Парольная политика в небольшом офисе: MFA, менеджеры паролей и доменные политики — что реально работает

Каждый раз, когда я прихожу к новому клиенту, первое, что вижу на мониторе бухгалтера — стикер с паролем. Иногда два. Один раз насчитал четыре: к 1С, к банку, к почте и к личному кабинету налоговой. И знаете, я уже давно не злюсь — я понимаю. Если человеку надо держать в голове двадцать паролей, которые меняются каждые три месяца, он будет писать их на стикерах. Это не лень. Это рациональное поведение в ответ на нерациональную систему.

Почему пароль «Kontora2022!» стоил одному клиенту 400 тысяч рублей

Я занимаюсь IT-аутсорсингом в Москве уже двенадцать лет. Обслужил больше ста компаний — бухгалтерии, юрфирмы, медицинские клиники, торговые точки, небольшое производство. И вот что заметил: проблема с паролями везде одинаковая. Не потому что люди глупые. А потому что система выстроена так, что делать всё по-умному — неудобно.

Конкретный пример. Клиент — небольшая юрфирма, восемь человек. Взломали через корпоративную почту на Office 365. Злоумышленник три месяца читал переписку — пока один из партнёров не заметил странную переадресацию на внешний адрес. Пароль? «Kontora2022!» — ещё с того года, давно никто не менял. Ущерб — около 400 тысяч рублей потерянного времени, юридических консультаций и стресса. Плюс вопросы от клиентов, чья переписка тоже оказалась под угрозой.

Брутфорс, фишинг, утечки баз данных — атаки стали массовыми и дешёвыми. Покупаешь базу из 10 миллионов скомпрометированных аккаунтов за смешные деньги, прогоняешь по популярным сервисам в автоматическом режиме и ждёшь. Малый бизнес думает: «Кому мы нужны?» Нужны. Именно потому что маленькие — защиты меньше, а деньги в банке те же.

Что такое нормальная парольная политика — без фанатизма и без бумажек

Хорошая парольная политика — не та, что распечатана, подписана и лежит в папке. Та, которой реально следуют. Мои критерии рабочей политики: её можно объяснить любому сотруднику за десять минут, она не требует сверхусилий и не вызывает желания её обойти.

Что точно должно быть. Минимум 12 символов — не 8, именно 12. Современный GPU перебирает 8-символьный пароль из букв и цифр за несколько часов. Двенадцать — уже годы. Отсутствие словарных слов: «Москва», «company», «qwerty123» — это не пароли. Хотя бы один спецсимвол — разумно, но без изврата. Знак препинания подойдёт, не надо устраивать пляску на клавиатуре.

Что точно не нужно — обязательная смена каждые 90 дней. Устаревшая рекомендация. NIST ещё в 2017 году от неё официально отказался. Почему? Потому что люди, которым надо менять пароль каждый квартал, в итоге делают «Пароль1!», потом «Пароль2!», потом «Пароль3!». Это хуже, чем один сильный пароль без изменений. Меняйте только при подозрении на компрометацию — не по расписанию.

Доменные политики Windows Server: один час работы, годы спокойствия

Если у вас больше десяти компьютеров и есть Windows Server — у вас уже есть домен. Или должен быть. Групповые политики (GPO) позволяют задать парольные требования централизованно, один раз и навсегда. Сотрудник просто не сможет поставить «12345» — система не пропустит. Никаких уговоров, никаких регламентов под подпись.

Минимальная настройка занимает у моего инженера час-полтора. Group Policy Management, Default Domain Policy, Policies — Windows Settings — Security Settings — Account Policies — Password Policy. Ставим: минимальная длина 12 символов, сложность включена, история паролей 10 (нельзя вернуться к старому), блокировка аккаунта после 5 неверных попыток с разблокировкой через 30 минут. Это закрывает процентов восемьдесят рисков. Простой, дешёвый, эффективный инструмент.

