Книга знаний

v8: Безопасность 1С:Предприятия 8.0 (клиент-сервер)

Введение

• Достаточно низкая вероятность сбоя системы по внутренним причинам.
  
• Надёжная авторизация пользователей и защита данных от некорректных действий.
  
  
• Эффективная система назначения прав пользователей.
  
• Оперативная система резервного копирования и восстановления в случае сбоя.

Классификация и терминология

• Несанкционированное уничтожение данных
  
• Несанкционированное изменение данных
  
• Несанкционированное копирование данных
  
• Несанкционированное чтение данных
  
• Недоступность данных

• Операторы – пользователи, имеющие ограниченные прикладной ролью права на просмотр и изменение данных, но не обладающие административными функциями
  
• Администраторы системы – пользователи, обладающие административными правами в системе, в том числе административными правами в операционных системах сервера приложений и сервера MS SQL, административными правами на MS SQL и т.п.
  
• Администраторы ИБ – пользователи, которым делегированы отдельные административные функции в информационной базе 1С (такие как добавление пользователей, тестирование и исправление, резервное копирование, настройка прикладного решения и т.п.)
  
• Разработчики системы – пользователи, разрабатывающие прикладное решение. В общем случае доступа к рабочей системе могут не иметь.
  
  
• Лица, не имеющие непосредственного доступа к системе – пользователи, которым не делегированы права на доступ к 1С, но которые в той или иной мере могут влиять на работу системы (обычно это все пользователи того же домена Active Directory, в котором установлена система). Данная категория рассматривается в первую очередь для выявления потенциально опасных субъектов в системе.
  
• Автоматизированные административные сценарии – программы, которым делегированы некоторые функции, предназначенные для автоматического выполнения некоторых действий (например, импорта-экспорта данных)

• ценности защищаемой информации;
  
• затратам на создание инцидента (в случае умышленной угрозы);
  
• финансовым рискам в случае инцидента

Основные особенности механизма информационной безопасности системы

• Данные и конфигурация хранятся в файле, доступном на чтение и запись всем пользователям системы.
  
• Как ниже будет показано, авторизация системы очень легко обходится.
  
• Целостность системы обеспечивается только ядром клиентской части.

• Более надёжное хранение данных.
  
• Изоляцию файлов от прямого доступа.
  
• Более совершенные механизмы транзакций и блокировок.

• Авторизация пользователя по паролю заданному в 1С.
  
• Авторизация пользователя по текущему пользователю Windows.
  
• Назначение ролей пользователям системы.
  
• Ограничение выполнения административных функций по ролям.
  
• Назначение доступных интерфейсов по ролям.
  
• Ограничение доступа к объектам метаданных по ролям.
  
• Ограничение доступа к реквизитам объектов по ролям.
  
• Ограничение доступа к объектам данных по ролям и параметрам сеанса.
  
• Ограничение интерактивного доступа к данным и исполняемым модулям.
  
• Некоторые ограничения выполнения кода.

1. 
   

   Большое количество этапов обработки данных, причем на каждом этапе могут действовать отличающиеся правила доступа к объектам.

   
   
   Несколько упрощённая схема этапов обработки данных, существенных с точки зрения безопасности, приведена на рис.1. Общим правилом для 1С является уменьшение ограничений по мере перехода вниз по данной схеме, поэтому, использование уязвимости на одном из верхних уровней может нарушить работу системы на всех уровнях.
   
   

2. Недостаточно отлаженные процедуры контроля передаваемых данных при переходе с уровня на уровень.

   
   
   К сожалению, далеко не все внутренние механизмы системы идеально отлажены, особенно это касается неинтерактивных механизмов, отладка которых всегда с одной стороны более трудоёмка, но с другой более ответственна. Эта "болезнь" не является проблемой исключительно фирмы 1С, она встречается во многих серверных продуктах большинства вендоров. Лишь в последние годы внимание к этим проблемам значительно возросло.
   
