Защита сервера 1С от вирусов, шифровальщиков и DDoS: чек-лист администратора
2026-05-19 10:52
Защита сервера 1С — это не «поставили антивирус и забыли», а слойная конструкция, в которой отказ одного уровня страхуется следующим. Атаки шифровальщиков на 1С остаются основной угрозой 2024–2026 годов: средний ущерб одного инцидента в России — от 5 до 50 миллионов рублей, а время восстановления без неизменяемых бэкапов растягивается от трех дней до двух недель. Без комплексной защиты сервера 1С любая компания с активной базой превращается в удобную мишень.
Ниже разберем, какие угрозы реально опасны сегодня, как выстроить защиту от шифровальщиков, антивирусную политику и оборону от DDoS, как сегментировать сеть и настроить резервное копирование, и закроем тему практическим чек-листом для администратора.
Какие угрозы реально опасны для сервера 1С в 2026
Шифровальщики: как попадают в инфраструктуру
Семейства WannaCry, REvil, LockBit и Conti приходят тремя путями. Первый — фишинг через 1С-отчеты: сотрудник открывает «акт сверки» в письме, и макрос подгружает загрузчик. Второй — эксплойты Windows и непропатченных сервисов RDP с интернетом. Третий — компрометация учетки администратора через утечку паролей.
После проникновения шифровальщик сканирует доступные шары, находит файлы базы 1С, MDF/LDF и DT-выгрузки, и шифрует их за несколько минут. Правило простое: все, что доступно по сети с рабочей станции, считается потенциально уязвимым.
Вирусы и трояны: специфика для Windows-серверов 1С
На Windows-серверах 1С чаще всего ловят бэкдоры и трояны, которые открывают обратный канал наружу. Они работают тише шифровальщиков и опаснее на длинной дистанции: данные утекают месяцами, а руководство об этом узнает от регулятора. Особая мишень — сервисные учетки 1С с правами админа домена. Одна такая учетная запись фактически превращается в ключ от всей инфраструктуры.
DDoS-атаки: цели и риски для веб-публикаций
DDoS бьет по веб-публикациям 1С — кабинетам клиентов, сервисам обмена с маркетплейсами, мобильным клиентам. Атака уровня L4 заваливает канал пакетами, L7 имитирует медленные POST-запросы и кладет сервер на пустом месте. Цель — либо отвлечение внимания (параллельно с DDoS идет попытка взлома), либо вымогательство. В обоих случаях DDoS — повод не только настраивать rate limiting, но и усилить мониторинг попыток авторизации в момент атаки: всплеск неуспешных входов на фоне сетевой нагрузки часто оказывается главным сигналом, что взлом идет параллельно с отвлекающим ударом.
Защита от шифровальщиков: бэкапы, разграничение, мониторинг
Стратегия 3-2-1 и неизменяемые бэкапы
Бэкап без проверки восстановления — как огнетушитель без проверки давления: висит на стене, а в нужный момент не сработает. Рабочая стратегия — 3-2-1: три копии данных на двух разных носителях, одна копия off-site. Современный шифровальщик целится не только в рабочие файлы, но и в сами бэкапы, поэтому хотя бы одна копия делается на носитель в режиме immutable: S3 с object-lock, RuBackup или Кибер Бэкап с защитой от удаления, лента LTO с физическим выносом. Для таких задач разумно отдельно собрать систему резервного копирования с прицелом на неизменяемые копии.
Разграничение прав и сервисные учетки
Сервисная учетка платформы должна иметь минимум прав — только то, что нужно для работы 1С и СУБД. Никаких «доменных админов». Для пользователей создаются отдельные роли в самой платформе, без прямого доступа к файлам базы.
Для каждого администратора — именная учетная запись с двухфакторной аутентификацией и аудитом действий. Это базовая гигиена правил доступа, которая закрывает большинство типовых сценариев боковой компрометации.
Мониторинг и behavioral detection
Современные EDR-системы (Kaspersky Endpoint Security, Dr.Web Enterprise) ловят шифровальщик не только по сигнатурам, но и по поведенческим паттернам: массовое переименование файлов, неожиданная активность в shadow copies, попытки остановить службы антивируса. Включенная behavioral detection срабатывает до того, как зашифрованы все данные. Дополнительно ведется технологический журнал 1С с фиксацией событий безопасности — он помогает разбирать инциденты постфактум.
Антивирусная защита и исключения для 1С
Под Windows-серверы 1С чаще всего ставят Kaspersky Endpoint Security for Business, Dr.Web Enterprise Security Suite или ESET NOD32 в корпоративной редакции. Все три имеют сертификат ФСТЭК и готовые политики под серверную нагрузку.
