Здравствуйте, уважаемые.
На работе случился казус: меня обвиняют в том, что я, якобы, с вредительскими целями поудалял у контрагентов некоторые данные. Утверждают, что в Журнале регистрации действий пользователей указано, что данные действия производились с моего компьютера в рабочее время. Я, естественно, ничего не удалял. По крайней мере, умышленно. Да и вообще не работал со справочником "Контрагенты"...
Вопрос:
1) По какой причине может произойти такая подстава?
2) Если кто-то подключается к моему компу через удаленный доступ и совершает вредоносные действия, то какой компьютер отображается в Журнале регистрации действий пользователей: управляемый (мой) или управляющий, который удаленный?
Буду благодарен за ответы и советы.

(22) Ну часто бывает, что не указывают пользователя для обмена, оставляют пустое поле. В то же время автор пишет, что ему запрещено запускать внешние обработки

(0) знавал одного товарища. Тот всегда старался сделать так что бы в ЖР вообще не было имени его пользователя. Вообще от слова совсем. И ему это удавалось.

(0) не раскрыта тема ведения истории изменений (если база не старая) - если история включена, то откатиться на правильную копию - дело одной минуты.

Всем спасибо за советы. Сегодня лично посмотрю журнал регистрации и за какой промежуток времени были изменены данные.
Обмены (даже в тестовой) и обработки - это вряд ли. У меня нет прав.
Идея (15) посмотреть реестр действий, думаю, здравая.

И под каким пользователем производились действия

(25) есть 2 варианта:
1 низкая квалификация админов, которые для rmmngr не сделали отдельного пользователя, а пользователь один с кластером серверов.
2) чувак играется с настройками ЖР, что тоже является нарушением ИБ.
В любом случае, за такое в серьезном месте можно сильно по жеппе получить.

(8) "Учетка она как трусы - личное" // Никаких проблем нет под любой учеткой войти в базу и наделать делов

КИ может "пропасть" потому что удалили элемент ПВХ, например. Т.е. пропала связь, сами данные на месте.

Ну а по поводу "с моего компьютера в рабочее время" - это может быть процесс, запущенный из планировщика ОС.
Либо автор указан как пользователь регл. заданий.
Либо база файловая и под автором-таки выполнялись все регл. задания базы (8.3.3+).

Хотя бы без скриншота ЖРа разговор ни о чем

В следующий раз будешь пароль прятать и экран блокировать.
Я был один раз в такой ситуации  - там правда убили все гемокоды .. но там ошибка была в коде и я ее таки нашел через 5 дней .. то-то я ладошки свои потирал, потому что подлые твари из руководства айти отдела об мое скромное тело все подошвы вытерли к этому моменту.

(34) "В следующий раз будешь пароль прятать" // Никак не спасает от входа в базу под твоим пользователем, см. (30)

(если конечно злоумышленник не ограничен в праве "Администрирование")

(35) с того же компа и предварительно поменяв пароль ?

(37) Пароль после смены можно вернуть старый, насчет "с того же компа" тоже решаемо

+(38) Все это делается даже не зная сам пароль. Так что "прятать / никому не говорить пароль" защищает только от таких же ограниченных в правах пользователей

Ну если админ сошел сума то тут уже ничего не поделать. Но вот если их уже несколько , то вероятность, что следы останутся очень высокая.

(0) "Удалены все контактные данные (телефоны, адреса и пр.)" а стоит вообще об этом думать и тем более писать, восстановить по быстрому только отсутствующие данные, это несколько секунд.
хотя если слова "Кипиш поднялся неслабый..." руководству выдать по башке всем сразу и впредь предусмотреть подобное.

