Ловушка для шифровальщика: Делаем «невидимый» бэкап с защитой 98% (Hasleo + Honeypot)

15.12.25

Администрирование - Информационная безопасность

+4
> > > > > > > > > > > > > >
  • 1.jpg
  • 2.jpg
  • 3.jpg
  • 4.jpg
  • 5.jpg
  • 6.jpg
  • 7.jpg
  • 8.jpg
  • 9.jpg
  • 9.jpg
  • 10.jpg
  • 11.jpg
  • 12.jpg
  • 13.jpg
  • 14.jpg
Пошаговая инструкция по организации бесплатной, удобной и защищенной системы резервного копирования «под ключ». В статье подробно разобрано, как с помощью программы Hasleo Backup Suite настроить автоматические инкрементные бэкапы. Вы сможете не только спасти систему при сбое, но и легко восстановить конкретные файлы или версии документов за прошлые даты (вчера, неделю назад и т.д.). Вторая часть статьи посвящена безопасности: как с помощью простых скриптов защитить эти архивы от вирусов-шифровальщиков. Реализован принцип программного отключения диска (Soft Air Gap) и проверка системы на заражение перед копированием. Идеальное решение для тех, кто хочет «поставить и забыть», не вкладывая деньги в дорогой софт.

Файлы

ВНИМАНИЕ: Файлы из Базы знаний - это исходный код разработки. Это примеры решения задач, шаблоны, заготовки, "строительные материалы" для учетной системы. Файлы ориентированы на специалистов 1С, которые могут разобраться в коде и оптимизировать программу для запуска в базе данных. Гарантии работоспособности нет. Возврата нет. Технической поддержки нет.

Наименование Скачано Купить файл
Ловушка для шифровальщика: Делаем «невидимый» бэкап с защитой 98% (Hasleo + Honeypot)
.rar 23,01Kb
3 1 850 руб. Купить

Подписка PRO — скачивайте любые файлы со скидкой до 85% из Базы знаний

Оформите подписку на компанию для решения рабочих задач

Оформить подписку и скачать решение со скидкой

Привет, коллеги.

Все мы знаем старую поговорку: «Админы делятся на тех, кто еще не делает бэкапы, и тех, кто уже делает». Но в эпоху вирусов-шифровальщиков (Ransomware) появилась третья категория: те, кто бэкапы делал, но шифровальщик добрался и до них.

Обычный сценарий: к компьютеру (или серверу с 1С) подключен внешний USB-диск, на который по расписанию падают архивы. Вы ловите вирус, он шифрует диск C:, видит диск H: (бэкап) и шифрует его тоже. Итог: данных нет.

Решение «выдергивать шнур руками» не работает — человеческий фактор. Облака — не всегда применимы из-за объема или скорости.

Я нашел и протестировал решение, которое реализует принцип «Программного воздушного зазора» (Soft Air Gap). Система полностью бесплатна, работает автоматически и держит диск с бэкапами отключенным от системы 98% времени, подключая его только на момент копирования.

Ниже — подробная инструкция, как это настроить.

 

Инструментарий

Нам понадобится:

  1. Внешний USB-диск.
  2. Программа Hasleo Backup Suite Free (бесплатный аналог Acronis/Veeam, очень шустрый).
  3. Два простых .bat скрипта.

Где скачать программу?
Официальный сайт: easyuefi.com/backup-software/backup-suite-free.html
Программа полностью бесплатна для домашнего использования, интерфейс на русском языке (выбирается при установке).

Часть 1. Теория: Как сэкономить место (Инкрементный бэкап)

Многие боятся делать полные бэкапы дисков, думая, что диск забьется за неделю.
Hasleo умеет делать Инкрементное копирование.

Как это работает:

  1. День 1 (Полный): Программа копирует диск целиком. Это «Фундамент».
  2. День 2 (Инкремент): Программа сканирует диск, находит только изменившиеся файлы и сохраняет только их. Это занимает копейки места (МБ вместо ГБ).
  3. День 14: Цепочка продолжается.

Важный момент: В настройках мы зададим «Политику хранения» (Retention Policy). Например, хранить 14 дней. Программа сама будет удалять старые цепочки и “схлопывать” их, чтобы место на диске никогда не заканчивалось.

Часть 2. Магия скриптов (Air Gap)

Наша цель: чтобы внешний диск был виден в «Моем компьютере» только во время бэкапа.
Для этого мы будем использовать системную команду mountvol, которая удаляет букву диска, делая его невидимым для проводника и вирусов.

