Взломать за 60 секунд!

16.12.19

Администрирование - Информационная безопасность

При работе с данными нужно обращать внимание не только на объемы, скорость и удобство, но и на безопасность. Если организация не уделяет внимания безопасности, пользователь с урезанными правами может получить полный доступ к базе данных за 1-5 минут. Набором типичных ошибок и действенных рецептов по усилению безопасности клиент-серверной 1С на конференции Infostart Event 2019 Inception поделился руководитель ИТ в компании «ИнфоСофт» Антон Дорошкевич.

Привет! Меня зовут Дорошкевич Антон. Я руководитель ИТ в компании «ИнфоСофт» из Новосибирска, из далекой Сибири. Сегодня хочу с вами поговорить о безопасности в 1С.

 

Проблема безопасности в ИТ

За 25 лет, которые существует 1С, все привыкли, что программа 1С – это удобно, красиво, комфортно. А в опытных руках – это даже быстро и надежно. 

Но такой момент, как безопасность, почему-то никто не любит настраивать. Более того, о нем никто не любит даже думать. Такая ситуация не только в мире 1С. Такая ситуация в принципе в ИТ. 

Из-за бурного роста ИТ-сектора все свободные руки программистов и команд вокруг них заняты разработкой новой и развитием текущей функциональности. Всем не до безопасности. Этот момент всегда откладывают, из-за этого технический долг растет лавинообразно. Конечно, технический долг у нас накапливается не только в безопасности. И в последнее время в командах разработчиков 1С хотя бы слышится такое слово – рефакторинг кода. Давайте уберем все костыли, сделаем правильно, код хотя бы быстро заработает. То есть, на оптимальность у нас технический долг хотя бы начинает уменьшаться. Но на безопасность он растет катастрофическими объемами. 

Максимально, что делают, это настраивают права, профили для пользователей. А о супер-пользователях вообще никто не задумывается. Если подойти к системному администратору и произнести «1С», то в большинстве случаев он вам просто пальцем укажет короткий маршрут до 1С-ника и отвернется: «1С – это не мое, я о нем вообще ничего не знаю».

Такая ситуация почти везде. Ситуация немного плачевная. И я сейчас хочу вам рассказать, как реально за 60 секунд одним из вариантов взломать базу 1С и получить неограниченный доступ ко всем данным.

 

3 шага к данным

 

 

Когда мы в первый раз провели тестирование на взлом у себя внутри компании, мы удивились, насколько быстро мы смогли сломать, казалось бы, нормально защищенную систему. У нас ушло 15 минут. 

Второе удивление было – каким огромным количеством способов мы смогли это сделать. Вариантов огромное количество. Все не расскажу. Не потому, что жадный, а потому, что времени не хватит. 

Но расскажу один вариант, которой затем мы стали очень часто встречать, когда тестируем на проникновение в базы 1С крупных корпоративных заказчиков.

И кстати – ни разу за все тесты, проведенные нами, ни один антивирус не обнаружил подозрительных действий. Поэтому ставить на сервера приложений и баз данных антивирусы не только вредно для быстродействия системы, но и совершенно бесполезно.

Сразу оговорюсь, что все тесты на безопасность проводятся чисто технологическими методами – без социального инжиниринга, без паяльников, без утюгов, нам запрещено разговаривать с людьми.

Вариант такой: ты бухгалтер, тебе дали базу бухгалтерии и права бухгалтера с возможностью открытия внешних обработок. Больше ничего не дали. 

Что делаем? Всего в три шага, за одну минуту мы ломаем всю 1С-ку. 

  • Первым делом мы запускаем внешнюю обработку, написать которую занимает буквально пару минут. Эта обработка умеет делать всего две процедуры: читать файлы на сервере 1С и копировать к себе тот файл, который тебе нужен. Этой обработкой мы копируем к себе файл реестра кластера 1CV8Clst.lst. В этом файле содержится список всех баз 1С на кластере, список всех серверов БД, к которым подключены базы на этом кластере, логины к серверам БД  – все в открытом виде. И зашифрованные пароли к серверам баз данных. Вот по паролям не известны ни алгоритмы, ни соль, с помощью которой все это шифруется. И я надеюсь, что алгоритм шифрования паролей к базам данных – это один из главных секретов разработки платформы в фирме «1С».

  • Получили файл, прочитали. Практически всегда в крупном корпоративном секторе оказывается, что все базы подключаются к СУБД «прозрачной авторизацией» из-под пользователя, под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres). 

  • Нам ничего не мешает создать еще одну обработку, которая просто подключится к MS SQL, PostgreSQL, не указывая ни логина, ни пароля к базе данных (заметьте, он нам не нужен мы ничего не подбирали, потому что эта обработка подключается с правами сервера 1С, а он там – системный администратор). И создать еще одного системного администратора в СУБД – с логином и паролем, никакой доменной авторизации. 

Все. Все данные наши. Мы взломали сервер баз данных 1С. Мы можем забрать все, что угодно. Мы можем поменять любые пароли. Мы имеем неограниченный доступ к данным мимо платформы. Ситуация очень плачевная. 

Более того, мы можем это делать настолько скрытно, что вы годами можете не знать, что у вас давно все взломано и все данные улетают не туда, куда вам надо.

Валить из страны пока не надо, ничего страшного. Сейчас попробую рассказать вам, как минимальными телодвижениями, буквально нажатием пяти кнопок, сделать взлом вашей системы просто финансово нерентабельным из-за больших временных затрат. 

Полной безопасности, конечно, не добиться. У нас всегда есть баланс между удобством и безопасностью. И соблюсти этот баланс – сложная и интересная задача, решать которую надо как можно раньше:

  • единственный способ прийти к безопасности – это выключить сервер из розетки. Все безопасно, но работать нельзя. 

  • придем к удобству – это как сейчас в 1С, мы сломаем за минуту любую базу.

 

Первая ошибка – право на запуск внешних обработок

 

 

Итак, первый грех, самая важная и распространенная ошибка – это возможность пользователя запускать внешние обработки. Это вообще вселенское зло. Первое, что вы должны сделать – отобрать у всех пользователей права на запуск внешних обработок. 

