АйТи Фреш
Главная / Статьи / Windows и AD
Windows и AD

Windows 7 и Server 2008 в офисной сети: как изолировать, если обновить нельзя

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-12
Windows 7 и Server 2008 в офисной сети: как изолировать, если обновить нельзя

Раз в пару месяцев мне звонит очередной директор и говорит: у нас на сервере предупреждение про безопасность, антивирус ругается на Windows 7, надо что-то делать. И почти всегда выясняется, что снести эту машину просто нельзя — на ней висит древний ЧПУ-станок, или 1С-совместимый весовой терминал, или бухгалтерская программа 2011 года без обновлений. Расскажу, как я в таких случаях не устраиваю героическую миграцию за три дня, а строю вокруг старья забор — и почему это часто разумнее.

Почему Windows 7 и Server 2008 до сих пор стоят в живых сетях

У меня сейчас на обслуживании примерно сорок компаний. В шести из них до сих пор крутится хотя бы одна машина на Windows 7 или Server 2008 R2. Не потому что клиент жадный. Причина обычно банальная: железо. Станок с ЧПУ управляется софтом, который писали под XP, потом кое-как портировали на 7 — и на этом эволюция остановилась. Производитель обанкротился в 2016 году, драйвер для новой винды никто не выпустит уже никогда.

Вторая типовая история — весы и сканеры штрихкодов в торговле. Есть у меня клиент, оптовая база стройматериалов, у них весовой терминал Штрих-М подключается через COM-порт, драйвер официально сертифицирован только под Windows 7 x86. Купить новый терминал — 180 000 рублей за штуку, а их там двенадцать. Умножайте.

И третье — старая 1С-конфигурация с кучей самописных доработок, которую программист дорабатывал десять лет и давно уволился. Она держится на COM-объекте, который под Server 2019 просто не ставится. Переписывать — это отдельный проект на несколько месяцев и минимум 400-500 тысяч рублей, если делать по уму, а не абы как.

Почему "обновить любой ценой" — плохой совет

Есть подрядчики, которые на первой же встрече говорят: всё сносим, ставим Windows 11 и Server 2022, разбираемся с совместимостью по ходу дела. Звучит красиво в презентации. На практике это означает: две недели простоя производства, пока ищут замену станочному софту, и владелец бизнеса, который в это время теряет заказы и звонит мне с вопросом, кого он вообще нанял.

У меня был случай в 2023-м с клиентом из медицины — небольшая клиника, лабораторный анализатор подключался к Windows 7 через специализированный медицинский софт с лицензией, привязанной к железному ключу. Прежний айтишник настоял на миграции "ради безопасности". В итоге анализатор простоял три недели, клиника гоняла анализы к соседям, а разработчик софта запросил 250 000 рублей за перевыпуск лицензии под новую ОС. Хорошо, что не про меня эта история — я её разгребал уже потом.

Мой подход другой. Сначала спрашиваю: что конкретно эта машина делает, к чему подключена, что будет, если она за секунду исчезнет из сети. И только после этого решаю — мигрировать сейчас, мигрировать через полгода, или изолировать и жить с ней ещё три года, пока не найдётся нормальное окно для замены.

Что реально грозит, если оставить как есть

Не хочу пугать ради драматизма, но объясню, чем рискует директор, который просто закрывает глаза на проблему. Windows 7 без обновлений с 2020 года, Server 2008 R2 — с января 2020-го тоже. Это значит: все уязвимости, которые находят в этих системах с тех пор, никто не патчит. Никогда.

Классика — EternalBlue, дыра в протоколе SMBv1, через которую в 2017-м прошёлся WannaCry и положил компании по всему миру, включая российские РЖД и Мегафон. Прошло почти десять лет, а я до сих пор нахожу у клиентов машины с включённым SMBv1 — потому что на нём завязана какая-нибудь древняя шара с бухгалтерскими архивами.

Второй риск серьёзнее первого. Уязвимая Windows 7 в общей сети с современными компьютерами — это не изолированная проблема одной машины. Это плацдарм. Шифровальщик заходит через фишинговое письмо на ноутбук бухгалтера, а дальше расползается по сети через ту самую дырявую семёрку, потому что она видит остальные компьютеры, у неё есть доступ к общим папкам, а иногда и доменные права. У одного клиента в 2022-м так легло всё — заражение началось с почты, а точкой опоры стал именно старый терминальный сервер на 2008 R2, который годами стоял с открытым RDP наружу без лишних вопросов.

Идея сегментации: не чинить прошлое, а огородить его

Смысл простой: если машину нельзя обновить, ей нельзя доверять как остальной сети. Значит, надо посадить её на карантин, но так, чтобы она продолжала делать свою работу — крутить станок, принимать вес с весов, гонять старую 1С-базу.

Технически это VLAN. Отдельный виртуальный сегмент сети на управляемом коммутаторе, куда я сажаю все машины на устаревших ОС и настраиваю правила: кто может к ним ходить, а главное — куда могут ходить они сами. По умолчанию — никуда, кроме того, что реально нужно для работы.

У меня сейчас такая схема живёт у клиента с деревообработкой — три станка с управляющими ПК на Windows 7. Отдельный VLAN 30, отдельная подсеть 192.168.30.0/24, коммутатор с поддержкой 802.1Q. На межсетевом экране (у клиента pfSense) правило: из VLAN 30 разрешён только один хост — сервер 1С, порт 1541 для файлового обмена данными о деталях. Всё остальное, включая интернет, для этого VLAN закрыто наглухо.

