Как ограничить "кривые руки" с полными правами или нужны ли в 1С “супер-права”?

Публикация № 225570

Администрирование - Информационная безопасность

Предлагается вариант решения проблемы ограничения прав пользователей с "полными правами" в режиме 1С:Предприятие на доступ к функционалу, имеющему критическое значение для целостности данных и общего функционирования системы.

Верить нельзя никому, даже себе!
...
Против лома нет приема!
...
Для любой хитрой сущности первого рода
есть сущность второго рода с винтом!
….
(три источника, три составных части
развития любой системы безопасности).

 

Описание проблемы:

Часто случается так, что в базе работают пользователи с полными правами, но имеют при этом «кривоватые руки». Иногда это бывают влиятельные «ответственные» лица, имеющие достаточно влияния, чтобы под благовидным предлогом «отжать» себе полные права. При этом отобрать у них полные права назад бывает нереально. Иногда это бывает из-за определенной неразберихи в системе прав,  либо при начальном этапе внедрения, либо обусловленной сложившимися бизнес-процессами.

Не всегда такие пользователи ответственно относятся к своей работе. И хорошо при этом, что они по незнанию не могут натворить ничего плохого в базе. Хуже, когда кто-то из них узнает о потенциально опасных инструментах (вроде групповых обработок) и начинает жать на «Выполнить», не осознавая в полной мере последствий своих действий.

Как правило, полный доступ таким пользователям нужен для того, чтобы, не обращаясь ни к кому, что-нибудь провести, записать в базе или выполнить какую-нибудь обработку не опасного характера. Поэтому для восстановления порядка и гармонии в базе достаточно бывает ограничить доступ к фиксированному списку объектов конфигурации, имеющих критическое значение.

Предлагаемое решение:

К сожалению, в подтверждение к сказанному в эпиграфе к статье, полного и окончательного решения обсуждаемой проблемы нет. Можно предлагать лишь меры частного характера, действующие при определенных условиях и до определенной степени хитрости «сущностей первого рода».

Например, решить озвученную задачу можно методом «умножения»:

1) Создадим второй набор «полных» прав и обзовем его, допустим, роль “SA” (super-administrator).

2) В какой-нибудь удобный общий серверный модуль добавим экспортную функцию
для усиленной проверки полного доступа к базе вроде следующей:

 

// усиленная проверка полного доступа к базе
Функция ДоступПолный_Проверить(UserName = "", НеУчитыватьSA = Ложь) Экспорт
    //для 8.1 функцию нужно поместить в привилегированный модуль
    УстановитьПривилегированныйРежим(Истина); //и убрать эту строку!
    Если ПустаяСтрока(UserName) Тогда
        User = Неопределено;
    Иначе
        User = ПользователиИнформационнойБазы.НайтиПоИмени(UserName);
    КонецЕсли;
    ДоступПолный = ПравоДоступа("Администрирование",Метаданные,User)
    И ПравоДоступа("ОбновлениеКонфигурацииБазыДанных",Метаданные,User)
    И ПравоДоступа("МонопольныйРежим",Метаданные,User)
    И ПравоДоступа("ИнтерактивноеОткрытиеВнешнихОбработок",Метаданные,User);
    Если НеУчитыватьSA <> Истина Тогда
        Если Метаданные.Роли.Найти("SA") <> Неопределено Тогда
            Если User = Неопределено Тогда
                ДоступПолный = ДоступПолный И РольДоступна("SA");
            Иначе
                ДоступПолный = ДоступПолный И User.Роли.Содержит(Метаданные.Роли["SA"]);
            КонецЕсли;
        КонецЕсли;
    КонецЕсли;
    Если Метаданные.Роли.Найти("ПолныеПрава") <> Неопределено Тогда
        Если User = Неопределено Тогда
            ДоступПолный = ДоступПолный И РольДоступна("ПолныеПрава");
        Иначе
            ДоступПолный = ДоступПолный И User.Роли.Содержит(Метаданные.Роли["ПолныеПрава"]);
        КонецЕсли;
    КонецЕсли;
    Возврат ДоступПолный;
КонецФункции


3) С помощью указанной выше функции перед открытием форм или выполнением команд,  имеющих критическое значение, проверяем наличие супер-прав и отказываем в доступе при их отсутствии.


Узкие места предлагаемого решения:

Помимо необходимости внесения изменения в конфигурацию базы, основным недостатком предлагаемого решения является то, что пользователь с «простыми» полными правами может сам себе назначить роль “SA”.

Для этого в 1С есть две стандартных возможности:

  1. Непосредственно в конфигураторе;
  2. Типовые средства управления правами в пользовательском режиме;

Допустим, средствами администрирования операционной системы (через публикацию нужных ярлыков)  в конфигуратор 1С запрещено заходить, кому не следует. Тогда нам остается запретить доступ к роли “SA” через средства управления правами типовой конфигурации.

Для реализации этого запрета нужно исключить набор прав “SA” из списков ролей, предлагаемых для выбора типовыми средствами управления правами. Также нужно исключить обработку роли “SA” в тех местах кода конфигурации, где фактически изменяются права пользователей (чтобы не сбросить доступ к роли “SA”, установленный в конфигураторе).

Сделать это достаточно просто, конкретная реализация зависит от конфигурации базы.
Пример реализации запрета для конфигураций «родственных» УТ-11.1 приведен ниже.