   

3. Недостаточно высокая средняя квалификация разработчиков и администраторов систем, доставшаяся в наследство от предыдущей версии.

   
   
   Продукты линейки 1С:Предприятие изначально были ориентированы на простоту разработки и поддержки и на работу в небольших организациях, поэтому неудивительно, что исторически сложилось так, что значительная часть "разработчиков" прикладных решений и "администраторов" систем не обладают достаточными познаниями и навыками для работы со значительно более сложным продуктом, которым является версия 8.0. Проблему усугубляет и принятая в компаниях-франчайзи практика обучать "в бою" за счет клиентов, не подходя системно к данному вопросу. Необходимо отдать должное фирме 1С в том, что за последние несколько лет эта ситуация постепенно исправляется: серьёзные компании-франчайзи стали более ответственно подходить к проблеме подбора и обучения персонала, уровень информационно-технологической поддержки со стороны фирмы 1С значительно возрос, появились программы сертификаций ориентированные на высокий уровень сервиса; но моментально ситуацию исправить нельзя, поэтому данный фактор следует учитывать при анализе безопасности системы.
   
   

4. Сравнительно небольшой возраст платформы.

   
   
   
   Среди продуктов сходной направленности и целей использования это одно из самых молодых решений. Функциональность платформы более-менее устоялась менее года назад. При этом каждый релиз платформы, начиная в 8.0.10 (именно в этом релизе были реализованы почти все нынешние возможности системы) становился значительно стабильнее предыдущих. Функциональность типовых прикладных решений до сих пор растёт не по дням, а по часам, хотя из возможностей платформы используется от силы половина. Конечно, в таких условиях говорить о стабильности, можно достаточно условно, но в целом необходимо признать, что уже во многих отношениях решения на платформе 1С 8.0 значительно обгоняют по функциональности и производительности (а нередко и по стабильности) аналогичные решения на платформе 1С 7.7.
   

Рекомендации по начальной настройке системы

Соблюдайте общие правила настройки безопасности.

• Доступ к серверам физически ограничен и обеспечена их бесперебойная работа:
  
  • серверное оборудование отвечает требованиям надёжности, замена неисправного серверного оборудования отлажена, для особо критичных участков используются схемы с дублированием аппаратного обеспечения (RAID, питание от нескольких источников, несколько каналов связи и т.п.);
    
  • серверы находятся в запираемом помещении, причем это помещение открывается только на время работ, которые не могут быть выполнены удалённо;
    
  • право открывать помещение серверов есть только у одного-двух человек, на случай экстренной необходимости разработана система оповещения ответственных лиц;
    
  • обеспечено бесперебойное электропитание серверов
    
    
  • обеспечен нормальный климатический режим работы оборудования;
    
  • в помещении серверов есть пожарная сигнализация, нет вероятности затопления (особенно касается первых и последних этажей);
• Настройки сети и информационной инфраструктуры предприятия выполнены корректно:
  
  • на всех серверах установлены и настроены брандмауэры;
    
  • все пользователи и компьютеры авторизованы в сети, пароли достаточно сложны, чтобы их нельзя было подобрать;
    
  • у операторов системы достаточно прав для нормальной работы с ней, но нет прав на административные действия;
    
  • на всех компьютерах сети установлены и включены антивирусные средства;
    
  • желательно, чтобы пользователи (кроме администраторов сети) не обладали административными правами на клиентских рабочих местах;
    
  • доступ в Интернет и к съёмным носителям информации должен быть регламентирован и ограничен;
    
  • системный аудит событий безопасности должен быть настроен;
• Решены основные организационные вопросы:
  
  • пользователи обладают достаточной квалификацией для работы с 1С и аппаратными средствами;
    
  • пользователи извещены об ответственности за нарушение правил эксплуатации;
    
    
  • назначены материально ответственные на каждый материальный элемент информационной системы;
    
  • все системные блоки опломбированы и закрыты;
    
  • особое внимание уделите инструктажу и контролю над уборщиками помещений, строителями и электриками. Эти лица могут по неосторожности нанести ущерб, который не сопоставимо больше умышленного вреда, причинённого недобросовестным пользователем системы.

