Аутентификация доступа к интернет ресурсу 1с что это
Стремительный рост современных технологий имеет сильное влияние на техническую архитектуру и принципы работы с учетными компьютерными системами, такими как 1С:Предприятие. Динамика и глобализация бизнес-процессов приводит к тому, что классическая клиент-серверная архитектура в изолированной сети уступает место легким и удобным web-сервисам.
Преимущества web-клиента 1С
Доступ к базам 1С по Web не требует установки на компьютер либо устройство никакого клиента или ПО. Для подключения к базе 1С достаточно запустить браузер и иметь стабильный Интернет.
В отличие от статических клиентов 1С - доступ по Web может работать с любого устройства и под любой операционной системой, имеющей браузер.
В отличие от статических клиентов 1С - доступ по Web может работать с любого устройства и под любой операционной системой, имеющей браузер.
Работа с 1С по Web гораздо легче и практичнее. Достаточно организации доступа по нескольким сетевым портам, не требуется создание громоздких терминальных серверов.
Наряду с остальными инструментами (организатором, почтой, календарем, CRM) - удобно вписывается в концепцию делового человека «Быстро. Удобно. Практично».
Описание технологии web-1С и реализация
Доступ к 1С по Web — это один из клиентских способов доступа к системе 1С:Предприятие. В отличие от привычных клиентских приложений (толстого клиента и тонкого клиента), его не нужно предварительно устанавливать на компьютер пользователя.
- На сервере 1С:Предприятие требуется установить модули расширения Web-сервера.
- Устанавливаем Web-сервер Internet Information Server, который по умолчанию входит в поставку Microsoft Windows Server.
- Выполняем настройку прав доступа и разрешений безопасности для каталога inetpub\wwwroot\ и C:\Program Files\1cv8\
- Делаем настройку IIS для использования модуля расширения Web-сервера.
- Производим публикацию требуемой базы из Конфигуратора 1С.
Технически более детально (практически по шагам) этот вопрос описан здесь.
Еще одним вариантом является переход в облако 1С, где Web-доступ преднастроен, о том как перейти в облако читайте здесь.
Безопасность работы с Web-базой 1С
Наряду с комфортом, скоростью и преимуществами работы в опубликованной через Web базе 1С на другой чаше весов находится безопасность корпоративной информации и обеспечение конфиденциальности персональных данных. Важность этого аспекта трудно переоценить, ведь любой инцидент с повреждением, кражей, либо утерей даже самой малой части данных может повлечь за собой непоправимые последствия, вплоть до закрытия бизнеса и даже уголовной ответственности.
1. Web-браузер пользователя
Рисунок 2 - Схема возможных атак на веб-браузер
Старт работы с корпоративной базой 1С и конфиденциальной информацией начинается с Web-браузера конечного пользователя. И именно здесь, с точки зрения мировых экспертов по криптозащите, происходит до 70% перехвата важной информации, утечка которой влечет многомиллионные убытки.
- Настройте браузер под себя, запретите доступ к нежелательным элементам, таким как камера или микрофон, отслеживание геолокации, автозаполнение форм, сохраненные адреса, личные данные, номера банковских карт и т.д.
- Регулярно проводите обновления, выпускаемые разработчиками. Это крайне необходимые программные доработки, закрывающие свежие уязвимости и дыры в безопасности браузеров.
- Предельно внимательно относитесь к установке расширений браузера. Хоть большинство из них и проходит верификацию производителя (особенно в операционной среде MacOS), однако расширения - это отдельные исполняемые программы, внедренные в браузер. Они могут выполнять абсолютно любые действия с данными во время web-сессии.
- Следите за теми ресурсами, к которым подключаетесь. Сейчас очень распространен фишинг - обманные сайты-ловушки, которые маскируются под нужные ресурсы и собирают конфиденциальную личную информацию. Используйте антифишинговые расширения либо соответствующие модули антивирусной защиты.
- Обязательно контролируйте автоматическое заполнение форм с персональными данными и отключите в настройках браузера автосохранение паролей для входа в корпоративные ресурсы. Рекомендуется все пароли запоминать и вводить строго вручную.
2. Канал связи Интернет
Рисунок 3 - Схема подключения Web-клиента 1С к Web-серверу 1С
Создание защищенного канала связи между клиентом и сервером - немаловажный фактор успеха в защите ключевой корпоративной информации. Вот несколько рекомендаций:
Гарантированно защищенным вариантом является создание VPN-туннеля между внутренними сетями клиента и сервером 1С. Особенностью данного варианта является то, что весь трафик к серверу 1С закрывается в частном шифрованном туннеле, как и адрес Web-сервера 1С. Это позволяет обезопасить сервис 1С от хакеров и вирусов, использующих уязвимости и эксплоиты Web-сервера.