Но это еще не все:
Пользователь с «простыми» полными правами может запустить внешнюю обработку, например, какую-нибудь консоль кода,
и с ее помощью назначить себе нужные права, выполнив простенький код:

ЯЯ = ПользователиИнформационнойБазы.ТекущийПользователь();
//ЯЯ = ПользователиИнформационнойБазы.НайтиПоИмени("Вася");
SA = Метаданные.Роли.SA;
Если НЕ ЯЯ.Роли.Содержит(SA) Тогда
    ЯЯ.Роли.Добавить(SA);
    ЯЯ.Записать();
КонецЕсли;

Чтобы заткнуть эту дырку, потребуется подрезать «простые»  полные права:

  1. Запретить для "простых" полных прав запуск внешних отчетов и обработо;
  2. Также запретить публикацию внешних отчетов и обработок в справочнике «Дополнительные отчеты и обработки»;


Но и это еще не все (и продолжать можно до бесконечности):

Как верно подсказывает Stim213  в  //infostart.ru/public/182849/, продвинутый ушлый пользователь может с помощью блокнота вставить указанный выше код в нужное место файла выгрузки данных (например, в текст кода обработчика “Перед загрузкой данных”). А затем при загрузке данных из файла в информационную базу получить себе нужные права.


Работающий пример реализации запрета доступа к роли
SA:

Конфигурация «Управление торговлей, релиз 11.1.9.70» (версия БСП: 2.2.3.44).
Права пользователям задаются в  профилях безопасности.

Для запрета доступа к роли “SA” типовыми средствами нужно сделать несколько вставок (выделены авторскими комментариями //+yuraos ) в следующие места исполняемого кода конфигурации:


Общий модуль «ПользователиСлужебный»:

 

Процедура ПодготовитьДеревоРолей(Знач Коллекция, Знач СкрытьРольПолныеПрава, Знач ПоказатьТолькоВыбранныеРоли, КоллекцияРолей)
    Индекс = Коллекция.Количество()-1;
    Пока Индекс >= 0 Цикл
        Строка = Коллекция[Индекс];
        ПодготовитьДеревоРолей(Строка.Строки, СкрытьРольПолныеПрава, ПоказатьТолькоВыбранныеРоли, КоллекцияРолей);
        Если Строка.ЭтоРоль Тогда
            Если СкрытьРольПолныеПрава
               И (    ВРег(Строка.Имя) = ВРег("ПолныеПрава")
                  ИЛИ ВРег(Строка.Имя) = ВРег("АдминистраторСистемы")) Тогда
                Коллекция.Удалить(Индекс);
            Иначе
                //+yuraos
                Если СкрытьРольПолныеПрава И (ВРег(СокрЛП(Строка.Имя)) = "SA") Тогда
                // роль SA выставляем персонально каждому в конфигураторе
                    Коллекция.Удалить(Индекс);
                    Индекс = Индекс-1;
                    Продолжить;
                КонецЕсли;
                //+yuraos
                Строка.НомерКартинки = 7;
                Строка.Пометка = КоллекцияРолей.НайтиСтроки(
                                    Новый Структура("Роль", Строка.Имя)).Количество() > 0;
                Если ПоказатьТолькоВыбранныеРоли И НЕ Строка.Пометка Тогда
                    Коллекция.Удалить(Индекс);
                КонецЕсли;
            КонецЕсли;
        Иначе
            Если Строка.Строки.Количество() = 0 Тогда
                Коллекция.Удалить(Индекс);
            Иначе
                Строка.НомерКартинки = 6;
                Строка.Пометка = Строка.Строки.НайтиСтроки(
                                    Новый Структура("Пометка", Ложь)).Количество() = 0;
            КонецЕсли;
        КонецЕсли;
        Индекс = Индекс-1;
    КонецЦикла;
КонецПроцедуры

Процедура ОбновитьРолиВнешнихПользователей(Знач МассивВнешнихПользователей = Неопределено) Экспорт
    //*****
        Выборка = Запрос.Выполнить().Выбрать();
        ПользовательИБ = Неопределено;
        Пока Выборка.Следующий() Цикл
            //+yuraos
            Если ВРег(СокрЛП(Выборка.Роль)) = "SA" Тогда
                // роль SA выставляем персонально каждому в конфигураторе
                Продолжить;
            КонецЕсли;
            //+yuraos
            Если ЗначениеЗаполнено(Выборка.Роль) Тогда
                            ПользовательИБ.Роли.Добавить(Метаданные.Роли[Выборка.Роль]);
                Продолжить;
            КонецЕсли;
            Если ПользовательИБ <> Неопределено Тогда
                ПользовательИБ.Записать();
            КонецЕсли;
            ПользовательИБ = ПользователиИнформационнойБазы.НайтиПоУникальномуИдентификатор(ИдентификаторыПользователейИБ[Выборка.ВнешнийПользователь]);
            ПользовательИБ.Роли.Очистить();
        КонецЦикла;
        Если ПользовательИБ <> Неопределено Тогда
            ПользовательИБ.Записать();
        КонецЕсли;
    //*****
КонецПроцедуры



Общий модуль «УправлениеДоступомСлужебный»:

 

Процедура ОбновитьРолиПользователейИБ(ОбновляемыеПользователиИБ, ПарольПользователяСервиса)
    Для каждого КлючИЗначение Из ОбновляемыеПользователиИБ Цикл
        РолиДляДобавления  = КлючИЗначение.Значение.РолиДляДобавления;
        РолиДляУдаления    = КлючИЗначение.Значение.РолиДляУдаления;
        ПользовательИБ     = КлючИЗначение.Значение.ПользовательИБ;
        ПользовательСсылка = КлючИЗначение.Значение.ПользовательСсылка;
        БылиПолныеПрава = ПользовательИБ.Роли.Содержит(Метаданные.Роли.ПолныеПрава);
        Для каждого КлючИЗначение Из РолиДляДобавления Цикл
            //+yuraos
            Если ВРег(СокрЛП(КлючИЗначение.Ключ)) = "SA" Тогда
                // роль SA выставляем персонально каждому в конфигураторе
                Продолжить;
            КонецЕсли;
            //+yuraos
            ПользовательИБ.Роли.Добавить(Метаданные.Роли[КлючИЗначение.Ключ]);
        КонецЦикла;
        Для каждого КлючИЗначение Из РолиДляУдаления Цикл
            //+yuraos
            Если ВРег(СокрЛП(КлючИЗначение.Ключ)) = "SA" Тогда
                // роль SA выставляем персонально каждому в конфигураторе
                Продолжить;
            КонецЕсли;
            //+yuraos
            ПользовательИБ.Роли.Удалить(Метаданные.Роли[КлючИЗначение.Ключ]);
        КонецЦикла;
        ЗаписатьПользователяПриОбновленииРолей(ПользовательСсылка, ПользовательИБ, БылиПолныеПрава, ПарольПользователяСервиса);
    КонецЦикла;
КонецПроцедуры



Специальные предложения

Достаточна ли система безопасности в 1С:Предприятие - 8.х


К системе разрешений не хватает запрета доступа (46.67%, 14 голосов)
46.67%
Достаточна (43.33%, 13 голосов)
43.33%
Не хватает встроенных ролей безопасности (20%, 6 голосов)
20%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. yuraos 978 01.11.13 05:42 Сейчас в теме
И так, достаточна ли система безопасности, имеющаяся в 1С?
Чего только в платформе не придумали за последнее время.

Например под 8.3 для каждого минорного релиза
(отличающегося третьей цифрой) придуман свой режим совместимости.

А до такой простой вещи как встроенные роли безопасности,
давно имеющиеся в развитых многопользовательских системах,
как-то руки не доходят.

Также кроме системы разрешений, явно не хватает запрета доступа.
14. yuraos 978 01.11.13 13:38 Сейчас в теме
(1)
---
Отсутствие встроенных ролей безовасности,
кстати,
приводит к небольшому неудобсту при создании пустой конфигурации с нуля.

Пока в конфигурации не создашь роль "ПолныеПрава" (или ей аналогичную)
- ты не можешь создать в базе пользователя.
было бы проще если при этом были бы встроенные роли, доступные для выбора.
---
ну хотя примерно как в MS SQL
2. Synoecium 714 01.11.13 06:30 Сейчас в теме
А может просто назвать профиль "Полные права", накидать туда ролей - стандартных и самописных(если надо), но не давать роль "ПолныеПрава". Тогда не надо будет дописывать никакой код в конфигурацию.
4. ChiginAV 01.11.13 07:53 Сейчас в теме
(2) Synoecium, А если пользователь захочет изменять данные в закрытом периоде?
13. yuraos 978 01.11.13 12:17 Сейчас в теме
(4) ChiginAV,
Речь идет не о широком ограничении доступа.
Раз пользователи отжали себе "полные права" и назад их не отдают - это бесмысленно.

(2) Synoecium,
эту стуацию по этой же причине трудно регулировать и профилями безопасности.

