· 13 мин чтения

Защита сервера офиса от взлома: чек-лист для IT-директора 2026

Защита сервера офиса от взлома: чек-лист для IT-директора 2026

Привет! Я, Семёнов Евгений Сергеевич, директор компании АйТи Фреш. Знаете, какая закономерность? Каждый второй наш новый клиент обращается к нам только после того, как у него уже что-то сломали, зашифровали или, того хуже, вынесли данные. И, что самое интересное, до этого момента каждый второй из них был на 100% уверен: «Да у нас же стоит Касперский! Что нам, собственно, угрожает?» В этой статье я постараюсь простыми словами, без всякой заумной технической "воды", разложить по полочкам, с какими реальными угрозами для офисного сервера мы сталкиваемся в 2026 году здесь, в Москве, и что с ними, наконец, делать. Это информация для IT-директора, которому нужно принять взвешенное решение, а не сидеть до полуночи, пытаясь настроить fail2ban.

Реальная картина: что происходит каждый день

Вот живой пример: в январе 2026-го я взял под наблюдение один совершенно обычный VDS клиента. Это был стандартный сервер 1С на Windows Server 2022, который установили в дата-центр Selectel всего пару недель назад. Я просто заглянул в его логи безопасности за одни сутки. И то, что я там увидел, меня, честно говоря, не удивило:

Представьте: это всего за одни сутки! На сервере, который, казалось бы, ничем не выделяется. Для вездесущих ботов в интернете нет разницы между «большими» и «маленькими» компаниями. Для них существуют только IP-адреса. Эти адреса сканируются автоматически, без перерыва, 24/7. Так что, если у вашей фирмы есть хотя бы один внешний сервер с белым IP — будьте уверены, его атакуют точно так же, как и этот.

Чем реально ломают и зачем

За все пятнадцать лет, что я работаю в АйТи Фреш, я, к сожалению, насмотрелся на десятки успешных атак на офисы с 10-50 ПК. Я обычно делю их по сценариям, потому что для каждого из них требуется своя, особенная защита.

Сценарий 1. Шифровальщик через RDP. Самый частый. У клиента сервер 1С с RDP в интернет — чтобы бухгалтер работала из дома. Атакующий подбирает пароль к учётке, заходит, отключает антивирус, шифрует все диски и оставляет требование выкупа. Цена восстановления: от 800 тыс. руб., если бэкапы есть; от 3 млн руб., если бэкапов нет.

Сценарий 2 — это когда на сервере поселяется майнер. Клиент звонит в панике: «Евгений, сервер тормозит, а 1С вообще тупит нещадно!» Приезжаю, смотрю — а там крутятся три процесса xmrig, загружая CPU на 95% и старательно майня Monero на чей-то чужой кошелёк. Прямые убытки, конечно, не гигантские — это в основном оплата электричества и просевшая производительность. Но сам факт того, что посторонний человек проник на ваш сервер и получил права админа, должен, по-моему, очень сильно насторожить и даже напугать.

Сценарий 3 — утечка информации через бывшего сотрудника. Вот уволили, например, сисадмина, а его учётки не отозвали, пароли от VPN и почты забыли сменить. Проходит месяц, и тут выясняется, что половина вашей клиентской базы уже благополучно перекочевала к конкурентам. По моей личной статистике за последние пять лет, семь из десяти «плохих» увольнений заканчиваются именно такой вот утечкой.

Сценарий 4 — это фишинг и компрометация почты. Представьте: в бухгалтерию приходит письмо, якобы «от директора», с просьбой срочно оплатить какой-то счёт. Но реквизиты там подставные, а письмо прилетело с домена, который лишь похож на ваш. Из недавних кейсов: одна компания потеряла 2,4 млн руб. всего за одну такую транзакцию. Жутко, правда?

Сценарий 5 — атака на цепочку поставок. Это когда ваш подрядчик, у которого есть удалённый доступ к вашей системе, сам оказывается скомпрометирован. В итоге через его подключение злоумышленники проникают уже к вам. Защита от такого рода угроз — это, конечно, отдельная, большая история про подрядную безопасность.

Шесть ошибок, из-за которых ломают офисные серверы

Когда я приезжаю проводить аудит к новому клиенту в Москве, то в 8 случаях из 10 я нахожу одни и те же, до боли знакомые проблемы. Сейчас я приведу вам этот честный список. Пройдитесь по нему и проверьте свою собственную инфраструктуру.

