный момент: бэкапы не должны быть доступны с того же аккаунта, что и продуктивная система. У шифровальщика были случаи, когда он находил облачные ключи в системе, заходил по ним и шифровал бэкапы тоже. Лучше отдельная учётка с правами «только запись».
Реальный кейс: компания, которая успела
В декабре 2025 года ко мне обратилась торговая компания из Алтуфьево, 28 человек. Их сосед по этажу — тоже торговая фирма — за неделю до этого попал на шифровальщик: потеряли 1С, базу клиентов, документооборот. Восстановление обошлось в 2,8 млн руб., часть данных не вернули вообще.
Я приехал, провёл двухдневный аудит. Нашёл стандартный набор: RDP в интернет на 33390-м порту, бэкапы только на сервере, антивирус Касперский 11-й версии (поддержка кончилась год назад), один общий пароль на админку. Сделали:
- Поставили Mikrotik с WireGuard, выключили RDP в интернет полностью. Удалёнщики работают через VPN.
- Включили 2FA на VPN, RDP и корпоративной почте Яндекс.
- Обновили антивирус до Kaspersky Endpoint Security 12, настроили централизованное управление.
- Развернули Veeam Backup, ежедневный бэкап на второй NAS + еженедельная отправка в Яндекс Object Storage.
- Сегментировали сеть: 1С-сервер, бухгалтерия, общие ПК, IoT — четыре VLAN.
Стоимость: 165 тыс. руб. разовых работ + 11 800 руб./мес постоянная поддержка. Через две недели на тот же VDS пришла попытка атаки — RDP закрыт, VPN держит. Шифровальщик не зашёл. Клиент просил рассказать соседу, как всё это устроить.
Сколько стоит безопасность и сколько стоит её отсутствие
Чтобы расставить приоритеты, привожу свою стандартную смету для офиса 25 ПК с одним сервером 1С на 2026 год:
| Услуга | Разово | Ежемесячно |
|---|---|---|
| VPN-шлюз WireGuard на Mikrotik | 22 000 ₽ | — |
| Настройка 2FA для всех сервисов | 18 000 ₽ | от 2 500 ₽ (лицензии) |
| Сегментация сети, VLAN | 35 000 ₽ | — |
| Корпоративный антивирус 25 лицензий | — | от 4 500 ₽ |
| Бэкап Veeam + облачное хранение | 28 000 ₽ | от 5 500 ₽ |
| Ежемесячный аудит безопасности | — | от 8 000 ₽ |
| ИТОГО | 103 000 ₽ | 20 500 ₽ |
Для сравнения, средний счёт за восстановление после успешной атаки шифровальщика на офис 20-30 ПК в моей практике — от 800 тыс. до 4 млн руб., плюс простой бизнеса 5-15 рабочих дней. Защита окупается на одном предотвращённом инциденте за десять лет вперёд.
Бесплатный аудит безопасности вашего офиса
Я лично приеду в ваш офис в Москве или в радиусе 50 км от МКАД, проведу аудит безопасности по этому чек-листу за 2-3 рабочих дня. Получите письменный отчёт с найденными уязвимостями, оценкой рисков и стоимостью устранения. Без обязательств.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы IT-директоров о защите серверов
- Как часто атакуют корпоративный сервер с белым IP?
- В среднем 5-15 тысяч попыток подбора пароля в сутки. RDP на стандартном 3389-м порту — главная цель: до 80% всех атак. Это ежедневная реальность для любого внешнего сервера.
- Что делать, если зашифровали сервер с 1С?
- Не платить выкуп. Изолировать сервер от сети, сделать побайтовую копию диска, восстановиться из последнего рабочего бэкапа. Если бэкапов нет — нужен профессиональный аудит и попытки восстановления через специализированные сервисы.
- Можно ли защитить RDP без VPN?
- Технически — да, через перенос порта, 2FA и ограничение по IP. На практике для корпоративного сервера это неприемлемый риск. RDP в интернет даже с двухфакторкой ломают через уязвимости протокола. Только VPN.
- Сколько стоит защита сервера 1С от взлома?
- Базовая настройка безопасности — разово 35-65 тыс. руб. Постоянный мониторинг — от 8 тыс. руб./мес. В десятки раз дешевле восстановления после атаки.
- Антивирус Касперского защитит от шифровальщика?
- Не полностью. Современные шифровальщики обходят антивирусы через легальные инструменты. Антивирус — один слой защиты. Нужны ограничение прав, отключение опасных служб, сегментация сети, регулярные бэкапы.