Просто иногда возникает необходимость выборочно закрыть доступ
к ряду опасных инструментов в базе
(типовых, а по большей частью - не типовых)
позволяющим допустим в массовом порядке удалять данные.
3. ChiginAV 01.11.13 07:51 Сейчас в теме
Если "сделать типовые «полные права» чуть менее полными, убрав доступ..." (пункт 4), то зачем 2 и 3? Просто поснимать нужные галки, раз уж "Полные права" и так станут не типовыми
7. Synoecium 714 01.11.13 08:06 Сейчас в теме
(3) ChiginAV, Есть же "Установка даты запрета изменения данных", где можно отдельным пользователям или группам пользователей установить дату запрета.
KEV8383; ChiginAV; +2 Ответить
9. kovaleks78 3 01.11.13 08:08 Сейчас в теме
(7) Synoecium, да, но это не запрещает редактировать справочники.
10. Synoecium 714 01.11.13 08:10 Сейчас в теме
(9) kovaleks78, А как справочники относятся к закрытым периодам? Идем в пункт (2) и ролями настраиваем.
12. kovaleks78 3 01.11.13 08:33 Сейчас в теме
(10) Synoecium, да никак не относятся. Я и говорю, что это не поможет. Для такого руководителя проще всего создать роль, где почти на все доступ на чтение и просмотр. и выдавать ему такую роль.
22. rus128 2 06.11.13 16:16 Сейчас в теме
(7)Synoecium, все бы хорошо, но типовой механизм "Установка даты запрета изменения данных" в нашем УПП 1.3 работает только для тех пользователей, которые в нем перечислены, а для всех остальных - не работает.
Прикольно, когда обнаруживается, что новый юзер, принятый на работу на прошлой неделе, начудил что-то в якобы давно и надежно закрытом периоде...
23. yuraos 978 06.11.13 17:39 Сейчас в теме
(22) rus128,
еще один повод, что бы тем или иным способом
выборочно блокировать потенциально опасные сервисы.
25. Synoecium 714 07.11.13 08:57 Сейчас в теме
(22) rus128, а вы пробовали ввести дату запрета в ячейку напротив корня дерева пользователей, напротив "Общая дата". Насколько я помню, там система приоритетов: Если пользователь не ограничен по группе или отдельно, то действует общая дата запрета (приоритет 3), если по группе - приоритет 2, отдельно - приоритет 1. Получается работает ограничение с наименьшим по значению приоритетом.
27. rus128 2 07.11.13 12:50 Сейчас в теме
(25) Пробовали, но у нас получилось именно так, как я описал выше: пользователь, не указанный в списке, спокойно обошел и общую дату, и дату ограничения по организации (на 2-й закладке).
УПП для Украины 1.3.
5. kovaleks78 3 01.11.13 07:56 Сейчас в теме
Таким руководителям обычно делаю права на просмотр всего-всего без права изменения. Обычно их это устраивает.
6. ChiginAV 01.11.13 08:04 Сейчас в теме
(5) kovaleks78, Вот, кстати, еще один прокол 1С. В типовых УПП, КА, БП (в других не знаю) нет роли "Полный просмотр" (например для аудиторов). Приходится делать самому
mikmike; yuraos; +2 Ответить
8. kovaleks78 3 01.11.13 08:07 Сейчас в теме
(6) ChiginAV, если все будет сразу готово, нам работы не будет! :))))
1С заботится о нас, чтобы армия программистов по всей россии с голоду не умерла. Государство тоже постоянно о нас заботится.
user1346935; +1 Ответить
31. fixin 4038 29.04.16 12:54 Сейчас в теме
(6) аудиторам можно сливать копию, как вариант.
15. yuraos 978 01.11.13 15:17 Сейчас в теме
(5) kovaleks78,
предыстория этой статьи:

мне пришлось без особого удовольствия заняться доработкой базы,
где сидит блатная бухгалтерша.

Она не совсем понимает:
1. что перед тем как списать шины со склада
- туда сначала их надо как-то оприходовать.
2. что автомобильный прицеп или грузовик - вряд ли могут быть подразделением организации.

Зато она узнала откуда-то, что-такое групповая обработка документов
и творит ей чудеса (а виноват IT-отдел :) )

---
Я решил добавить в базу ряд своих примочек для комфортной работы (не для кривых рук!)...
... вот и пришлось выдумать SuperAdmin-а, чтобы перекрыть ей к ним доступ.
16. kovaleks78 3 02.11.13 06:18 Сейчас в теме
(15) надо дописать логирование того, что делает бухгалтерша групповой обработкой, чтобы потом можно было тыкать ее носом туда. Иначе ит-отдел так и будет всегда виноват.
vbuots; yuraos; +2 Ответить
18. yuraos 978 03.11.13 09:05 Сейчас в теме
(16) kovaleks78,
1. Вообще-то 1С-8.х и так по умолчанию все пишет в журнал регистрации.
Это в 7.7 можно было "без палева"
обработкой что-нибудь грохнуть или перепровести.

2. Такого типа люди привыкли сами других носом всех тыкать
так-что IT-отдел по любому "Виновен !".


11. straus 01.11.13 08:30 Сейчас в теме
Не понятно, почему "отобрать у них полные права назад бывает не реально", а "сделать типовые «полные права» чуть менее полными, убрав доступ к административным функциям и запуск внешних обработок" вполне возможно и подобные пользователи "проглатывают" это.
17. Borisych 497 02.11.13 17:00 Сейчас в теме
я для хитрых ограничений и проверок доступа использую подписки на события и например, РС или добавленную ТЧ в справочнике "Пользователи"
user1346935; yuraos; +2 Ответить
19. yuraos 978 03.11.13 09:08 Сейчас в теме
(17) Borisych,

и например, РС или добавленную ТЧ в справочнике "Пользователи"

можно пояснить ???
21. Borisych 497 05.11.13 12:15 Сейчас в теме
(19) например,
некоторым пользователям отрезаны некоторые счета хозрасчетного в БП 2.0 - для этого существует регистр сведений "недоступные для пользователя счета хозрасчетный" - с двумя измерениями - пользователь и счет;

на план счетов хозрасчетный наложен RLS - в котором пользователь может увидеть лишь те счета, записей по которым нет в регистре сведений по текущему пользователю, т.о. пользователь никаким образом - ни в оборотках, ни ещё где-либо не увидит (цель - 70 счет) обороты по 70-му счету и документы, в которых задействован 70-й счет.