Если у вас обнаружится хотя бы две из этих проблем, то вы, поверьте мне, реально находитесь в зоне риска. И это не просто «теоретически», а совершенно чётко статистически доказано: компании с такими вот "дырами" в безопасности компрометируются в среднем за 4-8 месяцев.

Защита, которая реально работает: пять уровней

В АйТи Фреш мы строим нашу защиту, придерживаясь принципа «эшелонированной обороны». Смысл простой: если один уровень пробьют, то остальные обязательно удержат удар. Ниже я привожу вам укрупнённую схему. Могу сказать точно: для любого офиса на 10-50 ПК это абсолютно рабочий шаблон.

УровеньЧто защищаетЧто используем
1. Периметр сетиВнешний доступ к серверамVPN (WireGuard / OpenConnect), межсетевой экран Mikrotik
2. АутентификацияВход в системыДвухфакторка, политики паролей, отзыв учёток
3. Сетевая сегментацияРаспространение атаки внутриVLAN, ограничение трафика между подсетями
4. Защита конечных точекСервер и рабочие местаАнтивирус, EDR, ограничение прав, обновления
5. Бэкап и восстановлениеПоследняя линия обороны3-2-1, оффлайн-копии, тесты восстановления

Давайте теперь я пройдусь по каждому уровню защиты, применительно к практике. Так вам будет проще проверить, насколько хорошо всё это закрыто у вас.

Уровень 1. Периметр: VPN — это база

Запомните главное правило 2026 года: в интернет наружу не должен «смотреть» ни один из ваших корпоративных сервисов управления. Это касается всего: ни RDP, ни SSH, ни админка 1С, ни админка коммутатора, ни веб-интерфейс NAS. Доступ ко всему этому должен осуществляться исключительно через VPN.

Что мы ставим клиентам в АйТи Фреш:

Базовая настройка межсетевого экрана у нас такая: весь входящий трафик из интернета полностью запрещён. Исключение — только явно разрешённые порты. Обычно это 443 для сайта вашей компании, 80 для редиректа, а также 25/465/587 для почты, если она находится внутри офиса. Всё остальное должно быть наглухо закрыто. А RDP, SSH, MS SQL, MySQL — выводить наружу нельзя ни в коем случае.

Уровень 2. Аутентификация: двухфакторка обязательна

Один пароль — это уже не считается надёжной аутентификацией в 2026 году. Это скорее формальность, которую взламывают за считанные минуты. Вот что должно быть обязательно у любой уважающей себя компании:

Уровень 3. Сегментация сети: «бухгалтерия не видит производство»

Возьмём типичный офис на 30 человек: обычно там одна плоская сеть 192.168.0.0/24, где все видят всех. Что происходит? Бухгалтер случайно подцепил шифровальщик через флешку, и за один час пострадали все 30 машин, да ещё и сервер в придачу. Это же просто катастрофа!

А правильно — разделить сеть на сегменты по функциям. Минимум:

Сделать это можно с помощью VLAN на вашем корпоративном коммутаторе и, конечно, правил в маршрутизаторе. Например, комплект Mikrotik CRS328 + RouterBoard обойдётся вам до 50 тыс. руб. на офис и полностью решит эту задачу. Коммутаторы TP-Link Easy Smart за 8 тыс. руб. тоже подойдут для этих целей.

Уровень 4. Защита конечных точек: что должно быть на сервере и ПК

Здесь тот самый «антивирус», но не только он. На каждом сервере и рабочей станции:

Для офисов, где работает от 25 ПК, мы дополнительно внедряем систему класса EDR. Она не просто ловит вирусы по сигнатурам, а отслеживает аномальное поведение. Это уже по-настоящему реальная защита от тех угроз, которые обычный антивирус просто не видит. Стоит такое решение от 350 руб./устройство/мес.

Уровень 5. Бэкап — последняя линия обороны

Если все предыдущие уровни пробиты — именно бэкап решает, разоритесь вы или восстановитесь за день. Правило 3-2-1:

Для типового офиса 25 ПК с сервером 1С это:

И ещё один крайне важный момент: бэкапы ни в коем случае не должны быть доступны с того же аккаунта, что и основная, продуктивная система. Мы знаем случаи, когда шифровальщики находили облачные ключи прямо в системе, спокойно заходили по ним и, что самое страшное, шифровали и сами бэкапы. Гораздо надёжнее использовать отдельную учётку с правами «только на запись».

