Взломать за 60 секунд!

Публикация № 1168702 16.12.19

Системное администрирование - Информационная безопасность

При работе с данными нужно обращать внимание не только на объемы, скорость и удобство, но и на безопасность. Если организация не уделяет внимания безопасности, пользователь с урезанными правами может получить полный доступ к базе данных за 1-5 минут. Набором типичных ошибок и действенных рецептов по усилению безопасности клиент-серверной 1С на конференции Infostart Event 2019 Inception поделился руководитель ИТ в компании «ИнфоСофт» Антон Дорошкевич.

Привет! Меня зовут Дорошкевич Антон. Я руководитель ИТ в компании «ИнфоСофт» из Новосибирска, из далекой Сибири. Сегодня хочу с вами поговорить о безопасности в 1С.

 

Проблема безопасности в ИТ

За 25 лет, которые существует 1С, все привыкли, что программа 1С – это удобно, красиво, комфортно. А в опытных руках – это даже быстро и надежно. 

Но такой момент, как безопасность, почему-то никто не любит настраивать. Более того, о нем никто не любит даже думать. Такая ситуация не только в мире 1С. Такая ситуация в принципе в ИТ. 

Из-за бурного роста ИТ-сектора все свободные руки программистов и команд вокруг них заняты разработкой новой и развитием текущей функциональности. Всем не до безопасности. Этот момент всегда откладывают, из-за этого технический долг растет лавинообразно. Конечно, технический долг у нас накапливается не только в безопасности. И в последнее время в командах разработчиков 1С хотя бы слышится такое слово – рефакторинг кода. Давайте уберем все костыли, сделаем правильно, код хотя бы быстро заработает. То есть, на оптимальность у нас технический долг хотя бы начинает уменьшаться. Но на безопасность он растет катастрофическими объемами. 

Максимально, что делают, это настраивают права, профили для пользователей. А о супер-пользователях вообще никто не задумывается. Если подойти к системному администратору и произнести «1С», то в большинстве случаев он вам просто пальцем укажет короткий маршрут до 1С-ника и отвернется: «1С – это не мое, я о нем вообще ничего не знаю».

Такая ситуация почти везде. Ситуация немного плачевная. И я сейчас хочу вам рассказать, как реально за 60 секунд одним из вариантов взломать базу 1С и получить неограниченный доступ ко всем данным.

 

3 шага к данным

 

 

Когда мы в первый раз провели тестирование на взлом у себя внутри компании, мы удивились, насколько быстро мы смогли сломать, казалось бы, нормально защищенную систему. У нас ушло 15 минут. 

Второе удивление было – каким огромным количеством способов мы смогли это сделать. Вариантов огромное количество. Все не расскажу. Не потому, что жадный, а потому, что времени не хватит. 

Но расскажу один вариант, которой затем мы стали очень часто встречать, когда тестируем на проникновение в базы 1С крупных корпоративных заказчиков.

И кстати – ни разу за все тесты, проведенные нами, ни один антивирус не обнаружил подозрительных действий. Поэтому ставить на сервера приложений и баз данных антивирусы не только вредно для быстродействия системы, но и совершенно бесполезно.

Сразу оговорюсь, что все тесты на безопасность проводятся чисто технологическими методами – без социального инжиниринга, без паяльников, без утюгов, нам запрещено разговаривать с людьми.

Вариант такой: ты бухгалтер, тебе дали базу бухгалтерии и права бухгалтера с возможностью открытия внешних обработок. Больше ничего не дали. 

Что делаем? Всего в три шага, за одну минуту мы ломаем всю 1С-ку. 

  • Первым делом мы запускаем внешнюю обработку, написать которую занимает буквально пару минут. Эта обработка умеет делать всего две процедуры: читать файлы на сервере 1С и копировать к себе тот файл, который тебе нужен. Этой обработкой мы копируем к себе файл реестра кластера 1CV8Clst.lst. В этом файле содержится список всех баз 1С на кластере, список всех серверов БД, к которым подключены базы на этом кластере, логины к серверам БД  – все в открытом виде. И зашифрованные пароли к серверам баз данных. Вот по паролям не известны ни алгоритмы, ни соль, с помощью которой все это шифруется. И я надеюсь, что алгоритм шифрования паролей к базам данных – это один из главных секретов разработки платформы в фирме «1С».

  • Получили файл, прочитали. Практически всегда в крупном корпоративном секторе оказывается, что все базы подключаются к СУБД «прозрачной авторизацией» из-под пользователя, под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres). 

  • Нам ничего не мешает создать еще одну обработку, которая просто подключится к MS SQL, PostgreSQL, не указывая ни логина, ни пароля к базе данных (заметьте, он нам не нужен мы ничего не подбирали, потому что эта обработка подключается с правами сервера 1С, а он там – системный администратор). И создать еще одного системного администратора в СУБД – с логином и паролем, никакой доменной авторизации. 

Все. Все данные наши. Мы взломали сервер баз данных 1С. Мы можем забрать все, что угодно. Мы можем поменять любые пароли. Мы имеем неограниченный доступ к данным мимо платформы. Ситуация очень плачевная. 

Более того, мы можем это делать настолько скрытно, что вы годами можете не знать, что у вас давно все взломано и все данные улетают не туда, куда вам надо.

Валить из страны пока не надо, ничего страшного. Сейчас попробую рассказать вам, как минимальными телодвижениями, буквально нажатием пяти кнопок, сделать взлом вашей системы просто финансово нерентабельным из-за больших временных затрат. 

Полной безопасности, конечно, не добиться. У нас всегда есть баланс между удобством и безопасностью. И соблюсти этот баланс – сложная и интересная задача, решать которую надо как можно раньше:

  • единственный способ прийти к безопасности – это выключить сервер из розетки. Все безопасно, но работать нельзя. 

  • придем к удобству – это как сейчас в 1С, мы сломаем за минуту любую базу.

 

Первая ошибка – право на запуск внешних обработок

 

 

Итак, первый грех, самая важная и распространенная ошибка – это возможность пользователя запускать внешние обработки. Это вообще вселенское зло. Первое, что вы должны сделать – отобрать у всех пользователей права на запуск внешних обработок. 

Хотите кастомизировать свою систему – делайте это красиво и надежно. Хватит «фигачить гаражный тюнинг», навешивать на систему обвесы в виде внешних обработок, иначе у десятков ваших пользователей на рабочих столах будут храниться сотни версий одной и той же обработки со времен Деда Мазая:

  • во-первых, используя старую версию обработки на реструктурированных данных, вы получите непредсказуемый вал ошибок. А бухгалтеру удобно – обработка лежит на рабочем столе, он ее и запускает;

  • во-вторых, вы получите возможность взлома. Поверьте, у каждого пятого, наверное, вашего бухгалтера есть сын, племянник или сосед, который посмотрел курс «Как программировать на 1С». Первым делом он захочет получить данные из вашей базы и напишет для этого обработку – там делов-то на две минуты. 

Если все-таки по условиям бизнеса вам нельзя отказаться от внешних обработок, то хотя бы размещайте их в справочнике дополнительных отчетов и обработок (а лучше все-таки включать свои доработки в конфигурацию). Относитесь к этому очень аккуратно. Это – удобство, которое граничит с полной небезопасностью. Удобный механизм, но очень опасный. 

И еще один момент – когда вы перенесете все внешние обработки в справочник, наведете там полный порядок, удалите оттуда, пожалуйста, все обработки универсального доступа. Как минимум, удалите консоль запросов – в 90% случаев она в вашем справочнике будет. Это такая штука, с помощью которой любой 1С-ник, который проработал хотя бы две недели, обойдет все ограничения прав (кроме RLS), обойдет все ограничения отборов, и получит все, что угодно – любые данные по зарплате, налогам и пр.

Поэтому внешние обработки, к сожалению, должны умереть. Как бы это ни было удобно.

 

Вторая ошибка – «прозрачная авторизация» платформы на серверах СУБД

 

 

Еще одно «удобство», которое можно записать «в плюс» платформе – это та самая «прозрачная авторизация» платформы на серверах СУБД. В стандартном варианте использования, когда на сервере 1С крутится много баз – это грубейшая ошибка с точки зрения безопасности. Чем это грозит, я уже рассказал. А как этого избежать?