кто-то записал набор записей регистра без отбора

у меня вот это как выглядело ..
есть таблица .. в которую писались гемоописания и они использовались только при растаможке
далее пришел код который подчищал данные .. но делал он это после обработки поставки ..
в общем когда хватились бэкапы тоже были основательно пустые в этой части ..
во всяком случае кусков не хватало, но самое плохое было то что тупо просто обвинили меня .. хотя сделал это айти отдел ..всей своей шаблой и двумя тестировщиками ..
понятно, что во-первых неизвестность пугала больше чем потеря данных - мало ли что происходит ..
во-вторых как всегда способ был выбран самый простой - найти крайнего ..
а так конечно восстановить можно все ..
я тогда помню из экселя 3 дня все восстанавливал

(43) "обвинили меня" // А ты там кем?

(44) я там в том момент сидел в фирме которая гнала товар, следил за куском базы и был замом глав буха.

ну, а так , как обычно ничего не делал)

(38) в принципе можно имя пользователя поменять на нужное, сделать черное дело, а потом поменять имя обратно. Чтобы с паролями не связываться.

(47) по жр Пользователь Да , Компьютер Сложнее. учитывать Транзакция.

(0) Сделать такое проще пареной репы. Открыть пользователя в инструментах разработчика. Открыть сеанс под ним (пароли не нужны) и делай чего хочешь. Вопрос только в том как это сделали с вашего компа. Впрочем можно подключиться во время отсутствия пользователя к не заблокированному сеансу и провернуть такой номер. А если еще и ска была открыта, то даже ИР не нужны.

(0) если знаешь что не виновен - разбирайся. требуй точное время до секунд когда было произведено удаление. вспоминай что делал в это время, смотри локальный журнал событий системы, он может натолкнуть тоже на мысли - что ты запускал, с чем работал, был ли удаленный доступ и т.д.

мне кажется или ветка перешла к обсуждению багов и обходов, вроде как это нарушение. )

Только все это уровня мега хакерство , которое должно иметь смысл.
Например у меня знакомый так ходил из под чужих учеток когда за инетом мониторили .. а потом народ удивлялся куда баба маня весь инет свой дела ..
а тут явно ошибки при запуске чего-то .. ладно, если это какая-то разовая обработка - там действительно проще забить ..
а вот если косяк сидит в продуктиве .. то это вопрос только времени до следующего раза.

на меня как то пытались наехать что якобы я что-то в данных удалил.
пришлось сесть перелопатить все журналы, чтобы понять что реально - не я. потом было добавлено логирование, выявлен реальный виновник из бухов и при следующей попытке наезда все логи отправили начальству.
больше бухгалтерия с наездами не звонила ни разу. тональность изменилась на "у нас тут проблема в данных, помогите разобраться что могло произойти".

(53) а потом ты стал получать премию намного меньше и изменились условия и отношения на работе в худшую сторону....
но это наверно было на прошлой работе перед увольнением.

сорян, юмор на больную тему многих. )

(54) на самом деле наоборот, получил грамоту и благодарность коллег - поскольку отношение сменилось не только ко мне лично)

(45) Ну то что не до конца протестированый вредящий код попал в реальную базу это конечно же косяк не разработчиков

(56) когда народа много уже сложно сказать. Каждый доверяет другому и системе. А потом еще и ищут крайних.

(57) Искать крайнего непродуктивно - продуктивно переложить полученный факап в автотест)

(58) тестами все не покрыть. А потом , в моем случае сам результат был типа тестом .. поставка прошла - значит код работает.

(59) Конечно не покрыть, они ведь и не для этого

(60) может быть, но только цена всех этих действий может превышать любую выгоду в 90 процентах случаях.
Ну сколько у нас действительно крупных организаций ? 1000 - 5000 ? а остальные мелочь ..
у меня вот админ в отупуске, а я мышки чищу.

(13) >> Удалены все контактные данные (телефоны, адреса и пр.) И сделано это с моего компа.

Вас разводят. Или пытаются сделать крайним.
По журналу регистрации подобной информации получить невозможно.

Пусть предъявляют всё, что у них есть. Выписку из журнала. И две копии базы на момент ДО выполнения этих действий и сразу ПОСЛЕ.

Наиболее вероятно, что просто тупо отобрали последние события по проблемным объектам. Хотя вовсе не факт, что информация была изменена задолго до этого.