Хотите кастомизировать свою систему – делайте это красиво и надежно. Хватит «фигачить гаражный тюнинг», навешивать на систему обвесы в виде внешних обработок, иначе у десятков ваших пользователей на рабочих столах будут храниться сотни версий одной и той же обработки со времен Деда Мазая:

  • во-первых, используя старую версию обработки на реструктурированных данных, вы получите непредсказуемый вал ошибок. А бухгалтеру удобно – обработка лежит на рабочем столе, он ее и запускает;

  • во-вторых, вы получите возможность взлома. Поверьте, у каждого пятого, наверное, вашего бухгалтера есть сын, племянник или сосед, который посмотрел курс «Как программировать на 1С». Первым делом он захочет получить данные из вашей базы и напишет для этого обработку – там делов-то на две минуты. 

Если все-таки по условиям бизнеса вам нельзя отказаться от внешних обработок, то хотя бы размещайте их в справочнике дополнительных отчетов и обработок (а лучше все-таки включать свои доработки в конфигурацию). Относитесь к этому очень аккуратно. Это – удобство, которое граничит с полной небезопасностью. Удобный механизм, но очень опасный. 

И еще один момент – когда вы перенесете все внешние обработки в справочник, наведете там полный порядок, удалите оттуда, пожалуйста, все обработки универсального доступа. Как минимум, удалите консоль запросов – в 90% случаев она в вашем справочнике будет. Это такая штука, с помощью которой любой 1С-ник, который проработал хотя бы две недели, обойдет все ограничения прав (кроме RLS), обойдет все ограничения отборов, и получит все, что угодно – любые данные по зарплате, налогам и пр.

Поэтому внешние обработки, к сожалению, должны умереть. Как бы это ни было удобно.

 

Вторая ошибка – «прозрачная авторизация» платформы на серверах СУБД

 

 

Еще одно «удобство», которое можно записать «в плюс» платформе – это та самая «прозрачная авторизация» платформы на серверах СУБД. В стандартном варианте использования, когда на сервере 1С крутится много баз – это грубейшая ошибка с точки зрения безопасности. Чем это грозит, я уже рассказал. А как этого избежать?

Самое простое – это под каждую базу завести отдельного пользователя СУБД, под которым к ней подключается сервер 1С. Причем, на сервере СУБД этот логин должен быть лишен прав сисадмина и быть просто Owner’ом для этой базы (на Postgres быть просто админом этой базы).

Классно, быстро, за три минуты это все сделаете – создадите 40 пользователей СУБД для 40 баз данных.

Но что же делать, когда с одной стороны безопасники требуют не передавать по сети пароли от сервера 1С в СУБД (это в файле они лежат шифрованные, а в базу данных полетят в открытом виде), а с другой стороны Дорошкевич на Инфостарте говорит: «Не будете передавать логин и пароль – я вас взломаю». 

Что делать? Вам придется под каждую базу данных создать отдельную службу сервера 1С, для которой создать уникального пользователя и уже его прописать на сервере баз данных. 

Тогда вы не только резко повысите безопасность ваших данных, вы еще и получите хороший бонус к гибкости управления платформами в вашей инфраструктуре. Вы сможете совершенно безболезненно менять версии платформы только для любой из баз, рестартовать службы и т.д. Вы же все любите рестартовать сервер, когда у вас начинает тормозить, вместо того чтобы разобраться, почему тормозит – это же сложно, дорого. А еще регулярные выражения начать писать для разбора техжурнала – это вообще мрак. Зачем это надо? Сейчас рестартану – всегда помогает. Вот, пожалуйста – рестартуйте. Делайте, что хотите – зато безопасность будет еще сильнее. Правда есть побочный эффект нескольких служб в части управления ragent-ом оперативной памятью, но это отдельная история.

 

Третья ошибка – отсутствие ограничений FireWall

 

 

И третий момент смертного греха, про который все постоянно забывают, – это настройка сетевого экрана на серверах во внутренней сети.

К сожалению, почти у всех сервер СУБД сетевым экраном вообще не закрыт, хотя обязательно должен быть закрыт полностью – все порты и все IP-шники, кроме порта, по которому к нему обращается сервер 1С и кроме IP-шника сервера 1С. Плюс еще пара компов админов БД должны иметь доступ на этот сервер. И больше никто. Это сервер базы данных, а не детская площадка для гуляний с колясками.

То же самое даже в большей степени касается сервера 1С – никто ничего не закрывает, хотя запрет подключения по порту консоли сервера 1С должен стоять для всех, кроме тех, кто админит сервер 1С.

Чем грозит отсутствие запрета?

Это грозит тем, что любой пользователь (даже без прав админа) может поставить себе на локальный компьютер дистрибутив 1С-ки с галочкой «Администрирование» – и у него появится консоль сервера 1С. Казалось бы, что такого? Мы все свои базы данных защитили, и у нас все круто – у нас под каждую базу данных свои пользователи в СУБД есть.
А вот и не все. После того, как он поставит себе консоль сервера 1С, он поднимет у себя на компьютере Postgres. А поскольку локальный компьютер вы на вход сетевым экраном тоже не защищаете, он, имея доступ из консоли до сервера 1С, правой кнопочкой на вашем кластере создаст новую базу и подключит ее к своей локальной базе данных Postgres. А затем запустит 1С, пропишет в ней свою вновь созданную базу данных и запустит любую обработку. 

А дальше – читайте первый слайд. За 60 секунд мы, как минимум, получим список всех ваших кластеров, всех ваших баз данных. И дальше уже будем смотреть, что с этим делать – не поленились ли вы создать для каждой базы своего пользователя? А вы поленитесь – и если у вас в какой-то базе пользователь СУБД прописан не будет, мы сможем запустить в ней любую обработку от имени пользователя сервера 1С.

Второй момент, как можно сделать то же самое, но чуть сложнее – Remote Access Server (RAS). Если у вас на серверах работает эта служба, то с помощью Remote Access Client (RAC) вы получите ту же самую консоль, только в командной строке. Можно делать все то же самое. 

Поэтому порт консоли сервера 1С должен быть закрыт. 

Казалось бы, закроем порт – наступит счастье? Не наступит.

 

 

Есть самый страшный метод создать базу в вашем кластере. Это стартер 1С. 

Там, если вы нажмете кнопку «Добавить новую базу», вам предложат все прописать. Помните, база данных установлена у меня локально. Мне ваши пароли не нужны. И я создам базу на вашем кластере даже при закрытых портах. Потому что стартер обращается к кластеру по порту менеджера rmgr – 1541. А если вы закроете этот порт – у вас 1С-ка не запустится. 

Казалось бы, теперь пора валить из страны. Нет. Дальше будет еще страшнее…

 

Создайте новую роль – администратор сервера 1С

И тут мы плавно приходим к выводу, что нам уже не хватает 1С-ников, сисадминов и админов баз данных для обеспечения безопасности. Сетевые экраны не помогают (помогают, но не от всего). Настройки баз данных тоже помогают не от всего. А 1С-ники – вообще главное зло (потому что суперпользователи).