Самое простое – это под каждую базу завести отдельного пользователя СУБД, под которым к ней подключается сервер 1С. Причем, на сервере СУБД этот логин должен быть лишен прав сисадмина и быть просто Owner’ом для этой базы (на Postgres быть просто админом этой базы).

Классно, быстро, за три минуты это все сделаете – создадите 40 пользователей СУБД для 40 баз данных.

Но что же делать, когда с одной стороны безопасники требуют не передавать по сети пароли от сервера 1С в СУБД (это в файле они лежат шифрованные, а в базу данных полетят в открытом виде), а с другой стороны Дорошкевич на Инфостарте говорит: «Не будете передавать логин и пароль – я вас взломаю». 

Что делать? Вам придется под каждую базу данных создать отдельную службу сервера 1С, для которой создать уникального пользователя и уже его прописать на сервере баз данных. 

Тогда вы не только резко повысите безопасность ваших данных, вы еще и получите хороший бонус к гибкости управления платформами в вашей инфраструктуре. Вы сможете совершенно безболезненно менять версии платформы только для любой из баз, рестартовать службы и т.д. Вы же все любите рестартовать сервер, когда у вас начинает тормозить, вместо того чтобы разобраться, почему тормозит – это же сложно, дорого. А еще регулярные выражения начать писать для разбора техжурнала – это вообще мрак. Зачем это надо? Сейчас рестартану – всегда помогает. Вот, пожалуйста – рестартуйте. Делайте, что хотите – зато безопасность будет еще сильнее. Правда есть побочный эффект нескольких служб в части управления ragent-ом оперативной памятью, но это отдельная история.

 

Третья ошибка – отсутствие ограничений FireWall

 

 

И третий момент смертного греха, про который все постоянно забывают, – это настройка сетевого экрана на серверах во внутренней сети.

К сожалению, почти у всех сервер СУБД сетевым экраном вообще не закрыт, хотя обязательно должен быть закрыт полностью – все порты и все IP-шники, кроме порта, по которому к нему обращается сервер 1С и кроме IP-шника сервера 1С. Плюс еще пара компов админов БД должны иметь доступ на этот сервер. И больше никто. Это сервер базы данных, а не детская площадка для гуляний с колясками.

То же самое даже в большей степени касается сервера 1С – никто ничего не закрывает, хотя запрет подключения по порту консоли сервера 1С должен стоять для всех, кроме тех, кто админит сервер 1С.

Чем грозит отсутствие запрета?

Это грозит тем, что любой пользователь (даже без прав админа) может поставить себе на локальный компьютер дистрибутив 1С-ки с галочкой «Администрирование» – и у него появится консоль сервера 1С. Казалось бы, что такого? Мы все свои базы данных защитили, и у нас все круто – у нас под каждую базу данных свои пользователи в СУБД есть.
А вот и не все. После того, как он поставит себе консоль сервера 1С, он поднимет у себя на компьютере Postgres. А поскольку локальный компьютер вы на вход сетевым экраном тоже не защищаете, он, имея доступ из консоли до сервера 1С, правой кнопочкой на вашем кластере создаст новую базу и подключит ее к своей локальной базе данных Postgres. А затем запустит 1С, пропишет в ней свою вновь созданную базу данных и запустит любую обработку. 

А дальше – читайте первый слайд. За 60 секунд мы, как минимум, получим список всех ваших кластеров, всех ваших баз данных. И дальше уже будем смотреть, что с этим делать – не поленились ли вы создать для каждой базы своего пользователя? А вы поленитесь – и если у вас в какой-то базе пользователь СУБД прописан не будет, мы сможем запустить в ней любую обработку от имени пользователя сервера 1С.

Второй момент, как можно сделать то же самое, но чуть сложнее – Remote Access Server (RAS). Если у вас на серверах работает эта служба, то с помощью Remote Access Client (RAC) вы получите ту же самую консоль, только в командной строке. Можно делать все то же самое. 

Поэтому порт консоли сервера 1С должен быть закрыт. 

Казалось бы, закроем порт – наступит счастье? Не наступит.

 

 

Есть самый страшный метод создать базу в вашем кластере. Это стартер 1С. 

Там, если вы нажмете кнопку «Добавить новую базу», вам предложат все прописать. Помните, база данных установлена у меня локально. Мне ваши пароли не нужны. И я создам базу на вашем кластере даже при закрытых портах. Потому что стартер обращается к кластеру по порту менеджера rmgr – 1541. А если вы закроете этот порт – у вас 1С-ка не запустится. 

Казалось бы, теперь пора валить из страны. Нет. Дальше будет еще страшнее…

 

Создайте новую роль – администратор сервера 1С

И тут мы плавно приходим к выводу, что нам уже не хватает 1С-ников, сисадминов и админов баз данных для обеспечения безопасности. Сетевые экраны не помогают (помогают, но не от всего). Настройки баз данных тоже помогают не от всего. А 1С-ники – вообще главное зло (потому что суперпользователи).

И у нас появляется новая роль – администратор сервера 1С.

 

 

Создайте эту роль у себя в компании. В платформе 1С есть огромная функциональность для решения этой задачи – возможность назначать роли администратора кластера и сервера 1С. Только это защитит вашу систему от несанкционированного создания баз на кластерах и кластеров на серверах 1С.

Самое главное, что тут надо понимать – простого технического решения недостаточно. Если у вас 1С-ник, он же DBA-шник, как почти везде, он же еще чуть-чуть админ, потому что «Ваша 1С повисла, вот и разбирайтесь» – и он же станет администратором сервера 1С, все то, что вы сделали – это профанация. У вас один человек – просто бог, он стащит любые данные. Системный администратор, администратор баз данных, администратор 1С и разработчик 1С должны быть не только разными ролями, но и обязательно разными людьми. Все эти четыре роли должны занимать четыре разных человека, желательно друг друга ненавидящие. Этого добиться сложно и легко одновременно. Просто «засветите» им зарплаты друг друга – и все будет хорошо. Вы добьетесь максимального уровня безопасности.

 

 

Итак, когда вы наделите этого админа (настоящего, отдельного человека) ролью администратора сервера 1С, не забудьте сделать очень легкий и очень важный шаг: создайте для этого человека в консоли сервера две административные учетки:

  • администратора внутри кластера 1С;

  • и, самое главное, администратора внутри сервера 1С. 

Про администратора кластера обычно не забывают – кто вообще слышал про администраторов кластеров 1С, его создают. Классно – создать базу в кластере, не зная логина и пароля, нельзя. Но только можно создать еще один кластер, потому что администратора сервера не создано. 

Создайте обе эти учетки. Это очень важно. 

На этом моменте мы с вами обеспечили такой уровень безопасности, что ломать вас имеет смысл только под заказ за очень большие деньги. 

 

Используйте профили безопасности

Но остались суперпользователи – это админы, 1С-ники с полными правами, пользователи с полными правами и т.д. 

 

 

Чтобы как-то бороться еще и с этим «злом полных прав», в платформе есть мегамощный механизм профилей безопасности. Механизм очень обширный. Рассказывать про все – это отдельный доклад. Почитайте на ИТС, там все написано.

Единственное, есть нюанс: профили безопасности – это функциональность уровня КОРП. Но и безопасность изначально должна заботить КОРП-сектор, а ему уже давно пора быть на КОРП-лицензиях. 1С давно перестала шутить и 10 сентября 2019 года доказала это во всей красе. 

Кто столкнулся с табличкой: «Вы используете КОРП-функциональность, Ай-яй-яй! Я запускаться не буду!» и большими красными крестиками, которые пугали бабушек-бухгалтеров полдня? 

Кто паниковал на форумах Инфостарта? Я специально встал пораньше, чтобы всем вам отписываться: «Не пугайтесь, вот здесь нужно снять вот эти галочки» – скриншоты вам присылал. 

Причем Инфостарт за три месяца до этого вас предупреждал – писал пугающую статью, что через три месяца включат ограничение, и не будет дороги назад. 

Да, профили безопасности – это КОРП-функциональность, но очень крутая КОРП-функциональность. Что в ней такого с точки зрения обеспечения безопасности от взлома? 

Только с помощью профилей безопасности мы можем поставить под контроль даже людей с полными правами, которые могут зайти в конфигуратор и что-то сделать. Как минимум мы можем поставить под контроль внешние обработки: какие можно использовать, а какие – нет. Мы можем поставить под контроль расширения: какие можно использовать, а какие – нет. 

