AnyDesk, TeamViewer или RustDesk: как настроить удалённый доступ к 1С без риска для бухгалтерии
Раз в квартал мне звонит очередной директор бухгалтерской фирмы и спрашивает: «Женя, у нас главбух из дома через AnyDesk в базу заходит — это вообще нормально?» Отвечаю всегда одинаково: нормально, если настроено руками, а не «как встало из коробки». За пятнадцать лет в аутсорсинге я видел и утечки клиентских баз через дырявый TeamViewer, и компании, которые от страха запретили удалённый доступ вообще и потеряли на этом кучу времени и денег. Ниже — честное сравнение трёх самых популярных программ и конкретные настройки, которые я сам выставляю клиентам, когда подключаю их бухгалтерию к 1С удалённо.
Почему это не паранойя, а вопрос штрафа в 500 000 рублей
База 1С бухгалтерской фирмы — это не просто программа, это ИНН, банковские выписки, зарплатные ведомости десятков клиентов сразу. У одной компании, с которой мы работаем на обслуживании, восемнадцать рабочих мест и база на четыре гигабайта живых персональных данных. Если такая база утечёт через незащищённый удалённый доступ, это не «неприятность», это прямое нарушение 152-ФЗ с штрафом, который после последних поправок для юрлиц может доходить до серьёзных сумм — и это не считая репутационного удара, после которого клиенты просто разбегаются.
Проблема в том, что удалённый доступ настраивают обычно один раз, «чтобы работало», и потом двадцать раз к этому не возвращаются. Ставят TeamViewer, вбивают пароль попроще, чтобы бухгалтер не забывал, и живут с этим годами. А программа за это время обновилась пять раз, изменила логику разрешений, где-то появилась галочка, которая по умолчанию включена и открывает лишнее.
Я специально не буду писать «просто выбирайте программу X» — такого ответа нет. У каждой из трёх есть своя модель угроз, и правильный выбор зависит от того, кто у вас в штате отвечает за IT: свой админ, аутсорсер вроде нас, или никто и бухгалтер сам себе настраивает доступ по инструкции из интернета.
AnyDesk: удобно, дёшево, но дьявол в настройках доступа
AnyDesk — немецкая закрытая разработка, шифрование TLS 1.2, работает быстро даже на слабом канале, это правда удобно для регионов с не самым лучшим интернетом. Но у него есть слабое место, о которое спотыкаются почти все: режим «Unattended Access» — постоянный доступ без подтверждения человека за компьютером. Если на машине бухгалтера включен этот режим с простым паролем, зайти туда может кто угодно, кто перебором или фишингом узнает ID устройства и пароль.
У одного клиента — небольшая юрфирма на двенадцать мест — было именно так: AnyDesk стоял на компьютере бухгалтера с включённым Unattended Access и паролем из шести цифр. В два часа ночи в логах появилась чужая сессия, которая скопировала на флешку выгрузку из 1С. Пароль подобрали банальным брутфорсом за несколько часов, потому что ничего не ограничивало количество попыток входа.
Что нужно включить обязательно: список разрешённых IP или ID в настройках Access Control List — это платная функция начиная с тарифа Standard, но она отрабатывает свою стоимость за один такой инцидент. Плюс двухфакторная аутентификация для входа в личный кабинет AnyDesk, отключение файлового менеджера там, где человеку нужен только просмотр экрана, и обязательная смена пароля unattended-доступа не реже раза в квартал.
TeamViewer: зрелый, но с прошлым, которое стоит помнить
TeamViewer — старожил рынка, и у него в 2016 году была громкая история с массовым перебором старых утекших паролей от других сервисов, из-за которой у пользователей заходили в систему посторонние. С тех пор компания сильно подтянула безопасность: обязательная привязка доверенных устройств, Trusted Devices, полноценный 2FA, а в корпоративной версии — SSO через Azure AD или Google Workspace, что для компании с доменом на Windows Server и так уже настроенной инфраструктурой ложится очень естественно.