В данной конкретной задачи также созданы дополнительные роли - "Бухгалтер с ограничением доступа к зарплатным документам" и "Доступ к зарплатным документам", которые решают поставленные задачи
24. artbear 1294 06.11.13 19:25 Сейчас в теме
(21) >>на план счетов хозрасчетный наложен RLS
этого совершенно недостаточно для безопасности :(
Если у пользователя есть возможность формировать карточку счета, взаимодействующего с "запрещенным" счетом (например, 44, 71, 26, 20 взаимодействуют с 70 счетом), то он в карточке легко увидит все движения и аналитику - например, для 70 счета будет написано "Объект не найден", а вот субконто и суммы будут легко видны, т.е. легко увидеть зарплату других сотрудниеков.
в итоге никакой безопасности.
26. Synoecium 714 07.11.13 08:59 Сейчас в теме
(24) artbear, есть настройка в системе, которая убирает субконто у 70 счета. По крайней мере в УПП.
29. artbear 1294 15.11.13 10:17 Сейчас в теме
(26) Synoecium, "настройка, которая убирает субконто по 70 счету"
Бухам это принесет огромную радость, 70 счет без расшифровки :(
Как правило, бухи активно работают именно с аналитикой по счетам
30. Synoecium 714 15.11.13 17:42 Сейчас в теме
(29) artbear, Сдаюсь, система прав в 1с действительно отстой)
Но может мои комментарии кому-нибудь облегчат работу, когда он будет ковыряться с правами.
20. awk 725 04.11.13 01:38 Сейчас в теме
(0) В 1С никогда не было и наверное уже никогда не будет безопасности. Все РЛС и роли это забавные тормозистры, который предназначен только для одной цели: снять денег с клиента.
28. automatizator 293 07.11.13 15:01 Сейчас в теме
Когда есть "права" на полные права.

В случае серьезного инцидента запускаем следующий механизм:

Картинно всех выводим из базы.
Восстанавливаем последнюю резервную копию. (У вас же есть резервная копия?)
Предлагаем вручную восстановить актуальность до текущего момента.


Это лучше в плане воспитания "правомочных". А то куда еще залезут в будущем...
Оставьте свое сообщение

См. также

Права доступа в 1С:Документооборот 2.1 Промо

Информационная безопасность Документооборот и делопроизводство Документооборот и делопроизводство v8 ДО Бесплатно (free)

В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.

16.09.2016    80527    vlush78    0    

Подготовка отчетности за 2020 год в условиях ограничений на уровне записей RLS в УПП 1.3

Регламентированная отчетность Роли и права v8 УПП1 Россия БУ НДС Бесплатно (free)

Если предприятие использует ограничения на уровне записей RLS в УПП 1.3 и ограничение на доступ к организациям, бухгалтерскую отчетность за 2020 год (конкретно Пояснения. Раздел 5 "Дебиторская и кредиторская задолженность") сформировать невозможно пользователю, у которого нет прав на чтение всех платежных поручений и кассовых ордеров по всем организациям. Происходит ошибка "У пользователя недостаточно прав на исполнение операции над базой данных.". Данная статья предлагает решение этой проблемы.

29.03.2021    381    ksnik    0    

Как убрать/заблокировать давно удаленных пользователей из Системы взаимодействия

Роли и права v8 1cv8.cf Россия Бесплатно (free)

Данная статья будет служить как вспомогательная человеку, столкнувшемуся на своем пути с Системой взаимодействия, и особо особенному человеку, у кого конфигурация 1С:Предприятие 8. Автосервис (1.6.16.153).

22.01.2021    566    user1135816    0    

Восстановление пароля в 1С 8.3

Пароли v8 1cv8.cf Бесплатно (free)

Здравствуйте, коллеги! Сегодня поговорим о восстановлении паролей 1С и трудностях, которые могут возникнуть у пользователя в процессе. Сейчас, если пользователь забыл пароль, ему необходимо обращаться к администратору базы, чтобы он сбросил его, назначив новый самостоятельно, либо поставив флаг о том, что при удачной авторизации пользователь может придумать новый пароль самостоятельно. Данная процедура занимает много времени как у пользователя, так и у администратора, отвлекая его от других дел.

22.12.2020    5606    Koder_Line    5    

Доработки RLS. Примеры шаблонов. (в т.ч исключения из ограничений) Промо

Информационная безопасность v8 Бесплатно (free)

Допиливаем шаблоны RLS. Даем доступ пользователям к некоторым объектам

19.06.2013    68078    EvilDoc    38    

Использование утилиты RING для проверки информации о программных лицензиях

Сервисные утилиты Защита ПО v8 Бесплатно (free)

В 1С есть утилита для проверки файлов с лицензиями 1С. Утилита существует довольно давно, но информация по ней разбросана, малопонятна и много где устарела, поэтому опишу свой опыт установки утилиты и работы с ней. Работаем под Windows.

16.12.2020    6164    budidich    14    

Информационная безопасность 1С: Памятка для Обновлятора 1С

Защита ПО Пароли v8 БП3.0 Бесплатно (free)

— Три магнитофона, три кинокамеры заграничных, три портсигара отечественных, куртка замшевая... три...