• MS SQL Server, сервер приложений и клиентская часть работают на разных компьютерах, серверные приложения работают под правами специально созданных пользователей Windows;
  
• Для MS SQL Server
  
  • установлен режим смешанной авторизации
    
  • пользователи MS SQL, входящие в роль serveradmin, не участвуют в работе 1С,
    
  • для каждой ИБ 1С создан отдельный пользователь MS SQL, не имеющий привилегированного доступа к серверу,
    
    
  • пользователь MS SQL одной ИБ не имеет доступа к другим ИБ;
• Пользователи не имеют непосредственного доступа к файлам сервера приложений и сервера MS SQL
  
• Рабочие места операторов оснащены ОС Windows 2000/XP (не Windows 95/98/Me)

Ознакомьтесь с рекомендациями разработчиков системы.

1. Особенности работы приложений с сервером 1С:Предприятия
   
2. Размещение данных 1С:Предприятия 8.0
   
3. Обновление 1С:Предприятия 8.0 пользователями Microsoft Windows без прав администратора
   
4. Редактирование списка пользователей от лица пользователя, не имеющего административных прав
   
5. Настройка параметров брандмауэра Windows XP SP2 для работы SQL Server 2000 и SQL Server Desktop Engine (MSDE)
   
6. Настройка параметров COM+ Windows XP SP2 для работы сервера 1С:Предприятия 8.0
   
   
7. Настройка параметров брандмауэра Windows XP SP2 для работы сервера 1С:Предприятия 8.0
   
8. Настройка параметров брандмауэра Windows XP SP2 для работы HASP License Manager
   
9. Создание резервной копии информационной базы средствами SQL Server 2000
   
10. Вопросы установки и настройки 1C:Предприятия 8.0 в варианте "клиент-сервер" (одна из важнейших статей)
    
11. Особенности настройки Windows Server 2003 при установке сервера 1С:Предприятия 8.0
    
12. Регулирование доступа пользователей к информационной базе в клиент-серверном варианте (одна из важнейших статей)
    
13. Сервер 1С:Предприятия и SQL-сервер
    
14. Детализированная процедура установки 1С:Предприятия 8.0 в варианте "клиент-сервер" (одна из важнейших статей)
    
15. Использование встроенного языка на сервере 1С:Предприятия

Прочие рекомендации

Используйте для пользователей возможности авторизации совмещённой с авторизацией Windows

Создавая роли прикладного решения, не добавляйте прав "про запас"

Проводите регулярный просмотр журналов регистрации и протоколов работы системы

Некоторые особенности работы клиент-серверного варианта

Хранение информации, управляющей доступом к системе

Хранение списка пользователей ИБ

• выполняем команду: <1C>UPDATE PARAMS SET FileName = '- users.usr' WHERE FileName = 'users.usr'</1C>
  
• т. к. система не находит список пользователей, то можно запустить конфигуратор без авторизации;
  
• выполняем команду:

  UPDATE PARAMS SET FileName = 'users.usr' WHERE FileName = '- users.usr'

  
  
• открываем исходный список пользователей, который можно редактировать;

Хранение информации о списке ИБ на сервере

• Работа всех ИБ на сервере приложений и на сервере MS SQL под одним набором прав (скорее всего избыточным)
  
• Из процесса сервера приложений 1С (или в общем случае от пользователя USER1CV8SERVER или его аналога) без указания пароля можно легко подключаться к любой ИБ без указания пароля

Отсутствие авторизации при создании ИБ на сервере

• MS SQL Server 2000 (например, сетевое имя SRV1)
  
