Идея параноидальная.
У пользвоателя не должно быть доступа к базе, но он должен запускать 1С от имени пользователя, у которого доступ к базе открыт.
При этом как-то блокировать меню файл. Это возможно?

Не только меню файл,но и все места,где выбор файла для открытия или сохранения.
Это совсем непросто.
Я по такой схеме браузеры пользователям запускал,чтобы вирусы не ловили.
Опять же,копирование через буфер обмена так не отключишь,а вот запуск excel работать перестанет или будет также запускаться от того же пользователя.

(1) Клинет хочет защитить базу от копирования. Можно конечно поднять IIS локально, но блин из пушки по воробьям, там N точек

когда то делал такое
в батник засовываешь строку запуска 1с вместе с runas
сам батник переупаковываешь в exe (утилиту ищется в гугле bat-to-exe)

сколько интересно за эту дрянь возьмет наша порнозвезда.

(4) Пару палок чая

1м венгерских сосисок?

(0) апач локально поднять и все

(3) Это не помешает скопировать базу открыв диалог выбора файла например в клиент-банке.

(7) апач пашет от имени системы в фоне как сервис вместе с 1С файловой

юзер запускает тонкого клиент а 1С или через браузер на том же компе от другого юзера с урезанными правами

и да гЕнЯ ты меня в очередной раз не удивил своим незнанием основ

(7) Так он хочет без веб-сервера

(11) он просто не умеет

У гыгыгени талант подбирать себе клиентов по уровню развития.

(9) ты в (2) не заметил трех букв IIS?

(12) ошибаешься. Несколько раз разворачивал IIS под 1с. Апач не разворачивал, но думаю дело нехитрое

Я так и не понял, есть доступ или нет доступа?

(6) с поглощением прям у клиента.

(15) Статью только не забудь написать. О героической борьбе нанайского мальчика против несправедливого мира.

(18) зачем гению статьи, он в тренде же - видосик снимет))

я вот думаю, если не ставить апач или иис, то можно:
1. Запретитить пользователю право на обзор папки с базой, это 80% пользователей отсеет.
2. Поставить программу, разрешающую доступ к файлу базы только приложению 1С (посоветуйте бесплатную, которая умеет). Это из серии программ, препятствующих несанкционированному доступу.

(16) куда доступ?
(19) ты перепутал. По видосикам - Леонтьев, но он шас питона душит

(20) Бесплатных не бывает, а те что есть, твои клиенты не потянут.

(22) ты плохо искал, видимо.

(23) а ну, покажи пример для подражания.

(27) ИБ, это закрытая тема. Там люди миллиарды делают. А Беня хочет с наскока залезть туда.
Даже простенький Dallas стоит 15к.

я так понимаю поставить скуль не предлагать?

(0) Останови их, есть же бесплатные сервера для БД, ПосгресСКЛ... :)

(30) только вот лицуху нужно будет докупить серверную)

(31) Жадность, и трудозатраты на реализацию жадности?
Ну тогда (0) "Руби с них по полной..." :)

А так

Как запретить копирование конкретных файлов?
https://social.technet.microsoft.com/Forums/ru-RU/517c78b7-1051-4e33-af07-02dbb1d0c450/105010721082-107910721087108810771090108010901100?forum=xpru

+ Не надо каталог запрещать, просто запретить один файл.

(32) ТС не ищет легких путей, его походу скуль и веб вариант не устраивает. Лучше же пару костылей добавить и возможно, 80% пользователей (3 из 4) не догадаются как базу стянуть.

(29) зачем скуль если IIS проще?
(28) есть такое слово - сегментирование рынка. Программа, которая перекрывает доступ к файлам пишется легко и непринужденно, поэтому не должна стоить дорого.
(33) если они не будут иметь возможность просматривать каталог, не смогут скопировать файл. Ну обычные пользователи, не вооруженные знанием CMD, все лучше чем ничего.
(32) по ссылке не очень понял, рекомендуют Sharepoint, но как это к 1С относится?

я так понимаю, нужно доступ к файлу 1cv8.1CD дать только приложению 1С и тогда все в шоколаде. Вопрос - как.

(35) "зачем скуль если IIS проще", ну так скуль дает помимо этого еще множество возможностей, это и регламентные задания без запущенной 1с, это и бекапы нормальные и многопользовательский доступ к данным. Вы бы для начала расписали, что за контора и какой штат, если там 2 человека работают, то да IIS проще.

(37) это точки РИБ. ну какой там SQL?
там лицензионный софт стоит, SQL будет золотым.

(36) Еще раз вопрос, как вы в диалоге выбора файла запретите 1CD файл копировать?

(39) если доступ к файлу только у 1с, то она его может поместить в буфер, но другое приложение не сможет его скопировать, ок?

