Все статьи
Безопасность15 апреля 2026 г.Команда ВанСек

1С по умолчанию небезопасна: что это значит и что с этим делать

Платформа 1С:Предприятие поставляется с настройками, которые удобны для разработки, но создают серьёзные риски в продуктивной среде. Разбираем конкретные примеры и способы устранения.

Когда компания внедряет 1С, основное внимание уделяется функциональности: настройке учёта, обучению пользователей, интеграции с другими системами. Вопросы безопасности откладываются на потом — или не поднимаются вовсе.

Проблема в том, что платформа 1С:Предприятие поставляется с настройками, оптимизированными для удобства разработки, а не для защиты производственной среды.

Что конкретно небезопасно «по умолчанию»

1. Отладка включена в продуктиве

По умолчанию сервер 1С разрешает подключение отладчика к любому сеансу. Это означает, что разработчик (или злоумышленник с доступом к сети) может подключиться к работающему сеансу любого пользователя — включая администратора — и выполнять произвольный код в его контексте.

Риск: полный доступ к данным, выполнение операций от имени любого пользователя.

2. HTTP вместо HTTPS

Веб-сервисы и веб-клиент 1С нередко публикуются по HTTP. Данные передаются в открытом виде, включая учётные данные при авторизации.

Риск: перехват паролей, данных сессий, бизнес-информации в локальной сети.

3. Избыточные права роли «Пользователь»

Базовая роль нередко включает права на чтение справочников, документов и регистров, которые не нужны большинству сотрудников. Принцип минимальных привилегий не соблюдается.

Риск: утечка данных при компрометации рядового аккаунта.

4. Неограниченный доступ к внешним компонентам

Платформа позволяет загружать и исполнять внешние компоненты без явного разрешения администратора. В типовых конфигурациях это часто не ограничено.

Риск: выполнение вредоносного кода через доверенный процесс 1С.

5. Пароли в коде конфигурации

При разработке нередко хардкодят учётные данные для подключения к СУБД, внешним API, почтовым серверам. Эти данные попадают в конфигурацию и доступны всем, кто может её скачать.

Риск: компрометация смежных систем.

Почему это долго остаётся незамеченным

Ручная проверка конфигурации 1С — задача нетривиальная. Типовая ERP содержит тысячи объектов: справочники, документы, регистры, роли, модули. Проверить всё вручную нереально.

Кроме того, разработчики 1С в большинстве своём не являются специалистами по безопасности — и это нормально. Их задача — реализовывать бизнес-логику, а не искать уязвимости.

Как это исправить

Первый шаг — провести аудит текущего состояния. Нужно знать, что именно настроено небезопасно, прежде чем что-то менять.

Ключевые параметры для проверки:

  • Режим отладки на сервере 1С (debug в файлах запуска)
  • Протокол публикации веб-сервисов
  • Состав ролей и назначенные права
  • Наличие хардкод-паролей в модулях конфигурации
  • Параметры подключения к СУБД

После аудита — приоритизация и последовательное устранение находок, начиная с критических.

ВанСек автоматизирует этот процесс: подключается к системе, собирает данные и формирует отчёт с конкретными рекомендациями. Первый запуск занимает несколько минут.

ВанСек

Проверьте свою систему 1С

Запустите пилот — получите отчёт о реальных уязвимостях в вашей конфигурации.

Связаться

Читайте также

БезопасностьБезопасность 1С: уязвимости, защита и чек-лист аудитаЧитать