Шаг 1. Узнаем ID вашего диска

  1. Подключите внешний диск. Пусть он будет под буквой H:.
  2. Нажмите Win + R, введите cmd.
  3. Напишите команду mountvol и нажмите Enter.
  4. Найдите в списке вашу букву H:\. Над ней будет длинная строка вида \\?\Volume{ваш-длинный-гуид}\.
  5. Скопируйте эту строку (это паспорт вашего диска).

Шаг 2. Создаем скрипты (Защита 2.0: Honeypot)

1. Создаем файлы-приманки
Чтобы защититься не только от простых вирусов, но и от «умных» (которые не трогают .bat файлы, но шифруют документы), мы применим хитрость. Мы создадим файлы-приманки («канарейки») и научим скрипт проверять их целостность перед подключением диска.

Важно про размер файлов:
Вирусы иногда пропускают слишком мелкие файлы (менее 1 КБ). Чтобы приманка сработала гарантированно, файлы должны весить хотя бы 50–100 КБ.

Как создать правильную «жирную» приманку:

  1. Откройте Блокнот.
  2. Скопируйте туда любой длинный текст (новость из интернета, «рыбу» Lorem Ipsum), размножьте его копированием, чтобы получилось много строк.
  3. В середину или конец вставьте нашу контрольную фразу: SYSTEM_OK_CHECK_TOKEN
  4. Сохраните файл как !00_Critical_Passport.doc (выберите «Все файлы» при сохранении).
    • Почему так: Мы сохраняем текстовый файл, но даем ему расширение .doc. Для команды findstr он останется читаемым текстом, а для вируса станет лакомой целью (документом Word).
  5. Сделайте то же самое для второго файла !01_Financial_Report.xls.

2. Скрипт включения (Show_Disk.bat)

Создайте файл Show_Disk.bat в папке C:\Backup_scripts и вставьте следующий код.

@echo off
rem Включаем поддержку русских символов и расширенный набор команд
chcp 65001 >nul
setlocal
rem =====================================================
rem НАСТРОЙКА ЛОВУШЕК (HONEYPOT / CANARY)
rem =====================================================
rem Пути к файлам-приманкам. Они должны лежать рядом со скриптом.
set “canary1=C:\Backup_scripts\!00_Critical_Passport.doc”
set “canary2=C:\Backup_scripts\!01_Financial_Report.xls”
rem Секретная фраза, которая записана внутри этих файлов
rem Если вирус зашифрует файл, эта фраза исчезнет
set “token=SYSTEM_OK_CHECK_TOKEN”
echo Запуск проверки безопасности…
rem =====================================================
rem ЭТАП 1: ПРОВЕРКА НАЛИЧИЯ (Вирус сменил расширение?)
rem =====================================================
if not exist “%canary1%” goto :DANGER
if not exist “%canary2%” goto :DANGER
rem =====================================================
rem ЭТАП 2: ПРОВЕРКА СОДЕРЖИМОГО (Шифрование без смены имени?)
rem =====================================================
rem Ищем кодовое слово внутри файла.
findstr /C:“%token%” “%canary1%” >nul
if %errorlevel% neq 0 goto :DANGER
findstr /C:“%token%” “%canary2%” >nul
if %errorlevel% neq 0 goto :DANGER
rem =====================================================
rem ВСЁ ЧИСТО - МОНТИРУЕМ ДИСК
rem =====================================================
echo [OK] Проверка пройдена. Вирусной активности не обнаружено.
echo Подключаем диск резервного копирования…
rem === МОНТИРОВАНИЕ ТОМА ===

mountvol H: \\?\Volume{ВАШ-ID-ЗДЕСЬ}\

rem Ждем инициализацию диска (10 секунд)
timeout /t 10 /nobreak >nul
rem =====================================================
rem ФИНАЛЬНАЯ ПРОВЕРКА (БЕЗ МАРКЕРА)
rem =====================================================
rem Проверяем, существует ли сам диск H:
if exist “H:\” (
echo \[SUCCESS\] Диск H: успешно подключен.
exit /b 0
) else (
echo \[ERROR\] Ошибка\! Диск H: не появился.
rem Завершаем с ошибкой, чтобы остановить бэкап
exit /b 1
)
:DANGER
rem =====================================================
rem ТРЕВОГА! БЛОКИРОВКА!
rem =====================================================
echo !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
echo ВНИМАНИЕ! ОБНАРУЖЕНА АКТИВНОСТЬ ШИФРОВАЛЬЩИКА!
echo Файлы-ловушки изменены или повреждены.
echo Диск с бэкапами НЕ БУДЕТ подключен.
echo !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
rem Возвращаем код ошибки 1. Hasleo увидит это и отменит задачи.
exit /b 1

Замените {ВАШ-ID-ЗДЕСЬ} на реальный ID вашего диска!

