Защита 1С Предприятия в клиент-серверном варианте (Часть 4)

В этой статье мы разберем лучшие способы по защите 1С Предприятия от несанкционированного доступа и вирусов в клиент – сервере.

С чего стоит начать?

Начать я рекомендую с проведения небольшого экспресс аудита по безопасности в 1С.

Так Вы узнаете, существуют ли у Вас реальные угрозы и на что следует обратить внимание.        А потом уже будем разбирать способы защиты.
 

Возможная угроза безопасности в 1С

Возможная угроза безопасности в 1С


Если Вы уверенно поставили прочерк напротив вероятной угрозы, тогда я могу Вас только поздравить! Но если какой-то из этих пунктов вызвал у Вас сомнение, тогда читаем ниже, как решить проблему.

Доступ пользователей к административным действиям конфигуратора

Эту тему мы свами уже обсуждали в прошлой статье, сделаю лишь небольшое дополнение.       Как ни странно, но именно эта казалось бы очевидная «Дыра» в безопасности 1С, самая распространённая проблема. Многие администраторы программисты часто создают для себя различные учетные записи в 1С и не все эти созданные «учетки» имеют должный уровень безопасности. Нужно регулярно пересматривать, что твориться у Вас с пользователями в 1С.

19-01-2017 19-11-48

Какие сотрудники, например уже уволены, а их учетные записи до сих пор в 1С. Периодически это все нужно чистить, убирать не нужные. Обязательно поставьте на контроль внесите в регламент, эту работу.

Отсутствие разграничений доступа в режиме 1С:Предприятие”

Здесь уже нужно более глубоко раскопать «роли» которые назначены вашим пользователям в 1С Предприятии. Подробно разобрать следует механизм ограничения доступа к данным на уровне записей и полей, а также стоит обратить внимание на механизмы реализованные кодом конфигурации. Возможно у некоторых пользователей на уровне «Ролей» есть слишком много привилегий, есть доступ к закрытой информации для тех или иных групп пользователей. Например, кладовщикам запретить доступ к отчетам, которые должен видеть только бухгалтер. Или запретить бухгалтерам доступ к конфиденциальной информации отдела продаж. Этот вопрос следует решать вместе с разработчиком, программистом 1С, а также с людьми, которые отвечают за безопасность в организации.

19-01-2017 19-18-03

Здесь все достаточно индивидуально у каждого будет свое «больное место», я лишь в этой статье могу указать направление.

Несанкционированный доступ к данным сервера СУБД MS SQL

Проверьте, возможные угрозы:

1. Подключение к «ИБ» через рута SA.
2. Доступ к файлам, хранящимся на компьютере, на котором запущен MS SQL.
3. Сервер 1С Предприятия и MS SQL работают на одном сервере (хосте).
 

Считается, что безопасность в 1С Предприятии вырастает в разы при переходе на клиент-сервер, и это действительно так, когда исключен прямой доступ пользователей к  базе 1С и файлам СУБД.

Но сервер, на котором работает СУБД, как и сам MS SQL также нуждается в некоторых настройках, чтоб действительно  эта защита была уровнем выше.

1.    Подключение к «ИБ» через рута SA.

 

При подключении к СУБД на сервере  1С обычно указывают учетную запись рута SA.

В основном, потому что так проще,  и не нужно создавать новую запись на MS SQL.

Но это не хорошо, особенно, когда сервер  где работает «Сервер 1С» используется другими пользователями.

Например, на сервере терминалов работает кластер серверов (он же сервер 1С) и пользователи соответственно имеют доступ к этому серверу.

В таком случаи существует риск что пользователь или «вредоносное ПО» может получить полный доступ к СУБД.

Как это исправить?

Фирма 1С дает рекомендацию, полностью удалить учетку «SA».

Как по мне это уж слишком, если к серверу на котором установлена СУБД,  нет доступа извне.

Обычно такие доступы не дают администраторы, поэтому такая защита, немного преувеличена.

Будет достаточно, если Вы создадите просто еще одну учетную запись на «сиквеле».