Как я это делаю на практике: пошагово

Первое — инвентаризация. Звучит скучно, но без неё никуда: выписываю все машины на устаревших ОС, что на них крутится, кто к ним ходит и зачем. Часто выясняется, что какой-то сервис уже никому не нужен — просто забыли выключить.

Второе — физическая или VLAN-изоляция на уровне коммутатора. Если оборудование позволяет, это управляемые свитчи типа TP-Link TL-SG3428 или что-то от MikroTik — не обязательно дорогое, тут не нужна экзотика. Отдельный VLAN, тегированные порты на аплинке к межсетевому экрану, отдельная подсеть без выхода в общий интернет напрямую.

Третье — жёсткие правила на файрволе: разрешено только то, что реально используется, и только по нужным портам. Не "любой любой", а конкретно: этот хост на этот порт. Четвёртое — отключение SMBv1 везде, где это в принципе можно сделать без потери функциональности, и там, где нельзя отключить — максимальная изоляция именно этой шары. Пятое — если старой машине всё же нужен RDP снаружи, он идёт не напрямую, а через VPN или бастион-хост, с двухфакторной аутентификацией там, где это технически реализуемо на таком старье. И да, я до сих пор встречаю проброшенный 3389 порт прямо на роутере клиента — первое, что меняю.

Резервные копии и мониторинг — страховка на случай, если карантин прорвут

Изоляция снижает риск, но не убирает его до нуля. Поэтому вторым слоем защиты всегда ставлю резервное копирование именно этих машин, причём отдельно от общего бэкапа — потому что если шифровальщик всё же доберётся до сегмента, точка восстановления должна быть гарантированно чистой.

На практике использую Veeam Agent для физических машин с Windows 7, снимки идут на отдельное хранилище, недоступное из основной сети по чтению-записи одновременно — только один хост может писать в конкретный момент. Плюс держу мониторинг трафика именно из изолированного VLAN: если оттуда вдруг полезли соединения на порт 445 куда-то за пределы разрешённого списка, это сигнал тревоги раньше, чем сработает антивирус, если он вообще там есть.

У клиента с деревообработкой такая связка стоила разово порядка 45 000 рублей за настройку VLAN и правил на существующем pfSense плюс около 8 000 в месяц за место под бэкапы на NAS. Дешевле, чем один день простоя производства, не говоря уже про стоимость восстановления после реальной атаки шифровальщика — а это, по моей практике, от 300 000 рублей и выше, если считать простой, работу с восстановлением и нервы директора.

Изоляция — не навсегда, а до тех пор, пока не сложится нормальная миграция

Важно понимать: сегментация — это не решение проблемы, а способ купить время без риска. Рано или поздно железо всё равно устареет физически, а не только морально, программное обеспечение перестанет запускаться на исправном компьютере, и миграция станет не вопросом выбора, а вопросом "когда сломается".

Поэтому параллельно с изоляцией я всегда прошу клиента держать в голове план Б: искать альтернативный софт для станка, договариваться с разработчиком 1С-доработок о переписывании узких мест постепенно, а не разом, копить бюджет на новое торговое оборудование с современными драйверами. Это не горит, но должно происходить.

Изоляция даёт возможность делать миграцию по частям, в комфортном темпе, а не в панике после атаки. Заменили один станок — вывели его машину из карантинного VLAN. Год спустя заменили второй. Это гораздо спокойнее и дешевле, чем один большой проект с дедлайном "вчера".

Частые вопросы

Можно ли просто отключить интернет на компьютере с Windows 7 и на этом успокоиться?
Отключение интернета снимает часть риска, но не весь. Основная угроза для таких машин чаще идёт не напрямую из интернета, а изнутри сети — через заражённый ноутбук сотрудника или почтовый фишинг, который потом расползается по локалке. Без сегментации на уровне сети и файрвольных правил отключённый интернет закрывает от силы половину проблемы.

Что делать, если Windows 7 обязательна для работы с торговым или производственным оборудованием?
В такой ситуации миграция откладывается, а изоляция становится обязательной, а не опциональной мерой. Сажаю машину в отдельный VLAN с минимальным набором разрешённых соединений — только то, что реально нужно для обмена данными с сервером или базой. Плюс отдельное резервное копирование именно этой машины.

Сколько стоит организовать такую сегментацию для небольшого офиса?
Для компании с одним-двумя устаревшими серверами и уже имеющимся управляемым оборудованием разовая настройка VLAN и правил файрвола обычно укладывается в 30-60 тысяч рублей. Если нужно ещё и докупать управляемый коммутатор, добавьте 8-15 тысяч за устройство уровня офиса до 50 рабочих мест.

Как понять, что тянуть с миграцией уже опасно, и пора действовать?
Тревожный сигнал — когда изолированная машина внезапно начинает требовать доступа к чему-то новому, выходящему за рамки исходного карантинного правила, или когда производитель железа официально прекращает поддержку и запчастей уже не найти. В этот момент откладывать дальше рискованнее, чем делать миграцию.

Не знаете, что из вашей сети давно пора изолировать?
Проведу аудит вашей сети, найду устаревшие системы и настрою сегментацию так, чтобы они не стали точкой входа для шифровальщика.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи