Дано: сервер 2008 R2, подключение по рдп, при этом к пользователю цепляется его расшаренный диск по сети, базы файловые, разных конф и организаций. Пользователей около 20, только все по своим базам, часть пользователей должна иметь неограниченные права (рук-во, глбухи). Как сделать, чтоб файлик 1cv8.1cd не попал к кому нить на флешку?

(0) Поставить сервер 1С

управляемые формы, тонкий клиент через http

GRP на флэшки

(1) что даст сервер?
(3) что такое grp?

(4) сервер позволит отказаться от 1cv8.1cd
А чтобы стянуть скуль-базу - нужно много прав.

(4) GRP = Групповая политика, если по-русски

(5)что для реализации нужно?

(7) Деньги

(6) И чего она даст? Ну запретишь ты флешки ... Политикой нельзя запретить писать на флешки все, кроме баз 1с ...

а всякие там вордовские файлы нужно читать и писать на флешки

(7) купить сервер 1с и скуль-сервер (ms, db2, postrgre, последний бесплатен)

(7) Купить сервер 1с (от 40 т.р.)
возможно купить СКЛ сервер, возможно пользоваться бесплатным (нужно будет выбрать)

(9) Читать можно - писать нельзя

(9) зачем вордовские файлы открывать по РДП?

(13) А как флэшки сунуть в сервер? Ведь понятно, что чел имеет ввиду флэшки в компьютерах клиентов

(12) Все равно не выборочно, а все скопом

логировать каждое действие.
выделить безопасника для онлайн анализа логов
издать приказ с жесткими карательными мерами за указанное деяние - копирование на флешку, ознакомить под роспись каждого.

+(16) создать или заполнить какой-нибудь объект, чтобы таблица в файловой базе была не более 4Гб.
Чтобы нельзя было быстро стянуть файл.

+(16) безопаснику доступ на рабочие столы всех пользователей.

(15) Именно так. Но если стоит у ТС так вопрос: пусть выбирает, что важнее: писать на флэшки или запрет

развели флуд... правильный ответ - в (2)

+(18) в его должностной инструкции обязанность мониторить поочередно работу сотрудников организации. и организовать "утечку" этой инструкции для того чтобы сотрудники видели.

для файловой базы НЕВОЗМОЖНО обеспечить защиту!!!

никаким образом! даже (2) не сильно прикрывает базу

(22) та ты что? чего же оно там не прикрывает? фоточки экрана на мобилку?

(22) именно.
поэтому если не менять архитектуру то только административные меры.

(20) Это неправильный ответ. Работа через веб сервер с файловой базаой даже 1С'ом рекомендуется только в ознакомительных и тестовых целях

(25) есть ссылка (можно на пратнерский)?

коечто уже есть
Сервер 1с, SQL от MS
Расскажите с чего начинать?

(26) Я в книжках желто-красных читал, которые 1С продает.
Если вспомню, то скажу, конечно в какой

(23) Ничего не прикрывает, т.к. файловая база требует полных прав на папку, где она лежит. Дальше поймёшь?

(27) Установить сервер 1С, установить СКЛ сервер

(29) С веб. клиентом полный доступ к файлу требуется только учетке, под которой работает веб-сервер

(27) если база маленькая, то можно и бесплатным MS SQL обойтись

(29) ага, а в клиент-серверном варианте - полный доступ к файлам базы данных, .mdf для мсскуля, например...

(33) бред

(34) Это стеб, а не бред

один из простых вариантов - скрытая сетевая папка, например
\\Server1C\basev8$
Непродвинутый пользователь в проводнике на \\Server1C\ не увидит папку basev8$ ;)

(31) Вопрос только в том, заточена ли конфа у ТС под веб-клиент. :)

(35) не стоит имхо стебаться учитывая уровень вопросов (0) - может быть неверно понято.

(32) что значит маленькая? до какого размера/ количества пользователей?
(30) где подробнее?

Подскажите хоть, на сервер 1с ключ нужен? прочитала вот такое - "32 битный сервер в состав платформы входит".
PostgreSQL можно ли им пользоваться? можно ли потом SQL от MS поставить?

Можно ли 32битный сервер 1с ставить на 64 разрядную Server 2008?

(26) "По этой причине такой вариант работы является скорее тестовым. Чтобы, например, попробовать, как информационная база работает через веб-сервер, с веб-клиентом. В качестве рабочего такой вариант, наверное, можно использовать в особенных случаях для очень небольших рабочих групп."
http://v8.1c.ru/overview/Term_000000034.htm#1

(0) прямые руки админа настраивающего терминал и доступы
либо УФ и доступ через веб

(40) обязательно нужен. Это одна из выдающихся жаб 1С

+(40) можно БД поменять как хочь: выгрузил dt и загрузил в новую.

(42) там наверху причина написана - причина в том, что все запросы в очередь выстраиваются. так это и при обычном файловом варианте в 90% случаев происходит (если только совсем уж разные объекты юзеры не юзают)

послее (22) тему можно закрывать

(47) ну я так и не понял, как слить базу прb доступе по http

при

(46) я это читал.
написал к тому, что ссылка про (25) есть

(50) тогда следует написать, что файловая в принципе "тестовая" :)

по той же причине

(51) )

сможет ли пользователь работать с скл если у пользователя нет доступа на файл базы данных?
(all)
Расскажите, если Сервер 1С и SQL - база лежит в mdf, что мешает ее скопировать на флешку?

(54) 1. конечно. У меня, например, на скл сервере в сетевых свойствах вообще отключена служба доступа к файлам.

(55) тогда базу в mdf никак не скопировать? я не понимаю. даже проводник не запустится?

(54) пользователь не обязан иметь доступ к этому файлу.
СКЛ сервер имеет к нему доступ, к скл серверу имеет доступ 1С-сервер, а к 1С-серверу - юзер.
короче. тырить в этой схеме нечего...

(56) по сети подрубиться нельзя. А локально на сервере никто не работает же. Он недоступен для интерактивного входа кому попало.

(41) да.

(0) Windows Server и RDP? Защищу за 5 тыр. Всё будет работать, но никто не сможет скопировать 1cv8.1cd

"Я обычно, уходя их дома, ключ в замке оставляю, чтобы не потерять. В квартире бабла немерено по матрасам рапихано и об этом каждая собака во дворе знает - я обычно соседей приглашаю бабло распихивать. Подскажите, как защитить бабло в квартире?"

(61) я не сисадмин, я программист 1с

Для веб-клиента ВООБЩЕ не нужно расшаривать папку с базой. Достаточно, чтобы она находилась на том же компьютере, где установлен веб-сервер. Таким образом обеспечивается защита от кражи базы. Что касается "нерекомендуемости" - для небольшой рабочей группы (5-10 пользователей с невысоким потоком ввода данных) такой вариант нормально работает.

(0) если вы не сисадмин - предоставьте эту работу сисадмину. объясните ему, как программист 1с какие именно данные не должен получить пользователь, пусть занимается.

(64) Ага. Например вот так: пользователь не должен иметь возможности получать никакие данные, но при этом должен иметь возможность полноценно работать с программой. Решай. :)

(48) ну будет повышена безопасность.
При понижении стабильности. Через http достаточно глюкаво работает.
Народ спасибо не скажет))
(61) А если немеренно - пусть тащат. Если от большого берут немножко, это не кража, а делёжка.))

Была бы голосовалка я бы высказался за вариант Сервер 1С + Сервер БД

Опубликованное приложение. Гарантии не даст, но некоторые сложности доставит.

(67) ну для обычных юзеров-манагеров, очень даже неплохая гарантия.
Тут не рассматривается же вопрос хаккеров-айтишников...

(66) не путай вебклиента с тонким по хттп

на моей машине установлен сетевой ключ и просто так 1С-ка открывается (ну 1с в рдп "читает" ключ с моей машины *но это не важно), установила себе PostgreSQL и подсоединила базу. выдает такую картинку: http://savepic.net/3717423.jpg
что это - ключ на Сервер 1С не обнаружен вообще в сети? или только на моей машине? (т.к. повторюсь, когдато ключ на Сервер 1С был, в старый сервак был воткнут)
А ну и еще вопрос - а собственно - где база, которую создала? ее можно пощупать, скопировать?

(70) наверное нужен ключ на сервер 1С, база по умолчанию в Program Files\Posgresql\версия\data, нужно дамп сделать

и как то странно: ключ где то был воткнут, а работаете Вы в файловых базах

(70) http://www.youtube.com/watch?v=QW0uuR_il90

http://servis-1c.com.ua/ustanovka_1s_Predprijatie

опять изобретают велосипед, ЛЮБАЯ сетевая безопасности строится на 3х главных определениях

1. обьект защиты (база или ее часть???)
2. периметр защиты (например сервер)
3. стоимость обьекта защиты за периметром защиты (тупо сколько готовы заплатить что-бы стянуть базу за пределы охраняемого сервера)

вот когда конкретная сумма будет названа можно думать об уровнях защиты, без суммы - все это ТОЛЬКО ТРЕП и ничего более!