(38) ну тогда выломайте все слоты USB и запретите выход в инет, кроме 1ски. Вот тогда даже если скопируют базу, вставить будет некуда))

Послушай специалистов, спрятать файл базы за вебсервером - самое грамотное решение в твоем случае.

Кстати, а меню файл в 1С никак не кастрировать?

(42) да, я послушал, но мой гений ищет и другие варианты

(43) Все можно кастрировать, нарисуйте свой интерфейс с блекждеком и АРМ

(45) все не надо. я про пункт меню Файл спрашиваю

(40) Почему другое? Та же 1С и скопирует. Всё в диалоге выбора файла: В одном каталоге "скопировать в буфер" в другом - "Вставить из буфера.

(38) ты начал работать с лицензионным софтом? Вот это уровень!

(47) тогда надо закрыть меню файл в 1с

(49) а вы думаете диалог выбора файла только там?))

(41) клеем можно заклеить. Либо запретить Mass Storage устройства через какой-нибудь софт для безопасности, по-моему, касторкин секьюрити даже умеет, который для организаций.

зайдет юзвер в номенклатуру в присоединенные файлы и там сделает теневую копию CD

(51) Во, моя идея пошла в оборот)

(53) та было уже все... Каких только е..анашек не видели...

кстати, в Win10 корпоративной разве все еще нельзя mass storage политикой запретить?

самое смешное, что я видел в плане ебзопасности - это на обычном комповом кузове концевик-тампер на вскрытие и сирена от автосигнализации с питанием от батареек :))

(55) так каждый может, а вот красиво залить эпоксидкой - вот это искусство)

(44) другой вариант - спрятать БД за сервером 1с, но как выше сказано он избыточен в твоем случае.

Остальные варианты, во-первых, скорее всего дырявые, во-вторых, будут выглядеть как коровьи мины для ИТ-шников которые придут туда после тебя

(56) Ну хоть током не бил и то хорошо)

Наклейка "Обработка секретной документации на этом компьютере запрещена", регулярные проверки (не помню номер отдела и службу) и доплата за секретность - тоже неплохо в комплексе работают.

(58) >> Остальные варианты, во-первых, скорее всего дырявые, во-вторых, будут выглядеть как коровьи мины для ИТ-шников которые придут туда после тебя

Настоящих гениев минами не запугать :))

(60) Главное, чтобы эта наклейка была выше стикера с паролем. Если ниже - то не сработает :)))

помню находили способ обрезать виндовое меню, как раз команду в нем сделать недоступной.
кажется этот метод как раз для Гения.
если осилит конечно.

(0) iis/apache с файловой базой - идеальное решение для этого кейса.
затрат денег = 0 руб.
усилий гения = 2 часа с перекуром и приёмом кофе.
требования к мощностям местного железа - мало отличаются от запуска локальной файловой базы.

Если локальный комп то только шифрование раздела иначе базу можно просто слить подключив накопитель к ноуту.
Не понимаю конторы которые не могут использовать отдельный комп под серверные нужды и хотят IT безопасности..
Скажи хозяину ларька что комп утащат подмышкой прям с базой)))

Делал это на 7.7. в начале 2000 в реестре 1 ключик прорисуешь и меню файл пропадает во всех приложениях.

в HKEY_CLASSES_ROOT\Directory\shell  нужно добавить пару ключей. работы на 5 минут. ищи в поиске нужные ключи. А так пользователь может запускать РДП сеанс с прописанным запуском 1с и свои права. если вырубить буфер обмена, ограничить сетевые права и поставить маленькую дисковую квоту для данного сеанса то стащить он никуда ничего не сможет.

(67) ну во всех то не надо. хотя...
(65) тащить комп вряд ли будут, это слишком заметно.

(20) что за онанизм? Веб-сервер развернуть не хочешь, а какую-то левую тормозную софтину - пожалуйста. Придет после тебя нормальный 1сник, он как должен будет догадаться, что где-то на компе стоит авнопрограмма, которая режет права пользователя?

(68) склонировать хард с лайвсиди дело 30-40 минут
еще раз - без отдельного сервера забудь по какую то IT безопасность..

(69) веб сервер с ssl иначе снифером подломят

Через пару месяцев ждем ветки "Клиент не делал бэкапы, база рухнула сама, я ничё не делал",

1С пыжилась и сделала тонкие клиенты, а гене не в коня корм

(73) Г1С никогда не делает по-человечески, у него кризис вайти: только костыли, только хардкор!

(74) я наоборот, сторонник человечности, а не аппендикса через гланды. По идее 1с файловая могла бы сделать механизм, чтобы базу нельзя было скопировать.

(75) а как тогда заставить покупать сервер 1С ?