Профили безопасности позволят ограничить свободу 1С-ников в применении внешних обработок, расширений, доступа к файлам сервера 1С, приложениям операционной системы,  интернет-ресурсам из 1С и т.д.

А саму конфигурацию (да, безопасность связана еще и со сложностью – во времени и в бюрократии) вам придется выгружать в cf-ник, считать его контрольную сумму. И если она поменялась – его нельзя накатывать на базу, пока вы не проведете сторонний анализ безопасности на предмет «закладок». 

Безопасность – сложная штука, к ней надо идти долго. Но те, кому данные важны (а 1С все больше и больше содержит в себе пикантных подробностей финансового учета вашей компании), должны об этом задуматься. Это только кажется, что 1С только для бухгалтеров. На самом деле, 1С давно уже для бизнеса. 

Поэтому, когда мы создали админов, купили КОРП-лицензии, все это настроили, жить стало хорошо. 

Но в качестве первого тренировочного задания для этих админов я бы дал следующее.

 

Изолируйте серверные процессы ragent, rmngr и rphost

 

 

Заставьте админов настроить платформу 1С так, чтобы изолировать серверные процессы друг от друга. Это не КОРП-функциональность, вы можете сделать это хоть сегодня с помощью настроечного файла swpuser.ini (на ИТС описаны его параметры). 

Смысл в чем? Сервер 1С состоит из трех видов процессов, грубо говоря, из трех EXE-шников (в том числе и Linux-вариант – из трех бинарников). Это:

  • агент сервера 1С:Предприятия (ragent);

  • менеджер кластера (rmngr);

  • и рабочие процессы rphost. 

Весь ваш код 1С на сервере выполняется только процессом rphost. 

По умолчанию все три вида процессов запускаются от одного пользователя, и именно поэтому мы смогли прочитать обработкой файл реестра кластера, хотя этот файл не нужен рабочему процессу rphost, а нужен только процессу менеджера кластера rmngr.

С помощью настроечного файла swpuser.ini вы можете запустить все три процесса от трех разных пользователей. Таким образом, мы сможем жестко изолировать процессы друг от друга, и, самое главное, на уровне прав пользователя в операционной системе жестко ограничить в правах пользователя rphost.

Рабочему процессу rphost для счастья нужен каталог текущей платформы 1С (папка bin) на чтение и каталог временных файлов на изменение. 

С помощью профилей безопасности вы еще эту папку временных файлов (которая после разделения процессов будет размещаться в профиле пользователя, из-под которого запущен rphost) можете перенести в другой каталог, заставить автоматически чиститься после завершения сеанса 1С и т.д.

 

 

И тогда наступит счастье. Им втроем гораздо веселее. Помимо полной изоляции трех процессов, вы получаете еще очень богатую возможность настройки прав этих процессов. 

Например, пользователю, от которого запущен rmgr – ему вообще нужно очень мало, ему нужен доступ только на то, чтобы этот кластер прочитать. И к файлам журнала регистрации – он их пишет. Также он пишет файлы полнотекстового поиска. 

Поэтому делите, настраивайте. Сразу говорю, нормально заработает, только если прочитать статью на ИТС внимательно (а не как мы все с вами обычно читаем – сверху прочитали и дальше не дочитываем). Иначе не стартанет, будут ошибки. Читайте до конца. Статья маленькая, так что не поленитесь: дайте все права так, как вам об этом сказали.

После этих настроек и организационных мер несанкционированный доступ к вашим данным в 1С будет крайне затруднен.

 

Настройте двухфакторную аутентификацию и прозрачную авторизацию в 1С

 

 

Разобрались на админском поле, на суперпользовательском поле всех ограничили, все стало сложно, но у нас остается целый пласт пользователей с полными правами (уже не программистов 1С), которые отвечают за наиболее критичные процессы в компании, связанные с большим финансовым риском.

Этим пользователям в обязательном порядке нужно включить двухфакторную авторизацию. Начиная с версии платформы 8.3.15, это позволяет делать сама платформа. Да, к сожалению, пока нет формы настройки – все это делается просто на встроенном языке. Но делается быстро, за 2-3 минуты. Включайте, отправляйте им SMS (можете им в Telegram коды отправлять) – как угодно, что придумаете, какой HTTP-сервис напишете, такой и будет работать.

Эти пользователи должны быть подконтрольными. Помимо двухфакторной авторизации они в обязательном порядке должны иметь только прозрачную авторизацию в 1С. Никакой авторизации с помощью платформы – уберите галку «Аутентификация 1С:Предприятия». При авторизации с помощью 1С логины и пароли передаются в открытом виде.

А логины и пароли прозрачной авторизации не передаются – передается Kerberos билет, для которого реальных способов взлома нет при настроенной политике блокировки паролей. Может быть, математические есть, но реальных нет. Поэтому – только прозрачная авторизация. 

Плюс – настройте в домене правила блокировки по подбору пароля. Почему именно в домене, а не в 1С? Ведь в 8.3.16 появилась возможность включить защиту от брутфорса – указать количество попыток. Эта защита распространяется на всю базу 1С, а не на конкретных пользователей, что не всегда удобно. Плюс она реализована немного опасным способом – теперь, чтобы не попасть в капкан своей же защитной системы, когда у вас заблокируются все пользователи и вы ничего сделать не сможете, там еще и указывается префикс входа мимо брутфорса. Грубо говоря, суперпароль, который доступен администратору сервера 1С. А это – нехорошо. Лучше эти роли разделить, чтобы этот суперпароль доменного админа был доступен только доменному администратору, и чтобы только он мог разблокировать учетку, которая у вас прозрачно авторизуется. Но с другой стороны, раньше в 1С вообще никакой защиты от подбора не было, а теперь есть, и это отлично.

 

Для критических важных процессов компании нужен сторонний наблюдатель

 

 

Ну раз уж мы заговорили о критически важных процессах компании, вам, по-хорошему, нужен третий наблюдатель для объективного контроля этих процессов. Это – технология типа блокчейн.

Приведу пример – заявка на расходование денежных средств. Завели заявку – 500 т.р. Ее все радостно согласовали, и на моменте перед передачей этой заявки в бухгалтерию админ зашел и нолик добавил. Причем, неважно какой админ: 1С-ник или админ базы данных (только админ сервера 1С не сможет эту гадость сделать). И у вас улетело 5 миллионов. Но ладно нолик. Он скорее всего, контрагента поменяет, кому эти деньги улетят. Поэтому думайте о том, как сторонними технологическими средствами обеспечить еще один уровень безопасности от шаловливых ручек. Чтобы каждый участник процесса твердо знал, что с момента появления заявки на расходование в системе никакие ее основные параметры не были изменены.

Единственное – призываю к следующему. Если уж используете технологии блокчейн, то используйте их по-настоящему. С действительно распределенным реестром, с разными ключами шифрования. 

И не путайте это с майнингом и криптовалютами. Никакого отношения одно к другому практически не имеет. Криптовалюты – это паразиты на теле блокчейна. Не надо их туда наворачивать. Блокчейн для другого был создан.

 

Проводите аудит и тестирование на получение несанкционированного доступа к 1С

 

 

И на десерт – чтобы все, что я тут говорил, и все, что вы придумаете сами, не осталось на бумажках в регламентах, которые вы будете показывать своей службе безопасности, вам жизненно необходимо периодически проводить тесты на проникновение. Как внутренними силами ИТ, так и приглашая внешних подрядчиков. 

У внешних подрядчиков по сравнению с вашим ИТ-отделом (или 1С-отделом – я их не объединяю в одно) есть одно неоспоримое преимущество – они видели в сто раз больше инсталляций, чем вы. 

Белый хакер только кажется дорогим. Черный хакер может привести просто к катастрофическим финансовым последствиям вашей системы. Поэтому об этом надо думать заранее – платить белым хакерам, чтобы черные хакеры ничего не получили. 

Надеюсь, что я заставил вас задуматься о безопасности в 1С, тем более что платформа уже давно ждет, когда вы начнете ее настраивать.

Дорошкевич Антон, с заботой о вас и ваших данных!

 

****************

Данная статья написана по итогам доклада (видео), прочитанного на конференции INFOSTART EVENT 2019.

Больше статей можно прочитать здесь.


 

*************

 

Специальные предложения

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. MSK_Step 22 16.12.19 13:34 Сейчас в теме
Практически всегда в крупном корпоративном секторе оказывается, что все базы подключаются к СУБД «прозрачной авторизацией» из-под пользователя, под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres). 

