Все статьи
Безопасность26 мая 2026 г.Команда ВанСек

Безопасность 1С: уязвимости, защита и чек-лист аудита

Разбор безопасности 1С: уязвимости кластера, внешние обработки, пароли, СУБД, резервные копии и веб-доступ. Практический чек-лист защиты 1С и рекомендации по аудиту.

Безопасность 1С — это не только права пользователей внутри конфигурации. В реальной инфраструктуре атакующий смотрит шире: на кластер серверов 1С, опубликованные веб-базы, внешние обработки, COM-соединения, СУБД, резервные копии, терминальные серверы, сетевые папки и учетные записи администраторов.

Системы на базе «1С:Предприятие» часто являются критически важными для бизнеса: в них хранятся финансовые документы, данные сотрудников, сведения о контрагентах, управленческая отчетность и коммерческая тайна. Поэтому компрометация 1С может привести не только к утечке данных, но и к изменению платежных реквизитов, остановке бухгалтерских процессов, шифрованию баз или получению доступа к другим сегментам корпоративной сети.

В этой статье разберем, какие уязвимости 1С чаще всего встречаются на практике, как выглядит типовая цепочка атаки и что нужно сделать, чтобы снизить риск компрометации.

Материал ориентирован на защиту: ИБ-специалистов, DevSecOps-команды, администраторов 1С, системных администраторов и руководителей ИТ.

Кому полезна статья

Эта статья подойдет, если вам нужно:

  • провести аудит безопасности 1С;
  • подготовить чек-лист hardening для серверов 1С;
  • проверить, насколько безопасно опубликованы базы 1С в вебе;
  • ограничить запуск внешних обработок и расширений;
  • снизить риски атак через кластер 1С и СУБД;
  • подготовиться к пентесту 1С или внутренней проверке ИБ.

Почему безопасность 1С часто недооценивают

Во многих компаниях 1С рассматривается как “учетная система”, а не как полноценная критичная ИТ-платформа. Из-за этого возникают типовые проблемы:

  • администрирование кластера не защищено паролем;
  • права пользователей внутри 1С настраиваются, но серверная инфраструктура остается открытой;
  • внешние обработки разрешены слишком широкому кругу сотрудников;
  • резервные копии баз хранятся в сетевых папках без контроля доступа;
  • учетные записи служб 1С обладают избыточными правами;
  • нет мониторинга действий администраторов и технических учетных записей;
  • веб-публикации 1С доступны из интернета без достаточной защиты.

Именно такие ошибки чаще всего превращают локальную уязвимость в полноценный инцидент.

1. Компрометация кластера серверов 1С

Кластер серверов 1С — один из ключевых компонентов клиент-серверной архитектуры. Если атакующий получает доступ к администрированию кластера, он может повлиять на информационные базы, сеансы, рабочие процессы и настройки подключения.

Что проверяют атакующие

При разведке злоумышленники обычно ищут:

  • серверы с открытыми портами 1С;
  • DNS-имена, указывающие на 1С-инфраструктуру;
  • комментарии к учетным записям в Active Directory;
  • доступность консоли администрирования;
  • наличие пароля администратора кластера;
  • права учетной записи, от которой запущена служба 1С.

Основной риск

Один из наиболее опасных сценариев — отсутствие пароля администратора кластера или доступность администрирования из лишних сетевых сегментов. В таком случае атакующий может получить контроль над частью инфраструктуры 1С и использовать ее как точку закрепления.

Особенно критично, если служба 1С запущена от доменной учетной записи с избыточными правами. Тогда компрометация сервера 1С может привести к развитию атаки уже внутри домена.

Как защитить кластер 1С

Минимальный набор мер:

  1. Установить пароли администраторов кластера 1С.
  2. Ограничить доступ к администрированию кластера по сети.
  3. Запускать службы 1С от выделенных технических учетных записей с минимальными правами.
  4. Исключить запуск 1С-сервисов от доменных администраторов.
  5. Вести журналирование административных действий.
  6. Разделить продуктивные, тестовые и разработческие контуры.
  7. Использовать профили безопасности 1С для ограничения потенциально опасных действий.

2. Внешние обработки и расширения 1С

Внешние обработки (.epf), внешние отчеты (.erf) и расширения удобны для разработки и сопровождения, но с точки зрения ИБ это один из самых рискованных механизмов платформы.

Почему внешние обработки опасны

Если пользователю разрешен запуск внешних обработок, он потенциально получает возможность выполнять логику, которая не проходила контроль качества, ревью кода и проверку безопасности. В зависимости от прав и настроек окружения это может привести к:

  • повышению привилегий внутри базы;
  • обходу бизнес-ограничений;
  • выполнению нежелательных операций с данными;
  • обращению к файловой системе;
  • взаимодействию с внешними ресурсами;
  • использованию небезопасных внешних компонентов.