Рекомендуются такие параметры туннеля:
Публикация базы 1С
- Шифрование передаваемых данных во избежание их перехвата. Благодаря этому злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, а также отследить их действия на других страницах или получить доступ к их данным.
- Сохранность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.
- Аутентификация.Она гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки фишинга. Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для бизнеса.
3. Маршрутизатор серверной части - аппаратно
На надежность и безопасность аппаратных шлюзов на стороне сервера баз данных 1С влияют следующие параметры аппаратных маршрутизаторов-firewall (рекомендации автора):
Требования к маршрутизатору
Параметры и значения рассчитаны для одного сервера 1С до 50-100 Web-пользователей.
Пропускная способность шлюза
не менее 250 мбит\с
Наличие встроенного Firewall с гибкой настройкой
Пропускная способность Firewall
не менее 75 мбит\с
Максимальное количество соединений с firewall
не менее 30 тыс
Максимальное количество соединений с firewall в сек
Шифрование туннеля IPsec
Дублирование каналов связи
один проводной, второй - радио
Рисунок 4 - Схема подключения Web-клиента к маршрутизатору
4. Порты и софт-уязвимости маршрутизатора серверной части
Помимо стабильной работы вышеуказанных компонентов и модулей роутера - важно обеспечить защиту программных протоколов и фильтрацию трафика, проходящего к серверной части 1С. Чем больше уязвимостей в программной части - тем легче злоумышленникам прервать бизнес-процессы, повлиять на стабильность работы с 1С, перехватить корпоративную информацию - в общем, нанести определенный вред компании. Это как скважина дверного замка, уязвимости шлюза обеспечивают широкий доступ внутрь системы.
Аутентификация – проверка принадлежности предъявленного идентификатора (имени) конкретному пользователю системы, проверка подлинности. Система «1С:Предприятие» поддерживает несколько различных вариантов аутентификации, которые будут рассмотрены в следующих разделах.
1.1.1. Аутентификация средствами системы «1С:Предприятие»
Пользователь может быть аутентифицирован системой «1С:Предприятие» с помощью ввода его имени и пароля (в диалоге аутентификации, в виде параметров командной строки или строки соединения с информационной базой для внешнего соединения или automation-сервера). В этом случае проверка наличия пользователя и корректности ввода его пароля выполняет система «1С:Предприятие».
1.1.2. Аутентификация операционной системы
Пользователь может быть аутентифицирован неявно средствами операционной системы. Для этого пользователю должен быть поставлен в соответствие некоторый пользователь операционной системы. При старте системы, «1С:Предприятие» запрашивает у операционной системы пользователя, который аутентифицирован в системе в данный момент. Для этого в ОС Windows используется интерфейс SSPI, а в ОС Linux — GSS-API. Затем выполняется проверка, что данному пользователю операционной системы сопоставлен пользователь «1С:Предприятия». Если поиск заканчивается успешно – считается, что пользователь системы «1С:Предприятие» аутентифицирован успешно, и диалог аутентификации не отображается.
Примечание. Не поддерживается аутентификация пользователя средствами ОС в том случае, если клиентское приложение подключается к информационной базе через веб-сервер Apache, работающий под управлением ОС Windows.
Пользователь операционной системы указывается в формате: \\имя_домена\имя_пользователя.
Если необходимо принудительно выполнить аутентификацию средствами системы «1С:Предприятие», то в командной строке запуска клиентского приложения следует указать ключ командной строки -WA-. Соответственно, ключ командной строки –WA+ предназначен для принудительного применения аутентификации средствами операционной системы (действует по умолчанию).
1.1.3. Аутентификация с помощью OpenID
Примечание 1. Данный способ аутентификации не применим при обращении к веб-сервисам, опубликованным из «1С:Предприятия».
Примечание 2. В роли провайдера OpenID выступает информационная база «1С:Предприятия».
Общая схема работы выглядит следующим образом:
- Пользователь пытается выполнить вход в систему.
- Система определяет, что в информационной базе работает OpenID-аутентификация (по файлу публикации default.vrd).
- Провайдеру OpenID отправляется запрос на выполнение аутентификации.
- Если необходимо выполнить интерактивное действие (выполняется первая аутентификация для данного идентификатора или закончено время жизни признака аутентификации данного идентификатора), то провайдер сообщает системе о необходимости запросить имя и пароль пользователя. Система выполняет интерактивное действие и возвращает провайдеру OpenID запрошенные данные.
- Признак аутентифицированности пользователя хранятся в файлах cookie, которые размещаются в хранилище, индивидуальном для каждого веб-браузера. Тонкий клиент использует собственное хранилище.
- Если провайдер аутентифицирует пользователя, то системе возвращается признак того, что пользователь аутентифицирован.