это где ж так настраивают, доступ к внешним обработкам + отключение защиты от опасных действий=что в итоге ожидают админы, скорее всего тут вопрос к компетентности руководителя ИТ отдела
п.с. можно поменьше больших картинок вставлять. статья из за этого похожа на рекламный буклет
ejijoka; denium; vadver; user703597_skladavto58; Summer_13; Silenser; TMV; 7OH; user797130; +9 Ответить
6. a.doroshkevich 1076 16.12.19 16:58 Сейчас в теме
(1)
скорее всего тут вопрос к компетентности руководителя ИТ отдела


В крупных компаниях подразделения 1С далеко не самые большие внутри ИТ-отделов и у руководителя ИТ не всегда и руки дотянутся, да и таких специфических знаний он иметь не обязан
user703597_skladavto58; +1 Ответить
19. MSK_Step 22 16.12.19 18:12 Сейчас в теме
(6)
таких специфических знаний он иметь не обязан

Если нет знаний, то они должны у того кто ставит сервер 1с и руководитель 1с должен отвечать за безопасность. Если у него нет знаний, то как работы он принимает? Описанный взлом, это как установить пользователю компьютер и дать права администратора компьютера, а потом сказать что сист. администратор не отвечает за безопасность компьютера.
в крупных компаниях должны быть специалисты, так как описанные выше требования для SQL, для учеток сервера стандартные.
22. a.doroshkevich 1076 16.12.19 18:21 Сейчас в теме
(19)
Если у него нет знаний, то как работы он принимает?
- верит специалисту. Невозможно руководителю ИТ крупной компании быть специалистом во всех областях его инфраструктуры.


(19)
в крупных компаниях должны быть специалисты
- да, должны.
23. MSK_Step 22 16.12.19 18:27 Сейчас в теме
(22)
- да, должны
это все печально. как установить компьютер и дать полные права на него.
Может после вашей статьи обратят больше внимания на такие простые вещи.
Админ кластера 1с - появился очень давно.
Фаервол на порты - всем известная дыра в безопасности, открытые порты это всегда надо знать для чего
Отдельны пользователь для SQL - это как аксиома.
Спасибо за ссылку на Check-list по настройке рабочих серверов в продукционной зоне
Прикрепленные файлы:
Check-list по настройке рабочих серверов в продукционной зоне.pdf
24. a.doroshkevich 1076 16.12.19 18:28 Сейчас в теме
(23)
Может после вашей статьи обратят больше внимания на такие простые вещи.

Именно это и было целью доклада.
34. Summer_13 17.12.19 20:09 Сейчас в теме
(1) Я тоже в шоке . За три года работы с разными крупняками нигде не видел ,чтобы была дана возможность работы с внешними обработками.
Это нонсенс.
2. capitan 2218 16.12.19 13:42 Сейчас в теме
Вспоминается...
... а мой друг сервер уронил...
он, что, такой крутой хакер? нет, он %уд@к, он его на пол уронил....



Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres)

откуда интересно это означает
Вообще то стандартная рекомендация - владелец БД не более.
И все, все вот это вот хацкерство идет лесом, потому как если у пользователя в базе 1С есть права администратора, то база скуля ему не сдалась.

Белый хакер только кажется дорогим. Черный хакер может привести просто к катастрофическим финансовым последствиям вашей системы. Поэтому об этом надо думать заранее – платить белым хакерам, чтобы черные хакеры ничего не получили.

Все дело в том, что по умолчанию и в 99.99% случаев хакеры находятся за периметром компании.
Расчет на то, что они находятся внутри с учетной записью в 1С позволяющей открывать внешние обработки может только сильно параноидальная СБ принимать.
Если человек обладает такими знаниями в ИТ, то маловероятно, что он будет просиживать штаны в менеджерах по продажам.
И еще маловероятнее, что он при этом не представляет ответственности за такие действия.
А в мало-средних компаниях обычно хакер может просто сервер взять и унести домой целиком.
anchar007; Dmitri93; Kalam; ZOMI; VladimirMelnychenko; dodlez77; mrChOP93; +7 1 Ответить
4. support 4588 16.12.19 15:11 Сейчас в теме
(2) Скорее всего имеются в виду компании с распределенной сетью филиалов и множеством менеджеров работающих в 1С.
a.doroshkevich; user1328452; +2 Ответить
5. a.doroshkevich 1076 16.12.19 16:52 Сейчас в теме
(2)
Вообще то стандартная рекомендация - владелец БД не более.


Да, только мой опыт говорит о том что её не соблюдают.
Если всё сделать по ИТС, и ещё и профили безопасности настроить, то кончено всё будет хорошо.


(2)
Все дело в том, что по умолчанию и в 99.99% случаев хакеры находятся за периметром компании.

Именно поэтому я и считаю что компаниям стоит задуматься о том чтобы проверять свою систему пока не нашлись эти самые за периметром.
7. capitan 2218 16.12.19 17:05 Сейчас в теме
(5)Данный метод "взлома" опирается на доступ к запуску внешних обработок, что в подавляющем большинстве случаев отключено во всех ролях, даже администраторских.
Что касается менеджеров - максимальное, что их интересует в 1С - это слить клиентскую базу, чужую или свою перед увольнением.
Потому, что с тех времен как люди изобрели деньги, деньги же в основном их и интересуют.
Можно конечно еще отметить желание прославиться, но оно тут меркнет по сравнению с возможностью отгрести от сисадмина.
Впрочем, если вы мне приведете реальные случаи подобных взломов я буду благодарен и пересмотрю свое мнение.
(4)
10. a.doroshkevich 1076 16.12.19 17:27 Сейчас в теме
(7)
Можно и без запуска внешних подцепить свою базу в кластер или свой кластер создать, не все способы там на внешних изначально заточены.

Вам наверное повезло, раз встречались только с такими правильно настроенными доступами в 1С)

Реальные случаи разглашать не имею права.
12. capitan 2218 16.12.19 17:33 Сейчас в теме
(10)Я сам настраиваю 1С там где вижу)
А про взломы ее писал статью в свое время для журнала Хакер, векторы нападения совсем другие.
Разглашать их тоже не буду.
21. MSK_Step 22 16.12.19 18:21 Сейчас в теме
(12)
А про взломы ее писал статью в свое время для журнала Хакер, векторы нападения совсем другие.
Разглашать их тоже не буду.

Почему вы не можете описать про какие механизмы есть, слабые места системы 1с под правами пользователя, какие ошибки допускают администраторы. Это стандартная статья на habr про какое нибудь ПО, чем 1С так отличается, что никто не имеет права ничего говорить.
Можете привести примеры, кроме случаев - запуска внешних обработок, доступа к кластеру 1с(когда ошибка что нет администратора), пустые пароли под пользователем админ? На Хакер статья это уже прошлый век, можно сказать что она бесполезная и к 8.3.12 не относится.
13. capitan 2218 16.12.19 17:38 Сейчас в теме
(5)
то кончено всё будет хорошо

Оговорочка по Фрейду )))
Не хочу ставить под сомнение ваш опыт, но есть неувязочки.
Такая продвинутая СБ которая запрещает передачу паролей в сети (то есть считает что между СУБД и сервером 1С может быть сниффер!) и такой туговатый сисадмин который 1С устанавливает.
14. a.doroshkevich 1076 16.12.19 17:43 Сейчас в теме
(13)
Такая продвинутая СБ которая запрещает передачу паролей в сети (то есть считает что между СУБД и сервером 1С может быть сниффер!) и такой туговатый сисадмин который 1С устанавливает.


Но мой опыт говорит именно о такой ситуации, видимо потому-что СБ ориентируется на шаблоны общей сетевой безопасности, а специфику 1С не знают.
1С в целом то недавно стала тем софтом на который в принципе в КОРПе обратили хоть какое-то внимание.
15. capitan 2218 16.12.19 17:46 Сейчас в теме
(14)И кто вообще сказал, что
Но что же делать, когда с одной стороны безопасники требуют не передавать по сети пароли от сервера 1С в СУБД (это в файле они лежат шифрованные, а в базу данных полетят в открытом виде)

Про такую настройку шифрование при настройке соединения тоже никто из действующих лиц не слышал ?
20. a.doroshkevich 1076 16.12.19 18:16 Сейчас в теме
(15)Ну почему же, конечно можно использовать SSL - тут я упустил этот нюанс в докладе... Но за 30 минут редко можно сказать всё всё всё по теме.