 

3. Скрипт выключения Hide_Disk.bat
Этот скрипт удаляет букву, скрывая диск.

@echo off
rem Удаляем точку монтирования (букву), диск становится невидимым
mountvol H: /D
exit /b 0

Проверьте скрипты: запустите Hide от имени администратора — диск должен пропасть. Запустите Show — появиться.

 

 

Для тех, кто ценит время (Готовый комплект):

Чтобы вам не создавать файлы вручную, не набивать их текстом для веса и не копировать код, я прикрепил к статье архив Backup_scripts.zip.

Внутри лежит готовая папка, в которой:

  1. Два настроенных .bat файла.
  2. Два файла-приманки (.doc и .xls), которые уже имеют правильный размер (75+ КБ) и содержат нужный токен внутри.

Как использовать:

  1. Скачайте архив и распакуйте папку Backup_scripts в корень диска C:.
  2. Нажмите правой кнопкой на файл Show_Disk.bat -> Изменить.
  3. ОБЯЗАТЕЛЬНО замените ID тома (Volume{…}) на свой собственный (как его узнать — см. Шаг 1).
  4. Сохраните. Всё готово к работе.

Часть 3. Настройка задач (Стратегия «Локомотив»)

Главная проблема: если настроить бэкап сразу на диск H:, программа при старте проверит наличие пути. Диска нет (он скрыт) -> Ошибка -> Скрипт подключения даже не успевает запуститься.

Мы обойдем это с помощью очереди из трех задач.

Схема по времени:

  • 12:59 — Задача-Триггер (включает диск).
  • 13:00 — Бэкап Системы (диск уже открыт).
  • 13:01 — Бэкап Данных + Выключение диска.

Задача №1: «Триггер» (Включаем диск)

Эта задача фиктивная. Она делает бэкап мусорного файла на диск C, просто чтобы запустить скрипт.

  1. Создайте текстовый файл dummy.txt например здесь: C:\Backup_dummy\dummy.txt
  2. В Hasleo выберите «Файловый бэкап».
  3. Выберите файл dummy.txt.
  4. Место назначения: Любая папка на диске C: (например C:\Backup_Temp). Хитрость: диск C доступен всегда, ошибки не будет.
  5. Расписание: Ежедневно, 12:59.
  6. Внизу нажмите шестеренку «Опции бэкапа» -> «Команда»:
    • Поставьте галочку «Выполнить команду перед».
    • Укажите путь к C:\Backup_scripts\Show_Disk.bat.
    • Важно: Поставьте галочку «Прервать операцию, если команда не выполнена».
  7. Сохраните задачу.

 

 

Задача №2: Бэкап Системы

Теперь диск открыт, можно делать настоящую работу.

  1. В главном меню выберите «Бэкап системы». Программа сама выберет нужные разделы Windows.
  2. Место назначения: Ваш внешний диск H:\System_Backup.
  3. Расписание: Ежедневно, 13:00 (через 1 мин после открытия).
  4. Режим резервного копирования: Инкрементный.
  5. Политика хранения образа (внизу):
    • Поставьте галочку.
    • Выберите «Хранить 14 Дня(ей)».
  6. Опции бэкапа -> Шифрование: Рекомендую включить пароль (AES256), чтобы никто не прочитал ваши данные, если диск украдут.
  7. Вкладку «Команда» не трогаем. Диск уже открыт, закрывать рано.

 

 

Задача №3: Бэкап Данных + Отключение

Копируем остальные диски (D, E) и прячем диск обратно.

  1. В главном меню «Бэкап Дисков/Разделов».
  2. Отметьте галочками диски D и E.
  3. Место назначения: H:\Data_Backup.
  4. Расписание: Ежедневно, 13:01.
  5. Опции бэкапа -> Команда:
    • «Выполнить команду перед»: Пусто.
    • «Выполнить команду после»: Укажите скрипт C:\Backup_scripts\Hide_Disk.bat.
    • Критически важно: Поставьте галочки «Выполнить при успешном завершении» И «Выполнить, если закончилось неудачей».
    • Смысл: Диск должен спрятаться в любом случае, даже если бэкап прервется.