В качестве OpenID-провайдера выступает информационная база системы «1С:Предприятие». В качестве OpenID-идентификатора используются имена пользователей информационной базы. Такая информационная база должна быть особым образом опубликована на веб-сервере (в файле публикации default.vrd расположен особый элемент) и доступна для информационной базы, которая желает выполнять аутентификацию с помощью OpenID.
В качестве OpenID-идентификатора пользователя выступает свойство Имя пользователя информационной базы OpenID-провайдера. Пароль пользователя также задается в информационной базе OpenID-провайдера. Пароль, заданный в информационной базе, которая является клиентом OpenID-провайдера, игнорируется при выполнении аутентификации с помощью OpenID.
Если необходимо принудительно выполнить аутентификацию с помощью OpenID, то в командной строке запуска клиентского приложения следует указать ключ командной строки -OIDA+ (действует по умолчанию). Соответственно, ключ командной строки –OIDA- предназначен для принудительного отключения аутентификации с помощью OpenID.
Подробнее о настройке веб-сервера для работы с OpenID-аутентификацией см. стр. 2.
Для того, чтобы система выполняла аутентификацию с помощью протокола OpenID необходимо, чтобы у пользователя был установлен флажок Аутентификация 1С:Предприятия и соответствующим образом была настроена публикация данной информационной базы на веб-сервере.
1.2. Настройка поддержки OpenID-аутентификации
1.2.1. Настройки для использования OpenID
Если информационная база использует OpenID-аутентификацию, то в файле default.vrd (с помощью которого выполнена публикация информационной базы на веб-сервере) необходимо указать адрес OpenID-провайдера, с помощью которого происходит аутентификация. Для этого предназначены элементы и .
Восстановление работоспособности 1С-ЭДО, 1С:Контрагента, 1С-Отчетности и других сервисов в связи с DDoS-атаками на различные интернет-ресурсы 1C с 21.04.2022 г.
Ситуация с DDoS-атаками на ресурсы 1С
С 21 апреля продолжаются мощные DDoS-атаки на различные интернет-ресурсы и сервисы 1C и других организаций с целью усложнить работу российских пользователей и сорвать сдачу налоговой отчетности. Специалисты 1С принимают меры для обеспечения работоспособности наших сервисов и поддержки пользователей. В целом подавляющая часть сервисов работает, в том числе позволяет пользователям сегодня сдать отчетность по НДС. Мы не публикуем открыто подробную информацию и рекомендации по решению проблем, так как это поможет организаторам атак сделать их сильнее – просим отнестись с пониманием. Обо всех текущих проблемах с доступом к ресурсам и сервисам 1С просим сообщать в соответствующие службы технической поддержки, при этом указывать максимально подробную информацию.
хотя логин и пароль 100% верные и с ними можно без проблем войти в личный кабинет портала 1С:ИТС через браузер.
Или: "Ошибка работы с Интернет: Удаленный узел не прошел проверку",
или: "Ошибка аутентификации. Неизвестная ошибка сервиса",
или ошибка аутентификации при подключении Интернет-поддержки: "Неверный логин или пароль".
или: "Логин и пароль сохранены в программе, но проверка корректности логина и пароля не выполнены из-за ошибки:
Ошибка при подключении к серверу. Ошибка работы с Интернет.
Failure whem receiving data from the peer".
Варианты решения проблемы отличаются для "новых" конфигураций (БП 3.0, УТ 11, БГУ 2.0, УНФ, ERP и пр.) на управляемых формах и для "старых" конфигураций на обычных формах (УПП 1.3, БП 2.0, УТ 10.3, БГУ 1.0 и пр.).
Для конфигураций на управляемых формах актуальных версий разработчики выпускают специальные патчи, какждый из которых позволяет решить какуют-то одну конкретную проблему типовой конфигурации.
Обратите внимание, что для восстановления работоспособности разных сервисов может потребоваться выполнить несколько действий и/или установить нескольких патчей.
Патч EF_00_00447762 для подключения Интернет-поддержки пользователей без проверки логина и пароля на Портале 1С:ИТС.
Патч предазначен для новых пользователей или тех кто разлогинился и не могли ввести в программу свой логин и пароль, т.к. программа не позволяла их сохранить без проверки учетной записи с такими данными. Если логин и пароль уже были введены ранее и сохранены в информационной базе программы 1С, то установка данного патча не требуется.
Установите патч EF_00_00447762 для используемой конфигурации. Если патч не устанавливается автоматически из информационной базы, то скачайте и установите файл EF_00_00447762.cfe вручную.
Установка патча позволит сохранить введенные логин и пароль от Интернет-поддержки в информационной базе 1С без проверки существует ли такая учетная запись на портале 1С.