10.12.2020    3312    Indgo    63    

Доступ на уровне записей в типовых конфигурациях. Настройка доступа пользователей с разделением по подразделениям/складам – практический пример

Роли и права v8 v8::Права 1cv8.cf Бесплатно (free)

Многим известно, что в современных конфигурациях, разработанных с использованием БСП, имеются широкие возможности для настройки прав доступа. В частности, реализован функционал разделения доступа на уровне записей (RLS). Однако администратор(разработчик) при планировании схемы доступа в организации неминуемо столкнется со сложностями, если временами путается в понятиях: Группы пользователей/Группы доступа/Профили групп доступа. В статье представлен принцип решения типичной задачи – ограничения прав пользователя на просмотр/изменение информации «чужих» складов и подразделений в конфигурации 1С: Управление торговлей 11.4.

25.11.2020    2281    Sergey1CSpb    5    

Настраиваем PWA приложение на платформе 8.3.18 с бесплатным действительным сертификатом SSL

Информационная безопасность ИТ-инфраструктура IIS v8 1cv8.cf Бесплатно (free)

Вышла платформа 8.3.18 с поддержкой PWA приложений. Получаем БЕСПЛАТНЫЙ действительный сертификат SSL. Настраиваем прогрессивное веб приложение для опубликованной бухгалтерии 3.0 на IIS сервере.

18.10.2020    5069    IamAlexy    29    

RLS добавление ограничения доступа к данным по произвольному справочнику через штатные механизмы

БСП (Библиотека стандартных подсистем) Информационная безопасность Роли и права v8 КА2 Россия УУ Бесплатно (free)

Решал задачу ограничения доступ к объектам по справочнику "Банковские счета" штатными средствами БСП. Конфигурация КА 2.2. В остальных на БСП должно работать так же. Хотел сделать инструкцию для себя на будущее, решил поделиться.

05.08.2020    2292    ER34    2    

Изменение RLS в ЗУП 3.1 для ограничения доступа к списку сотрудников

Роли и права v8 v8::Права ЗУП3.x Россия Бесплатно (free)

При переезде из УПП в ЗУП 3.1 бизнесом было поставлено условие, система должна ограничивать видимость сотрудников по подразделениям организации. Позиция 1С по этому вопросу однозначна, так делать нельзя. Но с определенными оговорками и условиями можно...

10.07.2020    2824    Zhilyakovdr    0    

Безопасность мобильных приложений 1С, взгляд по диагонали

Информационная безопасность Мобильная разработка v8::Mobile 1cv8.cf Бесплатно (free)

Что приходит первое в голову при словах «1С Предприятие»? Даже тем, кто далек от ИТ, представляется большущий компьютер (а тем, кто недалек, стойка двух-юнитных серверов), рядом слушает музыку сервера (как вариант просто музыку) сисадмин, за стеной в опен-спейсе менеджеры принимают заказы и бухгалтерия, сдающая отчетность. «Зарплата, зарплата!»: слышны их радостные крики. «И кадры»: уточняет HR. Да, все верно. Это 1С. Кто в теме, напомнит про крики не совсем приятные: «Все тормозит! Сделайте что-нибудь, #тыжпрограммист». И борющихся за живучесть ИТ-шников. В обычном офисном потоке дел, редко кто задумывается о безопасности. А тех, кто задумывается, прошу под кат…

05.06.2020    4036    capitan    33    

Тестируем быстро. Запуск сеанса под другим пользователем за 6 секунд!

Роли и права Пароли v8 v8::Права 1cv8.cf Бесплатно (free)

Как часто вам приходится запускать отладку под другим пользователем? Сколько времени у вас занимает запуск "чужого" сеанса? Убрать (если имеется) у себя аутентификацию ОС, сбросить пароль пользователя и восстановить его потом и т.д. Есть простой и действенный код, который поможет запускать сеансы под другим пользователем без ручной смены параметров аутентификации.

06.05.2020    4722    feva    22    

Права пользователя исключительно на просмотр (чтение) для УТ 11.4

Роли и права v8 v8::Права УТ11 Россия Бесплатно (free)

Простая и понятная инструкция по шагам для создания профиля группы доступа «Только чтение» для УТ 11.4. Выполняется в режиме пользователя, без использования конфигуратора и снятия базы с поддержки.

21.11.2019    8455    Aleksandr55555    8    

Типичные ошибки при разработке прав доступа

Роли и права v8 v8::Права Бесплатно (free)

Рассмотрим самые распространенные ошибки в разработке прав доступа.

02.10.2019    22459    YPermitin    57    

Проверка наличия роли у пользователя

Роли и права v8 v8::Права 1cv8.cf Бесплатно (free)

Допустим, мы добавили новую роль в конфигурацию. Потом добавили её в профиль группы доступа и назначили соответствующую группу доступа пользователю. Однако, в конфигурациях на основе БСП все известные программные проверки данной роли при включении пользователя в предопределенную группу доступа "Администраторы" не работают. В статье приведено решение данной задачи.

29.06.2019    28925    ni_cola    22    

Назад в прошлое! Небольшие заметки по администрированию пользователей в УПП

Роли и права v8 УПП1 Бесплатно (free)

Небольшие заметки по функционалу "Администрирование пользователей" конфигурации "Управление производственным предприятием" версии 1.3. Затрагиваются такие темы как: роли, профили доступа, дополнительные права, настройки пользователей и ограничения доступа на уровне записей (RLS).