Слабое место TeamViewer для малого бизнеса — цена. Лицензия Business стартует от суммы, ощутимой для компании на пятнадцать рабочих мест, а бесплатная версия жёстко банит за «подозрение в коммерческом использовании» — обычно это происходит после третьего-четвёртого подключения за месяц. Экономить на лицензии и подключаться через бесплатный аккаунт для доступа к боевой базе 1С — плохая идея хотя бы потому, что рано или поздно доступ просто заблокируют в разгар отчётного периода.
Если бюджет позволяет, берите тариф с функцией Easy Access и сразу же отключайте временные коды подключения для рабочих машин с 1С — оставляйте только список закреплённых доверенных устройств. И включайте запись сессий: в корпоративном тарифе это есть, и при спорной ситуации — кто заходил в базу и что там делал — запись снимает вопрос за минуту, а не за день переписки с бухгалтером «я туда не заходил».
RustDesk: бесплатно, открытый код, но своя цена за экономию
RustDesk — молодой open-source проект, и главное его отличие от двух предыдущих: можно поднять собственный сервер-релей на своём VPS и не гонять трафик через инфраструктуру чужой компании вообще. Для бухгалтерии, где данные и так под 152-ФЗ, а часть клиентов нервничает из-за того, что зарубежный сервис вообще видит метаданные подключения, это серьёзный плюс. Я разворачивал rustdesk-server клиентам на VPS за триста рублей в месяц — дешевле любой лицензии TeamViewer в разы.
Но бесплатность и открытый код — не синоним безопасности из коробки. Если пользоваться публичным сервером-релеем от самих разработчиков RustDesk, а не своим, то доверия к каналу столько же, сколько к бесплатному AnyDesk, а иногда меньше — у публичного релея RustDesk просто не такая обширная история независимых аудитов безопасности, как у TeamViewer.
Правильная схема — только self-hosted: свой hbbs и hbbr на защищённом сервере, закрытые фаерволом порты кроме нужных, доступ по ключу, а не по паролю из шести символов. Это требует администратора, который умеет работать с Linux и держать сервер в актуальном состоянии — то есть RustDesk хорош там, где либо есть свой IT-специалист, либо есть подрядчик на обслуживании, а не там, где бухгалтер сам себе всё разворачивает по гайду с YouTube.
Так что выбрать конкретно для 1С
Если у вас нет своего IT и обслуживания на аутсорсе, а бюджет ограничен — берите AnyDesk с платным тарифом Standard ради ACL по IP, обязательно с 2FA на аккаунт. Это компромисс между ценой и контролем, который закрывает восемьдесят процентов рисков для компании до пятнадцати-двадцати рабочих мест.
Если компания крупнее, есть домен на Windows Server, требования комплаенса и бюджет на нормальную корпоративную лицензию — TeamViewer Corporate с SSO и списком доверенных устройств. Это самый зрелый вариант с точки зрения аудита: любой проверяющий по 152-ФЗ примет журналы TeamViewer Corporate без вопросов.
Если у вас есть свой сервер или обслуживающий подрядчик и вы хотите максимальный контроль над тем, куда физически идёт трафик — RustDesk с собственным self-hosted релеем. Дешевле всех вариантов при равном или большем уровне контроля, но требует, чтобы кто-то реально следил за сервером, а не просто один раз поднял и забыл.
Пять настроек, которые обязательны вне зависимости от программы
Двухфакторная аутентификация на учётную запись самой программы удалённого доступа — не на Windows, а именно на аккаунт AnyDesk, TeamViewer или панель управления RustDesk-сервером. Это первый барьер, который останавливает девять перебор из десяти ещё до того, как злоумышленник увидел рабочий стол.