И у нас появляется новая роль – администратор сервера 1С.

 

 

Создайте эту роль у себя в компании. В платформе 1С есть огромная функциональность для решения этой задачи – возможность назначать роли администратора кластера и сервера 1С. Только это защитит вашу систему от несанкционированного создания баз на кластерах и кластеров на серверах 1С.

Самое главное, что тут надо понимать – простого технического решения недостаточно. Если у вас 1С-ник, он же DBA-шник, как почти везде, он же еще чуть-чуть админ, потому что «Ваша 1С повисла, вот и разбирайтесь» – и он же станет администратором сервера 1С, все то, что вы сделали – это профанация. У вас один человек – просто бог, он стащит любые данные. Системный администратор, администратор баз данных, администратор 1С и разработчик 1С должны быть не только разными ролями, но и обязательно разными людьми. Все эти четыре роли должны занимать четыре разных человека, желательно друг друга ненавидящие. Этого добиться сложно и легко одновременно. Просто «засветите» им зарплаты друг друга – и все будет хорошо. Вы добьетесь максимального уровня безопасности.

 

 

Итак, когда вы наделите этого админа (настоящего, отдельного человека) ролью администратора сервера 1С, не забудьте сделать очень легкий и очень важный шаг: создайте для этого человека в консоли сервера две административные учетки:

  • администратора внутри кластера 1С;

  • и, самое главное, администратора внутри сервера 1С. 

Про администратора кластера обычно не забывают – кто вообще слышал про администраторов кластеров 1С, его создают. Классно – создать базу в кластере, не зная логина и пароля, нельзя. Но только можно создать еще один кластер, потому что администратора сервера не создано. 

Создайте обе эти учетки. Это очень важно. 

На этом моменте мы с вами обеспечили такой уровень безопасности, что ломать вас имеет смысл только под заказ за очень большие деньги. 

 

Используйте профили безопасности

Но остались суперпользователи – это админы, 1С-ники с полными правами, пользователи с полными правами и т.д. 

 

 

Чтобы как-то бороться еще и с этим «злом полных прав», в платформе есть мегамощный механизм профилей безопасности. Механизм очень обширный. Рассказывать про все – это отдельный доклад. Почитайте на ИТС, там все написано.

Единственное, есть нюанс: профили безопасности – это функциональность уровня КОРП. Но и безопасность изначально должна заботить КОРП-сектор, а ему уже давно пора быть на КОРП-лицензиях. 1С давно перестала шутить и 10 сентября 2019 года доказала это во всей красе. 

Кто столкнулся с табличкой: «Вы используете КОРП-функциональность, Ай-яй-яй! Я запускаться не буду!» и большими красными крестиками, которые пугали бабушек-бухгалтеров полдня? 

Кто паниковал на форумах Инфостарта? Я специально встал пораньше, чтобы всем вам отписываться: «Не пугайтесь, вот здесь нужно снять вот эти галочки» – скриншоты вам присылал. 

Причем Инфостарт за три месяца до этого вас предупреждал – писал пугающую статью, что через три месяца включат ограничение, и не будет дороги назад. 

Да, профили безопасности – это КОРП-функциональность, но очень крутая КОРП-функциональность. Что в ней такого с точки зрения обеспечения безопасности от взлома? 

Только с помощью профилей безопасности мы можем поставить под контроль даже людей с полными правами, которые могут зайти в конфигуратор и что-то сделать. Как минимум мы можем поставить под контроль внешние обработки: какие можно использовать, а какие – нет. Мы можем поставить под контроль расширения: какие можно использовать, а какие – нет. 

Профили безопасности позволят ограничить свободу 1С-ников в применении внешних обработок, расширений, доступа к файлам сервера 1С, приложениям операционной системы,  интернет-ресурсам из 1С и т.д.

А саму конфигурацию (да, безопасность связана еще и со сложностью – во времени и в бюрократии) вам придется выгружать в cf-ник, считать его контрольную сумму. И если она поменялась – его нельзя накатывать на базу, пока вы не проведете сторонний анализ безопасности на предмет «закладок». 

Безопасность – сложная штука, к ней надо идти долго. Но те, кому данные важны (а 1С все больше и больше содержит в себе пикантных подробностей финансового учета вашей компании), должны об этом задуматься. Это только кажется, что 1С только для бухгалтеров. На самом деле, 1С давно уже для бизнеса. 

Поэтому, когда мы создали админов, купили КОРП-лицензии, все это настроили, жить стало хорошо. 

Но в качестве первого тренировочного задания для этих админов я бы дал следующее.

 

Изолируйте серверные процессы ragent, rmngr и rphost

 

 

Заставьте админов настроить платформу 1С так, чтобы изолировать серверные процессы друг от друга. Это не КОРП-функциональность, вы можете сделать это хоть сегодня с помощью настроечного файла swpuser.ini (на ИТС описаны его параметры). 

Смысл в чем? Сервер 1С состоит из трех видов процессов, грубо говоря, из трех EXE-шников (в том числе и Linux-вариант – из трех бинарников). Это:

  • агент сервера 1С:Предприятия (ragent);

  • менеджер кластера (rmngr);

  • и рабочие процессы rphost. 

Весь ваш код 1С на сервере выполняется только процессом rphost. 

По умолчанию все три вида процессов запускаются от одного пользователя, и именно поэтому мы смогли прочитать обработкой файл реестра кластера, хотя этот файл не нужен рабочему процессу rphost, а нужен только процессу менеджера кластера rmngr.

С помощью настроечного файла swpuser.ini вы можете запустить все три процесса от трех разных пользователей. Таким образом, мы сможем жестко изолировать процессы друг от друга, и, самое главное, на уровне прав пользователя в операционной системе жестко ограничить в правах пользователя rphost.

Рабочему процессу rphost для счастья нужен каталог текущей платформы 1С (папка bin) на чтение и каталог временных файлов на изменение. 

С помощью профилей безопасности вы еще эту папку временных файлов (которая после разделения процессов будет размещаться в профиле пользователя, из-под которого запущен rphost) можете перенести в другой каталог, заставить автоматически чиститься после завершения сеанса 1С и т.д.

 

 

И тогда наступит счастье. Им втроем гораздо веселее. Помимо полной изоляции трех процессов, вы получаете еще очень богатую возможность настройки прав этих процессов. 

