Привет имеется server 2019, 1c 8.3, все работают Тонкими клиентами
Как обеспечить безопасность базы?

Понятно что сложные пароли и скрыть имя пользователя в списке.
А что еще?

Windows - авторизация.

(0) Публикацию веб клиента, одата и всего что не надо отключить.
+ как уже господин выше сказал виндоус авторизация

(2) + если заморочится https://wonderland.v8.1c.ru/blog/dvukhfaktornaya-autentifikatsiya/ тоже будет не лишним

Так, не расходимся, я сейчас почитаю и будут еще вопросы.

ну и напоследок в впн все засунь

(0) https?

(0) безопасность от каких угроз?

(1) там есть ДЫРИЩА в безопасности, то есть требуются еще кое какие действия.

(5) смотрю на впн, но что-то сторонний софт использовать не хочу, толи я не то читаю
(6) нет
(7) база доступна в сети

>>>база доступна в сети

и что?

совершенно разные меры нужно предпринимать для противодействия копированию, разрушению, внедрению кода....

(8) Подробностей бы

(11)
Скажу в кратце так в большинстве контор эта дырочка позволит злоумышленику получить чужие доменные права.

Дальше описывать - не буду, нашел я ее случайно, инфы в сети нет, если расчехлю то будет очень плохо.

(12) На партнерку / [email protected] писал?

(13) нет, там исправить я не знаю как, проблема на очень низком уровне.

Единственное успокоение - рядовой доменный юзер не может воспользоваться этой дырой.

(14) > рядовой доменный юзер не может
Нерядовой доменный юзер, он какбэ и без 1С может

(15) приведи пример как рядовой 1с ник может получить себе права доменного админа?

(16) ты определись уже - рядовой или не рядовой

(17) рядовой - это тот который создается по дефолту, например у рядового юзера нет прав локального админа.

(18) Ну все, согласно твоему (14) рядовой доменный юзер не может воспользоваться этой дырой.
А нерядовой обладает куда более расширенным набором прав и может обойтись в своих вредоносных действиях без 1С.

А так, да влегкую - настроить запуск сервера 1С из под localsystem на том единственном компьютере, который "в большинстве контор" и контроллер домена и терминальный сервер и файлопомойка.

(0) >> все работают Тонкими клиентами
Это какое-то бессмысленное утверждение. Тонкими клиентами можно работать буквально в любом режиме, в любых комбинациях как простого файлового режима, так и классического клиент-серверного, с любыми прослойками, хоть в виде веб-сервера, хоть через RDP, хоть через сервер 1С. Ну и «безопасность» в каждом случае будет сильно разная.

(18) те с помощью 1с можно локального админа повысить до доменного?
Чтото я сомневаюсь. Это была бы дыра винды, а не 1с. Если конечно сам сервер не запущен под доменным админом

(22) можно получить полный доступ (включая пароль) к любой виндовой учетке пользователя использующего 1с с доменной авторизацией

(23) Если речь не идет об имперсонализации, разрешаемой например, настройками web публикации, то нельзя. Ну и в любом случае это - функциональность windоws и 1С здесь не причем.

Ну и классический случай запуска 1С под администратором домена.

(25) (24) другое

(23) Какая интрига. Неужели сервер 1С может взломать всю систему безопасности домена Windows? Т.е. будучи админом кластера 1С (разработчиком) можно его так настроить, что после того, как админ домена зайдёт в его базу, разработчик 1С получит все права в домене?

(27) примерно так (очень условно, в реальности по другому, но расписывать механизмы не буду)

(28) >  примерно так
Удивительно. 1С позволяет написать код, который при выполнении под правами пользователя позволяет сделать что-то, что пользователь может сделать без 1С. Тем самым происходит взлом всей системы безопасности домена Windows и виновата в этом, конечно 1С.

(28) Да бред какой то. Это может говорить только человек незнающий как в домене происходит аутентификация.

(29) (30) нет, не так...

(30)
- Знаешь, как заинтересовать идиота?
- Нет
- Не скажу.

=)

(23) даже пароль можно виндовый получить? вот эта новость. Да за такое сама МС десяточку отслюнявит, а то и больше

(33) я кстати проверю это завтра на актуальных версиях, сейчас заказал себе виртуальное окружение для тестов.

кстати я понял как 1с могла-бы это пофиксить, есть один способ который вроде должен работать, проверю и его (а то вдруг они уже давно все пофиксили)...

вроде 1с заделали,

заделали когда перешли на ntlmssp ....

Доменная авторизация - это получение имени домена и пользователя windows.
Подменой dll вместо этих значений можно любые строки зафигачить.
Да и вообще,подмена dll позволяет делать чудеса.
Но,это все на клиенте,то есть,если ни у одного пользователя в базе нет доменной авторизации,то в базу злоумышленник не попадет.
С тонкого клиента через http-публикацию получается наиболее высокая безопасность.
Но,если у пользователя есть права что-то изменять,то нужно понимать,что он может что-то испортить.

(36) > Доменная авторизация - это получение имени домена и пользователя windows.
Авторизация - это предоставление прав. А то, про что ты пытаешся говорить, назвается идентификация и, возможно, последующая аутентификация.

Для 1с это как раз авторизация,так как используется для подтверждения пользователя.
То,что реально авторизация под пользователем windows выполнялась в момент входа в систему - это уже другое.
И подменяет понятия именно 1с.

Подтверждение пользователя - это аутентификация.
Изобретение своей терминологии, оно, гм... характерно.

Подтверждение пользователя - это авторизация.
Аутентификация - это подтверждение того,что субьект,выполняющий действие,яаляется данным пользователем.

И весь анекдот в том,что в случае,так называемой доменной авторизации нет никакой аутентификации вообще.
Система просто берет имя доменного пользователя,а потом по этому значению выполняет поиск пользователя 1с, тут даже идентификации как таковой нет - просто использование записи в таблице.
И вот происходит авторизация,так как сеансу назначается пользователь.

(41) ты не прав, посмотри журнал безопасности на сервере 1с