 

Анализ безопасности: Почему это спасёт ваши данные?

Сценарий: Компьютер заразился утром (до начала бэкапа) Это самый частый случай. Вы поймали шифровальщик в 10:00. Он начинает шифровать диск C:. Вирусы настроены так, чтобы в первую очередь шифровать документы (.doc, .xls, .jpg), и часто делают это по алфавиту. Наши файлы-приманки специально названы !00_..., чтобы попасть под удар первыми. Наступает 12:59. Запускается скрипт Show_Disk.bat.

  1. Он проверяет приманки.
  2. Видит, что файл либо переименован (вирусом), либо внутри него вместо кодовой фразы SYSTEM_OK_CHECK_TOKEN находится зашифрованная «каша».
  3. Скрипт выдает ошибку и аварийно завершается. Команда на подключение диска H: не отправляется. Итог: Hasleo получает ошибку и отменяет бэкап. Ваш внешний диск остался отключенным и стерильным.

 

Итог

Что мы получили в сухом остатке?

  1. Автоматизация: В 12:59 диск сам появляется в системе. В 13:05 - 13:10 (после окончания всех копий) он сам исчезает.
  2. Безопасность: 23 часа 45 минут в сутки внешний диск физически подключен, но программно отсутствует. Вирус-шифровальщик не видит диска H: и не может его зашифровать.
  3. Экономия: Благодаря инкрементным копиям и политике хранения (14 дней) диск не переполняется.
  4. Надежность: Даже если диск C: умрет полностью, мы загружаемся с аварийной флешки (ее можно создать в меню “Инструменты”), подключаем диск и восстанавливаем Windows за 15 минут.

Это решение идеально подходит для домашнего ПК, компьютера бухгалтера или небольшого файлового сервера.

Перед тем как редактировать задачи №2 и №3 в будущем, не забудьте вручную запустить скрипт Show_Disk.bat от админа, иначе программа не даст сохранить настройки, не видя диска.

 

 

Бонус: Как достать один файл из копии недельной давности?

Еще одно мощное преимущество этой системы — возможность «заглянуть» в прошлое. Вам не нужно восстанавливать Windows целиком, если вы просто случайно удалили важный отчет или базу 1С. Вы можете подключить резервную копию как обычную флешку и скопировать оттуда нужный файл.

Но так как наш диск скрыт («Air Gap»), порядок действий немного отличается от стандартного:

Шаг 1. Открываем сейф

Так как диск H: у нас отключен, программа его не увидит.

  • Зайдите в папку со скриптами C:\Backup_scripts.
  • Запустите файл Show_Disk.bat от имени администратора.
  • Дождитесь появления диска в системе.

Шаг 2. Монтируем образ

  1. Откройте Hasleo Backup Suite и перейдите в раздел «Инструменты» (Tools).
  2. Выберите пункт «Смонтировать/размонтировать образ».
  3. Выберите нужную задачу (например, «Бэкап Системы»).

 

 

  1. Важный момент: Так как мы защитили бэкап паролем (AES256), программа попросит его ввести. Это гарантия того, что даже если диск попадет в чужие руки, файлы оттуда не достанут.

 

 

  1. На следующем этапе вы увидите список разделов.
    • Если нужно достать файл с Рабочего стола или из Документов — ставьте галочку только напротив диска C:.
    • В колонке «Буква диска» нажмите дважды и выберите любую свободную букву (например, Z:).
    • Лайфхак: Справа сверху есть кнопка «Изменить версию». Нажав на неё, вы увидите календарь и сможете выбрать состояние системы на любой день (вчера, позавчера, неделю назад).

 

 

Шаг 3. Забираем файлы
Нажмите «Продолжить». Через пару секунд в «Моем компьютере» появится новый диск Z:.

Это ваша «машина времени». Заходите в него, ищите нужный файл и просто копируйте его себе на рабочий стол.

 

 

Шаг 4. Уборка

Когда файл спасен:

  1. В программе нажмите кнопку «Размонтировать» (диск Z пропадет).
  2. Запустите скрипт Hide_Disk.bat от администратора, чтобы снова спрятать основной диск с бэкапами от греха подальше.
     