Т.е. патч не отменяет необходимость регистрации программного продукта на портале 1С или оформления договора ИТС, не вносит никаких изменений в условия предоставления поддержки и доступа к сервисам, а влияет только на возможность сохранения логина и пароля в информационной базе 1С. При обращении к сервисам логин/пароль, а также наличие договора ИТС для предоставления доступа к сервисам будут проверяться точно так же как и прежде. Если будут введены некорректные данные, то у пользователя не будет доступа ни к каким сервисам.
Для установки патча перейдите Администрирование > Обслуживание > Обновление программы.
В форме Установка обновлений выберите режим Укажите файл обновления и исправлений. Выберите ранее скачанный файл с патчем и согласитесь с предупреждением безопасности. После установки патча перезапустите сеанс, для того чтобы исправления были применены.
Обновление сертификата удостоверяющего центра для восстановления работоспособности сервисов 1С-ЭДО и 1С:Контрагент в "старых" версиях конфигураций
В связи DDoS-атаками на различные интернет-ресурсы и сервисы 1C на сайтах сервисов 1С был установлен новый цифровой сертификат безопасности. Поэтому пользователям "старых" версий конфигураций (1С:Управление производственным предприятием ред.1.3, 1С:Управление торговлей ред.10.3, 1С:Бухгалтерия предприятия ред.2.0, Зарплата и и управление персоналом ред.2.5 и т.п.), в которых используется режим совместимости с версией 8.3.7 и ниже, необходимо вручную обновить сертификат удостоверяющего центра.
Для обновления сертификата необходимо выполнить следующие действия:
- закрыть все работающие сеансы 1С:Предприятие
- сделать копию старого сертификата
- заменить файл со старым сертификатом в каталоге, в котором установлена платформа, например C:\Program Files (x86)\1cv8\8.3.20.1769\bin\cacert.pem
Замена сертификата возможна тремя способами:
Установка сертификат безопасности должна помочь возобновить корректную работу сервисов 1С-ЭДО и 1С:Контрагент в "старых" конфигурациях.
Для восстановления работоспособности сервиса 1С-ЭДО установите патчи EF_00_00447194_XX и EF_00_00448079 для используемой конфигурации. Если патчи не устанавливаются автоматически из информационной базы, то скачайте и установите файл EF_00_00447194_XX и EF_00_00448079 вручную.
3.0.111.25, 3.0.111.20, 3.0.111.16, 3.0.110.29,3.0.110.24, 3.0.109.29, 3.0.110.20, 3.0.109.61, 3.0.109.57,3.0.109.25, 3.0.108.206, 3.0.108.36, 3.0.108.31, 3.0.108.28, 3.0.107.37
3.0.111.25, 3.0.111.20, 3.0.111.16, 3.0.110.29,3.0.110.24, 3.0.109.29, 3.0.110.20, 3.0.109.61, 3.0.109.57,3.0.109.25, 3.0.108.206, 3.0.108.36, 3.0.108.31, 3.0.108.28, 3.0.107.37
Для установки патчей перейдите Администрирование > Обслуживание > Обновление программы.
В форме Установка обновлений выберите режим Укажите файл обновления и исправлений. Выберите ранее скачанный файл с патчами и согласитесь с предупреждением безопасности. После установки патчей перезапустите сеанс, для того чтобы исправления были применены.
Если используемая конфигурация давно не обновлялась и её версия ниже той, для работой с которой предназначены патчи, то конфигурацию необходимо сначала обновить, а потом повторить установку патчей.
Для пользователей специализированных отраслевых конфигураций с режимом совместимости 8.3.15 и выше, которые разработаны с использованием Библиотеки электронных документов (БЭД) версий 1.9 и 1.8 или Библиотеки стандартных подсистем (БСП) включающих соответствующие версии БЭД, установка исправительного патча для Библиотеки электронных документов (БЭД) также должна помочь возобновить корректную работу сервиса 1С-ЭДО.
Какая версия БЭД в вашей конфигурации можно узнать с помощью команды Перейти по ссылке (в правом верхнем углу нажмите на кнопку со стрелочкой вниз или Shift+F11)
e1cib/list/РегистрСведений.ВерсииПодсистем
Откроется Регистр сведений Версии подсистем с указанием всех версий подсистем используемых в конфигурации.
Для конфигураций разработанных с использованием БЭД версии 1.9.4.* необходимо установить патч EF_00_00447194_29, а для остальных EF_00_00447194.
Пользователям отраслевых, нетиповых, модифицированных ("кастомизированных") и оригинальных конфигураций с целью уточнения необходимости каких-либо действий для сохранения корректной работы сервисов "1С" рекомендуем обращаться к разработчикам соответствующих конфигураций либо к организациям, выполнявшим кастомизацию.
Если при отправке электронных документов не выполняется проверка просроченного маркера доступа, то установите патч EF_00_00444629.
Для восстановления работоспособности сервиса 1С:Номенклатура установите патч EF_00_00447854 для используемой конфигурации.
Если патч не устанавливается автоматически из информационной базы, то скачайте и установите его вручную.
