Взломать за 60 секунд!

Публикация № 1168702

Администрирование - Информационная безопасность

При работе с данными нужно обращать внимание не только на объемы, скорость и удобство, но и на безопасность. Если организация не уделяет внимания безопасности, пользователь с урезанными правами может получить полный доступ к базе данных за 1-5 минут. Набором типичных ошибок и действенных рецептов по усилению безопасности клиент-серверной 1С на конференции Infostart Event 2019 Inception поделился руководитель ИТ в компании «ИнфоСофт» Антон Дорошкевич.

Привет! Меня зовут Дорошкевич Антон. Я руководитель ИТ в компании «ИнфоСофт» из Новосибирска, из далекой Сибири. Сегодня хочу с вами поговорить о безопасности в 1С.

 

Проблема безопасности в ИТ

За 25 лет, которые существует 1С, все привыкли, что программа 1С – это удобно, красиво, комфортно. А в опытных руках – это даже быстро и надежно. 

Но такой момент, как безопасность, почему-то никто не любит настраивать. Более того, о нем никто не любит даже думать. Такая ситуация не только в мире 1С. Такая ситуация в принципе в ИТ. 

Из-за бурного роста ИТ-сектора все свободные руки программистов и команд вокруг них заняты разработкой новой и развитием текущей функциональности. Всем не до безопасности. Этот момент всегда откладывают, из-за этого технический долг растет лавинообразно. Конечно, технический долг у нас накапливается не только в безопасности. И в последнее время в командах разработчиков 1С хотя бы слышится такое слово – рефакторинг кода. Давайте уберем все костыли, сделаем правильно, код хотя бы быстро заработает. То есть, на оптимальность у нас технический долг хотя бы начинает уменьшаться. Но на безопасность он растет катастрофическими объемами. 

Максимально, что делают, это настраивают права, профили для пользователей. А о супер-пользователях вообще никто не задумывается. Если подойти к системному администратору и произнести «1С», то в большинстве случаев он вам просто пальцем укажет короткий маршрут до 1С-ника и отвернется: «1С – это не мое, я о нем вообще ничего не знаю».

Такая ситуация почти везде. Ситуация немного плачевная. И я сейчас хочу вам рассказать, как реально за 60 секунд одним из вариантов взломать базу 1С и получить неограниченный доступ ко всем данным.

 

3 шага к данным

 

 

Когда мы в первый раз провели тестирование на взлом у себя внутри компании, мы удивились, насколько быстро мы смогли сломать, казалось бы, нормально защищенную систему. У нас ушло 15 минут. 

Второе удивление было – каким огромным количеством способов мы смогли это сделать. Вариантов огромное количество. Все не расскажу. Не потому, что жадный, а потому, что времени не хватит. 

Но расскажу один вариант, которой затем мы стали очень часто встречать, когда тестируем на проникновение в базы 1С крупных корпоративных заказчиков.

И кстати – ни разу за все тесты, проведенные нами, ни один антивирус не обнаружил подозрительных действий. Поэтому ставить на сервера приложений и баз данных антивирусы не только вредно для быстродействия системы, но и совершенно бесполезно.

Сразу оговорюсь, что все тесты на безопасность проводятся чисто технологическими методами – без социального инжиниринга, без паяльников, без утюгов, нам запрещено разговаривать с людьми.

Вариант такой: ты бухгалтер, тебе дали базу бухгалтерии и права бухгалтера с возможностью открытия внешних обработок. Больше ничего не дали. 

Что делаем? Всего в три шага, за одну минуту мы ломаем всю 1С-ку. 

  • Первым делом мы запускаем внешнюю обработку, написать которую занимает буквально пару минут. Эта обработка умеет делать всего две процедуры: читать файлы на сервере 1С и копировать к себе тот файл, который тебе нужен. Этой обработкой мы копируем к себе файл реестра кластера 1CV8Clst.lst. В этом файле содержится список всех баз 1С на кластере, список всех серверов БД, к которым подключены базы на этом кластере, логины к серверам БД  – все в открытом виде. И зашифрованные пароли к серверам баз данных. Вот по паролям не известны ни алгоритмы, ни соль, с помощью которой все это шифруется. И я надеюсь, что алгоритм шифрования паролей к базам данных – это один из главных секретов разработки платформы в фирме «1С».

  • Получили файл, прочитали. Практически всегда в крупном корпоративном секторе оказывается, что все базы подключаются к СУБД «прозрачной авторизацией» из-под пользователя, под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres). 

  • Нам ничего не мешает создать еще одну обработку, которая просто подключится к MS SQL, PostgreSQL, не указывая ни логина, ни пароля к базе данных (заметьте, он нам не нужен мы ничего не подбирали, потому что эта обработка подключается с правами сервера 1С, а он там – системный администратор). И создать еще одного системного администратора в СУБД – с логином и паролем, никакой доменной авторизации. 

Все. Все данные наши. Мы взломали сервер баз данных 1С. Мы можем забрать все, что угодно. Мы можем поменять любые пароли. Мы имеем неограниченный доступ к данным мимо платформы. Ситуация очень плачевная. 

Более того, мы можем это делать настолько скрытно, что вы годами можете не знать, что у вас давно все взломано и все данные улетают не туда, куда вам надо.

Валить из страны пока не надо, ничего страшного. Сейчас попробую рассказать вам, как минимальными телодвижениями, буквально нажатием пяти кнопок, сделать взлом вашей системы просто финансово нерентабельным из-за больших временных затрат. 

Полной безопасности, конечно, не добиться. У нас всегда есть баланс между удобством и безопасностью. И соблюсти этот баланс – сложная и интересная задача, решать которую надо как можно раньше:

  • единственный способ прийти к безопасности – это выключить сервер из розетки. Все безопасно, но работать нельзя. 

  • придем к удобству – это как сейчас в 1С, мы сломаем за минуту любую базу.

 

Первая ошибка – право на запуск внешних обработок

 

 

Итак, первый грех, самая важная и распространенная ошибка – это возможность пользователя запускать внешние обработки. Это вообще вселенское зло. Первое, что вы должны сделать – отобрать у всех пользователей права на запуск внешних обработок. 

Хотите кастомизировать свою систему – делайте это красиво и надежно. Хватит «фигачить гаражный тюнинг», навешивать на систему обвесы в виде внешних обработок, иначе у десятков ваших пользователей на рабочих столах будут храниться сотни версий одной и той же обработки со времен Деда Мазая:

  • во-первых, используя старую версию обработки на реструктурированных данных, вы получите непредсказуемый вал ошибок. А бухгалтеру удобно – обработка лежит на рабочем столе, он ее и запускает;

  • во-вторых, вы получите возможность взлома. Поверьте, у каждого пятого, наверное, вашего бухгалтера есть сын, племянник или сосед, который посмотрел курс «Как программировать на 1С». Первым делом он захочет получить данные из вашей базы и напишет для этого обработку – там делов-то на две минуты. 

Если все-таки по условиям бизнеса вам нельзя отказаться от внешних обработок, то хотя бы размещайте их в справочнике дополнительных отчетов и обработок (а лучше все-таки включать свои доработки в конфигурацию). Относитесь к этому очень аккуратно. Это – удобство, которое граничит с полной небезопасностью. Удобный механизм, но очень опасный. 

И еще один момент – когда вы перенесете все внешние обработки в справочник, наведете там полный порядок, удалите оттуда, пожалуйста, все обработки универсального доступа. Как минимум, удалите консоль запросов – в 90% случаев она в вашем справочнике будет. Это такая штука, с помощью которой любой 1С-ник, который проработал хотя бы две недели, обойдет все ограничения прав (кроме RLS), обойдет все ограничения отборов, и получит все, что угодно – любые данные по зарплате, налогам и пр.

Поэтому внешние обработки, к сожалению, должны умереть. Как бы это ни было удобно.

 

Вторая ошибка – «прозрачная авторизация» платформы на серверах СУБД

 

 

Еще одно «удобство», которое можно записать «в плюс» платформе – это та самая «прозрачная авторизация» платформы на серверах СУБД. В стандартном варианте использования, когда на сервере 1С крутится много баз – это грубейшая ошибка с точки зрения безопасности. Чем это грозит, я уже рассказал. А как этого избежать?