Например, пользователю, от которого запущен rmgr – ему вообще нужно очень мало, ему нужен доступ только на то, чтобы этот кластер прочитать. И к файлам журнала регистрации – он их пишет. Также он пишет файлы полнотекстового поиска. 

Поэтому делите, настраивайте. Сразу говорю, нормально заработает, только если прочитать статью на ИТС внимательно (а не как мы все с вами обычно читаем – сверху прочитали и дальше не дочитываем). Иначе не стартанет, будут ошибки. Читайте до конца. Статья маленькая, так что не поленитесь: дайте все права так, как вам об этом сказали.

После этих настроек и организационных мер несанкционированный доступ к вашим данным в 1С будет крайне затруднен.

 

Настройте двухфакторную аутентификацию и прозрачную авторизацию в 1С

 

 

Разобрались на админском поле, на суперпользовательском поле всех ограничили, все стало сложно, но у нас остается целый пласт пользователей с полными правами (уже не программистов 1С), которые отвечают за наиболее критичные процессы в компании, связанные с большим финансовым риском.

Этим пользователям в обязательном порядке нужно включить двухфакторную авторизацию. Начиная с версии платформы 8.3.15, это позволяет делать сама платформа. Да, к сожалению, пока нет формы настройки – все это делается просто на встроенном языке. Но делается быстро, за 2-3 минуты. Включайте, отправляйте им SMS (можете им в Telegram коды отправлять) – как угодно, что придумаете, какой HTTP-сервис напишете, такой и будет работать.

Эти пользователи должны быть подконтрольными. Помимо двухфакторной авторизации они в обязательном порядке должны иметь только прозрачную авторизацию в 1С. Никакой авторизации с помощью платформы – уберите галку «Аутентификация 1С:Предприятия». При авторизации с помощью 1С логины и пароли передаются в открытом виде.

А логины и пароли прозрачной авторизации не передаются – передается Kerberos билет, для которого реальных способов взлома нет при настроенной политике блокировки паролей. Может быть, математические есть, но реальных нет. Поэтому – только прозрачная авторизация. 

Плюс – настройте в домене правила блокировки по подбору пароля. Почему именно в домене, а не в 1С? Ведь в 8.3.16 появилась возможность включить защиту от брутфорса – указать количество попыток. Эта защита распространяется на всю базу 1С, а не на конкретных пользователей, что не всегда удобно. Плюс она реализована немного опасным способом – теперь, чтобы не попасть в капкан своей же защитной системы, когда у вас заблокируются все пользователи и вы ничего сделать не сможете, там еще и указывается префикс входа мимо брутфорса. Грубо говоря, суперпароль, который доступен администратору сервера 1С. А это – нехорошо. Лучше эти роли разделить, чтобы этот суперпароль доменного админа был доступен только доменному администратору, и чтобы только он мог разблокировать учетку, которая у вас прозрачно авторизуется. Но с другой стороны, раньше в 1С вообще никакой защиты от подбора не было, а теперь есть, и это отлично.

 

Для критических важных процессов компании нужен сторонний наблюдатель

 

 

Ну раз уж мы заговорили о критически важных процессах компании, вам, по-хорошему, нужен третий наблюдатель для объективного контроля этих процессов. Это – технология типа блокчейн.

Приведу пример – заявка на расходование денежных средств. Завели заявку – 500 т.р. Ее все радостно согласовали, и на моменте перед передачей этой заявки в бухгалтерию админ зашел и нолик добавил. Причем, неважно какой админ: 1С-ник или админ базы данных (только админ сервера 1С не сможет эту гадость сделать). И у вас улетело 5 миллионов. Но ладно нолик. Он скорее всего, контрагента поменяет, кому эти деньги улетят. Поэтому думайте о том, как сторонними технологическими средствами обеспечить еще один уровень безопасности от шаловливых ручек. Чтобы каждый участник процесса твердо знал, что с момента появления заявки на расходование в системе никакие ее основные параметры не были изменены.

Единственное – призываю к следующему. Если уж используете технологии блокчейн, то используйте их по-настоящему. С действительно распределенным реестром, с разными ключами шифрования. 

И не путайте это с майнингом и криптовалютами. Никакого отношения одно к другому практически не имеет. Криптовалюты – это паразиты на теле блокчейна. Не надо их туда наворачивать. Блокчейн для другого был создан.

 

Проводите аудит и тестирование на получение несанкционированного доступа к 1С

 

 

И на десерт – чтобы все, что я тут говорил, и все, что вы придумаете сами, не осталось на бумажках в регламентах, которые вы будете показывать своей службе безопасности, вам жизненно необходимо периодически проводить тесты на проникновение. Как внутренними силами ИТ, так и приглашая внешних подрядчиков. 

У внешних подрядчиков по сравнению с вашим ИТ-отделом (или 1С-отделом – я их не объединяю в одно) есть одно неоспоримое преимущество – они видели в сто раз больше инсталляций, чем вы. 

Белый хакер только кажется дорогим. Черный хакер может привести просто к катастрофическим финансовым последствиям вашей системы. Поэтому об этом надо думать заранее – платить белым хакерам, чтобы черные хакеры ничего не получили. 

Надеюсь, что я заставил вас задуматься о безопасности в 1С, тем более что платформа уже давно ждет, когда вы начнете ее настраивать.

Дорошкевич Антон, с заботой о вас и ваших данных!

Данная статья написана по итогам доклада (видео), прочитанного на конференции INFOSTART EVENT 2019.

 

См. также

Информационная безопасность Системный администратор Программист Платные (руб)

AUTO VPN (portable) - автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    15364    25    32    

35

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016    30053    9    1    

10

HighLoad оптимизация Администрирование СУБД Механизмы платформы 1С Программист Платформа 1С v8.3 ИТ-компания Россия Бесплатно (free)

В данной статье мы рассмотрим, как работает механизм временных таблиц на postgres на платформе 8.3.23 и что изменилось в нем при добавлении новых возможностей в платформе 8.3.25. А также на примере покажу, как понимание работы платформы позволяет оптимизировать СУБД для работы с 1С.

29.10.2024    3139    Tantor    38    

34

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024    6209    kamisov    17    

60

Администрирование СУБД Платформа 1С v8.3 Конфигурации 1cv8 Россия Бесплатно (free)

При хранении файлов в томах на диске они иногда исчезают. Разбираемся, почему.

