Безопасность кластера серверов 1С:Предприятия 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

При работе «» в варианте клиент-сервер задача обеспечения безопасности данных сводится к тому, что доступ к данным «1С:Предприятия» должен осуществляться только механизмами «1С:Предприятия». В связи с этим можно выделить несколько областей обеспечения безопасности.


Ресурсы сети Интернет для 1С Предприятия 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Профиль безопасности может содержать список ресурсов интернет, к которым разрешены обращения из серверного кода прикладного решения.

 

Если в профиле безопасности ограничено использование интернет, то использование объекта ИнтернетСоединение запрещено, а при помощи объектов ИнтернетПочта, HTTPСoединениe, ftРСоединение, тжОпределени разрешено обращение только к тем ресурсам, которые перечислены! в списке разрешенных ресурсов интернет этого профиля. При обращении к другим ресурсам будет порождено исключение. Пустой список значит, что запрещено обращение к любым ресурсам интернет.

 

Разрешенный ресурс сети Интернет описывается следующими параметрами:

  • Имя - имя ресурса для его идентификации. Уникально в пределах профиля безопасности.
  • Адрес - адрес ресурса без указания протокола.
  • Порт - номер порта, через который выполняется взаимодействие с указанным ресурсом.
  • Тип ресурса (протокол) - протокол, по которому выполняется взаимодействие с ресурсом. Могут быть указаны следующие протоколы (регистр символов не играет роли):
    •  imap        -          сервер электронной почты, работающий               по         протоколу      IMAP.
    •  pop;            -          сервер электронной почты, работающий               по         протоколу     POP3.
    •  smtp       -          сервер электронной почты, работающий               по         протоколу     SMTP.
    •  http  -           веб-сервер.
    •  httpa- защищенное соединение с веб-сервером.
  • ftp - ftp-сервер.
  • ftps- защищенное соединение с ftp-сервером.

Привилегированный режим в 1С Предприятии 8.3

 

 

Если данное разрешение установлено, то при использовании данного профиля в качестве профиля безопасного режима, разрешено включать привилегированный режим. При этом возможность получать доступ к различным внешним ресурсам определяется параметрами установленного профиля безопасности.

 

Приложения операционной системы

Категория: Учебники по 1С » 1С Предприятие 8.3

Профиль безопасности кластера 1С Предприятия 8.3 может содержать список приложений, которые можно запускать из прикладного решения. Если информационная база ссылается на профиль безопасности, в котором ограничен запуск приложений, то возможно использование только тех приложений (исполняемых файлов), которые перечислены в списке разрешенных приложений этого профиля.

 

При попытке выполнения метода ЗапуститьПриложение () с приложением или параметрами, которым не соответствует ни одной записи в списке, будет выдано исключение. Пустой список значит, что данный профиль не позволяет использовать никакие приложения.

Разрешенное приложение операционной системы описывается следующими параметрами:

  • Имя - имя приложения. Уникально в пределах профиля безопасности.
  • Шаблон строки запуска - шаблон строки запуска приложения. Состоит из последовательности шаблонных слов, разделенных пробелами. Шаблонное слово представляет собой произвольную последовательность символов и может содержать символы подстановки. Если шаблонное слово может содержать пробелы, то оно должно быть заключено в кавычки.

Символы подстановки:

  •  - произвольная последовательность символов;
  •  - один произвольный символ;
  •  - имя файла. Если шаблонное слово начинается с символа , то параметр является маршрутом от виртуального каталога. Перед выполнением виртуальный каталог заменяется на реальный каталог.
  • - префикс символа. Указание данного символа перед шаблонным словом делает слово не шаблонным.

Проверка соответствия запускаемого приложения списку разрешенных приложений выполняется для имени запускаемого приложения и каждого из параметров, имеющихся в команде запуска. Отсутствие соответствующего шаблонного слова значит, что шаблон не соответствует строке запуска.

Например, шаблон xcopy */temp/% */usrappdata// позволяет выполнять копирование произвольного файла из виртуального каталога /temp в виртуальный каталог /userdata.