Самое простое – это под каждую базу завести отдельного пользователя СУБД, под которым к ней подключается сервер 1С. Причем, на сервере СУБД этот логин должен быть лишен прав сисадмина и быть просто Owner’ом для этой базы (на Postgres быть просто админом этой базы).

Классно, быстро, за три минуты это все сделаете – создадите 40 пользователей СУБД для 40 баз данных.

Но что же делать, когда с одной стороны безопасники требуют не передавать по сети пароли от сервера 1С в СУБД (это в файле они лежат шифрованные, а в базу данных полетят в открытом виде), а с другой стороны Дорошкевич на Инфостарте говорит: «Не будете передавать логин и пароль – я вас взломаю». 

Что делать? Вам придется под каждую базу данных создать отдельную службу сервера 1С, для которой создать уникального пользователя и уже его прописать на сервере баз данных. 

Тогда вы не только резко повысите безопасность ваших данных, вы еще и получите хороший бонус к гибкости управления платформами в вашей инфраструктуре. Вы сможете совершенно безболезненно менять версии платформы только для любой из баз, рестартовать службы и т.д. Вы же все любите рестартовать сервер, когда у вас начинает тормозить, вместо того чтобы разобраться, почему тормозит – это же сложно, дорого. А еще регулярные выражения начать писать для разбора техжурнала – это вообще мрак. Зачем это надо? Сейчас рестартану – всегда помогает. Вот, пожалуйста – рестартуйте. Делайте, что хотите – зато безопасность будет еще сильнее. Правда есть побочный эффект нескольких служб в части управления ragent-ом оперативной памятью, но это отдельная история.

 

Третья ошибка – отсутствие ограничений FireWall

 

 

И третий момент смертного греха, про который все постоянно забывают, – это настройка сетевого экрана на серверах во внутренней сети.

К сожалению, почти у всех сервер СУБД сетевым экраном вообще не закрыт, хотя обязательно должен быть закрыт полностью – все порты и все IP-шники, кроме порта, по которому к нему обращается сервер 1С и кроме IP-шника сервера 1С. Плюс еще пара компов админов БД должны иметь доступ на этот сервер. И больше никто. Это сервер базы данных, а не детская площадка для гуляний с колясками.

То же самое даже в большей степени касается сервера 1С – никто ничего не закрывает, хотя запрет подключения по порту консоли сервера 1С должен стоять для всех, кроме тех, кто админит сервер 1С.

Чем грозит отсутствие запрета?

Это грозит тем, что любой пользователь (даже без прав админа) может поставить себе на локальный компьютер дистрибутив 1С-ки с галочкой «Администрирование» – и у него появится консоль сервера 1С. Казалось бы, что такого? Мы все свои базы данных защитили, и у нас все круто – у нас под каждую базу данных свои пользователи в СУБД есть.
А вот и не все. После того, как он поставит себе консоль сервера 1С, он поднимет у себя на компьютере Postgres. А поскольку локальный компьютер вы на вход сетевым экраном тоже не защищаете, он, имея доступ из консоли до сервера 1С, правой кнопочкой на вашем кластере создаст новую базу и подключит ее к своей локальной базе данных Postgres. А затем запустит 1С, пропишет в ней свою вновь созданную базу данных и запустит любую обработку. 

А дальше – читайте первый слайд. За 60 секунд мы, как минимум, получим список всех ваших кластеров, всех ваших баз данных. И дальше уже будем смотреть, что с этим делать – не поленились ли вы создать для каждой базы своего пользователя? А вы поленитесь – и если у вас в какой-то базе пользователь СУБД прописан не будет, мы сможем запустить в ней любую обработку от имени пользователя сервера 1С.

Второй момент, как можно сделать то же самое, но чуть сложнее – Remote Access Server (RAS). Если у вас на серверах работает эта служба, то с помощью Remote Access Client (RAC) вы получите ту же самую консоль, только в командной строке. Можно делать все то же самое. 

Поэтому порт консоли сервера 1С должен быть закрыт. 

Казалось бы, закроем порт – наступит счастье? Не наступит.

 

 

Есть самый страшный метод создать базу в вашем кластере. Это стартер 1С. 

Там, если вы нажмете кнопку «Добавить новую базу», вам предложат все прописать. Помните, база данных установлена у меня локально. Мне ваши пароли не нужны. И я создам базу на вашем кластере даже при закрытых портах. Потому что стартер обращается к кластеру по порту менеджера rmgr – 1541. А если вы закроете этот порт – у вас 1С-ка не запустится. 

Казалось бы, теперь пора валить из страны. Нет. Дальше будет еще страшнее…

 

Создайте новую роль – администратор сервера 1С

И тут мы плавно приходим к выводу, что нам уже не хватает 1С-ников, сисадминов и админов баз данных для обеспечения безопасности. Сетевые экраны не помогают (помогают, но не от всего). Настройки баз данных тоже помогают не от всего. А 1С-ники – вообще главное зло (потому что суперпользователи).

И у нас появляется новая роль – администратор сервера 1С.

 

 

Создайте эту роль у себя в компании. В платформе 1С есть огромная функциональность для решения этой задачи – возможность назначать роли администратора кластера и сервера 1С. Только это защитит вашу систему от несанкционированного создания баз на кластерах и кластеров на серверах 1С.

Самое главное, что тут надо понимать – простого технического решения недостаточно. Если у вас 1С-ник, он же DBA-шник, как почти везде, он же еще чуть-чуть админ, потому что «Ваша 1С повисла, вот и разбирайтесь» – и он же станет администратором сервера 1С, все то, что вы сделали – это профанация. У вас один человек – просто бог, он стащит любые данные. Системный администратор, администратор баз данных, администратор 1С и разработчик 1С должны быть не только разными ролями, но и обязательно разными людьми. Все эти четыре роли должны занимать четыре разных человека, желательно друг друга ненавидящие. Этого добиться сложно и легко одновременно. Просто «засветите» им зарплаты друг друга – и все будет хорошо. Вы добьетесь максимального уровня безопасности.

 

 

Итак, когда вы наделите этого админа (настоящего, отдельного человека) ролью администратора сервера 1С, не забудьте сделать очень легкий и очень важный шаг: создайте для этого человека в консоли сервера две административные учетки:

  • администратора внутри кластера 1С;

  • и, самое главное, администратора внутри сервера 1С. 

Про администратора кластера обычно не забывают – кто вообще слышал про администраторов кластеров 1С, его создают. Классно – создать базу в кластере, не зная логина и пароля, нельзя. Но только можно создать еще один кластер, потому что администратора сервера не создано. 

Создайте обе эти учетки. Это очень важно. 

На этом моменте мы с вами обеспечили такой уровень безопасности, что ломать вас имеет смысл только под заказ за очень большие деньги. 

 

Используйте профили безопасности

Но остались суперпользователи – это админы, 1С-ники с полными правами, пользователи с полными правами и т.д. 

 

 

Чтобы как-то бороться еще и с этим «злом полных прав», в платформе есть мегамощный механизм профилей безопасности. Механизм очень обширный. Рассказывать про все – это отдельный доклад. Почитайте на ИТС, там все написано.

Единственное, есть нюанс: профили безопасности – это функциональность уровня КОРП. Но и безопасность изначально должна заботить КОРП-сектор, а ему уже давно пора быть на КОРП-лицензиях. 1С давно перестала шутить и 10 сентября 2019 года доказала это во всей красе. 

Кто столкнулся с табличкой: «Вы используете КОРП-функциональность, Ай-яй-яй! Я запускаться не буду!» и большими красными крестиками, которые пугали бабушек-бухгалтеров полдня? 

Кто паниковал на форумах Инфостарта? Я специально встал пораньше, чтобы всем вам отписываться: «Не пугайтесь, вот здесь нужно снять вот эти галочки» – скриншоты вам присылал. 

Причем Инфостарт за три месяца до этого вас предупреждал – писал пугающую статью, что через три месяца включат ограничение, и не будет дороги назад. 

Да, профили безопасности – это КОРП-функциональность, но очень крутая КОРП-функциональность. Что в ней такого с точки зрения обеспечения безопасности от взлома? 