• Сервер 1С:Предприятие 8.0 (сетевое имя SRV2)
  
• Клиентская часть 1С:Предприятие 8.0 (сетевое имя WS)

1. USER (злоумышленно) обеспечивает существование фиктивного временного сервера MS SQL на одной из рабочих станций в сети. Здесь есть 2 основные возможности:
   
   • USER является локальным администратором WS и устанавливает MS SQL Server
     
   • USER обеспечивает доступ к серверу на дополнительном ПК, например на ноутбуке или вне локальной сети.
2. Фиктивный сервер MS SQL назовём EXTERN.
   
3. USER обладает достаточными полномочиями для создания БД SQL на EXTERN.
   
4. <FONT COLOR=”#FF0000”>Внимание! Пользователь создаёт пустую ИБ 1С, использующую в качестве хранилища данных EXTERN, и регистрирует её на сервере приложений 1С SRV2.
   <IMG SRC="166/fig3.png">
5. Пользователь создаёт в полученной ИБ конфигурацию особого вида, содержащую серверные модули. Данные модули будут исполняться на SRV2 в контексте пользователя USER1CV8SERVER или аналогичного.
   
6. При выполнении на сервере доступны некоторые потенциально небезопасные способы доступа к файловой системе сервера приложений и некоторым COM-объектам. Например, объекты ЧтениеТекста, COMОбъект, метод Выполнить глобального контекста и т.п. выполняются на сервере SRV2 с правами пользователя USER1CV8SERVER или аналогичного (эта возможность подробнее рассматривается ниже)
   
   
7. Т.к. выполнение на сервере происходит от имени пользователя USER1CV8SERVER или аналогичного, то возможно чтение файла srvrib.lst, в котором в явном виде указываются пароли и имена пользователей SQL Server, которыми пользуется SRV2 при доступе к SRV1. Запретить процессу сервера читать данный файл невозможно по принципу действия системы.
   
8. С учетом того, что большую часть действий можно произвести заранее, реализовав их в виде программы на встроенном языке 1С, специалистом может быть составлена очень простая инструкция для по использованию вредоносной программы. Размер файла конфигурации может в случае специализированной конфигурации быть очень небольшим.

Рекомендация: Необходимо:

• настроить безопасность COM+ на сервере приложений таким образом, чтобы только пользователи 1С имели право на подключение к процессу сервера приложений (подробнее [ИТС12]);
  
• файл srvrib.lst должен быть доступен только на чтение пользователю USER1CV8SERVER (для добавления новой ИБ на сервер временно разрешать запись);
  
• для подключения к MS SQL использовать только протокол TCP/IP, в этом случае можно:
  
  • ограничивать подключения при помощи брандмауэра;
    
  • настроить использование нестандартного порта TCP, что усложнит подключение "посторонних" ИБ 1С;
    
  • использовать шифрование передаваемых данных между сервером приложений и сервером SQL;
• настроить брандмауэр сервера так, чтобы использование посторонних серверов MS SQL было невозможным;
  
• использовать внутрисетевые средства безопасности для исключения возможности появления неавторизованного компьютера в локальной сети (IPSec, групповые политики безопасности, брандмауэры и т.п.);
  
• ни в коем случае не предоставлять пользователю USER1CV8SERVER административные права на сервере приложений.

Использование кода, выполняемого на сервере

#Если Сервер Тогда

Функция НаСервере(Парам1, Парам2 = 0) Экспорт // Эта функция, несмотря на её простоту, выполняется на сервере
    Парам1 = Парам1 + 12;
    Возврат Парам1;
КонецФункции
#КонецЕсли

• код выполняется с правами USER1CV8SERVER на сервере приложений (доступны COM-объекты и файлы сервера);
  
• все пользовательские сессии выполняются одним экземпляром службы, поэтому, например, переполнение стека на сервере вызовет отключение всех активных пользователей;
  