И ещё один момент, многие СБ свято верят что учётку AD не взломать, а остальное это компромисс.
Например, очень сложно доказать СБ что использование мобильного приложения с соединением по SSL по факту так же безопасно как и использование его только через VPN.
35. demon_infernal 39 18.12.19 08:03 Сейчас в теме
Эти пользователи должны быть подконтрольными. Помимо двухфакторной авторизации они в обязательном порядке должны иметь только прозрачную авторизацию в 1С. Никакой авторизации с помощью платформы – уберите галку «Аутентификация 1С:Предприятия». При авторизации с помощью 1С логины и пароли передаются в открытом виде.

А параметр -seclev 1 при запуске ragent не решает эту проблему?
40. a.doroshkevich 1076 19.12.19 12:07 Сейчас в теме
(35) По моему - нет.
Использование уровня безопасности "постоянно" ( -seclev 1) позволяет полностью защитить весь поток данных (как пароли, так и непосредственно данные) между клиентом и кластером серверов.
Т.е. эта настройка не относится к общению сервера 1С с сервером СУБД.


Поправлюсь, контекст не правильно прочитал! (удалять предыдущий ответ не буду, чтоб честно было)
Да, эта настройка решит проблему, но при этом может сильно пострадать быстродействие системы.
https://its.1c.ru/db/v8316doc#bookmark:cs:TI000000062
18. a.doroshkevich 1076 16.12.19 18:06 Сейчас в теме
(13)
Оговорочка по Фрейду )))

да уж))))
46. Артано 725 27.10.20 06:59 Сейчас в теме
(2) Так манагер может быть специально засланным. Сам с таким сталкивался, когда конкуренты закидывали своего человека на рядовую должность. Он, действуя по инструкции от грамотных спецов, вытягивал всю возможную информацию и увольнялся.
3. 3vs 16.12.19 15:10 Сейчас в теме
А если "белому" хакеру не заплатить, может он превратиться в "чёрного"?
8. morohon 16.12.19 17:19 Сейчас в теме
Антон, добрый вечер - спасибо за статью.

Подскажите пожалуйста такой момент по доступу на сервер СУБД PostgreSQL.
В документации на платформу: https://its.1c.ru/db/v8316doc#bookmark:adm:TI000000100
Сказано:
Пользователь базы данных: имя пользователя сервера баз данных, от лица которого будет осуществляться доступ к базе данных. Указанный пользователь должен обладать привилегиями SUPERUSER.


Вы же пишете, что достаточно прав администратора на конкретную базу. Где-то в интернете читал, что люди дают права SUPERUSER на момент создания базы, а потом отбирают и все работает достаточно цивильно. Не очень одобряю данные подходы.

У меня собственно какой к Вам вопрос: на ваших проектах по внедрению PostgreSQL какие права выданы пользователю от которого идет подключение к PostgreSQL? Может быть что-то уточняли у поддержки фирмы 1С по этому поводу.
16. a.doroshkevich 1076 16.12.19 17:59 Сейчас в теме
(8)К сожалению, чтобы создать БД обязательно нужна роль Superuser
После этого уже переключаем привилегии на роль с grant usage и grant, create, select, update
Способ неудобный, но другого пока не нашёл (правда последние выпуски PG 11,12 не тестил на эту тему)
17. a.doroshkevich 1076 16.12.19 18:05 Сейчас в теме
(8)Немного дополню ответ:
Либо тонко настраиваем права https://postgrespro.ru/docs/postgresql/11/sql-grant либо GRANT ALL PRIVILEGES ON Base1C TO User1C;
Либо используем другой (не очень правильный вариант) - создаём несколько суперюзеров и в pg_hba.conf ограничиваем их в подключении только к определённой базе с определённого IP.
Но опять же - это не совсем верный вариант, верный - именно настроить гранты
9. check2 199 16.12.19 17:26 Сейчас в теме
Простите, конечно же за прямолинейность. После фразы
1С, а он там – системный администратор)
дальше читать не стал. Только идиоты запускают сервис 1с с правами админа.
11. a.doroshkevich 1076 16.12.19 17:31 Сейчас в теме
(9)Вы путаете системного администратора в операционной системе и в СУБД, так что наверное почитайте дальше всё таки
25. check2 199 16.12.19 21:50 Сейчас в теме
(11) Я ничего не путаю, читайте, что пишите, внимательнее. (см. вложение)
Прикрепленные файлы:
26. a.doroshkevich 1076 17.12.19 03:58 Сейчас в теме
(25)Там - имеется ввиду на СУБД. Контекст именно про это.
27. aximo 1902 17.12.19 07:20 Сейчас в теме
Как не смешно звучит после фразы "все привыкли, что программа 1С – это удобно, красиво, комфортно" - я не стал читать.

Прежде всего 1с - это безальтернативно (в рамках бухгалтерского учета).
YanTsys; milov.aleksey; 7OH; check2; +4 3 Ответить
39. mikl79 114 19.12.19 11:44 Сейчас в теме
(27), зачем вы здесь, это форум для 1с-ников
FreeArcher; lohmatik; a.doroshkevich; +3 Ответить
28. 7OH 66 17.12.19 10:28 Сейчас в теме
Сколько работаю, но первых двух пунктов нигде не встречал.
Видимо Вам оооочень повезло.
На последних 6 предприятиях всегда был запрет на внешние (есть же доп отчеты и обработки) и всегда отдельные пользователи.
Реально первый раз читаю, про прозрачную авторизацию )).
Но в целом почитать было интересно.
29. AlX0id 17.12.19 11:24 Сейчас в теме
Что делать? Вам придется под каждую базу данных создать отдельную службу сервера 1С, для которой создать уникального пользователя и уже его прописать на сервере баз данных.

Так проще уж еще дальше пойти - выделить под каждую базу отдельный физический сервер, чо мелочиться-то. А то эти службы - "ни в глаз дать, ни отпеть".
30. TMV 14 17.12.19 11:24 Сейчас в теме
Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres).

В 100% случаев это не так. Учетка 1с создается при установке платформы и изначально не имеет прав администратора. Если вы видите их у нее, значит ей их назначил ваш сотрудник.
Собственно дальше можно не читать.
31. a.doroshkevich 1076 17.12.19 12:00 Сейчас в теме
(30)Не путайте системного администратора ОС и СУБД.

Прям в цитате в Вашем же посте написано: является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres).
32. Silenser 546 17.12.19 13:38 Сейчас в теме
Для компаний, в которых не умеют создавать на сервере СУБД отдельного пользователя dbo под базы 1С можно вообще обойтись без получения файла, т.к. имена баз обычно совпадают с их названиями на сервере 1С :)
33. a.doroshkevich 1076 17.12.19 14:03 Сейчас в теме
(32)Дело не в умении, а в понимании необходимости. Но в целом, да!)
36. sergvagner2018 18.12.19 13:07 Сейчас в теме
(0) статья огонь. Но как обычно никто настройки менять не будет :)))))
a.doroshkevich; +1 Ответить
37. Kalam 105 19.12.19 11:02 Сейчас в теме
(0) Если в кратце - "высасоно из пальца".
Зачем человеку, который уже внутри компании, весь этот геморрой?
Скачать и продать базу? Ха 3 раза. Эта база никому не уперлась.


"Хотите кастомизировать свою систему – делайте это красиво и надежно. Хватит «фигачить гаражный тюнинг», навешивать на систему обвесы в виде внешних обработок, иначе у десятков ваших пользователей на рабочих столах будут храниться сотни версий одной и той же обработки"

Для этого давно есть место в базе "дополнительные отчеты и обработки"


под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором

Ну это вообще за гранью.
Тут даже если обезьяна по ИТС настроит, то все будет нормально с безопасностью.
А если везде оставлять sa и локальных админов с пустыми паролями, то как говорится "флаг в руки и барабан на шею"

Если вас ломают целенаправленно, то дырка и так найдется.
Если закрутить гайки "по самый не балуйся", то работать в принципе станет сложно и поддержка этого вырастит в разы.
41. a.doroshkevich 1076 19.12.19 13:02 Сейчас в теме
(37)
Скачать и продать базу? Ха 3 раза. Эта база никому не уперлась.

Упёрлась, данные бывают разные и в том числе крайне чувствительные для разглашения как внутри компании так и за её пределами.