Только с помощью профилей безопасности мы можем поставить под контроль даже людей с полными правами, которые могут зайти в конфигуратор и что-то сделать. Как минимум мы можем поставить под контроль внешние обработки: какие можно использовать, а какие – нет. Мы можем поставить под контроль расширения: какие можно использовать, а какие – нет. 

Профили безопасности позволят ограничить свободу 1С-ников в применении внешних обработок, расширений, доступа к файлам сервера 1С, приложениям операционной системы,  интернет-ресурсам из 1С и т.д.

А саму конфигурацию (да, безопасность связана еще и со сложностью – во времени и в бюрократии) вам придется выгружать в cf-ник, считать его контрольную сумму. И если она поменялась – его нельзя накатывать на базу, пока вы не проведете сторонний анализ безопасности на предмет «закладок». 

Безопасность – сложная штука, к ней надо идти долго. Но те, кому данные важны (а 1С все больше и больше содержит в себе пикантных подробностей финансового учета вашей компании), должны об этом задуматься. Это только кажется, что 1С только для бухгалтеров. На самом деле, 1С давно уже для бизнеса. 

Поэтому, когда мы создали админов, купили КОРП-лицензии, все это настроили, жить стало хорошо. 

Но в качестве первого тренировочного задания для этих админов я бы дал следующее.

 

Изолируйте серверные процессы ragent, rmngr и rphost

 

 

Заставьте админов настроить платформу 1С так, чтобы изолировать серверные процессы друг от друга. Это не КОРП-функциональность, вы можете сделать это хоть сегодня с помощью настроечного файла swpuser.ini (на ИТС описаны его параметры). 

Смысл в чем? Сервер 1С состоит из трех видов процессов, грубо говоря, из трех EXE-шников (в том числе и Linux-вариант – из трех бинарников). Это:

  • агент сервера 1С:Предприятия (ragent);

  • менеджер кластера (rmngr);

  • и рабочие процессы rphost. 

Весь ваш код 1С на сервере выполняется только процессом rphost. 

По умолчанию все три вида процессов запускаются от одного пользователя, и именно поэтому мы смогли прочитать обработкой файл реестра кластера, хотя этот файл не нужен рабочему процессу rphost, а нужен только процессу менеджера кластера rmngr.

С помощью настроечного файла swpuser.ini вы можете запустить все три процесса от трех разных пользователей. Таким образом, мы сможем жестко изолировать процессы друг от друга, и, самое главное, на уровне прав пользователя в операционной системе жестко ограничить в правах пользователя rphost.

Рабочему процессу rphost для счастья нужен каталог текущей платформы 1С (папка bin) на чтение и каталог временных файлов на изменение. 

С помощью профилей безопасности вы еще эту папку временных файлов (которая после разделения процессов будет размещаться в профиле пользователя, из-под которого запущен rphost) можете перенести в другой каталог, заставить автоматически чиститься после завершения сеанса 1С и т.д.

 

 

И тогда наступит счастье. Им втроем гораздо веселее. Помимо полной изоляции трех процессов, вы получаете еще очень богатую возможность настройки прав этих процессов. 

Например, пользователю, от которого запущен rmgr – ему вообще нужно очень мало, ему нужен доступ только на то, чтобы этот кластер прочитать. И к файлам журнала регистрации – он их пишет. Также он пишет файлы полнотекстового поиска. 

Поэтому делите, настраивайте. Сразу говорю, нормально заработает, только если прочитать статью на ИТС внимательно (а не как мы все с вами обычно читаем – сверху прочитали и дальше не дочитываем). Иначе не стартанет, будут ошибки. Читайте до конца. Статья маленькая, так что не поленитесь: дайте все права так, как вам об этом сказали.

После этих настроек и организационных мер несанкционированный доступ к вашим данным в 1С будет крайне затруднен.

 

Настройте двухфакторную аутентификацию и прозрачную авторизацию в 1С

 

 

Разобрались на админском поле, на суперпользовательском поле всех ограничили, все стало сложно, но у нас остается целый пласт пользователей с полными правами (уже не программистов 1С), которые отвечают за наиболее критичные процессы в компании, связанные с большим финансовым риском.

Этим пользователям в обязательном порядке нужно включить двухфакторную авторизацию. Начиная с версии платформы 8.3.15, это позволяет делать сама платформа. Да, к сожалению, пока нет формы настройки – все это делается просто на встроенном языке. Но делается быстро, за 2-3 минуты. Включайте, отправляйте им SMS (можете им в Telegram коды отправлять) – как угодно, что придумаете, какой HTTP-сервис напишете, такой и будет работать.

Эти пользователи должны быть подконтрольными. Помимо двухфакторной авторизации они в обязательном порядке должны иметь только прозрачную авторизацию в 1С. Никакой авторизации с помощью платформы – уберите галку «Аутентификация 1С:Предприятия». При авторизации с помощью 1С логины и пароли передаются в открытом виде.

А логины и пароли прозрачной авторизации не передаются – передается Kerberos билет, для которого реальных способов взлома нет при настроенной политике блокировки паролей. Может быть, математические есть, но реальных нет. Поэтому – только прозрачная авторизация. 

Плюс – настройте в домене правила блокировки по подбору пароля. Почему именно в домене, а не в 1С? Ведь в 8.3.16 появилась возможность включить защиту от брутфорса – указать количество попыток. Эта защита распространяется на всю базу 1С, а не на конкретных пользователей, что не всегда удобно. Плюс она реализована немного опасным способом – теперь, чтобы не попасть в капкан своей же защитной системы, когда у вас заблокируются все пользователи и вы ничего сделать не сможете, там еще и указывается префикс входа мимо брутфорса. Грубо говоря, суперпароль, который доступен администратору сервера 1С. А это – нехорошо. Лучше эти роли разделить, чтобы этот суперпароль доменного админа был доступен только доменному администратору, и чтобы только он мог разблокировать учетку, которая у вас прозрачно авторизуется. Но с другой стороны, раньше в 1С вообще никакой защиты от подбора не было, а теперь есть, и это отлично.

 

Для критических важных процессов компании нужен сторонний наблюдатель

 

 

Ну раз уж мы заговорили о критически важных процессах компании, вам, по-хорошему, нужен третий наблюдатель для объективного контроля этих процессов. Это – технология типа блокчейн.

Приведу пример – заявка на расходование денежных средств. Завели заявку – 500 т.р. Ее все радостно согласовали, и на моменте перед передачей этой заявки в бухгалтерию админ зашел и нолик добавил. Причем, неважно какой админ: 1С-ник или админ базы данных (только админ сервера 1С не сможет эту гадость сделать). И у вас улетело 5 миллионов. Но ладно нолик. Он скорее всего, контрагента поменяет, кому эти деньги улетят. Поэтому думайте о том, как сторонними технологическими средствами обеспечить еще один уровень безопасности от шаловливых ручек. Чтобы каждый участник процесса твердо знал, что с момента появления заявки на расходование в системе никакие ее основные параметры не были изменены.

Единственное – призываю к следующему. Если уж используете технологии блокчейн, то используйте их по-настоящему. С действительно распределенным реестром, с разными ключами шифрования. 

И не путайте это с майнингом и криптовалютами. Никакого отношения одно к другому практически не имеет. Криптовалюты – это паразиты на теле блокчейна. Не надо их туда наворачивать. Блокчейн для другого был создан.

 

Проводите аудит и тестирование на получение несанкционированного доступа к 1С

 

 

И на десерт – чтобы все, что я тут говорил, и все, что вы придумаете сами, не осталось на бумажках в регламентах, которые вы будете показывать своей службе безопасности, вам жизненно необходимо периодически проводить тесты на проникновение. Как внутренними силами ИТ, так и приглашая внешних подрядчиков. 

У внешних подрядчиков по сравнению с вашим ИТ-отделом (или 1С-отделом – я их не объединяю в одно) есть одно неоспоримое преимущество – они видели в сто раз больше инсталляций, чем вы. 

Белый хакер только кажется дорогим. Черный хакер может привести просто к катастрофическим финансовым последствиям вашей системы. Поэтому об этом надо думать заранее – платить белым хакерам, чтобы черные хакеры ничего не получили. 

Надеюсь, что я заставил вас задуматься о безопасности в 1С, тем более что платформа уже давно ждет, когда вы начнете ее настраивать.