Патч EF_40000850_15 для решения проблемы с ошибкой расшифровки "Набор ключей не определен" возникающей при обмене данными ЭЛН
Если при обмене данными ЭЛН (Электронный листок нетрудоспособности) с сайтом ФСС выходит ошибка расшифровки "Набор ключей не определен", то установите патч EF_40000850_15
Патч EF_10239023 для решения проблемы с ошибкой при открытии формы организации или банковских счетов.
Если при попытке открыть карточку организации или банковских счетов выходит ошибка "Не удалось получить об идентификаторах платежных систем СБП", то установите патч EF_10239023.
Если патч не устанавливается автоматически из информационной базы, то скачайте и установите его вручную.
Отмена штрафов за несвоевременную сдачу отчетности при подтверждении оператора ЭДО об объективных трудностях сдачи отчетности ФНС
В связи с затруднениями, связанными с временной нестабильностью сайта ФСС опубликовано письмо ФНС России от 28.04.2022 ЕА-4-15/5257@ "О привлечении к ответственности за налоговое правонарушение, предусмотренное ст. 119 НК РФ".
В письме, в частности, говорится:
"В этой связи, в случае невозможности формирования и (или) направления налоговой отчетности по ТКС через оператора ЭДО в установленные Кодексом сроки по причинам, не зависящим от налогоплательщика, налогоплательщик вправе представить в налоговый орган подтверждающие документы.
Такими подтверждающими документами, в том числе, являются письма от разработчиков бухгалтерских учетных систем или операторов ЭДО об отсутствии возможности формирования и (или) доставки налоговых деклараций (расчетов) в периоды, соответствующие срокам представления налоговых деклараций (расчетов), установленным Кодексом.
Таким образом, при представлении налогоплательщиком подтверждающих документов до завершения камеральной налоговой проверки или до вручения акта налоговой проверки, налоговым органом не инициируется процедура привлечения к ответственности, установленной пунктами 1, 2 статьи 119 Кодекса."
Перестал работать сервис 1С-ЭДО, Перестали заполняться реквизиты контрагентов по ИНН в программах 1С, В программе 1С перестала работать 1С-Отчетность, Ошибка работы сервиса 1С ЭДО, Перестала отправляться отчетность из 1С:БГУ, Ошибка Удаленный узел не прошел проверку при работе с сервисом 1С-Отчетность, Ошибка сервиса 1С-Отчетность в 1С:Бухгалтерии, Перестала работать электронная отчетность 1С, Почему в программе 1С не работает 1С-ЭДО, Перестал работать сервис 1С-Отчетность, Ошибка сервиса 1С ЭДО, Не работает 1С-Отчетность, Не работает ввод контрагента по ИНН в 1С, Ошибка при работе с сервисом 1С Контрагент, В программе 1С не работает 1С-ЭДО, Почему не работает сервис 1С-Отчетность, Ошибка при загрузке реквизитов контрагентов по ИНН в 1С, В программе 1С перестал работать электронный документооборот, 1С ЭДО не работает в 1С:БГУ, В программе 1С УПП не работает 1С-Отчетность, Не работает 1С БГУ заполнение по ИНН, Не работает заполнение по ИНН в программе 1С 8.3, Восстановление работы сервиса 1С-Отчетность в 1С:Бухгалтерии, Как восстановить работоспособность сервиса 1С-ЭДО в 1С Бухгалтерии,
Теги: Ошибка в работе сервиса 1С-ЭДО, Ошибка в программе 1С-Отчетность, Перестал работать сервис 1С Отчетность
В сегодняшней статье я расскажу об уязвимостях сервера 1С в корпоративной сети.
Как показала практика, в инсталляциях с 1С все допускают одни и те же ошибки разной степени серьезности. Я не буду касаться очевидных вещей вроде установки обновлений, но пройдусь по специфике работы сервера приложений под Windows. Например, по возможности бесконтрольно манипулировать базами Microsoft SQL с помощью инструментов 1С.
Исторически так сложилось, что редко когда системные администраторы и программисты 1С работают как одна команда. Чаще всего специалисты по 1С не вникают в тонкости системного администрирования, а сисадмины не стремятся постичь нюансы работы 1С.
И получается инфраструктура с «детскими болячками», очевидными для специалиста по ИБ ― ниже привожу личный ТОП таких проблем.
По умолчанию платформа 1С при установке создает специальную учетную запись с ограниченными правами, под которой работают службы сервера ― USR1CV8. Все идет хорошо, до тех пор пока не становятся нужны ресурсы сети: например, для автоматических выгрузок-загрузок. Учетная запись по умолчанию не имеет доступа на сетевые папки домена, поскольку является локальной.