(37)
Для этого давно есть место в базе "дополнительные отчеты и обработки"

Да, что и было отмечено, осталось начать использовать тем кто не использует.


(37)
А если везде оставлять sa и локальных админов с пустыми паролями

Видимо смутила фраза "что для конкретной базы у нас логин сервера СУБД в этом файле пустой", только это не означает что пароль к sa и учёткам локальных админов пустые.

(37)
Если закрутить гайки "по самый не балуйся", то работать в принципе станет сложно и поддержка этого вырастит в разы.

Согласен! Как раз задача баланса безопасности и удобства является очень сложной и интересной, по моему мнению.
А стоимость - это уже оценочная вещь, смотря сколько стоит ущерб от утечки данных или от их несанкционированного изменения.
38. Terve!R 19.12.19 11:29 Сейчас в теме
внешние обработки, к сожалению, должны умереть. Как бы это ни было удобно.

Запрет на запуск внешних обработок? Без этого права доп обработки не запускаются, а тащить переписывать десятки обработок в конфигурацию - это нормально? Может вообще никому не работать, ничего не запускать?

Вам придется под каждую базу данных создать отдельную службу сервера 1С

Запустить предлагаете отдельный сервер приложений для каждой базы? Может еще отдельный физический сервер еще для каждой базы поставить?

Системный администратор, администратор баз данных, администратор 1С и разработчик 1С должны быть не только разными ролями, но и обязательно разными людьми.

Нанять 4 человека с разными правами, чтобы сидели в потолок плевали? Отдельная должность на создание БД? Это, простите, для каких компаний?

Причем Инфостарт за три месяца до этого вас предупреждал – писал пугающую статью, что через три месяца включат ограничение, и не будет дороги назад.

Предупреждал, что что-то там в политике 1С изменится, но что конкретно делать, когда сервер 1С вдруг перестал работать, никто не сообщал. Вылетела табличка - сам дурак, купи КОРП - вот все ваши предупреждения, только повод почесать ЧСВ, что вы умные, а все другие дураки не поняли предупреждений.

И не путайте это с майнингом и криптовалютами. Никакого отношения одно к другому практически не имеет. Криптовалюты – это паразиты на теле блокчейна. Не надо их туда наворачивать. Блокчейн для другого был создан.

Как раз таки блокчейн был создан специально для биткоина, и впервые был именно там реализован, а потом технология стала жить своей жизнью в других задачах.
Опять же, для кого это, для каких компаний? Сервер 1С еще будет хэш-суммы рассчитывать? А И раз шифрование у вас такое серьезное, и распределенная блокчейн-база, то что стоит все это поддерживать? Где примеры доступной понятной реализации всего этого применительно к 1С?

Такое ощущение сложилось, что смысл всей статьи "Наймите стороннего меня параноика в Газпром для обеспечения безопасности, я вам за много много миллионов на блокчейне такого накручу, ууу!"
Altez; Dimkasan; sasha777666; mikl79; +4 1 Ответить
42. Vintik-vint 20.12.19 09:01 Сейчас в теме
Хорошо написано, красиво. И хорошо если это у вас есть кому всё делать.
a.doroshkevich; +1 Ответить
43. krund 26.12.19 11:58 Сейчас в теме
Антону респект за статью!
Согласен с автором, вопрос безопасности данных все более актуален в наше время. На мой взгляд такие статьи могут стать хорошим дополнением к общей безопасности в первую очередь в крупных компаниях.
a.doroshkevich; +1 Ответить
44. Cyberhawk 130 15.01.20 16:10 Сейчас в теме
Kerberos билет, для которого реальных способов взлома нет при настроенной политике блокировки паролей. Может быть, математические есть, но реальных нет
Керберос ломается: в сети есть описания способов атаки и эксплоиты
45. kpdozer 19.02.20 23:13 Сейчас в теме
Из статьи
1CV8Clst.lst. В этом файле содержится список всех баз 1С на кластере, список всех серверов БД, к которым подключены базы на этом кластере, логины к серверам БД – все в открытом виде. И зашифрованные пароли к серверам баз данных. Вот по паролям не известны ни алгоритмы, ни соль, с помощью которой все это шифруется. И я надеюсь, что алгоритм шифрования паролей к базам данных – это один из главных секретов разработки платформы в фирме «1С».


Если где либо храниться зашифрованный пароль, который потом используется для авторизации в другом приложении, то может быть дешифрован без больших вычислительных мощностей. Почти все сохраненные пароли в винде и других программах шифруются с помощью пароля учетной записи винды. К таким программам относятся все популярные браузеры, например. Именно поэтому украв компьютер и не зная пароля на вход не получится их расшифровать.

С 1С и сохраненными паролями SQL все точно так же. Никто ничего нового не придумал. Вопрос где сервер 1с берет ключ для расшифровки и по какому алгоритму дешифрует. Все остальное это так называемая "обфускация" (тупо запутывание исходного кода, для тех кто не умеет распутывать), которая по барабану любому грамотному крякеру.

Я считаю, что никто с достаточными знаниями просто не заморачивался по поводу 1c сервера.

На данные момент я не встречал программы, которая при установке галочки "сохранить пароль", не давала бы его дешифровать с помощью специальных утилит. Я использую целый арсенал, который позволяет просматривать сохраненные пароли от Wifi, Браузеров, Почтовых программ, SQL Management studio (сохраненный пароль пользователя sa, например), Пароль пользователя USR1CV8, от которого запускается служба 1с сервера (пароль сохраняется в настройках службы),и даже пароли сохраненные в файлах конфигов роутеров, где ключом шифрования часто является MAC-адрес.

Поэтому написанное выше, (особенно про "соль") не верно. Все эти термины применимы при хранении ХЕШЕЙ на СЕРВЕРЕ, когда сервер хранит их лишь для того чтобы "пустить" или "не пустить". А при хранении паролей на КЛИЕНТЕ, когда нужно отправить пароль в открытом виде для авторизации, всегда есть ключ дешифровки, который КЛИЕНТ должно знать, чтобы расшифровать хранящийся пароль. И сколько бы запутанным не был алгоритм получения этого ключа он работает открыто, т.е. отладчиком видно, что и где он берет, и что с этим делает. Достаточно изъять, с помощью дизассемблера, ту часть кода, которая дешифрует пароль перед отправкой в SQL сервер и просмотрщик паролей готов. Очень похожим способом создаются кейгены.

Просто время 1с сервера еще не пришло и за него не взялись как следует. Хотя нет... один раз взялись создав "Декомпилятор 1С".
47. dammit666 15 18.08.21 16:28 Сейчас в теме
Добрый день.
Можно ли настроить swpuser.ini на запуск менеджера кластера (rmngr) и/или рабочих процессов (rphost) от имени сервисных учетных записей gMSA ?
Пароль для сервисной учетной записи gMSA отсутствует в явном виде, поэтому в файле swpuser.ini нет возможности его прописать (пробовали оставлять параметр с паролем пустым, а также полностью его удалять - не запускается rphost и/или rmngr)
user1316759; +1 Ответить
48. пользователь 20.12.21 13:42
Сообщение было скрыто модератором.
...
49. пользователь 20.12.21 13:45
Сообщение было скрыто модератором.
...
50. пользователь 20.12.21 13:46
Сообщение было скрыто модератором.
...
Оставьте свое сообщение

См. также

Права доступа в 1С:Документооборот 2.1 Промо

Информационная безопасность Документооборот и делопроизводство v8 ДО Бесплатно (free)

В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.

16.09.2016    95703    vlush78    0    

Ошибка Dump в 1С

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

В данной статье будет рассмотрено представление ошибки Dump в 1С, будет проведена её диагностика, а также определено, как устранить данную ошибку и продолжить дальнейшую корректную работу системы 1С. Также будет представлена общая информация об ошибке Memorydump, для более глубокого её понимания.

15.07.2022    641    Koder_Line    3    

Режимы запуска системы 1С:Предприятие

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Существует несколько путей установки режимов запуска 1С:Предприятие. Рассмотрим запуски системы в режиме «1С:Предприятие» и в режиме Конфигуратора. Проговорим предварительно, что одновременное использование нескольких режимов не допускается для того, чтобы указать параметры командной строки.