Дорошкевич Антон, с заботой о вас и ваших данных!

 

****************

Данная статья написана по итогам доклада (видео), прочитанного на конференции INFOSTART EVENT 2019. Больше статей можно прочитать здесь.

В 2020 году приглашаем всех принять участие в 7 региональных митапах, а также юбилейной INFOSTART EVENT 2020 в Москве.

Выбрать мероприятие

Специальные предложения

Комментарии
Избранное Подписка Сортировка: Древо развёрнутое
Свернуть все
1. MSK_Step 19 16.12.19 13:34 Сейчас в теме
Практически всегда в крупном корпоративном секторе оказывается, что все базы подключаются к СУБД «прозрачной авторизацией» из-под пользователя, под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres). 

это где ж так настраивают, доступ к внешним обработкам + отключение защиты от опасных действий=что в итоге ожидают админы, скорее всего тут вопрос к компетентности руководителя ИТ отдела
п.с. можно поменьше больших картинок вставлять. статья из за этого похожа на рекламный буклет
denium; vadver; user703597_skladavto58; Summer_13; Silenser; TMV; 7OH; user797130; +8 Ответить
6. a.doroshkevich 806 16.12.19 16:58 Сейчас в теме
(1)
скорее всего тут вопрос к компетентности руководителя ИТ отдела


В крупных компаниях подразделения 1С далеко не самые большие внутри ИТ-отделов и у руководителя ИТ не всегда и руки дотянутся, да и таких специфических знаний он иметь не обязан
user703597_skladavto58; +1 Ответить
19. MSK_Step 19 16.12.19 18:12 Сейчас в теме
(6)
таких специфических знаний он иметь не обязан

Если нет знаний, то они должны у того кто ставит сервер 1с и руководитель 1с должен отвечать за безопасность. Если у него нет знаний, то как работы он принимает? Описанный взлом, это как установить пользователю компьютер и дать права администратора компьютера, а потом сказать что сист. администратор не отвечает за безопасность компьютера.
в крупных компаниях должны быть специалисты, так как описанные выше требования для SQL, для учеток сервера стандартные.
22. a.doroshkevich 806 16.12.19 18:21 Сейчас в теме
(19)
Если у него нет знаний, то как работы он принимает?
- верит специалисту. Невозможно руководителю ИТ крупной компании быть специалистом во всех областях его инфраструктуры.


(19)
в крупных компаниях должны быть специалисты
- да, должны.
23. MSK_Step 19 16.12.19 18:27 Сейчас в теме
(22)
- да, должны
это все печально. как установить компьютер и дать полные права на него.
Может после вашей статьи обратят больше внимания на такие простые вещи.
Админ кластера 1с - появился очень давно.
Фаервол на порты - всем известная дыра в безопасности, открытые порты это всегда надо знать для чего
Отдельны пользователь для SQL - это как аксиома.
Спасибо за ссылку на Check-list по настройке рабочих серверов в продукционной зоне
Прикрепленные файлы:
Check-list по настройке рабочих серверов в продукционной зоне.pdf
24. a.doroshkevich 806 16.12.19 18:28 Сейчас в теме
(23)
Может после вашей статьи обратят больше внимания на такие простые вещи.

Именно это и было целью доклада.
34. Summer_13 17.12.19 20:09 Сейчас в теме
(1) Я тоже в шоке . За три года работы с разными крупняками нигде не видел ,чтобы была дана возможность работы с внешними обработками.
Это нонсенс.
2. capitan 1621 16.12.19 13:42 Сейчас в теме
Вспоминается...
... а мой друг сервер уронил...
он, что, такой крутой хакер? нет, он %уд@к, он его на пол уронил....



Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres)

откуда интересно это означает
Вообще то стандартная рекомендация - владелец БД не более.
И все, все вот это вот хацкерство идет лесом, потому как если у пользователя в базе 1С есть права администратора, то база скуля ему не сдалась.

Белый хакер только кажется дорогим. Черный хакер может привести просто к катастрофическим финансовым последствиям вашей системы. Поэтому об этом надо думать заранее – платить белым хакерам, чтобы черные хакеры ничего не получили.

Все дело в том, что по умолчанию и в 99.99% случаев хакеры находятся за периметром компании.
Расчет на то, что они находятся внутри с учетной записью в 1С позволяющей открывать внешние обработки может только сильно параноидальная СБ принимать.
Если человек обладает такими знаниями в ИТ, то маловероятно, что он будет просиживать штаны в менеджерах по продажам.
И еще маловероятнее, что он при этом не представляет ответственности за такие действия.
А в мало-средних компаниях обычно хакер может просто сервер взять и унести домой целиком.
anchar007; Dmitri93; Kalam; ZOMI; VladimirMelnychenko; dodlez77; narutouzumaki_13; +7 1 Ответить
4. support 4475 16.12.19 15:11 Сейчас в теме
(2) Скорее всего имеются в виду компании с распределенной сетью филиалов и множеством менеджеров работающих в 1С.
a.doroshkevich; user1328452; +2 Ответить
5. a.doroshkevich 806 16.12.19 16:52 Сейчас в теме
(2)
Вообще то стандартная рекомендация - владелец БД не более.


Да, только мой опыт говорит о том что её не соблюдают.
Если всё сделать по ИТС, и ещё и профили безопасности настроить, то кончено всё будет хорошо.


(2)
Все дело в том, что по умолчанию и в 99.99% случаев хакеры находятся за периметром компании.

Именно поэтому я и считаю что компаниям стоит задуматься о том чтобы проверять свою систему пока не нашлись эти самые за периметром.
7. capitan 1621 16.12.19 17:05 Сейчас в теме
(5)Данный метод "взлома" опирается на доступ к запуску внешних обработок, что в подавляющем большинстве случаев отключено во всех ролях, даже администраторских.
Что касается менеджеров - максимальное, что их интересует в 1С - это слить клиентскую базу, чужую или свою перед увольнением.
Потому, что с тех времен как люди изобрели деньги, деньги же в основном их и интересуют.
Можно конечно еще отметить желание прославиться, но оно тут меркнет по сравнению с возможностью отгрести от сисадмина.
Впрочем, если вы мне приведете реальные случаи подобных взломов я буду благодарен и пересмотрю свое мнение.
(4)
10. a.doroshkevich 806 16.12.19 17:27 Сейчас в теме
(7)
Можно и без запуска внешних подцепить свою базу в кластер или свой кластер создать, не все способы там на внешних изначально заточены.

Вам наверное повезло, раз встречались только с такими правильно настроенными доступами в 1С)

Реальные случаи разглашать не имею права.
12. capitan 1621 16.12.19 17:33 Сейчас в теме
(10)Я сам настраиваю 1С там где вижу)
А про взломы ее писал статью в свое время для журнала Хакер, векторы нападения совсем другие.
Разглашать их тоже не буду.
21. MSK_Step 19 16.12.19 18:21 Сейчас в теме
(12)
А про взломы ее писал статью в свое время для журнала Хакер, векторы нападения совсем другие.
Разглашать их тоже не буду.

Почему вы не можете описать про какие механизмы есть, слабые места системы 1с под правами пользователя, какие ошибки допускают администраторы. Это стандартная статья на habr про какое нибудь ПО, чем 1С так отличается, что никто не имеет права ничего говорить.
Можете привести примеры, кроме случаев - запуска внешних обработок, доступа к кластеру 1с(когда ошибка что нет администратора), пустые пароли под пользователем админ? На Хакер статья это уже прошлый век, можно сказать что она бесполезная и к 8.3.12 не относится.
13. capitan 1621 16.12.19 17:38 Сейчас в теме
(5)
то кончено всё будет хорошо

Оговорочка по Фрейду )))
Не хочу ставить под сомнение ваш опыт, но есть неувязочки.
Такая продвинутая СБ которая запрещает передачу паролей в сети (то есть считает что между СУБД и сервером 1С может быть сниффер!) и такой туговатый сисадмин который 1С устанавливает.
14. a.doroshkevich 806 16.12.19 17:43 Сейчас в теме
(13)
Такая продвинутая СБ которая запрещает передачу паролей в сети (то есть считает что между СУБД и сервером 1С может быть сниффер!) и такой туговатый сисадмин который 1С устанавливает.


Но мой опыт говорит именно о такой ситуации, видимо потому-что СБ ориентируется на шаблоны общей сетевой безопасности, а специфику 1С не знают.
1С в целом то недавно стала тем софтом на который в принципе в КОРПе обратили хоть какое-то внимание.
15. capitan 1621 16.12.19 17:46 Сейчас в теме
(14)И кто вообще сказал, что
Но что же делать, когда с одной стороны безопасники требуют не передавать по сети пароли от сервера 1С в СУБД (это в файле они лежат шифрованные, а в базу данных полетят в открытом виде)

Про такую настройку шифрование при настройке соединения тоже никто из действующих лиц не слышал ?
20. a.doroshkevich 806 16.12.19 18:16 Сейчас в теме
(15)Ну почему же, конечно можно использовать SSL - тут я упустил этот нюанс в докладе... Но за 30 минут редко можно сказать всё всё всё по теме.

И ещё один момент, многие СБ свято верят что учётку AD не взломать, а остальное это компромисс.
Например, очень сложно доказать СБ что использование мобильного приложения с соединением по SSL по факту так же безопасно как и использование его только через VPN.
35. demon_infernal 32 18.12.19 08:03 Сейчас в теме
Эти пользователи должны быть подконтрольными. Помимо двухфакторной авторизации они в обязательном порядке должны иметь только прозрачную авторизацию в 1С. Никакой авторизации с помощью платформы – уберите галку «Аутентификация 1С:Предприятия». При авторизации с помощью 1С логины и пароли передаются в открытом виде.

А параметр -seclev 1 при запуске ragent не решает эту проблему?
40. a.doroshkevich 806 19.12.19 12:07 Сейчас в теме
(35) По моему - нет.
Использование уровня безопасности "постоянно" ( -seclev 1) позволяет полностью защитить весь поток данных (как пароли, так и непосредственно данные) между клиентом и кластером серверов.
Т.е. эта настройка не относится к общению сервера 1С с сервером СУБД.


Поправлюсь, контекст не правильно прочитал! (удалять предыдущий ответ не буду, чтоб честно было)
Да, эта настройка решит проблему, но при этом может сильно пострадать быстродействие системы.
https://its.1c.ru/db/v8316doc#bookmark:cs:TI000000062
18. a.doroshkevich 806 16.12.19 18:06 Сейчас в теме
(13)
Оговорочка по Фрейду )))

да уж))))
3. 3vs 16.12.19 15:10 Сейчас в теме
А если "белому" хакеру не заплатить, может он превратиться в "чёрного"?
8. morohon 16.12.19 17:19 Сейчас в теме
Антон, добрый вечер - спасибо за статью.

Подскажите пожалуйста такой момент по доступу на сервер СУБД PostgreSQL.
В документации на платформу: https://its.1c.ru/db/v8316doc#bookmark:adm:TI000000100
Сказано:
Пользователь базы данных: имя пользователя сервера баз данных, от лица которого будет осуществляться доступ к базе данных. Указанный пользователь должен обладать привилегиями SUPERUSER.


Вы же пишете, что достаточно прав администратора на конкретную базу. Где-то в интернете читал, что люди дают права SUPERUSER на момент создания базы, а потом отбирают и все работает достаточно цивильно. Не очень одобряю данные подходы.

У меня собственно какой к Вам вопрос: на ваших проектах по внедрению PostgreSQL какие права выданы пользователю от которого идет подключение к PostgreSQL? Может быть что-то уточняли у поддержки фирмы 1С по этому поводу.
16. a.doroshkevich 806 16.12.19 17:59 Сейчас в теме
(8)К сожалению, чтобы создать БД обязательно нужна роль Superuser
После этого уже переключаем привилегии на роль с grant usage и grant, create, select, update
Способ неудобный, но другого пока не нашёл (правда последние выпуски PG 11,12 не тестил на эту тему)
17. a.doroshkevich 806 16.12.19 18:05 Сейчас в теме
(8)Немного дополню ответ:
Либо тонко настраиваем права https://postgrespro.ru/docs/postgresql/11/sql-grant либо GRANT ALL PRIVILEGES ON Base1C TO User1C;
Либо используем другой (не очень правильный вариант) - создаём несколько суперюзеров и в pg_hba.conf ограничиваем их в подключении только к определённой базе с определённого IP.
Но опять же - это не совсем верный вариант, верный - именно настроить гранты
9. check2 122 16.12.19 17:26 Сейчас в теме
Простите, конечно же за прямолинейность. После фразы
1С, а он там – системный администратор)
дальше читать не стал. Только идиоты запускают сервис 1с с правами админа.
11. a.doroshkevich 806 16.12.19 17:31 Сейчас в теме
(9)Вы путаете системного администратора в операционной системе и в СУБД, так что наверное почитайте дальше всё таки
25. check2 122 16.12.19 21:50 Сейчас в теме
(11) Я ничего не путаю, читайте, что пишите, внимательнее. (см. вложение)
Прикрепленные файлы:
26. a.doroshkevich 806 17.12.19 03:58 Сейчас в теме
(25)Там - имеется ввиду на СУБД. Контекст именно про это.
27. aximo 1638 17.12.19 07:20 Сейчас в теме
Как не смешно звучит после фразы "все привыкли, что программа 1С – это удобно, красиво, комфортно" - я не стал читать.

Прежде всего 1с - это безальтернативно (в рамках бухгалтерского учета).
YanTsys; milov.aleksey; 7OH; check2; +4 2 Ответить
39. mikl79 109 19.12.19 11:44 Сейчас в теме
(27), зачем вы здесь, это форум для 1с-ников
FreeArcher; lohmatik; a.doroshkevich; +3 Ответить
28. 7OH 32 17.12.19 10:28 Сейчас в теме
Сколько работаю, но первых двух пунктов нигде не встречал.
Видимо Вам оооочень повезло.
На последних 6 предприятиях всегда был запрет на внешние (есть же доп отчеты и обработки) и всегда отдельные пользователи.
Реально первый раз читаю, про прозрачную авторизацию )).
Но в целом почитать было интересно.
29. AlX0id 17.12.19 11:24 Сейчас в теме
Что делать? Вам придется под каждую базу данных создать отдельную службу сервера 1С, для которой создать уникального пользователя и уже его прописать на сервере баз данных.

Так проще уж еще дальше пойти - выделить под каждую базу отдельный физический сервер, чо мелочиться-то. А то эти службы - "ни в глаз дать, ни отпеть".
30. TMV 14 17.12.19 11:24 Сейчас в теме
Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres).

В 100% случаев это не так. Учетка 1с создается при установке платформы и изначально не имеет прав администратора. Если вы видите их у нее, значит ей их назначил ваш сотрудник.
Собственно дальше можно не читать.
31. a.doroshkevich 806 17.12.19 12:00 Сейчас в теме
(30)Не путайте системного администратора ОС и СУБД.

Прям в цитате в Вашем же посте написано: является на серверах баз данных системным администратором (либо суперпользователем, если это Postgres).
32. Silenser 519 17.12.19 13:38 Сейчас в теме
Для компаний, в которых не умеют создавать на сервере СУБД отдельного пользователя dbo под базы 1С можно вообще обойтись без получения файла, т.к. имена баз обычно совпадают с их названиями на сервере 1С :)
33. a.doroshkevich 806 17.12.19 14:03 Сейчас в теме
(32)Дело не в умении, а в понимании необходимости. Но в целом, да!)
36. sergvagner2018 18.12.19 13:07 Сейчас в теме
(0) статья огонь. Но как обычно никто настройки менять не будет :)))))
a.doroshkevich; +1 Ответить
37. Kalam 105 19.12.19 11:02 Сейчас в теме
(0) Если в кратце - "высасоно из пальца".
Зачем человеку, который уже внутри компании, весь этот геморрой?
Скачать и продать базу? Ха 3 раза. Эта база никому не уперлась.


"Хотите кастомизировать свою систему – делайте это красиво и надежно. Хватит «фигачить гаражный тюнинг», навешивать на систему обвесы в виде внешних обработок, иначе у десятков ваших пользователей на рабочих столах будут храниться сотни версий одной и той же обработки"

Для этого давно есть место в базе "дополнительные отчеты и обработки"


под которым запущен сам сервер 1С – в 99% случаев мы видим, что для конкретной базы у нас логин сервера СУБД в этом файле пустой. Как ни парадоксально, такое происходит именно по требованиям службы безопасности. Это означает, что учетка, из-под которой запущен сервер 1С, является на серверах баз данных системным администратором

Ну это вообще за гранью.
Тут даже если обезьяна по ИТС настроит, то все будет нормально с безопасностью.
А если везде оставлять sa и локальных админов с пустыми паролями, то как говорится "флаг в руки и барабан на шею"

Если вас ломают целенаправленно, то дырка и так найдется.
Если закрутить гайки "по самый не балуйся", то работать в принципе станет сложно и поддержка этого вырастит в разы.
41. a.doroshkevich 806 19.12.19 13:02 Сейчас в теме
(37)
Скачать и продать базу? Ха 3 раза. Эта база никому не уперлась.

Упёрлась, данные бывают разные и в том числе крайне чувствительные для разглашения как внутри компании так и за её пределами.

(37)
Для этого давно есть место в базе "дополнительные отчеты и обработки"

Да, что и было отмечено, осталось начать использовать тем кто не использует.


(37)
А если везде оставлять sa и локальных админов с пустыми паролями

Видимо смутила фраза "что для конкретной базы у нас логин сервера СУБД в этом файле пустой", только это не означает что пароль к sa и учёткам локальных админов пустые.

(37)
Если закрутить гайки "по самый не балуйся", то работать в принципе станет сложно и поддержка этого вырастит в разы.

Согласен! Как раз задача баланса безопасности и удобства является очень сложной и интересной, по моему мнению.
А стоимость - это уже оценочная вещь, смотря сколько стоит ущерб от утечки данных или от их несанкционированного изменения.
38. Terve!R 19.12.19 11:29 Сейчас в теме
внешние обработки, к сожалению, должны умереть. Как бы это ни было удобно.

Запрет на запуск внешних обработок? Без этого права доп обработки не запускаются, а тащить переписывать десятки обработок в конфигурацию - это нормально? Может вообще никому не работать, ничего не запускать?

Вам придется под каждую базу данных создать отдельную службу сервера 1С

Запустить предлагаете отдельный сервер приложений для каждой базы? Может еще отдельный физический сервер еще для каждой базы поставить?

Системный администратор, администратор баз данных, администратор 1С и разработчик 1С должны быть не только разными ролями, но и обязательно разными людьми.

Нанять 4 человека с разными правами, чтобы сидели в потолок плевали? Отдельная должность на создание БД? Это, простите, для каких компаний?

Причем Инфостарт за три месяца до этого вас предупреждал – писал пугающую статью, что через три месяца включат ограничение, и не будет дороги назад.

Предупреждал, что что-то там в политике 1С изменится, но что конкретно делать, когда сервер 1С вдруг перестал работать, никто не сообщал. Вылетела табличка - сам дурак, купи КОРП - вот все ваши предупреждения, только повод почесать ЧСВ, что вы умные, а все другие дураки не поняли предупреждений.

И не путайте это с майнингом и криптовалютами. Никакого отношения одно к другому практически не имеет. Криптовалюты – это паразиты на теле блокчейна. Не надо их туда наворачивать. Блокчейн для другого был создан.

Как раз таки блокчейн был создан специально для биткоина, и впервые был именно там реализован, а потом технология стала жить своей жизнью в других задачах.
Опять же, для кого это, для каких компаний? Сервер 1С еще будет хэш-суммы рассчитывать? А И раз шифрование у вас такое серьезное, и распределенная блокчейн-база, то что стоит все это поддерживать? Где примеры доступной понятной реализации всего этого применительно к 1С?

Такое ощущение сложилось, что смысл всей статьи "Наймите стороннего меня параноика в Газпром для обеспечения безопасности, я вам за много много миллионов на блокчейне такого накручу, ууу!"
Dimkasan; sasha777666; mikl79; +3 Ответить
42. Vintik-vint 20.12.19 09:01 Сейчас в теме
Хорошо написано, красиво. И хорошо если это у вас есть кому всё делать.
a.doroshkevich; +1 Ответить
43. krund 26.12.19 11:58 Сейчас в теме
Антону респект за статью!
Согласен с автором, вопрос безопасности данных все более актуален в наше время. На мой взгляд такие статьи могут стать хорошим дополнением к общей безопасности в первую очередь в крупных компаниях.
a.doroshkevich; +1 Ответить
44. Cyberhawk 118 15.01.20 16:10 Сейчас в теме
Kerberos билет, для которого реальных способов взлома нет при настроенной политике блокировки паролей. Может быть, математические есть, но реальных нет
Керберос ломается: в сети есть описания способов атаки и эксплоиты
45. kpdozer 19.02.20 23:13 Сейчас в теме
Из статьи
1CV8Clst.lst. В этом файле содержится список всех баз 1С на кластере, список всех серверов БД, к которым подключены базы на этом кластере, логины к серверам БД – все в открытом виде. И зашифрованные пароли к серверам баз данных. Вот по паролям не известны ни алгоритмы, ни соль, с помощью которой все это шифруется. И я надеюсь, что алгоритм шифрования паролей к базам данных – это один из главных секретов разработки платформы в фирме «1С».


Если где либо храниться зашифрованный пароль, который потом используется для авторизации в другом приложении, то может быть дешифрован без больших вычислительных мощностей. Почти все сохраненные пароли в винде и других программах шифруются с помощью пароля учетной записи винды. К таким программам относятся все популярные браузеры, например. Именно поэтому украв компьютер и не зная пароля на вход не получится их расшифровать.

С 1С и сохраненными паролями SQL все точно так же. Никто ничего нового не придумал. Вопрос где сервер 1с берет ключ для расшифровки и по какому алгоритму дешифрует. Все остальное это так называемая "обфускация" (тупо запутывание исходного кода, для тех кто не умеет распутывать), которая по барабану любому грамотному крякеру.

Я считаю, что никто с достаточными знаниями просто не заморачивался по поводу 1c сервера.

На данные момент я не встречал программы, которая при установке галочки "сохранить пароль", не давала бы его дешифровать с помощью специальных утилит. Я использую целый арсенал, который позволяет просматривать сохраненные пароли от Wifi, Браузеров, Почтовых программ, SQL Management studio (сохраненный пароль пользователя sa, например), Пароль пользователя USR1CV8, от которого запускается служба 1с сервера (пароль сохраняется в настройках службы),и даже пароли сохраненные в файлах конфигов роутеров, где ключом шифрования часто является MAC-адрес.

Поэтому написанное выше, (особенно про "соль") не верно. Все эти термины применимы при хранении ХЕШЕЙ на СЕРВЕРЕ, когда сервер хранит их лишь для того чтобы "пустить" или "не пустить". А при хранении паролей на КЛИЕНТЕ, когда нужно отправить пароль в открытом виде для авторизации, всегда есть ключ дешифровки, который КЛИЕНТ должно знать, чтобы расшифровать хранящийся пароль. И сколько бы запутанным не был алгоритм получения этого ключа он работает открыто, т.е. отладчиком видно, что и где он берет, и что с этим делает. Достаточно изъять, с помощью дизассемблера, ту часть кода, которая дешифрует пароль перед отправкой в SQL сервер и просмотрщик паролей готов. Очень похожим способом создаются кейгены.

Просто время 1с сервера еще не пришло и за него не взялись как следует. Хотя нет... один раз взялись создав "Декомпилятор 1С".
Оставьте свое сообщение

См. также

Права доступа в 1С:Документооборот 2.1 Промо

Информационная безопасность Документооборот и делопроизводство Документооборот и делопроизводство v8 ДО Бесплатно (free)

В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.

16.09.2016    68692    0    vlush78    0    

Выявляем и оптимизируем ресурсоемкие запросы 1С:Предприятия

Производительность и оптимизация (HighLoad) Администрирование СУБД Технологический журнал Структура метаданных v8::Запросы Бесплатно (free)

Обычно предметом оптимизации являются заранее определенные ключевые операции, т.е. действия, время выполнения которых значимо для пользователей. Причиной недостаточно быстрого выполнения ключевых операций может быть неоптимальный код, неоптимальные запросы либо же проблемы параллельности. Если выясняется, что основная доля времени выполнения ключевой операции приходится на запросы, то осуществляется оптимизация этих запросов. При высоких нагрузках на сервер СУБД в оптимизации нуждаются и те запросы, которые потребляют наибольшие ресурсы. Такие запросы не обязательно связаны с ключевыми операциями и заранее неизвестны. Но их также легко выявить и определить контекст их выполнения, чтобы оптимизировать стандартными методами.

24.05.2020    3671    0    DataReducer    19    

Секционирование в PostgreSQL 12

Администрирование СУБД Бесплатно (free)

Протестируем новый функционал секционирования в PG12.

20.05.2020    1643    0    D_astana    46    

Настоящий краудфандинг. Даешь сравнение двух СУБД!

Администрирование СУБД v8 Бесплатно (free)

Первый вариант сравнения двух СУБД. Каждый может внести правку и получить SM. Приветствуются конструктивные комментарии, начинающиеся словами "Автор ничего не понимает".

11.05.2020    1718    0    Mari_Kuznetzova    20    

Доработки RLS. Примеры шаблонов. (в т.ч исключения из ограничений) Промо

Информационная безопасность v8 Бесплатно (free)

Допиливаем шаблоны RLS. Даем доступ пользователям к некоторым объектам

19.06.2013    60567    0    EvilDoc    38    

DBCC CHECKDB оповещение о повреждении баз данных SQL

Администрирование СУБД Россия Бесплатно (free)

Проверка целостности баз данных SQL при помощи DBCC CHECKDB и рассылка оповещений на почту.

09.05.2020    1492    0    P_enemy    2    

Тестируем быстро. Запуск сеанса под другим пользователем за 6 секунд!

Роли и права Пароли v8 v8::Права 1cv8.cf Бесплатно (free)

Как часто вам приходится запускать отладку под другим пользователем? Сколько времени у вас занимает запуск "чужого" сеанса? Убрать (если имеется) у себя аутентификацию ОС, сбросить пароль пользователя и восстановить его потом и т.д. Есть простой и действенный код, который поможет запускать сеансы под другим пользователем без ручной смены параметров аутентификации.

06.05.2020    2606    0    feva    14    

Эти занимательные временные таблицы

Производительность и оптимизация (HighLoad) Администрирование СУБД v8 Бесплатно (free)

Кое-что интересное о временных таблицах и работе платформы 1С с ними.

06.04.2020    8631    0    YPermitin    0    

Обработка универсального обмена XML и информационная безопасность типовых решений. Промо

Информационная безопасность Бесплатно (free)

Обработка универсального обмена XML - дыра в информационной безопасности типовых? Статья к обсуждению.

15.04.2013    21112    0    Stim213    39    

Как работает 1С размером 13 ТБ в условиях непрерывной разработки

Перенос данных из 1C8 в 1C8 Администрирование СУБД Бесплатно (free)

Обеспечение быстрого непрерывного обмена данными между высоконагруженными системами 1С, покрывающими всю территорию России, требует ответственного подхода к архитектуре и инструментам, используемым для обмена. Как правильно построить такую инфраструктуру и научиться ее оперативно мониторить, в своем докладе на конференции Infostart Event 2019 Inception рассказал разработчик компании «ДНС Ритейл» Максим Старков.

27.03.2020    9313    0    max_st    52    

1С + Apache + SSL: Перевод опубликованной базы на защищенное соединение https с сертификатом от Let's encrypt windows

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Есть куча инструкции про связку с ISS, решил добавить свои 5 копеек, как я это настраивал на Apache на Windows.

02.03.2020    2285    0    rst_filippov    5    

Ошибка при обновлении: Записи регистра сведений стали неуникальными: Двоичные данные файлов

Администрирование СУБД v8 Бесплатно (free)

Способ обойти ошибку обновления Записи регистра сведений стали неуникальными: ДвоичныеДанныеФайлов.

26.02.2020    2547    0    dubovenko_m    9    

Контроль места на дисках

Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Один из последних случаев на работе. Диск, на котором хранились файлы базы, "развалился", база потеряна. Начали искать копию базы. Копии базы делались на другой диск, но оказалось, что на том диске нет места и копии не делались несколько дней. Так было потеряно несколько дней работы фирмы, кому-то выговор, кого-то уволили((.

20.02.2020    2687    0    wowik    20    

Нюансы лицензирования 1С

Администрирование СУБД v8 1cv8.cf Россия Бесплатно (free)

Эта памятка написана изначально самому себе, но будет полезна другим, т.к. в вопросах лицензирования 1С есть тонкие нюансы, которые нужно знать как покупателям, так и продавцам 1С.

19.02.2020    7555    0    fixin    112    

Сказ о том, как online_analyze INSERT "удлинял"

Статистика базы данных Администрирование СУБД Бесплатно (free)

Немного о тонкостях работы модуля online_analyze для PostgreSQL. Опус для тех, у кого, как и у меня, не всегда хватает времени на то, чтобы разобраться, как это работает, и поэтому бывает так, что следуешь рекомендациям из сети и пользуешься методом "копипаста", пока не прижмет.

10.02.2020    1719    0    Sloth    0    

Настройка SoftEther VPN Client на Linux Debian/Ubuntu/Mint (связка Linux-Windows)

Администрирование СУБД Windows Linux Россия Бесплатно (free)

На сервере установлен и настроен VPN через программное обеспечение SoftEter VPN Server, настроены клиенты с доступом по сертификату, встала задача настроить доступ клиента из Linux и подключиться по RDP (VNC) в Windows к серверу VPN.

04.02.2020    2228    0    ClickUp    1    

Как мы научились автоматически отслеживать ошибки в 1С

Администрирование СУБД v8 1cv8.cf Россия Бесплатно (free)

Друзья, сегодня я хочу рассказать вам об одной интересной технологии, которая точно поможет повысить качество ваших систем на базе 1С, да и не только 1С.

04.02.2020    11581    0    slozhenikin_com    27    

Автономный сервер. Часть 2 - утилита управления

Администрирование СУБД v8 Бесплатно (free)

Утилита управления "Автономным сервером" может не только управлять. Какие возможности можно использовать уже сегодня? Разбираем с примерами и ищем отличия от привычных методов.

21.12.2019    8009    0    -vito-    26    

Автономный сервер. Часть 1 - новый вариант сервера

Администрирование СУБД v8 Бесплатно (free)

В Платформе версии 8.3.14 появился новый вариант серверной архитектуры - "Автономный сервер" (бета-версия). Выясняем, что это такое, какова сфера его применения, что он позволяет уже сейчас, чего можно ожидать.

21.12.2019    10099    0    -vito-    19    

Самые распространенные заблуждения об индексах в мире 1С

Администрирование данных 1С Администрирование СУБД Бесплатно (free)

"Магия" индексов привела к множеству заблуждений об их работе. Попробуем развеять некоторые из них в контексте 1С.

28.11.2019    16179    0    YPermitin    44    

Права пользователя исключительно на просмотр (чтение) для УТ 11.4

Роли и права v8 v8::Права УТ11 Россия Бесплатно (free)

Простая и понятная инструкция по шагам для создания профиля группы доступа «Только чтение» для УТ 11.4. Выполняется в режиме пользователя, без использования конфигуратора и снятия базы с поддержки.

21.11.2019    4664    0    Aleksandr55555    4    

Набор скриптов для знакомства с PostgreSQL

Администрирование СУБД Бесплатно (free)

Немного скриптов для PostgreSQL, позволяющих познакомиться с состоянием сервера.

04.11.2019    11765    0    YPermitin    17    

Сюрприз fsync() PostgreSQL

Администрирование СУБД Бесплатно (free)

Предлагаю вашему вниманию продолжение перевода статьи Jonathan Corbet "PostgreSQL's fsync() surprise". Оригинал доступен по ссылке https://lwn.net/Articles/752063/

24.10.2019    2797    0    w.r.    0    

Обслуживание баз данных. Не так просто, как кажется

Производительность и оптимизация (HighLoad) Администрирование СУБД v8 1cv8.cf Бесплатно (free)

Считаете, что обслуживание индексов и статистик дело простое? Что ж, это не всегда так.

14.10.2019    15127    0    YPermitin    28    

Типичные ошибки при разработке прав доступа

Роли и права v8 v8::Права Бесплатно (free)

Рассмотрим самые распространенные ошибки в разработке прав доступа.

02.10.2019    16338    0    YPermitin    57    

Набор скриптов для знакомства с SQL Server

Производительность и оптимизация (HighLoad) Администрирование СУБД Бесплатно (free)

Поговорим о скриптах, которые помогут быстро ознакомиться с состоянием SQL Server, в том числе с вопросами производительности.

30.09.2019    19488    0    YPermitin    14    

Проверка наличия роли у пользователя

Роли и права v8 v8::Права 1cv8.cf Бесплатно (free)

Допустим, мы добавили новую роль в конфигурацию. Потом добавили её в профиль группы доступа и назначили соответствующую группу доступа пользователю. Однако, в конфигурациях на основе БСП все известные программные проверки данной роли при включении пользователя в предопределенную группу доступа "Администраторы" не работают. В статье приведено решение данной задачи.

29.06.2019    11795    0    ni_cola    10    

Назад в прошлое! Небольшие заметки по администрированию пользователей в УПП

Роли и права v8 УПП1 Бесплатно (free)

Небольшие заметки по функционалу "Администрирование пользователей" конфигурации "Управление производственным предприятием" версии 1.3. Затрагиваются такие темы как: роли, профили доступа, дополнительные права, настройки пользователей и ограничения доступа на уровне записей (RLS).

06.06.2019    11797    0    YPermitin    18    

Подсистема БСП «Управление доступом», основные объекты и регистры

БСП (Библиотека стандартных подсистем) Роли и права v8 v8::УФ v8::Права 1cv8.cf Бесплатно (free)

Основные принципы работы подсистемы «Управление доступом» из состава БСП. Виды доступа, ограничение доступа на уровне записей. Описание основных объектов и регистров, используемых подсистемой.

23.05.2019    18036    0    ids79    8    

Возможности типовых шаблонов ограничения доступа на уровне записей (RLS)

Практика программирования БСП (Библиотека стандартных подсистем) Роли и права v8 v8::Права Бесплатно (free)

Краткий обзор применения типовых шаблонов ограничения доступа на уровне записей в конфигурациях, созданных на базе БСП: #ПоЗначениям, #ПоНаборамЗначений, #ПоЗначениямРасширенный, #ПоЗначениямИНаборамРасширенный

03.02.2019    31159    0    ids79    9    

Влияние настройки роли на потребление памяти

Роли и права v8::Права 1cv8.cf Бесплатно (free)

На днях разбирался с проблемой с потреблением памяти процессами конфигуратора и rphost. Как оказалось - причина в настройках ролей. Один поворот не туда, и настройки роли приводят к чрезмерному потреблению оперативки.

29.01.2019    12513    0    mickey.1cx    14    

Использование утилиты ring для выяснения данных о программных лицензиях

Информационная безопасность v8 Бесплатно (free)

Использование утилиты ring для управления программными лицензиями без ее установки на компьютер пользователя.

22.12.2018    9809    0    Vovan58    20    

1С Батл: PostgreSQL 9,10 vs MS SQL 2016

Администрирование СУБД Бесплатно (free)

PostgreSQL не так давно появился на российском рынке, поэтому у многих специалистов появляются сомнения, насколько удобно с ним работать, учитывая специфику 1С. Антон Дорошкевич, руководитель IT-отдела и направления оптимизации 1С компании «ИнфоСофт» (г. Новосибирск), рассказал о своем опыте применения этой СУБД. Тема его доклада звучала провокационно: «1С-батл между MS SQL 2016 и PostgreSQL версии 9 и версии 10».

18.12.2018    46089    0    a.doroshkevich    153    

Postgres Pro для 1С: что нового

Администрирование СУБД Бесплатно (free)

Postgres становится все популярнее, но специалисты 1С все равно немного побаиваются этой системы управления базами данных. Почему стоит решиться и попробовать эту СУБД – на конференции INFOSTART EVENT 2018 рассказал сооснователь и генеральный директор компании Postgres Professional Олег Бартунов.

10.12.2018    25352    0    user1068014    106    

Кластер серверов 1С

Администрирование СУБД v8 Бесплатно (free)

Какой уровень отказоустойчивости при проектировании серверов 1С выбрать? В чем отличия центрального и рабочего сервера? Как правильно настроить требования назначения функциональности? На что влияют настройки кластера и сервера 1С и как в них не запутаться? Антон Дорошкевич дает на эти и многие другие вопросы подробные ответы.

24.09.2018    40233    0    a.doroshkevich    67    

Роли в проектном управлении. Курс по управлению проектами, часть 3

Роли и права Бесплатно (free)

В проектном управлении выделяют несколько ключевых ролей: спонсор, заказчик и пользователи, команда, менеджер проекта, другие участники. Важно разобраться и не путаться в понятиях.

03.09.2018    10737    0    Selikhovkin    10    

Инструментарий Linux администратора 1С

Администрирование СУБД Бесплатно (free)

Меня зовут Евгений Бессонов. Сегодня я собираюсь вам рассказать про инструментарий Linux администратора 1С. Сразу хочу сделать небольшую ремарку относительно моих знаний в этой области: я не могу отнести себя к разряду «линукс-гиков» – ядро по ночам не пересобираю и патчи не накладываю. Но, тем не менее, у меня накопились кое-какие наработки, которыми я с вами сейчас хочу поделиться.

31.05.2018    22850    0    _evgen_b    41    

Доработка RLS для УНФ

Информационная безопасность v8::Права 1cv8.cf Бесплатно (free)

Инструкция для тех, кто столкнулся с RLS на управляемых формах впервые и не знает, с чего начать.

14.05.2018    14680    0    FesenkoA    7    

Решение проблемы автоматического утверждения расчета кадровиком документов. Разграничение прав кадровиков и расчетчиков. ЗУП 3.1

Информационная безопасность Зарплата Управление персоналом (HRM) Зарплата Управление персоналом (HRM) v8 v8::СПР v8::Права ЗУП3.x БУ Бесплатно (free)

Статья посвящена тем, кто столкнулся с проблемой автоматической установки "Расчет утвердил". Также рассматривается решение проблемы с отображением ФОТ и оклада у кадровика. Добавление роли ЧтениеДанныхДляНачисленияЗарплатыРасширенная кадровику без последствий для расчетчика.

04.04.2018    21420    0    leaderonex    23    

Что делают два вируса, встретившись в тёмном уголке виртуальной памяти?

Информационная безопасность Бесплатно (free)

Вирусы, кто же с ними не знаком... Классификация и методы борьбы со зловредами. Небольшой экскурс в историю моего знакомства с врагами всего сущего в наших ЭВМ.

21.03.2018    8887    0    user748289    7    

Проверка безопасности установленных паролей

Информационная безопасность v8 Бесплатно (free)

Код выводит не установленные пароли, а так же очень простые (1, 123) пароли пользователей. Список можно пополнять.

08.03.2018    9052    0    nomadon    12    

Информирование об утечке базы 1С

Информационная безопасность v8 1cv8.cf Бесплатно (free)

Когда работаешь в крупном холдинге, количество сотрудников, имеющих доступ к базам 1С неизменно растет. Рано или поздно появится задача по контролю утечки баз 1С. Конечно мы применим все меры по предотвращению утечки баз, но и информирование о случаях утечки тоже не повредит.

03.03.2018    13192    0    dima_home    81    

Отключаем предупреждения безопасности в 1С 8.3.9 и выше вручную

Информационная безопасность v8 v8::УФ v8::Права 1cv8.cf Бесплатно (free)

Как включить/выключить механизм защиты от опасных действий реализованный в новой версии платформы 1С:Предприятие 8.3.9. Одним из нововведений новой версии платформы 1С:Предприятие 8.3.9 стал механизм от опасных действий. После установки новой версии платформы 1С (начиная версии 8.3.9.2033) при попытке открыть внешнюю обработку или расширение программа выдает сообщение..

01.11.2017    38666    0    webresurs    10