В строке запуска параметры! разделяются одним или несколькими пробелами.

 

Строка, заключенная в кавычки ("), является одним параметром. Одним параметром считается последовательность слов, если первое и последнее слово содержит нечетное количество одиночных символов кавычки. Если есть первое слово с кавычками, но нет второго, то одним параметром считается все до конца строки. Если параметр не заключен в кавычки, то символ кавычки представляется парой символов \.

Символ кавычки в составе параметра, заключенного в кавычки, может представляться одной из пар символов: \ или ".

Внешние отчеты и обработки 1С Предприятие 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Профиль безопасности кластера может содержать список внешних отчетов и обработок, которые можно использовать из кода прикладного решения без включения безопасного режима. Если информационная база ссылается на профиль безопасности, в котором ограничено использование внешних отчетов и обработок, то возможно использование без включения безопасного режима только тех внешних отчетов и обработок, которые перечислены в этом списке.

 

При попытке использования внешних отчетов и обработок, не содержащегося в этом списке, без включения безопасного режима, будет выдано исключение. Пустой список значит, что данный профиль не позволяет использовать никакие внешние отчеты и обработки без включения безопасного режима. Также с помощью данного элемента профиля управляется возможность использовать оператор Выполнить () и функцию Вычислить (( в безопасном режиме. Если свойство профиля безопасности Разрешен полный доступ: к внешним отчетам и обработкам сброшено, то в прикладном решении можно использовать Выполнить () и Вычислить () только в безопасном режиме (явно устанавливая его перед использованием оператора или функции). Если прикладное решение использует Выполнить ( ( и Вычислить ( ( в технологических целях (в небезопасном режиме), то для него нельзя использовать профиль безопасности, у которого сброшен флажок Разрешен полный доступ: к внешним отчетам и обработкам.

 

Разрешенный внешний отчет или обработка описывается следующими параметрами:

  • Имя - уникальное имя внешнего отчета или обработки. Является уникальным в рамках одного профиля.
  • Контрольная сумма - контрольная сумма shai разрешенного внешнего отчета или обработки, преобразованная к формату base64.

Для построения контрольной суммы можно использовать объект ХешированиеДанны и метод глобального контекста

 

Base64Стрoка((.

P.S. Хотите научиться создавать любые отчеты в 1С? Я записал на эту тему полноценный видеокурс с готовыми иходниками и детальными объяснениями каждого элемента. Закажите видеокурс "Отчеты в 1С" со скидкой прямо сейчас:

ЗАКАЗАТЬ ВИДЕОКУРС


Внешние компоненты 1С Предприятия 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Профиль безопасности кластера 1С Предприятия 8.3 может содержать список внешних компонент, которые можно использовать в

прикладном решении. Если информационная база ссылается на профиль безопасности, в котором ограничено использование внешних компонент, то возможно использование только тех внешних компонент, которые перечислены в списке разрешенных внешних компонент этого профиля. При попытке выполнения метода ПодключитьВнешнююКомпоненту (( для компоненты, отсутствующей в списке, будет выдано исключение. Пустой список значит, что данный профиль не позволяет использовать никакие внешние компоненты!

 

Разрешенная внешняя компонента описывается следующими параметрами:

  • Имя - уникальное имя внешней компоненты. Является уникальным в рамках одного профиля.
  • Контрольная сумма - контрольная сумма shai разрешенной внешней компоненты, преобразованная к формату base64.

Для построения контрольной суммы можно использовать объект ХешированиеДанньы и метод глобального контекста Base 64Строка((.

COM-объекты сервера в 1С Предприятии 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Профиль безопасности кластера может содержать список классов COM-объектов, которые можно использовать в прикладном решении.

 

ВНИМАНИЕ! Данная возможность применима только для серверов, работающих под управлением ОС Windows.