12.07.2022    820    Koder_Line    1    

Доработки RLS. Примеры шаблонов. (в т.ч исключения из ограничений) Промо

Информационная безопасность v8 Бесплатно (free)

Допиливаем шаблоны RLS. Даем доступ пользователям к некоторым объектам

19.06.2013    72582    EvilDoc    38    

OneScript на страже порядка на сервере тестовых баз данных

Администрирование СУБД OneScript Бесплатно (free)

Наводим порядок на сервере тестовых баз с помощью любимого инструмента - OneScript. Находим заброшенные базы на сервере MS SQL, определяем кандидатов на удаление.

14.06.2022    1475    ardn    23    

Оптимизация высоконагруженных конфигураций: история маленькой победы, или советы тем, кто столкнулся с проблемой впервые и не знает, что делать

HighLoad оптимизация Администрирование СУБД v8 8.3.14 ERP2 Россия Бесплатно (free)

Пост будет больше интересен руководителям отделов ИТ сопровождения или проектным менеджерам, перед которыми будет стоять задача решения проблемы деградации производительности баз данных 1С. Пост для тех, кому эта тема нова, нет особого опыта, и с ходу непонятно, с чего начать.

24.05.2022    2950    avolsed    15    

Базы данных. Несколько шагов до серьезного обслуживания

Администрирование СУБД Бесплатно (free)

Практические примеры настройки обслуживания баз данных для SQL Server. Актуально для любых приложений.

22.05.2022    5920    YPermitin    22    

Обработка универсального обмена XML и информационная безопасность типовых решений. Промо

Информационная безопасность Бесплатно (free)

Обработка универсального обмена XML - дыра в информационной безопасности типовых? Статья к обсуждению.

15.04.2013    22387    Stim213    39    

Ошибка формата потока расширения

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Восстановление базы данных 1С с ошибкой "Ошибка формата потока" с "полетевшим" расширением, когда все остальные методы уже испробованы.

19.05.2022    745    yupi71    8    

Блокчейн и безопасность данных в 1С

Информационная безопасность Бесплатно (free)

Безопасность данных – обширная тема со множеством задач. О том, как избежать подмены данных и с помощью технологии блокчейн контролировать изменения в системе, на митапе «Безопасность в 1С» рассказал Михаил Калимулин.

13.05.2022    1203    mkalimulin    19    

HTTP сервис – друг или враг?

Информационная безопасность Бесплатно (free)

HTTP-сервисы ускоряют и упрощают разработку обмена данными между 1С и другими приложениями. Но нельзя забывать, что HTTP-сервис – это дверь в информационную систему. О том, как обеспечить безопасность HTTP-сервиса и не оставить лазеек злоумышленникам, на митапе «Безопасность в 1С» рассказал заместитель начальника отдела разработки ГКО PRO Дмитрий Сидоренко.

11.05.2022    3466    dsdred    12    

Что может скрываться в модуле обработки? Промо

Информационная безопасность v8 1cv8.cf Россия Бесплатно (free)

Многие из программистов 1С Предприятие при выкладывании своих обработок (например на Инфостарт) закрывают доступ к модулю объектов паролем. Что же они там могут прятать, приведу пару примеров ( http://infostart.ru/projects/3837/ ):

10.04.2009    16436    bestuzhev    84    

Практический опыт построения защищенного контура для 1С-приложения

Информационная безопасность Бесплатно (free)

Фирмам-франчайзи, продающим сервисы на 1С крупным компаниям, приходится проходить аудит информационной безопасности. Как построить контур для 1С-приложения таким образом, чтобы удовлетворять требованиям инфобезопасников, на митапе «Безопасность в 1С» рассказал CTO компании WiseAdvice Олег Филиппов.

06.05.2022    3347    comol    5    

Пропадающие файлы на томе в 1С: КА 2.5

Администрирование СУБД v8 КА2 Россия Бесплатно (free)

На протяжении месяца пропадали файлы: прикрепленные изображения, документы в ЭДО. КА 2.5, актуальная редакция на поддержке. Этого не описано НИГДЕ и если бы я нашел такую тему, у меня мы было гораздо меньше проблем.

05.04.2022    717    mlashko    4    

НеБезопасный прикладной программный интерфейс сервера

Информационная безопасность v8 Бесплатно (free)

Есть такой стандарт «Безопасность прикладного программного интерфейса сервера». Многие его читали. Кто-то даже понимает то, что там написано. Но, как показывает практика, его мало кто соблюдает. Чем грозит отступление от этого стандарта? В чем опасность общих модулей с признаком «Вызов сервера»? На эти вопросы на митапе «Безопасность в 1С» ответил разработчик рекомендательных систем Владимир Бондаревский.

02.03.2022    2728    bonv    10    

Ошибка загрузки большого архива 1Cv8.dt в PostgresSQL на платформе 1С 8.3.19

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

1С для платформы 8.3.19 ускорили загрузку dt-файлов за счет разбивки на несколько фоновых заданий. В итоге словили ошибку блокировки при загрузке в СУБД PostgresSQL большого 1cv8.dt-файла размером 25 Gb "ERROR: canceling statement due to lock timeout". Напишу, как в итоге загрузили этот dt-файл.

30.01.2022    5501    sapervodichka    44    

Ограничение количества запущенных процессов 1С в разрезе пользователей

Администрирование СУБД Бесплатно (free)

Целью данной статьи является описание решения для ограничения количества, запускаемых пользователем, процессов 1С, чтобы снизить нагрузку на сервер. Может пригодиться как программистам, так и системным администраторам. ОСТОРОЖНО! под катом Python=)

28.01.2022    1120    KOTzilla    7    

SAMBA для 1С

Администрирование СУБД v8 Россия Бесплатно (free)

Представлен необходимый минимум настройки SAMBA для работы файловых баз 1С через общий ресурс.

24.12.2021    2784    compil7    6    

Установка бесплатного SSL сертификата Let's Encrypt на Apache под Windows Server

Администрирование СУБД Россия Бесплатно (free)

Если Вы используете web-сервер Apache на операционной системе Windows, то эта краткая инструкция позволит выпустить и установить бесплатный SSL сертификат Let's Encrypt, настроить автоматический перевыпуск/установку сертификата и перенаправить запросы с http на https.

14.12.2021    4657    4361fmv    18    

Регламентное задание по завершению сеансов пользователей 1С

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Завершить работу пользователей в 1С ночью. Регламентное завершение работы.

06.12.2021    1799    Swamt    20    

Ошибка СУБД Column does not exist

Администрирование СУБД Бесплатно (free)

В данной статье на примере СУБД Postgre и конфигурации УНФ описывается метод исправления ошибки "Column does not exist". На просторах интернета натыкался на общее описание проблемы, что состав базы со стороны СУБД не соответствует той картине, что ожидает 1С. Надо приводить все в соответствие, а конкретных примеров не находил.

21.11.2021    1358    tigcorp    4    

Базовые приемы работы с кластером 1С при помощи БСП

Администрирование СУБД БСП (Библиотека стандартных подсистем) v8 1cv8.cf Бесплатно (free)

В данной публикации я рассматриваю базовые приемы работы с кластером серверных баз 1С, используя типовые типовые возможности библиотеки стандартных подсистем (БСП).

26.10.2021    4679    quazare    6    

Использование Gatekeeper для авторизации доступа к HTTP публикации сервера 1С

Информационная безопасность Администрирование веб-серверов v8 Бесплатно (free)

В статье опишу вариант настройки Keycloack и GoGatekepper для авторизации доступа к HTTP публикации сервера 1С

22.10.2021    1640    malikov_pro    0    

Настройка аутентификации OpenID connect используя Keykloack при подключении к 1С

Информационная безопасность v8 Бесплатно (free)

В статье опишу порядок настройки, проверки и направления изучения по теме "Технология единого входа (англ. Single Sign-On), SSO".

22.10.2021    2825    malikov_pro    8    

Обновление платформы 1С тонкого клиента с вебсервера без публикации базы данных, когда сервер 1С ПРОФ.