23.05.2024    9965    human_new    18    

56

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    7313    PROSTO-1C    10    

39

Администрирование СУБД Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

В Postgres достаточно подробная документация, и, видимо, поэтому при инсталляции Postgres для 1С большинство параметров приходится выставлять самим. Параметров в Postgres много, а составить эффективную комбинацию не так просто. Все упрощается, если рассмотреть профиль нагрузки, например, 1С это прежде всего профиль OLTP нагрузки – так устроены его метаданные (объекты). Если сосредоточиться на оптимизации профиля OLTP, понимание Postgres сразу упростится.

15.02.2024    3993    1CUnlimited    14    

32
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. Vasvas05 27 16.12.19 13:34 Сейчас в теме
Практически всегда в крупном корпоративном секторе оказывается, что все базы подключаются к СУБД «прозрачной авторизацией» из-под пользователя, под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres). 

это где ж так настраивают, доступ к внешним обработкам + отключение защиты от опасных действий=что в итоге ожидают админы, скорее всего тут вопрос к компетентности руководителя ИТ отдела
п.с. можно поменьше больших картинок вставлять. статья из за этого похожа на рекламный буклет
ejijoka; denium; vadver; user703597_skladavto58; Summer_13; Silenser; TMV; 7OH; user797130; +9 Ответить
6. a.doroshkevich 1496 16.12.19 16:58 Сейчас в теме
(1)
скорее всего тут вопрос к компетентности руководителя ИТ отдела


В крупных компаниях подразделения 1С далеко не самые большие внутри ИТ-отделов и у руководителя ИТ не всегда и руки дотянутся, да и таких специфических знаний он иметь не обязан
user703597_skladavto58; +1 Ответить
19. Vasvas05 27 16.12.19 18:12 Сейчас в теме
(6)
таких специфических знаний он иметь не обязан

Если нет знаний, то они должны у того кто ставит сервер 1с и руководитель 1с должен отвечать за безопасность. Если у него нет знаний, то как работы он принимает? Описанный взлом, это как установить пользователю компьютер и дать права администратора компьютера, а потом сказать что сист. администратор не отвечает за безопасность компьютера.
в крупных компаниях должны быть специалисты, так как описанные выше требования для SQL, для учеток сервера стандартные.
22. a.doroshkevich 1496 16.12.19 18:21 Сейчас в теме
(19)
Если у него нет знаний, то как работы он принимает?
- верит специалисту. Невозможно руководителю ИТ крупной компании быть специалистом во всех областях его инфраструктуры.


(19)
в крупных компаниях должны быть специалисты
- да, должны.
23. Vasvas05 27 16.12.19 18:27 Сейчас в теме
(22)
- да, должны
это все печально. как установить компьютер и дать полные права на него.
Может после вашей статьи обратят больше внимания на такие простые вещи.
Админ кластера 1с - появился очень давно.
Фаервол на порты - всем известная дыра в безопасности, открытые порты это всегда надо знать для чего
Отдельны пользователь для SQL - это как аксиома.
Спасибо за ссылку на Check-list по настройке рабочих серверов в продукционной зоне
Прикрепленные файлы:
Check-list по настройке рабочих серверов в продукционной зоне.pdf
24. a.doroshkevich 1496 16.12.19 18:28 Сейчас в теме
(23)
Может после вашей статьи обратят больше внимания на такие простые вещи.

Именно это и было целью доклада.
34. Summer_13 17.12.19 20:09 Сейчас в теме
(1) Я тоже в шоке . За три года работы с разными крупняками нигде не видел ,чтобы была дана возможность работы с внешними обработками.
Это нонсенс.
2. capitan 2507 16.12.19 13:42 Сейчас в теме
Вспоминается...
... а мой друг сервер уронил...
он, что, такой крутой хакер? нет, он %уд@к, он его на пол уронил....



Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres)

откуда интересно это означает
Вообще то стандартная рекомендация - владелец БД не более.
И все, все вот это вот хацкерство идет лесом, потому как если у пользователя в базе 1С есть права администратора, то база скуля ему не сдалась.

Белый хакер только кажется дорогим. Черный хакер может привести просто к катастрофическим финансовым последствиям вашей системы. Поэтому об этом надо думать заранее – платить белым хакерам, чтобы черные хакеры ничего не получили.

Все дело в том, что по умолчанию и в 99.99% случаев хакеры находятся за периметром компании.
Расчет на то, что они находятся внутри с учетной записью в 1С позволяющей открывать внешние обработки может только сильно параноидальная СБ принимать.
Если человек обладает такими знаниями в ИТ, то маловероятно, что он будет просиживать штаны в менеджерах по продажам.
И еще маловероятнее, что он при этом не представляет ответственности за такие действия.
А в мало-средних компаниях обычно хакер может просто сервер взять и унести домой целиком.
anchar007; Dmitri93; Kalam; ZOMI; VladimirMelnychenko; dodlez77; mrChOP93; +7 1 Ответить
4. support 4453 16.12.19 15:11 Сейчас в теме
(2) Скорее всего имеются в виду компании с распределенной сетью филиалов и множеством менеджеров работающих в 1С.
a.doroshkevich; user1328452; +2 Ответить
5. a.doroshkevich 1496 16.12.19 16:52 Сейчас в теме
(2)
Вообще то стандартная рекомендация - владелец БД не более.


Да, только мой опыт говорит о том что её не соблюдают.
Если всё сделать по ИТС, и ещё и профили безопасности настроить, то кончено всё будет хорошо.


(2)
Все дело в том, что по умолчанию и в 99.99% случаев хакеры находятся за периметром компании.

Именно поэтому я и считаю что компаниям стоит задуматься о том чтобы проверять свою систему пока не нашлись эти самые за периметром.
7. capitan 2507 16.12.19 17:05 Сейчас в теме
(5)Данный метод "взлома" опирается на доступ к запуску внешних обработок, что в подавляющем большинстве случаев отключено во всех ролях, даже администраторских.
Что касается менеджеров - максимальное, что их интересует в 1С - это слить клиентскую базу, чужую или свою перед увольнением.
Потому, что с тех времен как люди изобрели деньги, деньги же в основном их и интересуют.
Можно конечно еще отметить желание прославиться, но оно тут меркнет по сравнению с возможностью отгрести от сисадмина.
Впрочем, если вы мне приведете реальные случаи подобных взломов я буду благодарен и пересмотрю свое мнение.
(4)
10. a.doroshkevich 1496 16.12.19 17:27 Сейчас в теме
(7)
Можно и без запуска внешних подцепить свою базу в кластер или свой кластер создать, не все способы там на внешних изначально заточены.