Белый список IP-адресов или доверенных устройств там, где это возможно технически. Бухгалтер обычно подключается из одних и тех же двух-трёх мест — из дома и из офиса. Всё остальное — подозрительно и должно требовать ручного подтверждения.
Отключение передачи файлов и буфера обмена на машинах, где стоит только 1С и больше ничего критичного не нужно копировать наружу. Большинство утечек через удалённый доступ — это не взлом шифрования, а банальное копирование файла базы или выгрузки через встроенный файловый менеджер программы удалённого доступа.
И последнее — отдельная учётная запись для удалённого подключения, не совпадающая с доменной учёткой администратора. Если через AnyDesk заходят под учёткой, у которой есть права доменного админа, любая компрометация сессии — это компрометация всей сети, а не одного рабочего места.
Типичные ошибки, на которых я лично видел провалы клиентов
Открытый RDP-порт 3389 напрямую в интернет без VPN — это классика, но упомяну, потому что вижу до сих пор. Одна компания из производственного сектора вместо AnyDesk просто пробросила RDP на роутере наружу «для удобства бухгалтера». Через два месяца на сервере обнаружился шифровальщик — стандартная история для открытого RDP, который скан по всему интернету находит за считанные дни.
Второй частый провал — программа удалённого доступа установлена на терминальном сервере, где крутится 1С сразу для десятка пользователей, и unattended-доступ включён на весь сервер сразу, а не на отдельные учётки. Получил доступ к серверу — получил доступ ко всем базам компании одновременно, включая клиентские данные, зарплату и банк-клиент.
И третье, самое банальное — никто не смотрит логи подключений. Ни AnyDesk, ни TeamViewer, ни RustDesk не защитят вас, если журналы включены, но их никто не читает месяцами. У одной клиники, где мы делали аудит, в логах TeamViewer обнаружились подключения по ночам с IP другой страны — три месяца это просто никого не тревожило, потому что отчёт никто не открывал.
Частые вопросы
Можно ли использовать бесплатную версию AnyDesk или TeamViewer для доступа к 1С?
Технически можно, но бесплатные версии обычно лишены белого списка IP, детального журналирования и часто вообще блокируют аккаунт при регулярном коммерческом использовании. Для разовой удалённой консультации это нормально, но для постоянной работы бухгалтера с базой я всегда рекомендую платный тариф — там появляются именно те функции, которые закрывают основные риски.
RustDesk бесплатный и с открытым кодом — значит, он безопаснее остальных?
Открытый код даёт прозрачность, но не гарантирует безопасность сам по себе. Если пользоваться публичным релеем от разработчиков RustDesk, риски похожи на бесплатный AnyDesk. Реальная безопасность появляется только при развёртывании собственного сервера-релея, что требует хотя бы минимальных навыков администрирования Linux.
Что безопаснее для бухгалтерии — RDP напрямую или программы вроде AnyDesk?
Прямой RDP, открытый в интернет без VPN, — это худший вариант из всех: порт постоянно сканируют и подбирают пароли. RDP можно использовать безопасно, но только через VPN-туннель или шлюз удалённых рабочих столов с ограничением по IP. Для большинства небольших компаний AnyDesk, TeamViewer или self-hosted RustDesk с правильными настройками проще внедрить и безопаснее по умолчанию, чем открытый RDP.
Как проверить, не заходил ли кто-то посторонний в базу через удалённый доступ раньше?
В любой из трёх программ есть журнал сессий — в AnyDesk и TeamViewer это раздел истории подключений в личном кабинете, у self-hosted RustDesk — логи на самом сервере. Проверьте время, длительность и IP каждого подключения за последние три месяца и сверьте с графиком работы сотрудников — расхождения по ночному времени или незнакомым адресам сразу видны.
Позвоните или напишите — за один рабочий день закрою дырки в настройках AnyDesk, TeamViewer или RustDesk и выстрою процесс так, чтобы бухгалтерия спокойно работала из дома без риска слить базу.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