В своей практике я встречал множество способов решения этой задачи: папки с доступом на запись для группы «Все», сервер 1С под учетной записью с правами администратора домена, явно прописанные в коде учетные данные для подключения сетевого ресурса. Даже запуск сервера 1С под пользовательской сессией как обычное приложение.
Заходим на сервер по RDP, видим такое окно и получаем нервный тик.
Конечно, «захардкоженые» пароли и сетевые ресурсы с анонимным доступом на запись встречаются редко. В отличие от работы сервера 1С из-под обычной доменной учетной записи. Разумеется, с возможностью выполнить произвольный код «на сервере».
Как известно любому 1С-нику, но не любому системному администратору, в обработках 1С есть два режима выполнения процедур: на сервере и на клиенте. Запущенная в «серверном» режиме процедура будет выполнена под учетной записью службы сервера приложений. Со всеми ее правами.
Если сервер 1С работает с правами администратора домена, то потенциальный вредитель сможет сделать с доменом что угодно. Разумным выходом станет создание специальной учетной записи ― по мотивам USR1CV8, только уже в домене. В частности, ей стоит разрешить вход только на определенные серверы в оснастке «Пользователи и Компьютеры Active Directory».
Настройка входа только на разрешенные серверы.
Не лишним будет и разрешить вход на сервер только в качестве службы, отключив возможность локального (интерактивного) входа в систему. Сделать это можно через локальные политики безопасности непосредственно на сервере, либо с помощью доменных групповых политик.
Назначение прав пользователя в локальной политике безопасности.
Все то же самое касается и учетной записи сервера Microsoft SQL. Седых волос может прибавиться от вредных привычек:
- запускать SQL с правами администратора компьютера или даже домена для удобного резервного копирования;
- включать возможность запуска исполняемых команд через хранимую процедуру xp_cmdshell для переноса резервных копий на сетевые ресурсы через красивые планы обслуживания.
Регулярно в практике встречается подключение баз данных к серверу 1С под пользователем «SA» (суперпользователь в SQL). Вообще, это не так страшно как звучит, ведь пароль от SA захэширован в файле 1CV8Reg.lst на сервере приложений. Хэш злоумышленник получить гипотетически может ― не забываем про права учетной записи сервера ― но расшифровка окажется долгой, особенно если использовать брутфорс.
Но все же не лишним будет настроить аудит доступа к этому файлу с уведомлением ответственных лиц.
Другое дело, когда программистам 1С «делегируют» обязанности DBA. Опять же, из личного опыта: сервер SQL был в зоне ответственности программистов, как и интеграция внешнего сайта с базами 1С. Итогом был пароль SA в скриптах сайта.
Для собственного успокоения стоит поставить на SA сложный пароль или вовсе деактивировать эту учетную запись. На SQL тогда нужно включить доменную аутентификацию для управления и создать для 1С отдельное имя входа с правами на необходимые базы.
Если вы не хотите оставить возможность создавать базы SQL через интерфейс 1С, то новому пользователю хватит общей роли public и db_owner непосредственно в базе 1С.
Это можно проделать через Management Studio или простым скриптом T-SQL:
Правам пользователей в 1С почему-то мало кто уделяет внимание. А ведь пользователь с правами «Административные функции» или «Администрирование» запросто выгрузит базу в .DT через конфигуратор и унесет домой ― это подарит не одно мгновение волнительного счастья вашему руководству. Поэтому стоит поймать на рюмочку чая 1С-ника и посидеть совместно над базой, чтобы узнать, какие пользователи имеют подобные права. А заодно ― чем грозит понижение их полномочий.
Право выгрузить базу у роли Полные Права в типовой 1С: Бухгалтерии 2.0.
Следующий важный момент ― запуск внешних обработок. Как мы помним, в 1С можно запускать код с правами учетной записи сервера. Хорошо, если она не имеет административных прав на систему, но все равно стоит исключить возможность запуска подобных обработок для пользователей. И не забудьте попросить специалиста по 1С «встраивать» дополнительные отчеты и обработки в базу. Хотя не во всех обработках поддерживается встраивание ― эта возможность зависит от версии 1С.
Проверить, какие типовые роли не имеют прав на открытие внешних обработок, можно в конфигураторе.
Все эти действия не только помогут защититься от потенциального «внутреннего вредителя», но и станут дополнительной преградой на пути вирусов-шифровальщиков, маскирующихся под обработки 1С.
Если все же необходим запуск внешних обработок, то неплохим вариантом контроля и подстраховки будет аудит их запуска. Штатного механизма аудита у 1С пока нет, но в сообществе уже придумали несколько обходных маневров. Внедрять эти механизмы стоит в паре со специалистом 1С, также как и настраивать уведомления о событиях в журнале регистраций базы.
Отдельно отмечу возможность настройки доменной аутентификации пользователей вместо аутентификации 1С. И пользователям будет удобнее ― меньше паролей в их памяти снижает риск появления стикеров на мониторе.