Например «1cusers».

Для этого запускаем оснастку Management Studio и кликаем «Безопасность» – «Имена входа» и правым кликом создадим новое имя входа.

Новый пользователь на сервере MS SQL для работы в 1С

Новый пользователь на сервере MS SQL для работы в 1С

Ставим птичку возле «Проверка подлинности SQL server».

Убираем птички: «Задать срок окончания действия пароля» и «Пользователь должен сменить пароль при следующем входе».

И зададим пароль для нашей новой учетки. (Верхний и нижний регистр букв в сочетании с цифрами, минимум 7 символов). Пароли делаем надежные.

Далее идем на вкладку “Роли сервера” и ставим птички возле следующих разрешений:

  • dbcreator
  • processadmin
  • public

Сохраняем и перезапускаем сервер.

Роли для пользователя на MS SQL для 1С Предприятия

Роли для пользователя на MS SQL для 1С Предприятия

Теперь при подключении к информационной базе на кластере серверов используем только эту учетную запись.

Далее нужно изменить владельца базы (Смотрим скрин ниже).

03-02-2017 15-31-27

Еще по учетным записям.

Если к вашему серверу СУБД есть доступ извне лучше будет отключить учетную запись SA, созданную по умолчанию.

Это можно быстрее всего сделать, выполнив команду на сиквеле: ALTER LOGIN sa DISABLE.

2.    Имеется доступ к файлам, хранящимся на компьютере, на котором запущен MS SQL.

 

А вот это плохо когда есть файловый доступ к вашему серверу, на котором крутиться сервер СУБД.

В таком случаи ваш сервер подвержен не только возможным угрозам от пользователей, но и вирусам которые могут попасть на пользовательские ПК, а далее соответственно на сервер СУБД.

Как это исправить?

Для начала откроем «Пуск – «Панель управления» – «Администрирование» – «Локальная политика безопасности».

19-01-2017 19-40-17

Далее находим «Локальные политики» – «Назначение прав пользователя» и находим политику «Доступ к компьютеру из сети».

19-01-2017 19-42-19

Уберем из списка всех кроме  «Администраторы» и учетной записи служб кластера серверов 1С:Предприятие 8.

19-01-2017 19-43-12

Это половина работы.

Теперь нужно исключить файловый доступ по сети к этому серверу.

Для этого откроем сетевые адаптеры и убираем птичку возле: «Служба доступа к файлам и принтерам сетей Microsoft».

 19-01-2017 19-48-06

3.    Сервер 1С Предприятия и MS SQL работают на одном сервере (хосте).

 

По возможности, разнесите на разные физические сервера, «Сервер 1С» и «MS SQL».

Таким образом, можно скрыть сервер СУБД в локальной сети, если у Вас, конечно, есть два сетевых адаптера на сервере 1С.  Так сервер 1С будет видеть сервер СУБД и всю локальную сеть (То есть клиентов), а сервер СУБД, только сервер 1С. Так мы защитим сервер СУБД.

19-01-2017 20-00-07

 Но здесь есть один минус!

Если Ваш «Сервер 1С» работает с MS SQL по протоколу Shared Memory, тогда конечно на разных серверах это уже будет невозможно (работать по этому протоколу, использовать общую память). Отсюда и потеря в производительности 10 -15%.

Но это небольшая плата за безопасность, да и к тому же эта схема работы в 1С обязательна, когда у Вас много пользователей, работают одновременно в 1С (70 -100 и больше).

Конечно, здесь многое зависит от «железа» самих серверов, но по факту на таких количествах одновременно работающих пользователей, производительность даже увеличивается на разных серверах.

Так что, тестируйте, смотрите, пробуйте.

Продолжение уже в следующей статье.

Как защитить 1С Предприятие в файловом варианте, читайте здесь.

 Курс: 1С Предприятие: Защита от взлома и вирусных атак

Защита 1С Предприятия в клиент-серверном варианте (Часть 4)
5 (100%) 2 votes

Хотите получать уроки по администрированию 1С?


Тогда введите ниже Ваше имя и Email