Что нужно ограничить

Для защиты 1С необходимо:

  • запретить запуск внешних обработок обычным пользователям;
  • разрешать внешние обработки только через утвержденный процесс;
  • использовать хранилище доверенных обработок;
  • проверять код обработок перед внедрением;
  • ограничить толстый клиент там, где он не нужен;
  • контролировать использование COM-соединений;
  • применять профили безопасности для запрета опасных операций.

3. Учетные записи и пароли пользователей 1С

Компрометация учетных данных — один из самых распространенных путей атаки. Особенно опасны слабые пароли, общие учетные записи и опубликованные веб-базы без защиты от перебора.

Типовые проблемы

На практике часто встречаются:

  • простые пароли пользователей;
  • одинаковые пароли в 1С, Windows и СУБД;
  • отсутствие блокировки при множественных неуспешных попытках входа;
  • неиспользуемые учетные записи бывших сотрудников;
  • технические пользователи с избыточными правами;
  • публикация 1С в интернете без дополнительных защитных механизмов.

Как усилить аутентификацию

Рекомендуемые меры:

  1. Использовать доменную аутентификацию там, где это возможно.
  2. Ввести политику сложных паролей для внутренних пользователей 1С.
  3. Настроить блокировку или задержки при переборе паролей.
  4. Регулярно отключать неактивные и устаревшие учетные записи.
  5. Разделить именные, технические и сервисные учетные записи.
  6. Запретить совместное использование одной учетной записи несколькими сотрудниками.
  7. Для веб-доступа использовать дополнительные уровни защиты: VPN, WAF, reverse proxy, MFA на внешнем контуре.

4. Конфигурационные файлы, СУБД и серверная инфраструктура

Даже если роли в самой 1С настроены корректно, инфраструктурные ошибки могут дать атакующему прямой путь к данным.

На что обратить внимание

Критичны следующие зоны:

  • файлы кластера и настройки подключения к СУБД;
  • права на каталоги 1С и временные директории;
  • доступ к файловым базам;
  • права учетных записей SQL Server, PostgreSQL или другой СУБД;
  • сетевые доступы между сервером 1С и сервером баз данных;
  • административные права на терминальных серверах.

Риски прямого доступа к СУБД

Если атакующий получает доступ к СУБД, он может обойти прикладные механизмы контроля доступа 1С. Поэтому безопасность базы данных должна рассматриваться как отдельный слой защиты, а не как “внутренняя техническая деталь”.

Практические меры защиты

  • ограничить доступ к конфигурационным файлам 1С;
  • назначить минимально необходимые права на каталоги платформы;
  • использовать отдельные учетные записи для подключения к СУБД;
  • не использовать одинаковые пароли для 1С, домена и СУБД;
  • запретить прямой доступ к СУБД с рабочих станций пользователей;
  • контролировать административные действия в СУБД;
  • включить резервное копирование и контроль целостности.

5. Резервные копии, выгрузки и “забытые” данные

Безопасность продуктивной базы теряет смысл, если ее копии лежат в открытых сетевых папках. На практике именно резервные копии часто становятся самым простым источником данных для атакующего.

Где обычно находят чувствительные данные

Проверяйте:

  • файлы .dt;
  • файловые базы .1cd;
  • архивы резервных копий;
  • папки обмена;
  • тестовые копии продуктивных баз;
  • выгрузки для подрядчиков;
  • скрипты деплоя и автоматизации;
  • конфигурационные файлы на терминальных серверах;
  • старые базы после миграций и обновлений.

Как защитить резервные копии 1С

  1. Хранить резервные копии в изолированном защищенном хранилище.
  2. Ограничить доступ по принципу минимальных привилегий.
  3. Шифровать архивы и каналы передачи.
  4. Исключить хранение продуктивных копий в общедоступных сетевых папках.
  5. Регулярно удалять устаревшие копии.
  6. Маскировать персональные данные в тестовых средах.
  7. Фиксировать, кто и когда выгружал базу.

6. Веб-публикация 1С и удаленный доступ

Публикация 1С через веб-клиент удобна для бизнеса, но резко расширяет поверхность атаки. Ошибки в настройке удаленного доступа могут привести к перебору паролей, утечке информации о базах и компрометации учетных записей.

Типовые ошибки при публикации 1С

  • доступ к веб-базе открыт из интернета без VPN;
  • отсутствует ограничение по IP-адресам;
  • нет защиты от brute force;
  • используются простые имена баз;
  • не настроены безопасные заголовки и TLS;
  • отсутствует мониторинг неуспешных попыток входа;
  • веб-сервер совмещен с другими критичными сервисами.