FAQ: Ответы на частые вопросы

1. «А что, если вирус запустится во время бэкапа (в 13:00)?»

Да, это единственное «окно уязвимости» — примерно 10-20 минут в сутки.
Но давайте посчитаем вероятность. В сутках 1440 минут. Диск открыт 20 минут.
Вероятность, что случайный вирус активируется именно в этот момент — 1.3%.
В остальные 98.7% времени диск физически подключен, но программно невидим. Для домашнего или офисного ПК это отличный результат за 0 рублей.

2. «Настоящий бэкап — это когда сервер сам забирает данные (Pull). Ваше решение ненадежно!»

Согласен, отдельный Linux-сервер, который забирает бэкапы — это идеал.
Но покажите мне, как это реализовать в маленьком магазине с одним ноутбуком или у бухгалтера-фрилансера?
Данное решение предназначено для SOHO-сегмента (Small Office / Home Office), где нет бюджетов на серверы и сисадминов. 

3. «Надо просто отключить пользователю интернет и отобрать права админа!»

Отобрать права админа — святое дело. А вот отключить интернет в 2025 году?

  • 1С: Обновление классификаторов, проверка контрагентов (1С:Контрагент), 1С-ЭДО, 1С-Отчетность — всё требует сети.
  • Банки: Клиент-банки работают через интернет.
  • ИИ: Современный бухгалтер пишет письма и ответы налоговой с помощью ChatGPT/GigaChat.
    Лишать сотрудника инструментов ради безопасности — это делать бизнес неэффективным. Данный метод позволяет работать в интернете и иметь защищенный бэкап.

4. «Я хочу 100% гарантию. Что делать?»

Добавьте в схему Облако.
Настройте копирование файлов бэкапа (.DBI) в папку Яндекс.Диска или Облака Mail.ru.

  • Опасение: “А если вирус зашифрует файл и он синхронизируется в облако испорченным?”
  • Решение: Во всех современных облаках есть «История версий» (Версионирование). Даже если вирус перезапишет файл бэкапа поверх, вы заходите в веб-интерфейс облака, жмете «История изменений» и восстанавливаете вчерашнюю версию. Вирус до неё не доберется без вашего логина/пароля.

5. «А вдруг вирус прочитает скрипт, найдет ID диска и сам его подключит?»

Важно различать два типа угроз:

  1. Целевая атака (Targeted Attack): Когда живой хакер ломает конкретно вашу компанию. Он может прочитать скрипты, найти пароли и подключить всё руками. Но это угроза для крупных корпораций, и защита там стоит миллионы.

  2. Массовый шифровальщик (Mass Malware): Это 99% случаев. Это автоматический бот, задача которого — максимально быстро зашифровать файлы по списку расширений (.doc, .jpg, .1cd).

Почему массовый вирус не подключит диск:

  • У него нет «интеллекта»: Вирусы не умеют анализировать логику .bat файлов. Они не ищут в тексте команды mountvol или GUID томов. Это слишком сложно и долго для программы, которой нужно заразить тысячи ПК за час.

  • Сработает ловушка: Даже если вирус «умный» и не трогает сам файл скрипта, он обязательно набросится на наши файлы-приманки (Канарейки). Скрипт при запуске увидит, что приманки повреждены, и сам откажется выполнять команду подключения диска.

  • Риск сломать Windows: Вы спросите: "Почему вирус просто не переберет все скрытые тома и не подключит их?". Потому что среди скрытых томов есть служебные разделы (Загрузчик EFI, Раздел восстановления). Если вирус смонтирует их и зашифрует — Windows просто перестанет загружаться. Жертва не сможет заплатить выкуп. Разработчики вирусов специально ставят «защиту от дурака» и не трогают скрытые тома, чтобы не сломать "кормушку".

Так что против 99% реальных угроз, гуляющих в интернете, этот метод работает безотказно.

 

P.S. Коллеги, если метод показался интересным или сэкономил вам время на настройку — буду благодарен за плюсик. Это мотивирует писать дальше про бесплатные полезности»

Вступайте в нашу телеграмм-группу Инфостарт

Резервное копирование Бэкап Защита от вирусов Шифровальщики Ransomware Hasleo Backup Suite Air Gap Информационная безопасность Защита 1С Honeypot Восстановление данных Инкрементный бэкап SOHO

+4

См. также

Полная история изменений в 1С с Tools4Biz

Информационная безопасность Поиск данных ServiceDesk, HelpDesk Журналы и реестры данных 1С 8.3 Россия Бухгалтерский учет Бюджетный учет Налоговый учет Управленческий учет Платные (руб)

Полный контроль над изменениями в 1С без нагрузки на вашу базу. Мгновенный доступ к истории изменений, удобное сравнение и откат данных в один клик. Простой отчет с визуальным отображением изменений Откат на любую версию объекта в два клика История изменения данных хранится во внешней базе

180000 руб.