(62) "По журналу регистрации подобной информации получить невозможно" // Нуу, в ЖР будет запись вида "Изменение" (если типовые на БСП, то элемента справочника, если КИ в регистре - изменение регистра)

Интересно чем закончится история, piligrim дай знать сразу, а то мы волнуемся.

кто то поднял логи форума и пошел пинать консультанта .. он теперь с отбитыми пальцами наверное сидит в таалете - прячется.

Что-то автор пропал из ветки.

(66) Его наказывают. В лесу

(67) Или наоборот, он нашел виновного и избавляется от тела

Короче, хэппи энд наступил внезапно...
Не дали мне сегодня докопаться до истины. Я рвался расследовать этот инцидент, одержимый праведным гневом за незаслуженную критику в адрес меня... да ещё и без вазелина. Но мне, сначала вежливо, а потом - не очень, сказали "успокойся и не рыпайся".
Начальник управления ИБ аж подпрыгнул на месте, когда узнал, что во всей нашем управлении любой бомж Вася может почти с любого компа менять данные в справочниках рабочей базы. И много ещё чего сможет сделать с бодуна, смеясь пропитым хриплым голосом и тарабаня воблой по клавиатуре... Подпрыгнул безопасник и понесся наверх, к админам и техподдержке раздавать мешок с пизд...лями и карать их анально, громко вспоминая каких-то богов и боженят.
Так что, судя по всему, я никогда не узнаю правды. А жаль... точнее, пох...й

(69) Вполне ожидаемая рекация)
Не ты виноват, что удалил, а то что это было в принципе возможно.
Значит не все потеряно, если ЛПР стали решать проблему, а не искать виноватого.

(70) Да, им там сейчас не до меня - пуканы дымят и рвутся, грохот на весь Н. Новгород стоит.

(71) Удачи там, думаю что тебя не тронут более.
Еще раз повторю, ты конс и твои права должны быть ограничены, если ты не должен удалять контрагентов, значит ты никаким образом не должен иметь возможность удалять контрагентов) Права - за них отвечают другие люди

(72) Спасибо. Взаимно.
По сути вопроса - абсолютно согласен

(69) на самом деле это не может быть финалом происшествия. Ты не сказал, что за изменения были: в самом контрагенте или в его доках? Обрати внимание, есть ли в изменённых к/а задвоение в базе ИНН, КПП? Есть ли загрузка каких либо доков у этих к/а? Если есть загрузка платежек, с/ф, иных доков из банка? Если загрузки есть, то это может быть причиной изменения данных.

(74) Тормознули меня в моем рвении расследовать этот инцидент. Моя начальница. Я прямо спросил: "в таком случае, вопросов ко мне, я так понимаю, нет?"
Она ответила: "Нет. Успокойся и не рой под собой землю - это дыры в безопасности."
Да, истина не ясна. Но если мне мой руководитель прямо запрещает поднимать кипишь по этому вопросу, я предпочту расценить это, как завершение данного инцидента. Чем лезть на рожон и, если вдруг окажется, что к данному инциденту привели мои действия, оказаться без её защиты и быть выкинутым с позором за некомпетентность, излишнее упрямство и неповиновение указаниям руководства.
Так что, в данной ситуации мне пришлось усмирить свои эмоции и уйти в тень, наблюдая за кипишем в управлении ИБ.

Кстати, большой респект безопасникам, которые пошли заниматься тем, чем надо - устранением причины проблемы, а не легким и приятным наказанием непричастного.

(75) а что за конфа у вас?

(75) хороший слог, интересно пишешь, приятно читать. Либо читаешь много худ литературы, либо сам пишешь.

очень предсказуемая реакция .. чуть копнув обнаружили залежи навоза .. самое логичное это быстро спрятать все обратно, что бы не сбежались остальные выяснять, что случилось.
При этом с правами в большинстве организаций ситуацию разрулить тяжело.