06.06.2019    14718    YPermitin    20    

Подсистема БСП «Управление доступом», основные объекты и регистры

БСП (Библиотека стандартных подсистем) Роли и права v8 v8::УФ v8::Права 1cv8.cf Бесплатно (free)

Основные принципы работы подсистемы «Управление доступом» из состава БСП. Виды доступа, ограничение доступа на уровне записей. Описание основных объектов и регистров, используемых подсистемой.

23.05.2019    26510    ids79    9    

Возможности типовых шаблонов ограничения доступа на уровне записей (RLS)

Практика программирования БСП (Библиотека стандартных подсистем) Роли и права v8 v8::Права Бесплатно (free)

Краткий обзор применения типовых шаблонов ограничения доступа на уровне записей в конфигурациях, созданных на базе БСП: #ПоЗначениям, #ПоНаборамЗначений, #ПоЗначениямРасширенный, #ПоЗначениямИНаборамРасширенный

03.02.2019    48414    ids79    11    

Влияние настройки роли на потребление памяти

Роли и права v8::Права 1cv8.cf Бесплатно (free)

На днях разбирался с проблемой с потреблением памяти процессами конфигуратора и rphost. Как оказалось - причина в настройках ролей. Один поворот не туда, и настройки роли приводят к чрезмерному потреблению оперативки.

29.01.2019    13945    mickey.1cx    15    

Использование утилиты ring для выяснения данных о программных лицензиях

Информационная безопасность v8 Бесплатно (free)

Использование утилиты ring для управления программными лицензиями без ее установки на компьютер пользователя.

22.12.2018    12313    Vovan58    20    

Доработка RLS для УНФ

Роли и права v8::Права 1cv8.cf Бесплатно (free)

Инструкция для тех, кто столкнулся с RLS на управляемых формах впервые и не знает, с чего начать.

14.05.2018    17352    FesenkoA    10    

Решение проблемы автоматического утверждения расчета кадровиком документов. Разграничение прав кадровиков и расчетчиков. ЗУП 3.1

Информационная безопасность Зарплата Управление персоналом (HRM) Зарплата Управление персоналом (HRM) v8 v8::СПР v8::Права ЗУП3.x БУ Бесплатно (free)

Статья посвящена тем, кто столкнулся с проблемой автоматической установки "Расчет утвердил". Также рассматривается решение проблемы с отображением ФОТ и оклада у кадровика. Добавление роли ЧтениеДанныхДляНачисленияЗарплатыРасширенная кадровику без последствий для расчетчика.

04.04.2018    26864    leaderonex    25    

Проверка безопасности установленных паролей

Информационная безопасность v8 Бесплатно (free)

Код выводит не установленные пароли, а так же очень простые (1, 123) пароли пользователей. Список можно пополнять.

08.03.2018    9919    nomadon    13    

Информирование об утечке базы 1С

Информационная безопасность v8 1cv8.cf Бесплатно (free)

Когда работаешь в крупном холдинге, количество сотрудников, имеющих доступ к базам 1С неизменно растет. Рано или поздно появится задача по контролю утечки баз 1С. Конечно мы применим все меры по предотвращению утечки баз, но и информирование о случаях утечки тоже не повредит.

03.03.2018    14379    dima_home    81    

Отключаем предупреждения безопасности в 1С 8.3.9 и выше вручную

Информационная безопасность v8 v8::УФ v8::Права 1cv8.cf Бесплатно (free)

Как включить/выключить механизм защиты от опасных действий реализованный в новой версии платформы 1С:Предприятие 8.3.9. Одним из нововведений новой версии платформы 1С:Предприятие 8.3.9 стал механизм от опасных действий. После установки новой версии платформы 1С (начиная версии 8.3.9.2033) при попытке открыть внешнюю обработку или расширение программа выдает сообщение..

01.11.2017    50468    webresurs    12    

Управление доступом: роли, права, профили, группы доступа, функциональные опции, RLS

Роли и права v8::Права Бесплатно (free)

В 1С достаточно много механизмов, отвечающих за доступ к данным. Группы доступа, профили групп доступа, роли, права доступа, функциональные опции, RLS. Иногда сложно сразу понять, зачем все это нужно, как эти элементы друг с другом связаны и как ими пользоваться.

11.10.2017    105694    ekaruk    16    

Многофакторная авторизация. Шаблон проектирования для «1С:Предприятие 8». На примере API «Приватбанка» для юр. лиц

Информационная безопасность Обмен с банком v8 Бесплатно (free)

Многим из читателей знакомы понятия стандартов разработки и шаблонов проектирования. Для платформы «1С:Предприятие 8» на сайте its.1c.ru описаны базовые стандарты оформления кода и некоторые полезные примеры, но отсутствует информация об высокоуровневых абстракциях. Почти у каждого банка есть реализация обмена с конфигурациями «1С:Предприятие 8», но анализировать код, а тем более реализацию без слёз невозможно. Данная статья предлагает использовать некий шаблон оформления кода для многофакторной авторизации.

11.09.2017    13307    pbazeliuk    6    

Как создать свой профиль доступа в пользовательском режиме в 1С:Бухгалтерии 3.0

Информационная безопасность v8 БП3.0 Россия Бесплатно (free)

Допустим, есть следующая задача. Нужно добавить нового пользователя «Анна» в базу 1С:Бухгалтерия 3.0. При этом Анна должна только выставлять и распечатывать Счета на оплату. При этом все остальные документы и справочники только для просмотра. Т.е. добавлять новую номенклатуру и контрагентов она не может. Обязательное условие - не изменять типовую конфигурацию.