Рекомендации

  • закрыть веб-доступ за VPN или Zero Trust Network Access;
  • включить MFA на внешнем периметре;
  • ограничить доступ по IP и географии, если это применимо;
  • использовать WAF или reverse proxy;
  • настроить rate limiting;
  • скрыть техническую информацию об окружении;
  • мониторить ошибки входа, аномалии и подозрительные пользовательские агенты.

7. Профили безопасности 1С

Профили безопасности 1С позволяют ограничивать действия прикладного решения, которые могут быть потенциально опасны для кластера серверов и инфраструктуры. Это важный механизм hardening, особенно для продуктивных баз.

С помощью профилей безопасности можно ограничивать:

  • доступ к файловой системе;
  • запуск внешних обработок;
  • использование внешних компонентов;
  • сетевые обращения;
  • взаимодействие с COM-объектами;
  • выполнение операций, не нужных конкретной информационной базе.

Рекомендуется создавать отдельные профили безопасности для разных типов баз: продуктивных, тестовых, разработческих и интеграционных.

8. Чек-лист безопасности 1С

Ниже — короткий чек-лист, который можно использовать для первичной проверки.

Кластер и сервер 1С

  • Установлен пароль администратора кластера.
  • Доступ к администрированию кластера ограничен по сети.
  • Службы 1С запущены от выделенных учетных записей.
  • У сервисных учетных записей нет прав администратора домена.
  • Включено журналирование административных действий.
  • Настроены профили безопасности.

Пользователи и роли

  • Нет общих учетных записей.
  • Отключены учетные записи бывших сотрудников.
  • Используется доменная аутентификация или строгая парольная политика.
  • Настроена блокировка при подозрительных попытках входа.
  • Права пользователей соответствуют должностным обязанностям.
  • Регулярно проводится ревизия ролей.

Внешние обработки и интеграции

  • Обычным пользователям запрещен запуск внешних обработок.
  • Внешние обработки проходят ревью и согласование.
  • Толстый клиент ограничен там, где он не нужен.
  • COM-соединения контролируются и документированы.
  • Внешние компоненты разрешены только при необходимости.
  • Интеграционные учетные записи имеют минимальные права.

СУБД и файлы

  • Доступ к СУБД ограничен сетевыми правилами.
  • Пароли 1С и СУБД не совпадают.
  • Прямой доступ пользователей к СУБД запрещен.
  • Права на каталоги 1С минимизированы.
  • Конфигурационные файлы защищены от чтения лишними пользователями.
  • Административные действия в СУБД логируются.

Резервные копии

  • Бэкапы не лежат в открытых сетевых папках.
  • Копии шифруются.
  • Доступ к архивам ограничен.
  • Тестовые базы обезличены.
  • Старые выгрузки удаляются по регламенту.
  • Ведется учет операций выгрузки и восстановления.

Веб-доступ

  • Веб-публикации 1С не доступны напрямую из интернета без защиты.
  • Используется VPN, ZTNA, WAF или reverse proxy.
  • Настроен TLS.
  • Есть защита от перебора паролей.
  • Логируются неуспешные попытки входа.
  • Проводится регулярная проверка внешнего периметра.

9. Как провести аудит безопасности 1С

Комплексный аудит безопасности 1С должен включать не только проверку ролей внутри конфигурации. В нормальной модели проверяются все уровни:

  1. Инфраструктура — серверы, сеть, домен, терминальные серверы.
  2. Кластер 1С — администрирование, права, профили безопасности, сервисные учетные записи.
  3. Информационные базы — роли, пользователи, внешние обработки, расширения.
  4. СУБД — права, доступы, аудит, резервное копирование.
  5. Веб-публикации — доступность извне, защита от перебора, TLS, WAF.
  6. DevSecOps-процессы — контроль изменений, ревью обработок, секреты, деплой.
  7. Мониторинг — события безопасности, аномалии, действия администраторов.

Результатом аудита должен быть не просто список проблем, а приоритизированный план устранения: что закрыть немедленно, что вынести в ближайший спринт, а что включить в долгосрочную программу hardening.

Вывод

Безопасность 1С нельзя свести к настройке ролей в конфигурации. Основные риски часто находятся на стыке платформы, инфраструктуры, СУБД, внешних обработок, резервных копий и удаленного доступа.

Если 1С используется для финансового учета, зарплаты, кадров, закупок или управленческой отчетности, ее нужно защищать как критичную бизнес-систему. Начните с базового hardening: закройте администрирование кластера, ограничьте внешние обработки, проверьте сервисные учетные записи, защитите резервные копии и настройте мониторинг.

ВанСек

Проверьте свою систему 1С

Запустите пилот — получите отчёт о реальных уязвимостях в вашей конфигурации.

Связаться

Читайте также

Безопасность1С по умолчанию небезопасна: что это значит и что с этим делатьЧитать