Вам наверное повезло, раз встречались только с такими правильно настроенными доступами в 1С)

Реальные случаи разглашать не имею права.
12. capitan 2507 16.12.19 17:33 Сейчас в теме
(10)Я сам настраиваю 1С там где вижу)
А про взломы ее писал статью в свое время для журнала Хакер, векторы нападения совсем другие.
Разглашать их тоже не буду.
21. Vasvas05 27 16.12.19 18:21 Сейчас в теме
(12)
А про взломы ее писал статью в свое время для журнала Хакер, векторы нападения совсем другие.
Разглашать их тоже не буду.

Почему вы не можете описать про какие механизмы есть, слабые места системы 1с под правами пользователя, какие ошибки допускают администраторы. Это стандартная статья на habr про какое нибудь ПО, чем 1С так отличается, что никто не имеет права ничего говорить.
Можете привести примеры, кроме случаев - запуска внешних обработок, доступа к кластеру 1с(когда ошибка что нет администратора), пустые пароли под пользователем админ? На Хакер статья это уже прошлый век, можно сказать что она бесполезная и к 8.3.12 не относится.
13. capitan 2507 16.12.19 17:38 Сейчас в теме
(5)
то кончено всё будет хорошо

Оговорочка по Фрейду )))
Не хочу ставить под сомнение ваш опыт, но есть неувязочки.
Такая продвинутая СБ которая запрещает передачу паролей в сети (то есть считает что между СУБД и сервером 1С может быть сниффер!) и такой туговатый сисадмин который 1С устанавливает.
14. a.doroshkevich 1496 16.12.19 17:43 Сейчас в теме
(13)
Такая продвинутая СБ которая запрещает передачу паролей в сети (то есть считает что между СУБД и сервером 1С может быть сниффер!) и такой туговатый сисадмин который 1С устанавливает.


Но мой опыт говорит именно о такой ситуации, видимо потому-что СБ ориентируется на шаблоны общей сетевой безопасности, а специфику 1С не знают.
1С в целом то недавно стала тем софтом на который в принципе в КОРПе обратили хоть какое-то внимание.
15. capitan 2507 16.12.19 17:46 Сейчас в теме
(14)И кто вообще сказал, что
Но что же делать, когда с одной стороны безопасники требуют не передавать по сети пароли от сервера 1С в СУБД (это в файле они лежат шифрованные, а в базу данных полетят в открытом виде)

Про такую настройку шифрование при настройке соединения тоже никто из действующих лиц не слышал ?
20. a.doroshkevich 1496 16.12.19 18:16 Сейчас в теме
(15)Ну почему же, конечно можно использовать SSL - тут я упустил этот нюанс в докладе... Но за 30 минут редко можно сказать всё всё всё по теме.

И ещё один момент, многие СБ свято верят что учётку AD не взломать, а остальное это компромисс.
Например, очень сложно доказать СБ что использование мобильного приложения с соединением по SSL по факту так же безопасно как и использование его только через VPN.
35. demon_infernal 41 18.12.19 08:03 Сейчас в теме
Эти пользователи должны быть подконтрольными. Помимо двухфакторной авторизации они в обязательном порядке должны иметь только прозрачную авторизацию в 1С. Никакой авторизации с помощью платформы – уберите галку «Аутентификация 1С:Предприятия». При авторизации с помощью 1С логины и пароли передаются в открытом виде.

А параметр -seclev 1 при запуске ragent не решает эту проблему?
40. a.doroshkevich 1496 19.12.19 12:07 Сейчас в теме
(35) По моему - нет.
Использование уровня безопасности "постоянно" ( -seclev 1) позволяет полностью защитить весь поток данных (как пароли, так и непосредственно данные) между клиентом и кластером серверов.
Т.е. эта настройка не относится к общению сервера 1С с сервером СУБД.


Поправлюсь, контекст не правильно прочитал! (удалять предыдущий ответ не буду, чтоб честно было)
Да, эта настройка решит проблему, но при этом может сильно пострадать быстродействие системы.
https://its.1c.ru/db/v8316doc#bookmark:cs:TI000000062
18. a.doroshkevich 1496 16.12.19 18:06 Сейчас в теме
(13)
Оговорочка по Фрейду )))

да уж))))
46. Артано 795 27.10.20 06:59 Сейчас в теме
(2) Так манагер может быть специально засланным. Сам с таким сталкивался, когда конкуренты закидывали своего человека на рядовую должность. Он, действуя по инструкции от грамотных спецов, вытягивал всю возможную информацию и увольнялся.
3. 3vs 16.12.19 15:10 Сейчас в теме
А если "белому" хакеру не заплатить, может он превратиться в "чёрного"?
8. morohon 16.12.19 17:19 Сейчас в теме
Антон, добрый вечер - спасибо за статью.

Подскажите пожалуйста такой момент по доступу на сервер СУБД PostgreSQL.
В документации на платформу: https://its.1c.ru/db/v8316doc#bookmark:adm:TI000000100
Сказано:
Пользователь базы данных: имя пользователя сервера баз данных, от лица которого будет осуществляться доступ к базе данных. Указанный пользователь должен обладать привилегиями SUPERUSER.


Вы же пишете, что достаточно прав администратора на конкретную базу. Где-то в интернете читал, что люди дают права SUPERUSER на момент создания базы, а потом отбирают и все работает достаточно цивильно. Не очень одобряю данные подходы.

У меня собственно какой к Вам вопрос: на ваших проектах по внедрению PostgreSQL какие права выданы пользователю от которого идет подключение к PostgreSQL? Может быть что-то уточняли у поддержки фирмы 1С по этому поводу.
16. a.doroshkevich 1496 16.12.19 17:59 Сейчас в теме
(8)К сожалению, чтобы создать БД обязательно нужна роль Superuser
После этого уже переключаем привилегии на роль с grant usage и grant, create, select, update
Способ неудобный, но другого пока не нашёл (правда последние выпуски PG 11,12 не тестил на эту тему)
17. a.doroshkevich 1496 16.12.19 18:05 Сейчас в теме
(8)Немного дополню ответ:
Либо тонко настраиваем права https://postgrespro.ru/docs/postgresql/11/sql-grant либо GRANT ALL PRIVILEGES ON Base1C TO User1C;
Либо используем другой (не очень правильный вариант) - создаём несколько суперюзеров и в pg_hba.conf ограничиваем их в подключении только к определённой базе с определённого IP.
Но опять же - это не совсем верный вариант, верный - именно настроить гранты
9. check2 379 16.12.19 17:26 Сейчас в теме
Простите, конечно же за прямолинейность. После фразы
1С, а он там – системный администратор)
дальше читать не стал. Только идиоты запускают сервис 1с с правами админа.
11. a.doroshkevich 1496 16.12.19 17:31 Сейчас в теме
(9)Вы путаете системного администратора в операционной системе и в СУБД, так что наверное почитайте дальше всё таки
25. check2 379 16.12.19 21:50 Сейчас в теме
(11) Я ничего не путаю, читайте, что пишите, внимательнее. (см. вложение)
Прикрепленные файлы:
26. a.doroshkevich 1496 17.12.19 03:58 Сейчас в теме
(25)Там - имеется ввиду на СУБД. Контекст именно про это.
27. aximo 2100 17.12.19 07:20 Сейчас в теме
Как не смешно звучит после фразы "все привыкли, что программа 1С – это удобно, красиво, комфортно" - я не стал читать.