(0) Удаленные контрагенты - это не о чем. Т.к. в базе всегда остаются ссылки удаленных объектов. На пример: Этот контрагент был в документе, а контрагента удалили. В таком документе остается ссылка (УИ) на не существующий объект. Если взять и восстановить контрагентов (обработкой ВыгрузкаЗагрузкаДанныхXML.epf) из резервной выгрузки, то все встанет на свои места (как будто контрагентов и не удаляли).

(80) да не контрагенты это. Адреса он почикал. И контактные телефоны.

(81) Вообще влет восстанавливается из резервной выгрузки. Тут самое сложно понять, что пропало (нужно сравнить данные из двух баз "Контактную Информацию"). Перенести удаленные данные можно той же обработкой (ВыгрузкаЗагрузкаДанныхXML.epf).

(82)Вопрос не в том, как восстановить, а кто виноват и что делать. И откуда у простого консультанта права на это. И какие еще тогда у него права могут быть.

+ И чем думали разработчики, когда отмазывались тем, что это сделал пользователь.

(83) ну, корректировать адрес должны быть права у консультанта. Тем более у пользователя.

(83) Вот уж кто виноват - это не вопрос. Как говорится: То что вы не сидели - это не ваша заслуга, а наша не доработка.

(75) > Тормознули меня в моем рвении расследовать этот инцидент.
> Моя начальница. Я прямо спросил:
> "в таком случае, вопросов ко мне, я так понимаю, нет?"
> Она ответила: "Нет. Успокойся и не рой под собой земл
Ну правильно, как конкретно начинаешь спрашивать так все на места становится.

(85)В моем понимании, консультант только консультирует и никаких действий с данными производить не может в соответствии с должностными обязанностями и в виду отсутствия доступа к первичным документам.

(88) на самом деле консультант должен иметь возможность проводить документы, корректировать данные, чтобы проверить свои знания, изучать новые релизы и так далее. Чтобы показывать на примере, он должен предварительно прогнать этот пример, всё посмотреть, изучить. То есть в обычной жизни никто перекрывать ему кислород не будет, дадут права хотя бы как обычному пользователю.

Видимо тут другая ситуация. ТС похоже постоянно всё громит, крушит и удаляет данные, вот его и ограничили по-полной, даже внешние обработки перекрыли, чтобы он не дай бог куда-нибудь не влез. Однако, он всё равно как-то исхитрился и сумел-таки почикать у них информацию. Поэтому да, получается их недоработка.

(89) доступ только на копии, моделирование и изучение только на копии. В рабочей, кнопки жмут только те, кто отвечает за это.

(89) даже внешние обработки? Это вообще зло, мало ли что они найдут и запустят, внешние обработки только из справочника, которые загружают туда ответственные люди, которые способны анализировать код.

(89) или вы не видели ту статью, где была написана обработка запускающая шифровальщик?

(0) 1. Обновление.
2. Обработка, говнокод.

(0) правильно я понимаю, что ты относишься к саппорту?

(75) Как можно рыть себе яму, если это "дыра в безопасности"? Одно другому противоречит.

(90) для копии постоянно вызывать человека, чтобы он там права корректировал? Каждый день заниматься разработкой прав? Для каждой копии?

(96) В копию и с полными правами пустить можно. Если не нужно давать доступа к данным - обзеличивать данные в копии или вообще пусть с нуля там моделирует.

(95) легко и просто.
Не зря у юристов есть поговорка - чистосердечное признание = быстрый путь на зону.
Не надо обращать внимание на то что помимо основной проблемы с ИБ есть вторая проблема - это ты.
Говно забурлило и не забрызгало - радуйся, ходить и говорить что это ты - ещё и на себя внимание обратить