Итак, пользователи теперь не могут запускать обработки, учетная запись сервера максимально ограничена. Но есть и еще кое-что: учетная запись администратора кластера 1С, которая не создается по умолчанию.
Ее отсутствие опасно: любой человек с ноутбуком при открытом доступе к сетевым портам сервера (по умолчанию это TCP:1540) может создать там свою базу, и ограничений на запуск обработок не будет. А еще злодей сможет получить информацию по базам данных, по работающим пользователям, изменить параметры кластера и даже принудительно завершить работу определенных пользователей.
Пример скрипта на PowerShell, изгоняющего всех пользователей изо всех баз сервера:
Использование подобного способа работы с сервером 1С в благих целях уже упоминалось в одной из предыдущих статей.
Создать администратора кластера не просто, а очень просто ― достаточно щелкнуть правой кнопкой на пункте «администраторы» в управлении кластером 1С, создать нового администратора, задав логин и пароль.
Создание администратора кластера 1С.
Я коснулся лишь части недоработок при настройке 1С: Предприятия. Для самостоятельного изучения рекомендую почитать до сих пор не потерявшие актуальность материалы:
Поделитесь в комментариях своими нестандартными решениями и курьезами при работе с системой 1С: Предприятие.
После установки 1С необходимо убедиться что сервер 1С запущен. Автор обычно запускает сервер вручную. Но если вы уверены что сервер 1С запущен, то этот шаг делать не надо.
1.2. Зарегистрировать кластер 1С
Запустить утилиту администрирования серверов 1С:
В открывшемся окне зарегистрировать новый центральный сервер 1С предприятия:
В появившемся окне ввести сетевое имя компьютера, на котором запущен 1С Сервер (или его IP-адрес):
1.3. Зарегистрировать базу 1С на сервере SQL
Для начала регистрации базы необходимо запустить приложение 1С. В появившемся окне "Запуск 1С:Предприятия" регистрируем новую базу нажатием на кнопку "добавить":
Выбираем "Создание новой информационной базы":
В появившемся окне есть возможность создать базу из шаблона, или создать новую пустую базу (в последствии можно будет загрузить базу, загрузить конфигурацию или создать свою конфигурацию):
Жмем кнопку далее, вводим название базы и тип расположения базы на сервере:
жмем далее и заполняем поля:
При этом необходимо заметить, что поле "Имя базы данных" - это названия базы на SQL сервере. А поле "Имя информационной базы" - название базы на сервере 1С.
После чего выбираем вариант аутентефикации в 1С (Выбирать автоматически) и жмем кнопку "Готово":
1.4. Загрузить или создать конфигурацию 1С
Запустить конфигуратор с базой:
Загрузить ранее выгруженную информационную базу:
2. Настройка IIS на сервере
2.1. Проверка установленных компонент IIS
Для работы веб-клиента 1С:Предприятия необходимы службы IIS, которые небыли установлены по умолчанию при установке Windows 8.1 x64.
Для их установки следует перейти "Пуск - Панель управления - Программы и компоненты - Включение или отключение компонентов Windows". В появившемся дереве, в ветке "Службы IIS – Службы интернета - Компоненты разработки приложений" отметить все компоненты, как показано на рисунке. Затем нажать кнопку "Ок":
2.2. Разрешение 32-разрядных приложений в пуле приложений
Веб-клиент 1С:Предприятия 8.3 является 32-разрядным приложением. Поэтому для 64-разрядной ОС необходимо разрешить работу оных в пуле приложений сервера IIS. Для этого необходимо перейти "Пуск - Панель управления – Администрирование – Диспетчер служб IIS". В диспетчере служб выбрать "Пулы приложений – DefaultAppPool – Дополнительные параметры". В списке дополнительных параметров переменной "Разрешены 32-разрядные приложения" установить значение "True":
Установить значение в True для параметра "Разрешены 32-разрядные приложения":
2.3. Установка удостоверения пула приложений в качестве удостоверения анонимного пользователя
По умолчанию в качестве анонимного пользователя установлен пользователь IUSR, которого нет в системе. Дабы не создавать оного можно просто включить удостоверение пула приложений в качестве удостоверения анонимного пользователя. Для этого необходимо перейти "Пуск - Панель управления – Администрирование – Диспетчер служб IIS". В диспетчере служб перейти в "Проверка подлинности:
На пункте "Анонимная проверка подлинности" вызвав контекстное меню "изменить":
В открывшемся диалоге отметить "Удостоверение пула приложений". Закрыть диалог, нажав кнопку "ОК".