05.09.2025    2327    1    1    

3
Интеграция Vault и 1С

Информационная безопасность Пароли 1С:Предприятие 8 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024    12570    kamisov    19    

64
Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист 1С:Предприятие 8 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    19293    AlexeyPROSTO_1C    10    

43
Device flow аутентификация, или туда и обратно

Информационная безопасность Программист 1С:Предприятие 8 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    4377    platonov.e    1    

23
Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист 1С:Предприятие 8 1C:Бухгалтерия Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023    8200    capitan    9    

48
Быстрая и комплексная оценка защищенности базы и сервера

Информационная безопасность Системный администратор 1С:Предприятие 8 1C:Бухгалтерия Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    8433    27    soulner    8    

33
Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист 1С:Предприятие 8 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    10452    76    Silenser    17    

25
Временная блокировка работы пользователя (Alt+L)

Информационная безопасность Пароли 1С:Предприятие 8 1C:Бухгалтерия Бесплатно (free)

Расширение для параноиков.

22.11.2022    6741    157    ixijixi    12    

19
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. Cocky_Idiot 20 20.12.25 02:20 Сейчас в теме
Но покажите мне, как это реализовать в маленьком магазине с одним ноутбуком или у бухгалтера-фрилансера?

да легко, голь на выдумки хитра

Берем ваш USB диск и, вместо того, чтобы ставить и настраивать левый софт:
- тупо делаем нового nologon юзера винды и даем ему право на чтение нужных папок.
- включаем на винде сервер openssh с авторизацией по ключам и даем доступ новому юзеру (не надо ставить никакого странного софта, ssh есть в винде "искаропки")
- покупаем (на Авито?) raspberry pi, ставим на нее linux, втыкаем в нее этот ваш диск. кладем в cron задачу забирать с винды данные по ssh через rsync
- профит

В итоге имеем нормальный бэкап. Штатными средствами ОС. С возможностью валидации/версионирования/шифрования/черта_лысого.
Можно даже СУБД забирать через dump/pg_pro_backup/что_там_есть_для_mssql. В вашем варианте диск копируется пофайлово, без снэпшотов - в результате вместо БД получите тыкву. Даже файловую 1С надо копировать в монопольном режиме. Что произойдет, если в момент копирования ваш бухгалтер/фрилансер/маленький продавец создаст пару-тройку документов с проводками в регистрах? Уверены, что сможете потом из этой копии восстановиться?
Также на эту малину вешается обвязка для мониторинга состояния диска(smartctl), проверка свободного места на диске и проч и проч. При этом малина остается недоступной снаружи, чистый pull.

Цена вопроса - купить малину(raspberry pi). Тыща рублей сверху, ибо диск вы уже прикупили.
Две такие малины дают вам тот самый "3-2-1"

Плюсом: чтобы не кататься каждый раз в "маленький магазин" или к "бухгалтеру-фрилансеру" - покупаем самый дешевый vps (2400рублей в год), поднимаем на нем vpn(тот же wireguard) и ставим клиентов этого vpn на малину. В итоге имеем удаленный доступ по ssh на все малины и, соответсвенно, к бэкапам. При настроенном wireguard эту малину можно закинуть на антресоль в квартире учредителя и забыть навсегда. Коробочное решение в прямом смысле слова "коробочное".

Эта история масштабируется на любое количество магазинов/бухгалтеров/фрилансеров тупым клонированием sd-карты для малины. Через ansible оно спокойно раскатывается на любую мелкую/среднюю розницу.

Ну и настройка этого счастья ни разу не сложнее, чем проставление галок в правильных местах в hasleo и обвязки из bat-скриптов на кажой клиентской машине.
+ Ответить
2. Prepod2003 299 20.12.25 03:22 Сейчас в теме
(1) Про «тыкву» (битые базы): Вы не правы. Hasleo Backup Suite использует нативный механизм Windows VSS (Volume Shadow Copy Service). Он делает корректный мгновенный снимок системы. Целостность открытых файлов 1С и SQL гарантируется, монопольный режим не нужен.