(98) Так если это не он то "ходить и говорить что это ты" не будет

(78) Спасибо. Напротив, всегда считал себя косноязычным.
(89) Не, не громлю и не крушу. Я туда только недавно пришел - все у них ещё впереди))
Я считаю, что все самообучение должно проводиться ТОЛЬКО в тестовых базах. Там и права уровня "Бог" можно любому дать - на то она и тестовая. В рабочую переносятся уже готовые доработки. Причем, делаем это тоже не мы, ибо нет прав и не наша обязанность. В рабочей базе права должны быть максимально ограничены и ВРЕМЕННОЕ расширение этих прав должно проводиться только при необходимости, в случае запроса от пользователя или его руководства и только на время проведения работ.
Могу быть в этом неправ, ибо далеко не эксперт.
(94) Не совсем. Мы обслуживаем, в основном, нужды бухгалтерии. Сбор требований к доработкам, оформление этих требований в ТЗ для разработчиков, тестирование реализованных доработок в тест-базах...
(98) Я тут недавно. Но Вы меня с самого начала поражали адекватностью Ваших мыслей и четкостью формулировок. Есть тут ещё несколько таких сенсеев. Не комплимент - комплименты мужикам не делаю)) Просто подметил...
В общем, всем спасибо. Инцидент, слава Ктулху, исчерпан. И вообще... завтра пятница. С чем всех и поздравляю.

(100) ну ты аналитик значит говоря языком не 1с, не консультируешь
тебе рабочая база то не очень нужна
зачем она тебе?

(100) ОФФ )) До сотки добрался удачно. Мог бы с этим сабжем дождаться дождаться пятницы.

(101) Аналитик, наверно. Но в трудовой будет запись "Консультант 1С".
Рабочая база нужна. Хотя бы за тем, чтобы не дергать разработчиков по пустякам. Или посмотреть, внесены ли доработки в рабочую базу или ещё нет. Да и много ещё зачем...
(102) Не, я не лайкодрочер. Вообще было бы здорово, если бы эту тему Волшебник снес нафик. А то увидит кто из наших парней - засмеют) Я тут уже итак много наговорил - вычислить меня даже по описанной в первом посте ситуации ничего не стоит.

(103) "вычислить меня даже по описанной в первом посте ситуации ничего не стоит."

Комплекс неловимого Джо не мучает? ))

(104) Я имел ввиду, что могут кто-то из наших заглянуть на огонек. А так да - параноик как есть)) Шапочки из фольги не хватает...

(105) Перед убитием темы огласи работодателя (франч) и ФИО

(106) )))
Лучше подскажите, как можно удалить тут тему? Или пожалуйтесь на тему Волшебнику. Скажите "этот беспредельщик там сиськи показывает". Должно подействовать...

(107) В общем случае никак не удалить. Что написано пером не вырубить топором (с)

(108) Печаль. Ну тогда утоплю её.
Сорри, больше не отвечаю здесь. Всем пока.

(109) Утопить ты тоже её не можешь. Пока в неё пишут, будет наверху.

(110) да-да...это точно)

(100)
>> и ВРЕМЕННОЕ расширение этих прав должно проводиться только при необходимости, в случае запроса от пользователя или его руководства и только на время проведения работ.
Нет, не так. Надо менять БП предприятия, что бы такие случаи не случались. Иначе рано или поздно, либо ответственный забудет забрать права, либо пользователь нечаянно что-то натворит и всё равно будут искать крайних. Только менять БП потом и кровью! Мне нравится монетизация излишних прав.

Приходя на новую работу, абсолютно всегда внедряю свою подсистему во все базы. Там много всего, в т.ч. и всякие регистрации пользователей и запреты. И что самое интересное, сначала пользователи постоянно пытаются переложить свои косяки на соседа и на айтишников, а после пары раз показывания на виновного пальцем (конечно же публично и с фейверками), абсолютно всегда прекращаются попытки косячить, либо склонив голову идут советоваться.
Если пользователь не виноват, то фиг кто его обвинит в подобной фигне, которая в теме.

(113) версионирование сейчас везде есть

(114) Не везде. И оно тяжёлое(((((
Хотя и блок фиксации изменений у меня не из самых лёгких, но всё равно он легче версионирования

+(115) Кроме версионирования у меня там ещё целый ворох модулей. В том числе и обработчики записи всяких данных, всякие журналирования открытия форм и многое другое.

(116) нет желания выложить хотя бы не сам код, а список направлений контроля? Думаю многие были бы благодарны.