Прежде всего 1с - это безальтернативно (в рамках бухгалтерского учета).
YanTsys; milov.aleksey; 7OH; check2; +4 3 Ответить
39. mikl79 119 19.12.19 11:44 Сейчас в теме
(27), зачем вы здесь, это форум для 1с-ников
FreeArcher; lohmatik; a.doroshkevich; +3 Ответить
28. 7OH 70 17.12.19 10:28 Сейчас в теме
Сколько работаю, но первых двух пунктов нигде не встречал.
Видимо Вам оооочень повезло.
На последних 6 предприятиях всегда был запрет на внешние (есть же доп отчеты и обработки) и всегда отдельные пользователи.
Реально первый раз читаю, про прозрачную авторизацию )).
Но в целом почитать было интересно.
29. AlX0id 17.12.19 11:24 Сейчас в теме
Что делать? Вам придется под каждую базу данных создать отдельную службу сервера 1С, для которой создать уникального пользователя и уже его прописать на сервере баз данных.

Так проще уж еще дальше пойти - выделить под каждую базу отдельный физический сервер, чо мелочиться-то. А то эти службы - "ни в глаз дать, ни отпеть".
30. TMV 14 17.12.19 11:24 Сейчас в теме
Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres).

В 100% случаев это не так. Учетка 1с создается при установке платформы и изначально не имеет прав администратора. Если вы видите их у нее, значит ей их назначил ваш сотрудник.
Собственно дальше можно не читать.
31. a.doroshkevich 1496 17.12.19 12:00 Сейчас в теме
(30)Не путайте системного администратора ОС и СУБД.

Прям в цитате в Вашем же посте написано: является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres).
32. Silenser 612 17.12.19 13:38 Сейчас в теме
Для компаний, в которых не умеют создавать на сервере СУБД отдельного пользователя dbo под базы 1С можно вообще обойтись без получения файла, т.к. имена баз обычно совпадают с их названиями на сервере 1С :)
33. a.doroshkevich 1496 17.12.19 14:03 Сейчас в теме
(32)Дело не в умении, а в понимании необходимости. Но в целом, да!)
36. sergvagner2018 18.12.19 13:07 Сейчас в теме
(0) статья огонь. Но как обычно никто настройки менять не будет :)))))
a.doroshkevich; +1 Ответить
37. Kalam 105 19.12.19 11:02 Сейчас в теме
(0) Если в кратце - "высасоно из пальца".
Зачем человеку, который уже внутри компании, весь этот геморрой?
Скачать и продать базу? Ха 3 раза. Эта база никому не уперлась.


"Хотите кастомизировать свою систему – делайте это красиво и надежно. Хватит «фигачить гаражный тюнинг», навешивать на систему обвесы в виде внешних обработок, иначе у десятков ваших пользователей на рабочих столах будут храниться сотни версий одной и той же обработки"

Для этого давно есть место в базе "дополнительные отчеты и обработки"


под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором

Ну это вообще за гранью.
Тут даже если обезьяна по ИТС настроит, то все будет нормально с безопасностью.
А если везде оставлять sa и локальных админов с пустыми паролями, то как говорится "флаг в руки и барабан на шею"

Если вас ломают целенаправленно, то дырка и так найдется.
Если закрутить гайки "по самый не балуйся", то работать в принципе станет сложно и поддержка этого вырастит в разы.
41. a.doroshkevich 1496 19.12.19 13:02 Сейчас в теме
(37)
Скачать и продать базу? Ха 3 раза. Эта база никому не уперлась.

Упёрлась, данные бывают разные и в том числе крайне чувствительные для разглашения как внутри компании так и за её пределами.

(37)
Для этого давно есть место в базе "дополнительные отчеты и обработки"

Да, что и было отмечено, осталось начать использовать тем кто не использует.


(37)
А если везде оставлять sa и локальных админов с пустыми паролями

Видимо смутила фраза "что для конкретной базы у нас логин сервера СУБД в этом файле пустой", только это не означает что пароль к sa и учёткам локальных админов пустые.

(37)
Если закрутить гайки "по самый не балуйся", то работать в принципе станет сложно и поддержка этого вырастит в разы.

Согласен! Как раз задача баланса безопасности и удобства является очень сложной и интересной, по моему мнению.
А стоимость - это уже оценочная вещь, смотря сколько стоит ущерб от утечки данных или от их несанкционированного изменения.
52. TorLink 02.09.24 23:17 Сейчас в теме
Доброго времени суток.
Сорри за некропостинг, но Ваша статья до сих пор самая информативная на этот счёт.

(41)
логин сервера СУБД в этом файле пустой

Тоже смутила эта фраза, в файле же явно прописан логин и хэш пароля, перечитал, но так и не понял что за пустой пароль и зачем именно для каждой отдельной базы создавать логин на скуле?
53. a.doroshkevich 1496 03.09.24 04:57 Сейчас в теме
(52)
Добрый день
Если у вас AD авторизация на SQL, то в файле нет ни логина ни пароля.
Для каждой базы отдельный для того чтобы компрометация одной пары логин/пароль угрожала только одной базе, а не всем сразу
54. TorLink 03.09.24 18:13 Сейчас в теме
(53) Теперь понятно. Т.е. если нет домена, то вопрос не актуален. И даже если есть домен, то выходит что доменную авторизуцию на скуле следует убрать?
38. TerveRus 19.12.19 11:29 Сейчас в теме
внешние обработки, к сожалению, должны умереть. Как бы это ни было удобно.

Запрет на запуск внешних обработок? Без этого права доп обработки не запускаются, а тащить переписывать десятки обработок в конфигурацию - это нормально? Может вообще никому не работать, ничего не запускать?