(75) вся эта защита миф, но юзверя то верят)

(62) >> я программист 1с

Ты уверена?....
Судя по содержанию твоих постов, вас спасёт исключительно вызов специалиста, т.к. даже те правильные советы, которые тут иногда дают, ты не в состоянии правильно интерпретировать, понимать и, как следствие, реализовать правильно их тоже вряд ли сможешь. Без обид.

(75) "тупо сколько готовы заплатить что-бы стянуть базу за пределы охраняемого сервера"
Ой не говорите.. на самом деле, многие пользователи не представляют себе ценности информации, к которой имеют доступ, и продадут её за копейки..

>>>часть пользователей должна иметь неограниченные права

Ты сам поймешь , что ты идиот или объяснить?

(79) Это девушка... :)
Ты сам поймешь ,... или объяснить?

(78) 50% сотрудников пойдут на не уголовное преступление за годовую ЗП

(81)+ исходя из этого принципа что примерно за 500 к средний админ сам сопрет базу и отнесет ее конкурентам.

так что если база стоит дороже то защищать нужно ОТ АДМИНА!!!

(81) а может 70%, а может всего лишь 10%?

(82) Базу нужно не защищать, а шифровать, причём не одним ключом, а разными - тогда сам файл базы никакой информации не даст.
И, самое главное, не стоит забывать, что иногда даже простое "пролистывание" базы данных позволяет получить из неё большую часть информации, даже не вникая в форматы файлов, в которых эта информация хранится.

(84) вопрос цены, иной раз достаточно поставить камеру перед серверной...

(85) Я больше за логирование заданий на печать, так как обычно база нужна не вся, а ключевые моменты.
Плюс ещё почту пользователей смотреть - а то, PrintScreen и SendMail.

(86) для начало нужно определить от кого защищаем, согласись что защита от уборщицы, менеджера, глав буха, админа - требует разных степеней защиты.

а для этого нужно определить сколько она стоит за пределами периметра

(0) поотключать флешки, поставить защиту - Кронверк - протоколировать чтение, запись, удаление - выдавать в виде отчетов нужные по файлам.

моментом больше не захотят ничего писать :)

(89) Ну и аудит на сервере можно включить всего и вся.
Просто - только "особо умный" пользователь будет сразу копировать базу себе на диск при первой возможности.
Обычные поработают с документами, причём будут открывать их и с flash-диска и с локального так, что потом сам чёрт не разберёт, что они открывали, а что они правили - не забываем, что Word часто даже после просто открытия документа просит его сохранить, а если это файлы Excel с макросами для расчёта цены чего-то или просто прайс какой-то фирмы, то что внутри, даже антивирус не сразу просечёт.
Потом, из Excel в открытое окно базы через SendKey будут даваться команды, которые вынут из базы всё, что нужно, и положат в несколько сохраняемых документов, причём с шифрованием, чтобы нельзя было ткнуть носом, что выносят базу.
То есть или запрещать вообще любой доступ к USB-устройствам (не забываем, что кроме flash может быть и просто HID-устройство, на которое спокойно можно передавать информацию, устанавливая, например, скорость обмена с клавиатурой и т.п.).
Также следует очень внимательно относиться к электронной почте - менеджер может спокойно послать базу во вложении.
P.S. с почтой ещё сложнее - даже простой перехват посылаемой почты с организации посторонним лицом позволяет получить больше информации, чем даже копирование бухгалтерской базы (которое может сделать любой специалист 1С при обновлении).

(89) + у меня стояла самописная программа, которая проверяла серийный номер USB-диска и специальный файл, созданный на нём - если ничего не было, то диск просто форматировался записью случайной информации на низком уровне - очень быстро пользователи поняли, что с дисками нужно обращаться аккуратно.

Где-то видел внешнюю обработку, которая, работая под управлением платформы 1с, вытягивает из SQL базы 1С пароли всех пользователей.

Так что там о безопасности скульной базы говорили?

(92) Так под правами админа они и так выгружаются, только там не пароли, а hash - так что подбирать нужно.