Отдельно про Fine-Grained Password Policies — тонкие настройки для разных групп пользователей. Администраторам ставлю 15 символов и блокировку после 3 попыток. Рядовым сотрудникам — 12 символов и 5 попыток. Для технических аккаунтов — служебных, для резервного копирования Veeam, для подключения 1С к базе данных — нет интерактивного входа, зато пароль 24+ символа, сгенерированный менеджером паролей. Настраивается через ADSI Edit или PowerShell за полчаса. Ничего страшного — просто надо один раз сделать.

Менеджер паролей: инструмент, который меняет всё

Менеджер паролей — это не опция и не каприз параноика. Это базовая гигиена. Без него нормальная безопасность в небольшом офисе невозможна. Точка. Человек не может держать в голове 30 уникальных паролей по 16 символов. Компьютер — может. И должен.

Для малого бизнеса чаще всего рекомендую Bitwarden Business — около 300 рублей на пользователя в месяц, есть русский интерфейс, удобное расширение для браузера, приложение на телефоне. Главное преимущество — общие папки: бухгалтер видит пароли от налоговой и банка, менеджер — от CRM и почты, IT-администратор — от всего. Без пересылки паролей в WhatsApp. Потому что слать пароли в мессенджере — это примерно то же самое, что написать их на стикере и наклеить на монитор. Только хуже: мессенджер хранит историю.

KeePass — бесплатная альтернатива, работает локально, без облака. Хороший выбор для тех, кто принципиально против внешних серверов. Но требует жёсткой дисциплины с резервными копиями базы. У одного нашего клиента — производственная компания, 15 человек — KeePass-база жила на рабочем столе одного компьютера без бэкапа. Потом жёсткий диск умер. Хорошо, что Veeam Agent успел схватить снапшот накануне. Обошлось. Но нервов потратили на несколько лет вперёд.

MFA: двухфакторка, которая не бесит сотрудников

MFA — двухфакторная аутентификация — это когда помимо пароля нужен ещё один фактор. Обычно шестизначный код из приложения на телефоне. Самая мощная вещь, которую вы можете сделать для безопасности компании прямо сейчас. Даже слабый пароль с MFA защищён лучше, чем сильный без него. Это не преувеличение — это статистика.

Для Microsoft 365 — включается бесплатно в настройках Azure Active Directory за двадцать минут на весь арендатор. Сотрудники при следующем входе настраивают Microsoft Authenticator сами, там буквально три экрана. После этого, даже если пароль утёк в какую-нибудь базу — войти без телефона невозможно. Именно этого и не хватало той юрфирме. Одна настройка, двадцать минут, и взлома бы не было.

Про SMS-коды скажу отдельно: это самый слабый вид MFA. SIM-карту можно клонировать или переоформить через оператора, такие случаи были. Для корпоративных аккаунтов — только TOTP-приложения: Microsoft Authenticator, Google Authenticator, Яндекс.Ключ. Надёжнее и удобнее. А главный страх руководителей — «сотрудник потеряет телефон, и что тогда?» — решается просто: резервные коды при настройке плюс пять минут на сброс MFA администратором. Это не катастрофа. Катастрофа — три месяца читать чужую корпоративную переписку.

Удалёнщики, подрядчики и программисты 1С: отдельная история

Внешние пользователи — отдельная боль. Приходящий бухгалтер на аутсорсе, подрядчик по сопровождению 1С, удалённый менеджер из другого города. Каждый из них — потенциальная дыра, если подключается не через защищённый канал и без должного контроля.

Золотое правило: только VPN или RD Gateway, никакого открытого RDP на стандартном порту 3389. Открытый RDP — это приглашение на брутфорс, написанное крупными буквами. Я в учебных целях однажды сканировал диапазоны адресов московских провайдеров — тысячи открытых портов, очевидно малый бизнес. Атаки идут постоянно и в автоматическом режиме. Если у вас Windows Server с открытым 3389 — это не вопрос «взломают или нет». Это вопрос времени.