Вам придется под каждую базу данных создать отдельную службу сервера 1С

Запустить предлагаете отдельный сервер приложений для каждой базы? Может еще отдельный физический сервер еще для каждой базы поставить?

Системный администратор, администратор баз данных, администратор 1С и разработчик 1С должны быть не только разными ролями, но и обязательно разными людьми.

Нанять 4 человека с разными правами, чтобы сидели в потолок плевали? Отдельная должность на создание БД? Это, простите, для каких компаний?

Причем Инфостарт за три месяца до этого вас предупреждал – писал пугающую статью, что через три месяца включат ограничение, и не будет дороги назад.

Предупреждал, что что-то там в политике 1С изменится, но что конкретно делать, когда сервер 1С вдруг перестал работать, никто не сообщал. Вылетела табличка - сам дурак, купи КОРП - вот все ваши предупреждения, только повод почесать ЧСВ, что вы умные, а все другие дураки не поняли предупреждений.

И не путайте это с майнингом и криптовалютами. Никакого отношения одно к другому практически не имеет. Криптовалюты – это паразиты на теле блокчейна. Не надо их туда наворачивать. Блокчейн для другого был создан.

Как раз таки блокчейн был создан специально для биткоина, и впервые был именно там реализован, а потом технология стала жить своей жизнью в других задачах.
Опять же, для кого это, для каких компаний? Сервер 1С еще будет хэш-суммы рассчитывать? А И раз шифрование у вас такое серьезное, и распределенная блокчейн-база, то что стоит все это поддерживать? Где примеры доступной понятной реализации всего этого применительно к 1С?

Такое ощущение сложилось, что смысл всей статьи "Наймите стороннего меня параноика в Газпром для обеспечения безопасности, я вам за много много миллионов на блокчейне такого накручу, ууу!"
Altez; Dimkasan; sasha777666; mikl79; +4 1 Ответить
42. Vintik-vint 20.12.19 09:01 Сейчас в теме
Хорошо написано, красиво. И хорошо если это у вас есть кому всё делать.
a.doroshkevich; +1 Ответить
43. krund 26.12.19 11:58 Сейчас в теме
Антону респект за статью!
Согласен с автором, вопрос безопасности данных все более актуален в наше время. На мой взгляд такие статьи могут стать хорошим дополнением к общей безопасности в первую очередь в крупных компаниях.
a.doroshkevich; +1 Ответить
44. Cyberhawk 135 15.01.20 16:10 Сейчас в теме
Kerberos билет, для которого реальных способов взлома нет при настроенной политике блокировки паролей. Может быть, математические есть, но реальных нет
Керберос ломается: в сети есть описания способов атаки и эксплоиты
45. kpdozer 19.02.20 23:13 Сейчас в теме
Из статьи
1CV8Clst.lst. В этом файле содержится список всех баз 1С на кластере, список всех серверов БД, к которым подключены базы на этом кластере, логины к серверам БД – все в открытом виде. И зашифрованные пароли к серверам баз данных. Вот по паролям не известны ни алгоритмы, ни соль, с помощью которой все это шифруется. И я надеюсь, что алгоритм шифрования паролей к базам данных – это один из главных секретов разработки платформы в фирме «1С».


Если где либо храниться зашифрованный пароль, который потом используется для авторизации в другом приложении, то может быть дешифрован без больших вычислительных мощностей. Почти все сохраненные пароли в винде и других программах шифруются с помощью пароля учетной записи винды. К таким программам относятся все популярные браузеры, например. Именно поэтому украв компьютер и не зная пароля на вход не получится их расшифровать.

С 1С и сохраненными паролями SQL все точно так же. Никто ничего нового не придумал. Вопрос где сервер 1с берет ключ для расшифровки и по какому алгоритму дешифрует. Все остальное это так называемая "обфускация" (тупо запутывание исходного кода, для тех кто не умеет распутывать), которая по барабану любому грамотному крякеру.

Я считаю, что никто с достаточными знаниями просто не заморачивался по поводу 1c сервера.

На данные момент я не встречал программы, которая при установке галочки "сохранить пароль", не давала бы его дешифровать с помощью специальных утилит. Я использую целый арсенал, который позволяет просматривать сохраненные пароли от Wifi, Браузеров, Почтовых программ, SQL Management studio (сохраненный пароль пользователя sa, например), Пароль пользователя USR1CV8, от которого запускается служба 1с сервера (пароль сохраняется в настройках службы),и даже пароли сохраненные в файлах конфигов роутеров, где ключом шифрования часто является MAC-адрес.

Поэтому написанное выше, (особенно про "соль") не верно. Все эти термины применимы при хранении ХЕШЕЙ на СЕРВЕРЕ, когда сервер хранит их лишь для того чтобы "пустить" или "не пустить". А при хранении паролей на КЛИЕНТЕ, когда нужно отправить пароль в открытом виде для авторизации, всегда есть ключ дешифровки, который КЛИЕНТ должно знать, чтобы расшифровать хранящийся пароль. И сколько бы запутанным не был алгоритм получения этого ключа он работает открыто, т.е. отладчиком видно, что и где он берет, и что с этим делает. Достаточно изъять, с помощью дизассемблера, ту часть кода, которая дешифрует пароль перед отправкой в SQL сервер и просмотрщик паролей готов. Очень похожим способом создаются кейгены.

Просто время 1с сервера еще не пришло и за него не взялись как следует. Хотя нет... один раз взялись создав "Декомпилятор 1С".
47. dammit666 16 18.08.21 16:28 Сейчас в теме
Добрый день.
Можно ли настроить swpuser.ini на запуск менеджера кластера (rmngr) и/или рабочих процессов (rphost) от имени сервисных учетных записей gMSA ?
Пароль для сервисной учетной записи gMSA отсутствует в явном виде, поэтому в файле swpuser.ini нет возможности его прописать (пробовали оставлять параметр с паролем пустым, а также полностью его удалять - не запускается rphost и/или rmngr)
user1316759; +1 Ответить
48. пользователь 20.12.21 13:42
Сообщение было скрыто модератором.
...
49. пользователь 20.12.21 13:45
Сообщение было скрыто модератором.
...
50. пользователь 20.12.21 13:46
Сообщение было скрыто модератором.
...
51. user2033751 31.12.23 11:51 Сейчас в теме
Здравствуйте Антон! Есть несколько вопросов лично к вам. Не могли бы вы ответить мне на почту? Борис.
Оставьте свое сообщение