(117) Клянусь библией 1С! Планировал всё лето выложить!!!!!! просто стесняюсь же((((
- Там есть блок упрощённого обмена по РИБ, КД и ПД (хоть на выбор, хоть всё вместе)
- Фиксация изменений (только справочники и документы)
- Набор алгоритмов, которые обработчики документов, справочников и регистров. Тут всегда ставлю запреты, сообщалки, контроли всякие и прочее, что понадобится при записи (перед, при, после)
- Рисование блок-схем в екселе. Но это буду переделывать, т.к. алгоритм авторасставления блоков мягко говоря кривой
- Интерфейсные обработчики. Буду переделывать, потому что он заточен под ЦУБД, а уже можно переделать на подписку. Тут рисуются реквизиты, которых нет в стандартной конфе и заполняются данные
- Источники данных. Это очень хорошая штука, предназначенная для сбора всевозможных данных. Отличная штука для напоминалок всяких. Пользователям очень нравится. Стандартными, увы, не пользуются принципиально.
- Менеджер сообщений. Простейшая штука, дублирующая ЖР. Использую для временных следилок за алгоритмами, которые сделали другие люди во зло. Просто удобный интерфейс, подразумевающий дублирование и в ЖР.
- Напоминания. Это именно механизм, который показывает пользователям всякую информацию. Работает совместно с "Источники данных"
- Отложенное проведение. Простейшая штука, позволяющая перепроводить документы после. При этом там вызываются алгоритмы до и после записи.
- Регистрация действий пользователей. Работает совместно с блоком "Регистрация действий" и немного отличается от "Менеджера сообщений". Здесь фиксируются открытия окошек и запись документов и справочников. Этот блок, например, фиксируют кто, когда и что открыл и записал. Так же тут, например, сейчас сделал фиксацию изменений даты запретов, которые штатные (совместно с источниками данных и напоминаниями).
- УправлениеФоновымиЗаданиями. Это просто сбор фоновых заданий, которые висят на одном рег.задании. Работает совместно с "Промежутки времени".
- Промежутки времени. Простейший расчёт интервалов времени по настройкам. Много где применяю, поэтому и включил сюда.

Так же в конфигурации доп.модули включил образцы:
- Рисование реквизитов на форме.
- Примеры команд разных типов, что бы при необходимости выбрать тип

Блок КД: Перенос обычной конверташкой, но только с возможностью контроля доставки информации.

Блок ПД: Штука не доотлажена в боевом варианте, поэтому просто жду удобного случая, на ком набить шишки. Это не альтернатива КД! Она подразумевает перенос данных в виде кучи мелких файлов, с возможностями обратных связей, запросов на перенос тех или иных данных. В общем должна быть интересной, хоть и никому не нужной. На тестовых базах работала на ура

на одной фирме кодер не сошелся во взглядах с начальством, его в 1с залочили, он начал гадить напрямую в скуле
вот как такое контроллировать? если журнал транзакций набегает огромный и парсить его я не нашел вменяемых средств

(115) те типовое ты отключаешь, а юзаешь свое?

(119) зачем ему доступ к скулю был?

(118) большое спасибо, схоронил!

(120) Даже не включаю типовое и юзаю своё. Прям вот первым делом внедряю подсистему ДМ во все конфы и с первых же дней использую. Удобно, кстати. Например, почти все блоки подразумевают корректировку без какого либо обновления конфигурации. Да, это сказывается немного на производительности, но сразу решает целый ворох проблем. Например, незначительное рисование реквизитов, которые ну очень нужны несчастным пользователям, производятся просто и непринуждённо. Или, например, даты запрета устанавливаются без всяких перезагрузок предприятий. В общем просто удобно

(122) Уверяю, рано или поздно и эту работу смогу победить и тогда вечерами обязательно переделаю задуманное.
Там ещё в Источниках данных есть сущность "Сборщики данных". Это задумывалось как интерфейс связи разных баз (конечно же средствами ПД). Увы, блок написан недавно и поэтому сборщики данных пока не сделаны. Увы...