• отладка серверных модулей затруднена (например, в отладчике нельзя поставить точку останова), но должна быть осуществлена;
  
• передача управления от клиента серверу приложений и обратно может потребовать значительных ресурсов при больших объёмах передаваемых параметров;
  
• использование интерактивных средств (форм, табличных документов, диалоговых окон), внешних отчетов и обработок в коде на сервере приложений невозможна;
  
• использование глобальных переменных (переменные модуля приложения, объявленные с указанием "Экспорт") недопустимо;

• никакие действия клиентского приложения не должны прерывать работу сервера (кроме административных случаев);
  
• на сервере не может выполняться программный код, полученный от клиента;
  
  
• ресурсы должны "справедливо" распределяться по подключениям клиентов, обеспечивая доступность сервера вне зависимости от текущей загруженности;
  
• при отсутствии блокировок данных, подключения клиентов не должны влиять на работу друг друга;
  
• на сервере нет пользовательского интерфейса, но должны быть развиты средства мониторинга и протоколирования;

Передача параметров

• Передавать между клиентом и сервером (в обе стороны) можно только немутабельные значения (т.е. значения которых не могут изменяться): примитивные типы, ссылки, универсальные коллекции, значения системных перечислений, хранилище значения. При попытке передать что-либо другое – аварийное завершение клиентского приложения (даже, если передавать некорректный параметр пытается сервер).
  
• Не рекомендуется при передаче параметров передавать большие объёмы данных (например, строки более 1 миллиона символов), это может негативно сказаться на производительности сервера.
  
• Нельзя передавать параметры, содержащие циклическую ссылку, причем как с сервера на клиент, так и обратно. При попытке передать такой параметр – аварийное завершение клиентского приложения (даже если передавать некорректный параметр пытается сервер).  
  
• Не рекомендуется передавать очень сложные коллекции данных. При попытке передачи параметра с очень большим уровнем вложения происходит аварийное завершение сервера (<FONT COLOR=«#FF0000»>!).

УровеньВложенности = 1250;
М = Новый Массив;
ПередаваемыйПараметр = М;
Для Сч = 1 По УровеньВложенности Цикл
    МВнутр = Новый Массив;
    М.Добавить(МВнутр);
    М = МВнутр;
КонецЦикла;
СервернаяФункция(ПередаваемыйПараметр);

Использование небезопасных функций на стороне сервера.

• способные предоставить возможность выполнения кода, не содержащегося в конфигурации (группа "Выполнение кода")
  
• способные предоставить в клиентское приложение информацию о файловой и операционной системе пользователя или выполнить действия, не связанные с работой с данными ("Нарушение прав")
  
• способные вызвать аварийную остановку сервера или использующие очень большие ресурсы (группа "Сбой сервера")
  
• способные вызвать отказ в работе клиента (группа "Сбой клиента") – данный вид не рассматривается. Пример: передача мутабельного значения на сервер.
  
• ошибки алгоритмов программирования (бесконечные циклы, неограниченная рекурсия и т.п.) ("Ошибки программирования")

Процедура Выполнить(<Строка>)

Выполнение кода. Позволяет выполнить фрагмент кода, который передается ему в качестве строкового значения. При использовании на сервере необходимо проследить, чтобы в качестве параметра не использовались данные, полученные с клиента. Например, недопустимо следующее использование:

#Если Сервер Тогда

Процедура НаСервере(Парам1) Экспорт
    Выполнить(Парам1);
КонецПроцедуры
#КонецЕсли

Тип "COMОбъект" (конструктор Новый COMОбъект(<Имя>, <Имя сервера>))

Нарушение прав и выполнение кода. Создает COM-объект внешнего приложения под правами USER1CV8SERVER на сервере приложений (или другом указанном компьютере). При использовании на сервере, проследить, что параметры не передаются с клиентского приложения. Однако на стороне сервера эффективно использовать эту возможность при импорте/экспорте, отправке данных по сети Интернет, реализации нестандартных функций и т.п.