Про цену: Внешний диск покупать нужно в обоих случаях, это база. А вот Raspberry Pi с нормальной картой памяти, корпусом и блоком питания сейчас стоит не «тыщу», а ближе к 8-10 тыс. руб. .

Про сложность: Для целевой аудитории этой статьи настройка Linux, SSH, ключей и Cron — это космос.
+ Ответить
4. Cocky_Idiot 20 20.12.25 19:46 Сейчас в теме
(2)
Про "тыкву" вопрос снимаю, молодцы.

Про цену: raspberry pi3 стоит 2-3К на Авито. zero w реально найти за ту самую "тыщу". За 5к рублей можно уже взять intel nuc - это x86, ssd диск, usb 3.0 и вообще другая весовая категория, можно делать полноценный soho сервер. Да даже на микроволновке микротике или openwrt можно поднять эту же схему, они умеют в ssh/rsync/vpn. Заколхозить такой "бэкап для бедных" можно почти за ноль, за выходные, в качестве пет-проекта.

Про сложность: мануалов по настройке ubuntu/ssh/rsync море. Ну и чатгопоту никто не отменял, порог входа в линукс сейчас реально невысокий. Итоговый баш-скрипт в кроне будет ничуть не сложнее, чем ваш батник в автозагрузке. Для абстрактного буха на удалёнке оба два варианта - магия.

И это универсальное по сути решение. Для сохо будет работать на малине/микротике.
В конторах с бюджетом будет отдельная железка на x86.
У кровавого энтерпрайза будут выделенные бэкап-сервера в отдельных vlan, на 10Gbs линках и аппаратных рейдах, полках, лентах и прочих схд, огороженные файрволами и без доступа в интернет.
Но архитектурная суть не поменяется: сами идём на бэкапируемый хост, сами забираем нужные данные, бэкапируемый знать не знает, что его кто-то бэкапит. Это просто, понятно, четко разделяет ответственность. Solid на марше.

Оффтоп: Так случилось, что я ловил шифровальщика на компанию и приходилось погружаться в суть вопроса.

В современном мире, шифровальщик - это не какой-то самостоятельный вирус, который запускается при открытии левого письма. Это индустрия. Одни группировки занимаются взломом, вторые - анализом взломанных хостов, третьи - сажают туда нужную "полезную" нагрузку: майнеров, ддос-ботов, шифровальщиков. Глупо думать, что если кто-то получил рута на ваш компьютер, то он сразу будет шифровать диск. Он осмотрится, посмотрит куда попал, нет ли рядом других кандидатов на взлом. Даже если это домашний компьютер марьиванны, то на нем может стоять vpn или rdp до офиса для удаленной работы. Зачем просить с вас двести баксов за расшифровку диска(без гарантии, что жертва отправит деньги), если через вас можно залезть в сеть ГазМясНефти? Вас осмотрят по-максимуму, и, если больше нечего с вас взять - могут зашифровать домашние нюдсы и попросить денег. А могут оставить вас взломанным и использовать для каких-то других целей. Заражённые хосты продаются пачками. Вот прямо реально можно купить бот-сеть из сотни зараженных хомяков и пользоваться ей, например, для накрутки отзывов на Озоне. Или для ddos атак. Или поискать в кеше браузера кукисы от сберонлайна. Наличие криптокошельков тоже могут проверить.
Шифровальщик - это верхушка айсберга. Это самое лучшее, что с вами случится, если вы поймали эксплойт.
+ Ответить
5. Prepod2003 299 20.12.25 21:00 Сейчас в теме
(4) вы рассуждаете как профессионал, для которого SSH и rsync — родная стихия. Но давайте посмотрим глазами читателя этой статьи (бухгалтер, ИП, эникейщик на подхвате):
Про «Легкость» и Linux:
Фраза «Заколхозить... за выходные в качестве пет-проекта» — это приговор для бизнеса. Бизнесу нужно решение «за 15 минут здесь и сейчас», а не «пет-проект с Авито».
Искать на барахолке живой Raspberry/NUC, разбираться с версиями Ubuntu, генерировать SSH-ключи, настраивать Cron... Для вас это рутина, для обычного пользователя Windows — непреодолимый квест.
Мой метод: Скачал exe -> Импортировал батник -> Готово.
Ваш метод: Купил железо -> Собрал -> Накатил ОС -> Настроил сеть -> Написал скрипты...
Порог входа отличается в разы.
Про архитектуру (Pull vs Push):
Вы правы, Pull-схема (сервер сам забирает) — это эталон. Но она требует второго устройства (сервера/NAS/Малины).
Моя статья про то, как защититься, имея только рабочий ПК и USB-диск. Это решение класса «беднее некуда», но оно работает. И благодаря скриптам (Air Gap) оно приближается по надежности к физически отключенному диску.
Про «Индустрию взлома» (Оффтоп):
Тут я с вами полностью согласен. Если в сети сидит живой злоумышленник с правами админа, он найдет и как мой скрипт обойти, и как к вашей «Малине» по SSH подключиться (найдя ключи или перехватив ввод пароля).
От целевой атаки (APT) спасает только комплекс мер (DLP, SIEM, SOC), который стоит миллионы.
Но от массового автоматического шифровальщика-бота (который "чешет" всё подряд) моя схема с Honeypot и отключением диска защищает отлично. А это 99% кейсов для малого бизнеса.
Резюме: Ваш вариант — отличный совет для тех, кто хочет стать сисадмином. Мой вариант — для тех, кто хочет просто защитить базу 1С и пойти домой.
+ Ответить
6. Cocky_Idiot 20 20.12.25 22:17 Сейчас в теме
(5)
(5)
Бизнесу нужно решение «за 15 минут здесь и сейчас»,