 

Если информационная база ссылается на профиль безопасности, в котором ограничено использование СОМ- объектов, то возможно использование только тех классов COM-объектов, которые перечислены в списке разрешенных COM-классов этого профиля. Используемый конфигурацией COM-объект соответствует элементу списка разрешенных COM-объектов профиля безопасности, если совпадает значение свойства Компьютер СОМ- объекта и совпадают отличные от пустых значения свойства Файл (моникер) и Идентификатор COM-класса. При попытке создания экземпляра любого COM-объекта, отсутствующего в списке, будет выдано исключение.

 

Разрешенный класс COM-объекта описывается следующими параметрами:

  • Имя - уникальное имя класса COM-объекта. Является уникальным в рамках одного профиля.Файл (моникер) - имя файла-моникера. Используется при вызове метода получитьсомобъект () с неуказанным значением параметра имяклассасом.
  • Идентификатор СОМ-класса - строка, представляющая собой идентификатор класса COM-объекта, в формате реестра ОС Windows, без обрамляющих фигурных скобок. Данное значение используется в конструкторе нового COM-объекта и методе получитьсомобъект(). 
  • Компьютер СОМ-объекта - компьютер, на котором может быть создан COM-объект. Используется конструктором нового СОМ-объекта. Для указания текущего компьютера следует использовать строку locaihost, пустая строка означает, что COM-объект может создаваться на любом компьютере.

Ресурсы файловой системы сервера в 1С Предприятии 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Для доступа к файловым ресурсам сервера применяются виртуальные каталоги. Это означает, что в рамках профиля безопасности существует некоторая виртуальная файловая система, в которой создаются каталоги. Каждый виртуальный каталог имеет отражение на реальную файловую систему по определенным правилам.

 

В тот момент, когда прикладному решению необходимо выполнить файловую операцию, в параметре соответствующей функции указывается путь к файлу, расположенному в виртуальной файловой системе. «1С:Предприятие» транслирует виртуальный каталог в реальный и формирует реальный путь к файлу, с которым и выполняется реальная работа. Прикладное решение не может получить информацию о том, в какой физический путь будет отражен виртуальный каталог.

 

Если в профиле безопасности указаны несколько виртуальных каталогов, то прикладное решение может осуществлять доступ только к этим ресурсам. Попытка доступа к любому другому каталогу (как реальному, так и виртуальному) - невозможна.

Профили безопасности в 1С Предприятии 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Работающее прикладное решение может использовать для своих нужд различные внешние ресурсы: каталоги файловой системы, COM-объекты! (на Windows-системах), внешние компоненты, приложения ОС и т. д. Однако, по соображениям безопасности, для различных прикладных решений могут быть доступны1 не все возможные внешние ресурсы, а только ограниченное их подмножество. Может потребоваться создать собственный каталог временных файлов для каждой области разделенной информационной базы1 или задать перечень ресурсов сети Интернет, к которым может иметь доступ прикладное решение.

Запрет размещения сервиса работы с внешними источниками данных на одном рабочем сервере в 1С Предприятии 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Необходимо разрешить работу сервиса работы 1с внешними источниками данных на рабочих серверах SRV1 и SRV3, и запретить - на рабочем сервере SRV2. Для этого следует для рабочего сервера SRV2 указать следующее требование:

  • Объект требования: Сервис работы 1с внешними источниками данных.
  • Тип требования: Не назначать.
  • Имя ИБ: не указывается.
  • Значение дополнительного параметра: не указывается.

Размещение сервиса лицензирования на выделенном рабочем сервере в 1С Предприятии 8.3

Категория: Учебники по 1С » 1С Предприятие 8.3

Необходимо многопользовательскую клиентскую лицензию активировать для компьютера, на котором функционирует рабочий сервер SRV2 и разместить на этот компьютер сервис лицензирования. Тогда для рабочего сервера SRV2 следует указать следующее требование:

  • Объект требования: Сервис лицензирования.
  • Тип требования: Назначать.
  • Имя ИБ: не указывается.
  • Значение дополнительного параметра: не указывается

При этом при активации программной лицензии с помощью сервера «1С: Предприятия» следует указывать имя SRV2, в противном случае активированная лицензия не сможет быть использована кластером серверов, т. к. программная лицензия будет активирована для другого компьютера.