Добрый день.

Вопрос:
Есть пользователь, который выполняет обновление конфы в конфигураторе. Теоретически он может поменять себе права и зайти в базу. Можно ли как-то запретить ему запускать 1с в режиме "Предприятие"?

Нет

знатный вопросец....

(0) Более того, он обязан запускать Предприятие, как правило

Снять права толстый клиент, тонкий клиент, веб-клиент...
(3) а это уже пусть СБ запускает, раз такие запуганные )

Криптованная обработка дополнительной авторизации в программном модуле.

Но судя по дате, автор мается нездоровой ерундой.

(0) Зависит моного от чего.
Если не можешь составить набор признаков, по которым "недопустимый" администратор отличается от "допустимого", и которые он сам не может поменять - например, членство в группах AD, какое-нибудь, то нет, нельзя.

Иначе, при начале сеанса проверяешь эти признаки и просто завершаешь сеанс.

(0) Обновление в конфигураторе...
А кто обновляет в режиме предприятия?

(7) Вы разве не в курсе, что при запуске после обновления, как правило всякие обработки запускаются, которые обновляют саму инфу в БД?

(0) оставить права на "выложить файл и запустить батник на обновление конфы"?

(8) А у Вас этот запуск кто осуществляет?

(7) Ты с клюшками не путай, в * при активном ИТС бух сам может обновлятся не прибегая к скачке и конфигуратору, 1с в режиме предприятия это делает сама

(0) Почему теоретически? У него же полные права на базу? Более того, он может ее выгрузить в файл и унести

(11) Я ни с чем не путаю.
При активном ИТС, кроме базовых, бухи предпочитают звать спеца.
Кстати, в (0) именно эта ситуация и описана.

(9) в батнике тоже нужно указать админа и пароль =) а дальше по известно схеме

(14) можно завести учётку Windows

А что мешает в коде сделать дыру для обновляльщика. Тот же рег задание с выгрузкой чего хочешь и когда хочешь

(16) Значит нужна ревизия кода

пусть обновляет на обезличенной конфе.
на рабочую потом загрузите

(18) зачем вообще этот чел нужен тогда? Нажать 3 раза на кнопку? Просто без него всё обновить.

(0)Не ту проблему решаете.Если не доверяете человеку даже запускать 1с в режиме предприятия - надо менять человека. Ибо запуск 1с это не самое страшное что может чел допущенный до конфигуратора

А что если разрешить использовать только пакетный режим работы с конфигурацией, там можно загружать конфигурацию.
т.е. человек сделал cf и загрузил через пакетный режим.

(19) он подготавливает обновленную конфу. на рабочуу можно и скриптом накатывать

если 100% типовая, то дешевле купить обновлятор

Есть ключ запуска /UsePrivilegedMode
не дает интерактивного доступа к данным, в роли пользователя требуется галка "Администрирование"

Я бы еще пользователям запретил доступ. Мало ли что наделают в базе или информацию упрут.

(0) В поставленной формулировке задача не решается.
Пользователь с полными правами может делать всё что угодно без каких-либо ограничений. В 1С на уровне платформы нет никакого разделения на полный доступ к данным и полный доступ к метаданным (конфигурации). Если требуется полный доступ к метаданным (конфигурации), в частности для обновления, то такой пользователь получает полный доступ к данным или имеет возможность их получить.

Способ решения проблемы зависит от конкретной ситуации и от того, что конкретно вы хотите решить. Может быть вам достаточно тупо завести две базы - одна продуктивная, вторая  - разработочная (для подготовки обновления). Обе подключить к одному и тому же хранилищу. Продуктивная в пакетном режиме ежедневно или по команде будет обновляться из хранилища.
Разработчик естественно разрабатывает и обновляет только разработочную базу, где данные исключительно тестовые, и к боевой базе доступа не имеет никакого вообще.

Вообще в БСП подсистема обновления умеет работать не только с 1С-овскими сайтами и поставками, а с любыми.