Реальный кейс: компания, которая успела

В декабре 2025-го ко мне обратилась одна торговая компания из Алтуфьево, у них работает 28 человек. А буквально за неделю до этого их сосед по этажу, тоже торговая фирма, стал жертвой шифровальщика. Они потеряли абсолютно всё: 1С, базу клиентов, весь документооборот. Восстановление обошлось им в космические 2,8 млн руб., и часть данных, к сожалению, так и не удалось вернуть.

Я приехал к ним, провёл двухдневный аудит. И что я там обнаружил? Ну, как обычно, стандартный набор проблем: RDP был открыт в интернет на 33390-м порту, бэкапы хранились только на том же сервере, антивирус Касперский стоял 11-й версии (поддержка которой, кстати, закончилась ещё год назад), и один-единственный общий пароль на всю админку. В общем, мы сделали следующее:

Что касается стоимости: разовые работы обошлись в 165 тыс. руб., плюс 11 800 руб./мес за постоянную поддержку. И вот результат: уже через две недели на тот же VDS прилетела попытка атаки. Но RDP был закрыт, VPN держал защиту, и шифровальщик просто не смог пробраться. Клиент был так доволен, что потом сам попросил меня рассказать соседу, как им тоже всё это организовать.

Сколько стоит безопасность и сколько стоит её отсутствие

Чтобы вам было проще расставить приоритеты, я привожу свою стандартную смету для типичного офиса на 25 ПК с одним сервером 1С на 2026 год:

УслугаРазовоЕжемесячно
VPN-шлюз WireGuard на Mikrotik22 000 ₽
Настройка 2FA для всех сервисов18 000 ₽от 2 500 ₽ (лицензии)
Сегментация сети, VLAN35 000 ₽
Корпоративный антивирус 25 лицензийот 4 500 ₽
Бэкап Veeam + облачное хранение28 000 ₽от 5 500 ₽
Ежемесячный аудит безопасностиот 8 000 ₽
ИТОГО103 000 ₽20 500 ₽

Просто для сравнения: средний счёт за восстановление после успешной атаки шифровальщика на офис с 20-30 ПК, по моей практике, колеблется от 800 тыс. до 4 млн руб. Плюс к этому добавьте простой бизнеса, который может затянуться на 5-15 рабочих дней. Получается, что защита окупает себя одним предотвращённым инцидентом на десять лет вперёд. Впечатляет, правда?

Бесплатный аудит безопасности вашего офиса

Я готов лично приехать в ваш офис в Москве или в радиусе 50 км от МКАД и за 2-3 рабочих дня провести полный аудит безопасности по этому чек-листу. В итоге вы получите подробный письменный отчёт со всеми найденными уязвимостями, оценкой рисков и, конечно, стоимостью их устранения. И, что важно, никаких обязательств с вашей стороны.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы IT-директоров о защите серверов

Как часто атакуют корпоративный сервер с белым IP?
В среднем 5-15 тысяч попыток подбора пароля в сутки. RDP на стандартном 3389-м порту — главная цель: до 80% всех атак. Это ежедневная реальность для любого внешнего сервера.
Что делать, если зашифровали сервер с 1С?
Не платить выкуп. Изолировать сервер от сети, сделать побайтовую копию диска, восстановиться из последнего рабочего бэкапа. Если бэкапов нет — нужен профессиональный аудит и попытки восстановления через специализированные сервисы.
Можно ли защитить RDP без VPN?
Технически — да, через перенос порта, 2FA и ограничение по IP. На практике для корпоративного сервера это неприемлемый риск. RDP в интернет даже с двухфакторкой ломают через уязвимости протокола. Только VPN.
Сколько стоит защита сервера 1С от взлома?
Базовая настройка безопасности — разово 35-65 тыс. руб. Постоянный мониторинг — от 8 тыс. руб./мес. В десятки раз дешевле восстановления после атаки.
Антивирус Касперского защитит от шифровальщика?
Не полностью. Современные шифровальщики обходят антивирусы через легальные инструменты. Антивирус — один слой защиты. Нужны ограничение прав, отключение опасных служб, сегментация сети, регулярные бэкапы.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.