06.09.2017    17791    alfanika    4    

Копирование групп доступа между пользователями

Информационная безопасность v8 УТ11 Бесплатно (free)

Доработки, позволяющие переносить группы доступа между пользователями. Подходит для Управление торговлей для Украины, редакция 3.1, Управление торговлей, редакция 11.1 и, я думаю, для других конфигураций, написанных на базе БСП.

03.09.2017    9532    Pervuy    0    

1001-й способ ограничить пользователей 1С

Информационная безопасность v8 v8::Права Розница Бесплатно (free)

Описан еще один способ ограничить пользователя 1С, при помощи подписки на события

13.07.2017    14450    donpadlo    39    

Этюды по программированию. Разграничение прав

Информационная безопасность v8 Бесплатно (free)

Задача: Имеется конфигурация на базе Библиотеки Стандартных Подсистем(БСП) -практически любая стандартная конфигурация 1С. Есть, к примеры заказы покупателей. Есть группы менеджеров, каждая из которых должна иметь доступ только к заказам своей группы.

29.04.2017    14594    milkers    8    

Недостаточно прав доступа или опять забыли дать права на новые объекты

Информационная безопасность v8 Бесплатно (free)

При постоянной доработке конфигураций в больших коллективах иногда возникает ситуация, когда программист поместил новые объекты в базу, а права на них дать забыл. При этом обновлять базу не позволяет бизнес. Что же делать? Есть небольшая хитрость.

06.04.2017    31025    Silenser    55    

Генерация паролей 1С 8.3 (код, инструкция)

Практика программирования Информационная безопасность v8 Бесплатно (free)

Инструкция по самостоятельному написанию генерации пароля в 8.3. Может кому-нибудь пригодится, т.к. весь материал на ИС за монетку а делать-то на самом деле нечего

22.07.2016    20207    Tommy82    18    

ubuntu + 1Cv8. Как правильно задать права доступа к базе в терминальном режиме

Информационная безопасность v8 Бесплатно (free)

Очень часто возникает проблема с установкой прав доступа в Linux. Один пользователь заходит в базу 1С нормально, а вот второго уже не пускает. Решение проблемы очень простое.

30.03.2016    22460    viptextil    14    

Готовим конфигурацию "Бухгалтерия предприятия 3.0" к аудиторской проверке

Информационная безопасность v8 БП2.0 Россия Бесплатно (free)

Бывают такие ситуации, что, предоставляя данные для аудиторской проверки, мы переживаем, как бы проверяющие не узнали чего лишнего. В этой статье я расскажу, как скрыть документы и ограничить отчеты по периоду на примере конфигурации "Бухгалтерия предприятия 3.0"

21.03.2016    10945    duhh    14    

Ограничение доступа к справочнику Склады для УТ 10.3

Информационная безопасность v8 УТ10 Россия Бесплатно (free)

Краткая инструкция простого метода, как ограничить видимость складов для определенных пользователей в УТ 10.3.

25.12.2015    20159    Viktor_Ermakov    9    

Новый вид доступа в УТ 11. Как в УТ 11 изменить константу "ПараметрыОграниченияДоступа"

Информационная безопасность v8 УТ11 Россия Бесплатно (free)

В УТ11 существуют стандартные виды ограничения прав доступа. Например: "Подразделения", "Склады", "Кассы", "ВидыЦен" и т.д. До поры до времени такой набор стандартных видов ограничений устраивает пользователей. Но что делать, если возникла необходимость добавить новый вид доступа? Об этом и пойдет речь в данной статье.

16.12.2015    28011    Spacer    11    

Запуск под пользователем (асинхронный вызов)

Администрирование данных 1С Информационная безопасность v8 1cv8.cf Бесплатно (free)

Часто бывает необходимо запустить для отладки под другим пользователем, маленький кусок кода не испортит конфигурацию

30.07.2015    10223    kvikster    7    

Разделение доступа к документам с учетом подразделения

Информационная безопасность v8 БП2.0 Бесплатно (free)

Задача: имеется типовая Бухгалтерия КОРП 3.0. Организация одна, имеется ряд подразделений (не обособленных). Необходимо разделить доступ к документам и отчетам с учетом подразделения. Центральный офис должен видеть все данные.

20.07.2015    35215    mmtv68    8    

Ограничение доступа к контрагентам для конфигурации, в которой функционал ограничения отсутствует по умолчанию

Информационная безопасность Администрирование данных 1С v8 УТ10 Бесплатно (free)

Добрый день, читатель! Я покажу тебе, как в конфигурации (в которой функционал ограничения отсутствует по умолчанию) ограничить сотрудников компании (менеджеров) при работе в 1С только определенными контрагентами. Например, при заведении Заказа Покупателя (или Поставщика) менеджер может видеть и создавать документы только по определенным Контрагентам. Это сделано для удобства работы отдела продаж, когда за каждым Менеджером в отделе закреплен определенный круг Клиентов. Другие менеджеры не могут видеть и менять чужие заказы, так как в них указаны не их Контрагенты (не закрепленные за ними). Думаю, я понятно объяснил, что я хочу вам показать.

05.06.2015    20423    pvlunegov    47