Под Astra Linux и РЕД ОС используют Kaspersky for Linux и Dr.Web для UNIX. При закупке оборудования имеет смысл сразу подбирать сервер для 1С и закладывать лицензии антивируса в один бюджет — это снимает 80% инцидентов с вирусами в первый же квартал.
Какие папки и процессы исключать из сканирования
Антивирус, который сканирует базы платформы в реальном времени, тормозит проведение документов в разы. Поэтому в политике обязательны исключения.
Папки:
%ProgramFiles%\1cv8
%ALLUSERSPROFILE%\1C\1Cv8
папка СУБД (для MS SQL — *.mdf и *.ldf, для PostgreSQL — каталог data)
Процессы:
1cv8.exe, 1cv8c.exe
ragent.exe, rmngr.exe, rphost.exe
sqlservr.exe, postgres.exe
Без этих исключений антивирус превращается в самое тяжелое нагрузочное приложение на сервере.
Корпоративные политики и обновление баз
Антивирус на сервере 1С управляется только централизованно: единая консоль, единая политика, автообновление сигнатур раз в час. Локальные настройки на отдельных серверах запрещены — иначе через месяц защита неизбежно расходится с эталоном.
Защита от DDoS-атак на веб-публикации 1С
Веб-публикации 1С через https-порт 443 — частая мишень DDoS уровня L7: атакующий шлет медленные POST-запросы в стиле slowloris, и веб-сервер ложится без всякой нагрузки на канал. Защита строится двумя слоями.
Провайдерская защита. Qrator, DDoS-Guard, StormWall фильтруют трафик еще на входе, до того как он доходит до серверов компании. Подключается через смену A-записи или через прозрачное проксирование.
Локальные меры. Rate limiting в nginx (например, не более 10 запросов в секунду на один IP), WAF (ModSecurity или коммерческие модули), geofencing — закрытие трафика из стран, где у компании нет клиентов. Для крупных внедрений имеет смысл отдельно подобрать сетевое оборудование с поддержкой L7-фильтрации.
Сегментация сети и сетевая безопасность
1С система безопасности начинается с правильной топологии. Сервер платформы и сервер СУБД живут в отдельном VLAN. Из пользовательского сегмента к ним открыты только нужные порты — 1540, 1541, 1560–1591 для платформы и 1433 или 5432 для СУБД, все остальное закрыто. Между VLAN стоит firewall с явными правилами доступа, а из интернета доступ к серверам 1С возможен только через VPN — WireGuard, IPsec или OpenVPN. Для удаленных сотрудников VPN с двухфакторной аутентификацией обязателен, не опционален. Перед запуском такой схемы разумно провести аудит безопасности — он покажет реальные дыры в текущей конфигурации, до того как их найдет атакующий.
Резервное копирование: что, куда, как часто
Полный бэкап включает три обязательные сущности: саму базу СУБД (MDF/LDF или dump), конфигурацию платформы (cf-файл), журналы регистрации и технологический журнал 1С. Для настоящей катастрофы добавляют образ серверной ОС — он экономит часы при восстановлении на новое железо. Снимок (snapshot) виртуальной машины удобен как точка отката перед обновлениями, но как основной бэкап он не подходит: при шифровании хранилища снимок тоже теряется.
Реальные ориентиры по RPO и RTO:
RPO 1–4 часа при инкрементальных бэкапах
RPO 5–15 минут при CDC или log shipping
RTO 1–4 часа при наличии immutable backup
RTO 3–14 дней без неизменяемой копии
Раз в квартал — обязательный тест восстановления на отдельный стенд. Бэкап, который ни разу не разворачивали, остается верой, а не страховкой.
Двухфакторная аутентификация и контроль доступа
Учетные записи администраторов защищаются 2FA через мобильные приложения или hardware token — без этого современная парольная политика бессильна. Сессии RDP и веб-доступа отключаются по тайм-ауту в 15–30 минут бездействия. Действия привилегированных пользователей пишутся в SIEM и сохраняются минимум полгода — это требование 152-ФЗ для операторов персональных данных. На стороне самой платформы включается технологический журнал через файл logcfg.xml с фиксацией событий безопасности.
Безопасность 1С Предприятие на этом уровне строится на трех простых правилах: каждый администратор работает под своим именем, каждое действие пишется в журнал, а пароли сбрасываются раз в 90 дней или при увольнении сотрудника. Программные ключи защиты 1С на сервере дополнительно ограничивают круг машин, на которых платформа вообще способна запуститься.
Сравнительная таблица: меры защиты сервера 1С по уровням
Чтобы было проще выстроить приоритеты, меры разнесли по слоям защиты.