Ну нет же.
Бизнесу нужно решение, которое решает его задачи и стоимость которого экономически оправдана.
Грубо говоря: если не страшно потерять данные за последнюю неделю - достаточно в пятницу вечером руками копировать нужные файлы на внешний диск и руками же его отключать. Это занимает десять минут в неделю, без всяких админов и софта. Не всегда нужна автоматизация, сплошь и рядом достаточно организационных мер.

Вы предлагаете иллюзию защиты. Она тоже имеет право на жизнь: от реальной угрозы не защищает, но зато дает психологическое спокойствие. Это точно лучше, чем ничего. Но, если случится беда(шансы-то реально невысокие), то будет очень тяжело объясняться.

(5)
Искать на барахолке

Тут бы определиться, что у нас за бизнес. Если нет денег на админа и нормальное железо(а еще админа можно взять в аутсорц, а soho сервер купить за 10К), а ценность данных высока - придется колхозить, чудес не бывает. кроилово ведет к попадалову (с)

(5)
Если в сети сидит живой злоумышленник с правами админа, он найдет ... как к вашей «Малине» по SSH подключиться (найдя ключи или перехватив ввод пароля).

ну нет же.
и это ключевой момент pull: на клиенте (бэкапируемой машине) нет ключей для доступа на бэкап-сервер. оно строго в одну сторону работает.

(5)
от массового автоматического шифровальщика-бота (который "чешет" всё подряд)

Не бывает таких. Вас сначала ломают, потом исследуют что с вас можно взять. И если взять нечего, сажают вам шифровальщик.
Ну и после шифровальщика вы ессно не сможете просто восстановиться из бэкапа, ибо вы восстановите скомпроментированную систему. Придется ставить ОС и весь софт заново с нуля(format c) и вручную накатывать пользовательские данные.

(5)
Мой вариант — для тех, кто хочет просто защитить базу 1С и пойти домой

Вы предлагаете защиту от вымышленных угроз в вымышленном мире. В таком мире шифровальщик встает в систему в десять утра и через пару минут начинает тупо шифровать диск. Да, от таких угроз ваше решение работает. Если других угроз не предполагается, то можно спокойно "пойти домой"
+ Ответить
7. Prepod2003 299 20.12.25 23:54 Сейчас в теме
(6) Коллега, как специалист, работающий в том числе с крупным бизнесом, я прекрасно понимаю технические преимущества «Pull-схем», но данная статья посвящена решению конкретной задачи для дома и SOHO-сегмента с нулевым бюджетом. Я лично выбрал для своего домашнего ПК именно этот метод, потому что он настраивается за 15 минут, работает автоматически и закрывает 99% массовых угроз без необходимости тратить время и деньги на развертывание сложной инфраструктуры. Предлагаю на этом закончить дискуссию: каждый инструмент хорош на своем месте, и этот — отлично выполняет свою функцию для своей аудитории. Всего доброго!
Cocky_Idiot; +1 Ответить
Для отправки сообщения требуется регистрация/авторизация