3. Публикация WEB-приложения из 1С
Для публикации приложения необходимо иметь полный доступ на папку проектов IIS. Есть 2 способа публикации приложения из 1С. 1 - сначала создать необходимую папку в каталоге "C:\inetpub\wwwroot\" в нашем случае это папка с названием "Base1C" и дать права текущему пользователю на полный доступ на эту папку. 2 способ зайти в 1С из под администратора а потом дать необходимые права на папку уже опубликованного приложения. В э статье описан второй путь.
3.1. Для публикации конфигурации на сервере IIS необходимо запустить 1С из под администратора:
Вызываем контекстное меню на ярлыке 1С и выбераем "Запуск от имени администратора"
Выбираем базу и запускаем 1С в режиме конфигуратора:
3.2. Запустить публикацию на web-сервере
Для начала публикации переходим в меню "Администрирование - Публикация на веб-сервере":
В появившемся окне указать имя публикации, указать веб-сервер и указать путь на веб-сервере.
1С позволяет публиковать на любой доступный веб-сервер в сети с помощью утиллиты webinst. В статье использовался пример публикации на локальный компьютер:
Более подробную информацию по пунктам в окне публикации можно получить из 1С конфигуратора нажав на кнопку F1.
4. Настройка библиотек для работы в 64-х разрядной ОС
После публикации на веб-сервере из конфигуратора, в случае использования 64-х разрядной операционной системы на компьютере который используется в качестве сервера IIS, необходимо настроить работу с библиотеками 1С. Это делается каждый раз после публикации на веб-сервере.
Для настройки библиотек необходимо выполнить следующие действия.
Открываем через Панель Управления - Администрирование Диспетчер служб IIS.
В открывшемся окне раскрываем группу "Сайты" и наш сайт (в примере Base1C).
Нажимаем на "Сопоставление обработчиков" в группе IIS:
В открывшемся окне ищем строку с именем "ISAPI-dll" и нажимаем пункт меню в действиях "Добавить сопоставление сценария. "
В открытом окне "Добавление сопоставления сценария" в поле "Путь запроса" ввести символ * (звездочка, т.е. все). В поле "Исполняемый файл" выбрать библиотеку wsisapi.dll с каталога установленной 32-х разрядной версии 1С. В поле "Имя" можно задать любое имя (в примере Имя = 1С):
Некоторые специалисты в других статьях указывают что надо отключить ограничение сопоставления запроса. Автор не нашел зависимости работы этой отметки для программы 1С. Данная информация приводиться информативно, может быть кому то понадобиться.
Настроить ограничения запроса можно нажав на кнопку "Ограничение запроса" в окне Добавление сопоставления сценария. В открывшемся окне убрать отметку с "Вызывать обработчик только при сопоставлении запроса с:":
Нажать кнопку Ok.
На появившейся вопрос ответить "Да":
После чего необходимо перезапустить службу IIS. Для этого необходимо перейти в корень панели "Подключения" (на название сервера) и в меню действия справа выбрать "Перезапустить":
После чего можем проверить, работает ли подключенная библиотека. Для этого переходим в "Ограничения ISAPI и CGI":
И посмотреть, есть ли ссылки для необходимых обработчиков (dll):
Еще раз следует отметить, что данную процедуру настройки библиотек следует делать каждый раз после публикации приложения из 1С.
5. Настройка прав доступа на папки и Брандмауэра Windows
5.1. Настройка доступов к папкам
Для правильной работы всех пользователей, а не только администраторов с опубликованным веб-приложениям необходимо настроить некоторые права на папки.
Для настройки прав на пакпи необходимо в проводнике Windows вызвать контекстное меню для необходимой папки и выбрать в контекстном меню пункт "Свойства" и перейти на закладку "Безопасность"
В данном случае речь идет о правах на 3 папки:
1. "C:\Program Files (x86)\1cv8\8.3.5.1088\bin\" (в этой папке находится библиотека wsisapi.dll) (номер релиза "8.3.5.1088" может быть другой)
2. C:\inetpub\wwwroot\Base1C (это созданная нами папка которая будет использоваться для доступа из интернет)
3. КаталогБазы (это база 1С, если используется файловый тип базы), в нашем примере база храниться на SQL сервере, поэтому каталога базы нет и доступа на него давать не надо.
Для всех папок (Пункты: 1,2,3) необходимо для пользователя IIS_IUSRS установить доступ "Полный доступ":
Для папки с нашей базой (Пункт 3) данных для пользователя Users, установить доступ "Изменение".
5.2. Настройка доступов к портам в Брандмауэре Windows
Если планируется использовать web-доступ не только локально, то необходимо настроить Брандмауэр Windows для доступа с внешних ресурсов, указав порт доступа 80. Автор не использовал настроек брандмауэра, а просто отключил его:
6. Доступ к опубликованной информационной базе
Для доступа к информационной базе надо зайти в обозреватель интернет (поддерживающий HTML5, например "многими любимый" Internet Explorer) и ввести в адресную строку:
7. Используемые ресурсы
Читайте также: