В прошлой статье мы начали разбирать лучшие способы по защите 1С Предприятия в клиент-сервере, но так как статья по защите 1С в клиент-сервере получилась длинной, пришлось и ее разбить на две части.
Использование старых логинов
В одной из прошлых статей мы уже говорили о паролях и учетных записях в 1С Предприятии.
Конечно, данная тема также подымается и на курсе: Администратор 1С!
Вот только 1С Предприятие не единственный источник брошенных учетных записей. Куда важнее следить за учетными записями, которые мы создаем в Active Directory или на серверах: (Терминальный, Почтовый, если не используется «AD»).
Часто взломы 1С Предприятия и баз данных СУБД, происходят сотрудниками, которые уже не работают в организации. За этим нужно следить, также стоит разработать регламент по работе при увольнении сотрудника и его приеме на работу. Если конечно этим вопросам вы не уделяли должного внимания раньше. В любом случаи старайтесь время от времени просматривать учетки всех ваших пользователей, удаляйте старые, и отключайте (на время) тех, кто находиться в отпуске.
Защита Сервера 1С (Кластера серверов).
Часто причиной несанкционированного доступа в 1С, является отсутствие учетной записи администратора кластера серверов. Это позволяет злоумышленнику создать на своем «пк» новую информационную базу на том же сервере 1С:Предприятия, который обслуживает рабочую базу.
Фактически если не сделать администратора кластера, то любой пользователей сможет создавать информационные базы. Кроме того, более продвинутый пользователь (Особенно если у Вас 1С Предприятие 8.1) может получить доступ ко всем вашим информационным базам на этом кластере.
Как решить проблему:
Здесь все очень просто, запускаем утилиту: «Администрирование кластера серверов», разворачиваем кластер серверов, находим «Администраторы».
[caption id="attachment_1392" align="aligncenter" width="543" class=" "]
Создаем администратора для кластера серверов в 1С[/caption]
Затем правый клик мышкой и создать Администратора.
Укажем имя и надежный пароль обязательно!
Далее по защите Сервера 1С (Кластера серверов).
Исключаем файловый доступ к серверу 1С.
Это мы уже проделали в прошлой статье с сервером СУБД, здесь все аналогично, на сетевом адаптере убираем птичку возле: «Служба доступа к файлам и принтерам сетей Microsoft»
Также в 1С рекомендуют, создать учетные записи для разных служб сервера 1С, но как по мне это уже лишнее, если конечно есть возможность ограничить доступ к «Серверу 1С».
Защита соединений клиент – сервер 1С.
Здесь речь пойдет о защите 1С Предприятия в сети, где мы по каким-то причинам не можем должным образом обеспечить безопасную передачу данных от клиента к серверу (Кластеру серверов). Это бывает нужно если сеть не защищена должным образом на стороне клиента или сервера.
К примеру, пользователь подключается из дома к серверу 1С (Кластеру серверов).
Или подключение клиента из филиала, где есть риски перехвата трафика, например программой сниффером.
[caption id="attachment_1396" align="alignnone" width="734"]
Защита соединения клиент -сервер в 1С[/caption]
Как организовать такую защиту?
Все довольно просто!
Запускаем утилиту администрирования серверов 1С.
И при создании информационной базы 1С на сервере 1С (Кластере серверов), в строке «Защищенное соединение » Выбираем – «Только соединение».
[caption id="attachment_1397" align="aligncenter" width="630" class=" "]
Создаем ИБ на кластере 1С с защищенным соединением[/caption]
Как видите, нам на выбор кластер предлагает три варианта
- Выключено
- Постоянно
- Только соединение
Расскажу в двух словах об этих параметрах.
Выключено – После установки соединения первый обмен данными выполняется с использованием шифрования по алгоритму RSA. Далее обмен выполняется нешифрованными данными. Фактически самая простая защита соединения.
Постоянно – Использование уровня безопасности «Постоянно» позволяет полностью защитить весь поток данных (пароли, и данные) между клиентом и кластером серверов. При этом весь обмен происходит с использованием алгоритмов шифрования RSA и Triple DES. Следует учитывать, что при этом возможно снижение производительности системы.
Только соединение – здесь шифруются только пароли между клиентом и сервером 1С (кластером серверов). Тем не менее, этого фактически всегда вполне достаточно. Производительность не падает, а злоумышленник не может перехватить пароль и соответственно не может получить доступ к вашей информационной базе.
Этот вариант защиты я собственно и Вам рекомендую использовать.
Как Вы уже, наверное, заметили, одну довольно важную деталь во всей этой защите.
Это ее создание – только в момент создания новой информационной базы на кластере серверов.
Но на самом деле защиту можно изменить на клиенте, просто прописав в ярлыке запуска программы 1С нужный параметр.
Возможные значения:
/SLev0 – незащищенное соединение.
/SLev1 – защищенное соединение только в процессе выполнения аутентификации.
/SLev2 – защищенное соединение в течение всего сеанса.
[caption id="attachment_1399" align="aligncenter" width="389" class=" "]
Параметр запуска 1С с защитой соединения[/caption]
Так, на этом буду завершать этот цикл статей по защите 1С Предприятия от несанкционированного доступа и вирусов в 1С.
Если Вы хотите больше узнать о технической стороне 1С, тогда регистрируйтесь на первый бесплатный модуль курса: Администратор 1С >>>
Неплохая серия статей. Как бы ничего нового – но зато в одном месте.
Новичкам будет полезно знать, я раньше об этом не писал.