Защита 1CD терминал к которому конектятся бездисковые. Просто флешку будет некуда вставить. Иработать быстрее будет. И при этом закрыть юЗверям доступ в инет. Что бы через инет ни скинули. Бездисковую на Пне 4 б/у можно за 100 шкурок убитых енотов купить. Для бездисковой вполне.

(92)
ты уверен что не зря ляпнул?
Можно ведь только к базе без прав админа разрешить подключаться.
Это другой уровень администраторов БД нужен просто.

(95) при наличие админских прав к любой одной базе (даже тестовой) кластера, безопасность всех остальных баз ставится под сомнение.

Собственно выполнение произвольного кода на сервере от имени службы 1с - это основной путь для взлома серверной 1с.

По этому сервер 1с то же не дает гарантию, достаточно найти в серверном модуле "выполнить" и дальше дело техники.

Конечно взлом серверной базы сложнее и дороже, но если наплевать на простые правила - то серверная база не сильно более защищена.

простой вопрос: много-ли 1с ников ставят сложный (и вообще хоть какой ставят) пароль на администратора кластера??? а сколько не используют логин скуля SA ???

PrnScr как запретите?

Всегда удивляли баклажаны дающие задания запретить узнать вынести информацию за пределы стен офиса

Они тупые

100

хотя тупые все те, по сути, кто верит в то что информация может быть защищена как то технически ... а баклажаны скорее всего опираются на эту их веру.

не успел
:)

(96) делал для тестовых баз другую службу на других портах и под другим пользователем. Первопричина - чтобы обмены не запускались, заодно и других зайцев убил. ;)

(96)
1. Если выполнение кода на сервере доступно простым пользователям, то, да, система дырявая. Если только админам, то rphost можно запускать и из-под "тупой" учетки с порезанными правами: swpuser.ini в помощь.
2. Даже если используется swpuser.ini, даже если есть админы кластера и рабочего сервера, даже если авторизация на скуле идёт по виндопользователю (что, кстати, лучше) и он не имеет лишних прав, даже если проверено и пользователи не могут подсовывать серверный код никак, то это ничего не гарантирует. Например с 8.1."самой ранней" до 8.2.12 в 1С была интересная "особенность" - любой сервер 1С мог "попросить" любого другого сервера 1С побыть рабочим процессом. При этом никаких разрешений не проверялось. Отдать должное фирме 1С - они закрыли багу меньше чем за месяц.

Ребята - на самом деле, защищать там просто нечего:
Рассмотрим простую торговую фирму.
Защищают обычно управленческую базу, так с бухгалтерской базой работает обычно главбух, который знает о фирме всё.
И что у нас секретного в управленческой базе ?
Контрагенты - допустим. Но, каждый менеджер знает о "своих" клиентах больше, чем есть в базе. Так как менеджеры могут заменять друг друга, то другие могут посмотреть и список контрагентов соседа (конечно, это желательно ограничить). То есть покупателей можно получить из списка.
Что касается поставщиков, то с ними ещё проще - у товара, который продаёт организация, есть публичная цена и информация о производителе - то есть поставщика можно узнать на сайте производителя. Договор с поставщиком и его условия - так этого просто не должно быть вообще в управленческой базе.
Далее - цены.
Обычные цены и ассортимент товара организация публикует на сайте. То есть интерес могут предоставлять только особые цены для некоторых крупных клиентов, которые также может посмотреть менеджер (вообще-то, здесь нужно ограничение на доступ к данным клиентов).
Закупочные цены - они могут и не присутствовать в управленческой базе, но минимальная цена, ниже которой торговать вообще нельзя, должна быть у каждого менеджера. Также, затраты, используемые при расчёте зарплаты, вполне "похожи" на закупочную цену.
Обороты по контрагентам и т.п. - если в базе есть информация по заказам контрагентов, то это всё получается простым "просмотром" документов.
В итоге, в базе нет никакой действительно "секретной" информации.
P.S.
Единственное, что можно посоветовать, если хочется реальную безопасность - это для каждого менеджера создать свою базу и использовать УРБД для обмена между этими базами.

(105) "это для каждого менеджера создать свою базу и использовать УРБД для обмена между этими базами." мсье знает толк в извращениях)))

(106) Ну, если кто-то не доверяет своим менеджерам, то другого решения нет.

(107) да я просто представил весь этот гемморой.