(75) сделала. веб-публикация файловой базы.

runas /user:admin /savecred “C:\Windows\notepad.exe”
меню файл закрывать не обязательно
достаточно закрыть открытие внешних обработок и вывод на печать...

(78) только не /user:admin, а /user:InfobaseUser

(75) твои извраты со сторонними прогами - вот аппендикс через гланды

(68) если во всех не убирать под данным пользователем то что ему помешает произвести копирование файлов базы в другой программе. и контекстное меню копировать вставить нужно убирать. смысла нет строить большие неприступные ворота и забыть построить забор.

(78) Кроме меню файл нужно и табло убирать. Что мешает в 1с запущенной под юзером с нужными правами в табло набрать ФС.КопироватьФайл(<ИмяФайлаИсточника>,<ИмяФайлаПриемника>,<ФлагПерезаписи>)

От просмотра каталога можно защититься,например,сделав файл скрытым и запретить пользователю отключать сокрытие файлов.
А вот от прямого указания файла для копирования никак не спрятаться,так как любой доступ из процесса 1с к файлу для системы будет неоличим.

(75)[По идее 1с файловая могла бы сделать механизм, чтобы базу нельзя было скопировать.]
А нафига 1с про это думать в принципе? Безопасность в компаниях это точно не их забота.. P.s. Любую инфу можно "достать", вопрос цены.

(84) Один процесс может при доступе к файлу наложить блокировку,тогда остальные процесмы прочитать не смогут,но 1с работает в многопользовательском режиме,что не дает так просто закрыть файл,а реализация процесса-посредника для доступа к файлу в планы 1с явно не входит,так как это отодвинет серверные версии.

(85) >>это отодвинет серверные версии

Каким образом? Главный тормоз для параллельности в файловой это блокировка таблиц целиком. Процесс-посредник не решит эту проблему никак. Тут требуется переделка движка файловой СУБД

Сейчас столько средств удаленного администрирования, что даже если пользователь идиот, но у него есть доступ к компу и он может вставить флешку в него то он может дать удаленный доступ профи для которого обойти защиты вида запуска из под другого пользователя и т.п. не будут проблемой.

(86) Главный тормоз в случае файл-сервера - это работа с файлами по сети и особенности кэширования в микрософтовской реализации SMB.
С файловой базой нужно работать или через терминал локально, или же через веб-сервер.

Web-сервер,на самом деле,это и есть тот посредник,о котором мы говорим.
В любом случае,многопользовательсий режим с обменом через файл требует наложения блокировок для предотвращения взаимной перезаписи,тут,например, Excel тоже не с лучшей стороны себя показывает.

(88) речь была про то, что если появится процесс-посредник, резруливающий доступ к файлу БД, то это якобы будет заменой серверной 1с. Для простоты полагаем, что никаких сетевых тормозов у нас нет

(89) так есть транзакционные блокировки в файловой 1с. Только они блокируют таблицы целиком

(90) Так этот "процесс-посредник" - реально замена серверной 1с. Да, с ограничениями и нюансами. Но по факту, там происходит четкое отделение контекстов клиента от сервера, чего нет в чисто файловой базе.

(91) Реально, на масштабах и нагрузках, характерных для файловой базы, транзакционные блокировки практически не проявляют себя на типовых решениях. А работа через веб-сервер реально ускоряет саму по себе работу с файловой базой, тем самым продолжительность транзакции резко снижается, по сравнению с чистым файл-сервером через сеть.

(92) за серверной 1с находится полноценная СУБД с возможностями для параллельной работы юзеров (SQL Server, PostgreSQL). За "процессом-посредником" будет находиться примитивная файловая СУБД

(94) С этим я и не спорю. Но до десятка пользователей с типичной нагрузкой до десятка документов в час файловая база вполне достаточна.

(95) тогда какая польза от посредника, если один фиг разбиваться о файловый движок?

(96) В отличие от файл-серверного доступа, где происходит блочный доступ к файлам базы, здесь происходит чистое общение клиента с сервером по http на уровне "один запрос http - один серверный вызов". Намного меньше зависимость от скорости и латентности сетевого доступа. Намного ниже вероятность повреждения базы при отвале клиентов.

(97) допустим, но в чем тут угроза серверной 1с?

(98) Нет никакой угрозы, просто для небольших организаций есть возможность обойтись без покупки серверной 1с. А когда транзакции станут узким местом - купить серверную лицензию и поднять сервер 1с.

У файловой базы, кстати, есть одна особенность в типовых решениях - там меньше используются фоновые задания для формирования отчетов и обработок данных. То есть в коде стоит проверка "Если ЭтоФайловаяБаза() Тогда ФормироватьСразу() иначе ФормироватьФоновым()". Как правило, тупое "в лоб" формирование быстрее, чем через фоновое задание, где добавляется квант опроса результата выполнения.