Администрирование веб-серверов Администрирование СУБД Обновление 1С v8 1cv8.cf Бесплатно (free)

Обновление платформы 1С: тонкого клиента с вебсервера описывается здесь: https://its.1c.ru/db/v8316doc#bookmark:adm:TI000001058, (11.2.2. Обновление через диалог публикации на веб-сервере) и здесь: https://its.1c.ru/db/v8319doc#bookmark:adm:TI000000428, (6.2. Получение дистрибутива клиентского приложения) - доступно только для КОРП Для ПРОФ реализация полностью описана в данной статье. Выражаю благодарность Панюшкину Михаилу Михайловичу за разбор задачи и доведение ее до практического результата. Обновление не проходит если например предварительно установка выполнялась регламентными политиками и есть в папке conf файл adminstall.cfg Этот файл следует удалить, чтобы данная установка тонкого клиента проходила успешно Применяется только для системы «1С:Предприятие» под ОС Windows. Файл adminstall.cfg указывает на то, что установка системы программ «1С:Предприятие» выполнялась с использованием средств администрирования ОС Windows. Файл располагается в каталоге конфигурационных файлов системы «1С:Предприятие» и представляет собой текстовый документ в кодировке UTF-8. В файле может располагаться единственная строка, определяющая вариант установки: AdmInstall= Описывает режим установки: Logon - установка выполнена с помощью logon-скрипта во время входа пользователя в домен. Restart - установка выполнена с помощью групповых политик.

19.10.2021    3584    ser6702    22    

Клиент-серверный режим базы данных 1С8 для тестирования

Инструменты администратора БД Администрирование СУБД v8 1cv8.cf Бесплатно (free)

В публикации рассматриваются некоторые аспекты настройки базы данных 1С8.3 в серверном режиме, для тестирования обработок или расширений.

30.09.2021    4059    etmarket    3    

Зависание базы при создании/редактировании пользователей после конвертации базы с платформы 8.1 на 8.3

Администрирование СУБД v8 УТ10 Россия Бесплатно (free)

При переводе базы с платформы 8.1 на платформу 8.3 возникает проблема - база конвертится замечательно, но при редактировании или создании новых пользователей база напрочь зависает. Речь пойдёт о серверной базе данных.

29.09.2021    913    Kitri    4    

Создание второго кластера Postgresql, включение непрерывного архивирования и подключение 1С

Администрирование СУБД Архивирование (backup) Бесплатно (free)

В этой статье я вам расскажу, как правильно создать и запустить второй кластер postgres`a, а также мы создадим на нем базу с помощью 1С.

08.09.2021    1944    Vismut    5    

Перекуем Cloud на Oracle. Тестируем размещение 1С в облачной платформе Oracle Cloud.

Администрирование СУБД Облачные сервисы, хостинг v8 1cv8.cf Бесплатно (free)

После цикла публикаций про размещение 1С в облачных сервисах я думал, что все различные варианты рассмотрены и тема для меня закрыта. Однако есть события, мимо которых не пройти. Так вот и сейчас, когда наблюдается аттракцион невиданной щедрости от Oracle, мимо этого просто так не пройти.

02.09.2021    1272    capitan    22    

Ошибка SQL: Arithmetic overflow error converting numeric to data type numeric

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Считаю количество строк в таблицах БД. Выскакивает ошибка. Привожу описание моего случая и решение.

25.08.2021    1954    Nikola23    7    

Исправление ошибки плана обслуживания MS SQL

Архивирование (backup) Администрирование СУБД Россия Бесплатно (free)

Частный случай решения ошибки выполнения планов обслуживания MS SQL.

20.08.2021    2872    TokarevV    1    

Показатель Page Life Expectancy (PLE)

HighLoad оптимизация Администрирование СУБД Бесплатно (free)

От переводчика: публикация составлена по материалам BrentOzar.com (Brent Ozar).

18.08.2021    2882    vasilev2015    6    

Кластер для отказоустойчивости

HighLoad оптимизация Администрирование СУБД Бесплатно (free)

На Infostart Meetup «PostgreSQL VS Microsoft SQL» выступил руководитель проектов в по разработке ПО в компании «Газинформсервис» Денис Рожков. В рамках доклада Денис рассказал о том, какие механизмы кластеризации используются для PostgreSQL и в MS SQL и поделился с коллегами, какие решения можно использовать для построения отказоустойчивого кластера на PostgreSQL.

18.08.2021    7913    FB_3393521717335803    2    

Что на самом деле делает администратор базы данных (DBA)?

Администрирование СУБД Бесплатно (free)

От переводчика: публикация составлена по материалам BrentOzar.com (Brent Ozar).

17.08.2021    5418    vasilev2015    2    

Почему PostgreSQL не лучше MS SQL

Администрирование СУБД Бесплатно (free)

На онлайн-митапе "PostgreSQL VS Microsoft SQL" выступил с докладом руководитель ИТ в компании "Инфософт" Антон Дорошкевич. Он сравнил работу MS SQL и PostgreSQL, поделился методическим пособием по настройке PostgreSQL для 1С и объяснил, кому нужно перейти на новую СУБД, а кому лучше работать с тем, что есть.

09.08.2021    27703    a.doroshkevich    56    

Обновление 1С: Розницы с релиза 2.3.8.27 до 2.3.9.28

Администрирование СУБД v8 Розница Россия Бесплатно (free)

Многие уже столкнулись с тем, что не смогли обновить 1С: Розницу релиз 2.3.8.27 на более поздние релизы. Напомню, релиз 2.3.8.27 - позволял-таки нам работать в ЕГАИС 4. Но а вот с дальнейшими обновлениями...

05.07.2021    12048    13D    31    

Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 и 1С:ERP Управление предприятием 2 (в клиент-серверном режиме)

Информационная безопасность v8 ДО ERP2 Россия Бесплатно (free)

Доменная аутентификация ОС при бесшовной интеграции 1С:Документооборот 8 КОРП, редакция 2.1 (2.1.27.1) и 1С:ERP Управление предприятием 2 (2.4.13.103) (в клиент-серверном режиме). Проблема: «После перехода на новую платформу перестала работать доменная аутентификация».

01.06.2021    4727    user1387741    18    

Как получить полный доступ к данным файловой базы 1С

Инструменты администратора БД Администрирование СУБД Роли и права Пароли 8.3.14 1cv8.cf Бесплатно (free)

Опыт перевода файловой базы 1С в клиент-серверный вариант работы при отсутствии административного доступа (авторизации) в базе.

31.05.2021    2332    info1i    2    

Xubuntu 20.04 для бухгалтера 1С

Linux Администрирование СУБД v8 БП3.0 Россия Бесплатно (free)

В публикации представлен необходимый минимум для настройки Xubuntu 20.04 в качестве рабочего места бухгалтера, ведущего учёт в программе 1С: Бухгалтерия 3.0 файловый вариант. Кроме этого, настроено подключение и других сотрудников через тонкий клиент 1С к опубликованной на веб-сервере базе бухгалтерии.

12.04.2021    6949    compil7    34    

Режим совместимости конфигурации 1С

Администрирование СУБД v8 1cv8.cf Россия Бесплатно (free)

Приветствую, коллеги! В этой статье будет сделан обзор функции совместимости конфигурации 1С с другими версиями конфигураций 1С, а также рассмотрено, как выбрать и настроить режим совместимости конфигурации с версией 1С 8.3. Во-первых, разберём главное понятие в этой статье: режим совместимости в конфигурации – это устройство, благодаря которому выводится номер версии системы, под которую станет открыто приложение 1С:Предприятие. Данный режим существует на платформе 1С начиная с версий 8.2 и 8.3 (платформа версии 1С:Предприятие 8.3 совместима с платформой версии 1С:Предприятие 8.2).

31.03.2021    13455    Koder_Line    6    

Принадлежит ли директору компьютер директора. Часть 3 из 3. Защита. Истории от kuzkov.info

Информационная безопасность Бесплатно (free)

Третья часть цикла статей о компьютерной безопасности, в которой рассмотрим способы уменьшения рисков постороннего доступа из 1С конфигурации к данным на вашем компьютере.

26.03.2021    826    Steelvan    0    

Как мы на Managed Service for SQL Server в Yandex.Cloud переезжали

Администрирование СУБД Облачные сервисы, хостинг Бесплатно (free)

Рассказ про грабли при переезде на Yandex Managed Service for SQL Server и DataLens.

02.02.2021    2093    dsdred    5    

Платформа 8.3.18 Обновление ИБ в пакетном режиме поломалось? Решено

Администрирование СУБД v8 Бесплатно (free)

Уже давно работаем с большим количеством ИБ и обновляем, естественно, в пакетном режиме, но с переходом на новую платформу 8.3.18.1208 этот пакетный режим поломался. Стало появляться окно конфигуратора и спрашивать вопросы, раньше такого не было. Решение найдено.

24.12.2020    7351    VPanin56    15