Как мы защищаем инфраструктуру клиентов: доменная изоляция, VPN и файрволы
Безопасность в бизнесе — это не только антивирус. Разбираем три ключевых эшелона защиты, которые мы внедряем клиентам: доменная изоляция Windows, корпоративный VPN и грамотная настройка правил файрвола.
«У нас стоит антивирус, что ещё нужно?» — частый вопрос от клиентов на старте.
Антивирус — это хорошо. Но современные атаки давно обходят его стороной. Злоумышленники маскируются под легитимные сервисы, подменяют домены и создают SSH-туннели, которые выглядят как обычный системный трафик.
Рассказываем о трёх эшелонах защиты, которые мы выстраиваем для клиентов Mac-Key.
Эшелон 1: Доменная изоляция (Domain Isolation)
Что это
Представьте, что ваша сеть — это офисное здание. Без доменной изоляции любой, кто зашёл в здание, может дёргать ручки всех дверей. С изоляцией — у каждого сотрудника есть пропуск, и он может войти только в те кабинеты, куда ему разрешено.
Технически: все компьютеры в домене Active Directory требуют аутентификации Kerberos при любом сетевом соединении. Машина без доменной учётной записи просто не сможет «докрутиться» до ваших серверов.
Как это работает у нас
Мы разворачиваем многоуровневую модель изоляции (Microsoft Tiered Model):
| Уровень | Что входит | Кто имеет доступ |
|---|---|---|
| Tier 0 | Контроллеры домена, системы аутентификации | Только администраторы домена |
| Tier 1 | Серверы 1С, файловые серверы, базы данных | Администраторы серверов |
| Tier 2 | Рабочие станции пользователей | Локальные администраторы рабочих мест |
Ключевой принцип: учётная запись администратора домена (Tier 0) никогда не используется для входа на рабочие станции или сервера приложений. Это защищает от атак типа Pass-the-Hash, когда злоумышленник, захватив рядовую машину, пытается повысить привилегии до уровня контроллера домена.
Реальный кейс
Однажды к нам пришла компания, где бухгалтер работал на том же компьютере, где стоял RDP-доступ к серверу 1С. Причём под учётной записью администратора домена. Злоумышленникам даже не пришлось «взламывать» что-то сложное — достаточно было заразить машину бухгалтера через фишинговое письмо, и ключи от всего домена оказались у них в руках.
После аудита мы:
- Выделили отдельные учётные записи для администрирования каждого уровня
- Настроили GPO, запрещающие вход администраторов Tier 0 на рабочие станции
- Внедрили многофакторную аутентификацию (MFA) для всех привилегированных учёток
Эшелон 2: Корпоративный VPN с политиками доступа
Что это
VPN — это не просто «шифрованный канал до офиса». Правильно настроенный VPN решает две критичные задачи:
- Изоляция удалённого устройства от локальной сети. Если ноутбук сотрудника заражён дома, вирус не перекинется на офисную сеть.
- Гранулярный доступ. Бухгалтеру — доступ только к серверу 1С и папке «Бухгалтерия». Разработчику — к Git-серверу и тестовым стендам. Директору — ко всем ресурсам.
Как это работает у нас
Мы разворачиваем VPN-шлюзы на базе WireGuard или OpenVPN (в зависимости от совместимости с оборудованием клиента) и интегрируем их с правилами файрвола.
Типовая конфигурация для клиента из 30+ сотрудников:
Группа "Бухгалтерия":
- Доступ: 192.168.10.0/24 (сервер 1С, файловый сервер)
- Запрет: 192.168.20.0/24 (сервер разработки), Интернет
Группа "Разработка":
- Доступ: 192.168.20.0/24, GitHub, Docker Hub
- Запрет: 192.168.10.0/24 (финансовые данные)
Группа "Руководство":
- Доступ: все внутренние подсети, Интернет
- Обязательное логирование всех соединений
Дополнительный уровень: мы запрещаем VPN-клиентам доступ к локальной сети, из которой они подключаются. Это называется No Direct Access to Local Network и предотвращает атаки вида «заражённый домашний принтер → ноутбук сотрудника → офисная сеть».
Эшелон 3: Правила файрвола — не только «запретить всё»
Что это
Многие думают, что файрвол — это просто «разрешить порт 80 и 443». На самом деле современные файрволы (включая встроенный Windows Firewall) — это мощные инструменты контроля.
Как это работает у нас
Мы используем три уровня фильтрации:
1. Фильтрация по процессам (Windows Filtering Platform)
Разрешаем конкретным приложениям доступ к конкретным адресам. Например:
1cv8.exeможет обращаться только к серверу 1Сchrome.exe— только через прокси с контент-фильтрациейssh.exe— запрещён на рабочих станциях полностью (если сотрудник не разработчик)
Почему это важно: в 2026 году злоумышленники активно используют легитимный ssh.exe для создания скрытых туннелей. Они прописывают в конфиге подмену доменов, и трафик уходит на их сервер под видом обычного SSH-соединения.
2. Правила изоляции серверов (Server Isolation)
Критичные серверы (контроллеры домена, базы 1С, бухгалтерские файловые серверы) настроены на приём входящих соединений только от авторизованных устройств из определённых групп безопасности.
Например, сервер 1С:
- Принимает соединения от группы
GRP_1C_UsersиGRP_1C_Admins - Отклоняет соединения от всех остальных (даже если они в том же домене)
- Требует шифрования всего трафика (IPsec)
3. Логирование и алертинг
Все срабатывания запрещающих правил пишутся в лог и анализируются. Аномалии — например, 50 попыток подключения к запрещённому порту за минуту — генерируют алерт дежурному инженеру.
Что это даёт бизнесу
| Угроза | Как мы защищаем |
|---|---|
| Вирус на ноутбуке удалёнщика заражает офис | VPN + No Direct Access + изоляция по процессам |
| Уволенный админ сохранил доступ | Доменная изоляция + MFA + немедленная блокировка учёток |
| Шифровальщик добрался до файлового сервера | IPsec-изоляция + теневые копии + офлайн-бэкапы |
| Хакеры создали SSH-туннель через взломанный ПК | Запрет ssh.exe на рабочих станциях + мониторинг аномалий |
Коротко
Безопасность — это не продукт, а процесс. Мы не просто «ставим антивирус и забываем». Мы выстраиваем эшелонированную защиту, где каждый уровень страхует предыдущий.
Хотите узнать, насколько защищена ваша инфраструктура прямо сейчас? Запросите бесплатный аудит — мы проверим ключевые точки входа и дадим конкретные рекомендации.