Для подрядчиков — отдельные аккаунты с минимально необходимыми правами. Программист 1С видит только базы 1С, не файловый сервер и не почту. Заканчивается сотрудничество — аккаунт отключается в тот же день. У одного нашего клиента уволился системный администратор — конфликт, некрасивый уход. Через неделю выяснилось: его аккаунт активен, последний вход — три дня назад. Что именно делал — не установили. Потратили неделю на аудит и месяц нервов. Вывод простой: чеклист увольнения должен включать отзыв всех доступов в первый же день, желательно в первый же час.

Как внедрить всё это без войны с коллективом

Технически — всё перечисленное несложно. Сложно убедить людей. Особенно тех, кто работает в компании пятнадцать лет и привык к паролю «завод» на всё подряд. Или к паролю «1» — да, я видел и такое. В медицинской клинике. На компьютере с персональными данными пациентов.

Мой подход: сначала объяснить зачем. Не «потому что надо» и не «потому что регламент подписали». А честно показать: вот взлом реальной компании, вот что произошло, вот сколько это стоило. Люди не саботажники — они просто не понимают угрозы. Когда понимают — сопротивление снижается процентов на семьдесят. Иногда сами начинают спрашивать, как защититься.

Потом — сделать максимально удобно. Менеджер паролей установить и настроить самому, провести короткое обучение на двадцать минут, показать автозаполнение в браузере. MFA настроить вместе с каждым сотрудником лично — не прислать инструкцию на три страницы, а сесть рядом и помочь за пять минут. Да, это занимает время. Но безопасник, который только пишет регламенты и не помогает с внедрением — бесполезен. Я видел такие регламенты. Пылятся в папке. Никто не читал.

Стоимость вопроса для компании на 20 человек: 8-12 тысяч рублей разово на настройку специалистом плюс около 6 тысяч рублей в месяц на Bitwarden Business. Итого меньше тысячи рублей в месяц на человека. Сравните с ценой инцидента: восстановление после атаки шифровальщика — от 200 тысяч рублей, а если зашифровало базу 1С без нормального бэкапа — суммы бывают значительно выше. Арифметика простая.

Частые вопросы

Нужно ли заставлять сотрудников менять пароли каждые 90 дней?
Нет, и это уже официальная позиция. NIST — организация, которая написала большинство стандартов информационной безопасности — отказалась от рекомендации обязательной регулярной смены паролей ещё в 2017 году. Принудительная смена ведёт к предсказуемым паролям вида «Пароль1», «Пароль2», что на практике хуже, чем один сильный пароль без изменений. Меняйте только при реальном поводе: утечка данных конкретного сервиса, подозрение на компрометацию, увольнение сотрудника с доступом.

Какой менеджер паролей выбрать для небольшого бизнеса?
Для команды до 50 человек я обычно рекомендую Bitwarden Business: около 300 рублей в месяц на пользователя, общие папки с разграничением доступа, удобное расширение для браузера, мобильное приложение. Если принципиально важна локальная установка без облака — KeePass или Bitwarden Self-Hosted, но это требует своего сервера и поддержки. Главное — чтобы менеджер реально использовался каждый день, а не стоял установленным и забытым.

Что делать, если сотрудник отказывается настраивать MFA?
Сначала объяснить, зачем это нужно — без давления, но конкретно: покажите пример взлома с реальными последствиями. В большинстве случаев сопротивление снимается нормальным разговором, а не приказом. Если после объяснения человек всё равно против — это уже вопрос к руководству: MFA можно прописать в регламенте информационной безопасности как обязательное требование для работы с корпоративными системами. Тогда это перестаёт быть IT-вопросом и становится вопросом соблюдения внутренних правил компании.

Что делать с паролями и доступами при увольнении сотрудника?
В день увольнения — немедленно: отключить аккаунт в Active Directory, отозвать доступ к Microsoft 365 или Google Workspace, удалить из корпоративного менеджера паролей, сменить все пароли, к которым у человека был доступ — особенно к общим ресурсам, почте отдела, аккаунту в CRM, страницам компании в соцсетях. Хорошо, когда это оформлено чеклистом и выполняется в первый же час. Плохо, когда вспоминают об этом через неделю.