Меры защиты сервера 1С по уровням
Слой
Что закрывает
Базовые инструменты
Для КИИ и ПДн
Бэкапы
шифровальщики, аппаратные сбои
RuBackup, Кибер Бэкап, Veeam
+ immutable, off-site, тест восстановления
Антивирус и EDR
вирусы, трояны, бэкдоры
Kaspersky, Dr.Web, ESET
+ сертификация ФСТЭК
Сетевая безопасность
боковое движение, эксплойты
VLAN, firewall, VPN
+ IDS/IPS, DMZ, NetFlow
Защита от DDoS
веб-публикации 1С
rate limiting, WAF
+ провайдерская защита
Контроль доступа
компрометация учеток
2FA, разграничение прав
+ DLP, парольная политика
Мониторинг
инциденты в реальном времени
технологический журнал, SIEM
+ ежесуточный аудит
Регуляторика
юридические риски
152-ФЗ для ПДн
187-ФЗ + Приказ ФСТЭК для КИИ
Из таблицы видна логика приоритетов: для типовой коммерческой компании обязательны первые пять слоев, для объектов КИИ и операторов персональных данных — все семь.
Чек-лист защиты сервера 1С: что проверить сегодня
Обязательные пункты для всех серверов 1С
Антивирус. Установлен корпоративный продукт, базы обновляются автоматически, исключения для папок и процессов 1С настроены.
Бэкапы. Работает стратегия 3-2-1, одна копия в режиме immutable, восстановление тестируется раз в квартал.
Сеть. Серверы платформы и СУБД в отдельном VLAN, firewall с явными правилами, доступ из интернета только через VPN.
Учетки. Сервисные записи без прав «доменного админа», для администраторов включена 2FA, тайм-аут сессий настроен.
Журнал. Технологический журнал платформы включен через logcfg.xml, события безопасности уходят в SIEM, хранятся минимум полгода.
План реагирования. Описаны действия при инцидентах: кто отвечает, кого оповещать, как восстанавливаться.
Дополнительные меры для КИИ и операторов ПДн
Сертифицированное СЗИ — Secret Net Studio, Dallas Lock или аналог из реестра ФСТЭК.
DLP-система на контролируемых рабочих местах.
Мониторинг по требованиям ФСТЭК с фиксацией всех событий безопасности.
Ежегодный аудит с привлечением лицензированной организации.
Соответствие Приказу ФСТЭК № 117 от 11.04.2025 — с 1 марта 2026 года к средствам виртуализации в ГИС применяются ужесточенные требования.
Если речь идет о большом контуре с несколькими сегментами и регуляторными требованиями, разумно сразу заложить в проект аудит ИТ-инфраструктуры и поднять все семь слоев в один заход.
Заключение
Защита сервера 1С строится не на одном чудо-инструменте, а на семи последовательных слоях: неизменяемые бэкапы, EDR с настроенными исключениями, сегментация сети с firewall и VPN, защита веб-публикаций от DDoS, двухфакторная аутентификация и журналирование, регулярный мониторинг с SIEM и соответствие регуляторике (152-ФЗ или 187-ФЗ). Если хотя бы один слой провален, вся конструкция работает только до первого серьезного инцидента.
Конкретный шаг на эту неделю — пройти по чек-листу выше и зафиксировать, какие пункты закрыты, а какие висят. Если по результатам ревизии становится понятно, что слоев не хватает или текущая инфраструктура не вытягивает требования регулятора, имеет смысл собрать пилотный контур на отдельном сервере для 1С с правильной нарезкой VLAN и подключенным резервным копированием с самого старта.
Ответы на частые вопросы
Может ли антивирус замедлить работу 1С?
Да, если не настроены исключения для папок и процессов платформы и СУБД. Правильно настроенный продукт на серверной нагрузке дает просадку 2–5%, без исключений — 30–50%.
Что делать, если база 1С зашифрована вирусом-вымогателем?
Сразу изолировать сервер от сети, не платить выкуп, восстанавливать из последнего непораженного immutable-бэкапа. Параллельно — фиксация инцидента, обращение в правоохранительные органы для операторов ПДн и КИИ, расследование точки входа.
Как часто делать резервные копии базы 1С?
Полный бэкап раз в сутки в ночное окно, инкременты или журналы транзакций — каждые 15 минут или один час. Раз в неделю — копия off-site, раз в квартал — тест восстановления на отдельный стенд.
Защищает ли пароль базы 1С от шифровальщика?
Нет. Пароль на вход в платформу защищает интерактивный доступ, но не файлы базы на диске. Шифровальщик работает на уровне операционной системы, и пароль 1С его никак не касается.
Какие меры обязательны для серверов 1С в КИИ?
Сертифицированное СЗИ, DLP, мониторинг по ФСТЭК, журнал событий минимум полгода, ежегодный аудит, план реагирования на инциденты. Полный перечень — в 187-ФЗ и приказах ФСТЭК.