Функция ПолучитьCOMОбъект(<Имя файла>, <Имя класса COM>)

Нарушение прав и выполнение кода. Аналогично предыдущему, только получение COM-объекта, соответствующего файлу.

Процедуры и функции ИмяКомпьютера(), КаталогВременныхФайлов(), КаталогПрограммы(), ПользователиWindows()

Нарушение прав. Позволяют, выполнив их на сервере, выяснить детали организации серверной подсистемы. При использовании на сервере, проследить, что данные либо не передаются на клиент, либо не доступны операторам без соответствующего допуска. Особое внимание обратите на то, что данные обратно могут быть переданы в параметре, переданном по ссылке.

Процедуры и функции работы с файлами (КопироватьФайл, НайтиФайлы, ОбъединитьФайлы и многие другие), а также типы "Файл".

Нарушение прав. Позволяют, выполнив их на сервере, получить общий доступ к локальным (и расположенным в сети) файлам, доступным под правами пользователя USER1CV8SERVER. Если используются осознанно, то возможна эффективная реализация таких задач, как импорт/экспорт данных на сервере.


Обязательно проверяйте права пользователя 1С перед использованием данных функций. Для проверки прав пользователя можно использовать следующую конструкцию в модуле сервера:

#Если Сервер Тогда

Процедура ВыполнитьРаботуСфайлом() Экспорт
    РольАдминистратор = Метаданные.Роли.Администратор;
    Пользователь = ПараметрыСеанса.ТекущийПользователь;
    Если Пользователь.Роли.Содержит(РольАдминистратор) Тогда
        //Здесь выполняется код работы с файлами
    КонецЕсли;
#КонецЕсли

Обязательно проверяйте параметры, если применяете эти процедуры и функции, в противном случае остаётся риск нанести случайно или осознанно непоправимый вред серверу приложений 1С, например, при выполнении на сервере кода:

Путь = "C:\Documents and Settings\All Users\Application Data\1C\1Cv8\";
ПереместитьФайл(Путь + "srvrib.lst", Путь + "ВотКудаДелсяФайл");

После выполнения такого кода на сервере, если у пользователя USER1CV8SERVER есть права на его изменение, о чём было написано выше, и после перезапуска процесса сервера (по умолчанию через 3 минуты после выхода всех пользователей), возникнет БОЛЬШОЙ вопрос по запуску сервера. А ведь возможно и полное удаление файлов...

Типы "XBase", "ДвоичныеДанные", "ЧтениеXML", "ЗаписьXML", "ПреобразованиеXSL", "ЗаписьZipФайла", "ЧтениеZipФайла", "ЧтениеТекста", "ЗаписьТекста"

Нарушение прав. Позволяют, выполнив их на сервере, получить доступ к локальным (и расположенным в сети) файлам определённых типов и выполнять их чтение/запись под правами пользователя USER1CV8SERVER. Если используются осознанно, то возможна эффективная реализация таких задач, как импорт/экспорт данных на сервере, протоколирование работы некоторых функций, решение административных задач. В целом рекомендации совпадают с предыдущим пунктом, но следует учитывать возможности передачи данных этих файлов (но не объектов всех этих типов) между клиентской и серверной частью.

Тип "СистемнаяИнформация"

Нарушение прав. Позволяет, при некорректном использовании и передаче данных в клиентскую часть приложения можно получить данные о сервере приложений. Желательно при использовании ограничивать право использования.

Типы "ИнтернетСоединение", "ИнтернетПочта", "ИнтернетПрокси", "HTTPСоединение", "FTPСоединение"

Нарушение прав. При использовании на сервере осуществляет соединение с удалённым ПК с сервера приложений под правами USER1CV8SERVER. Рекомендации:

• Контроль параметров при вызове методов.
  
• Контроль прав пользователя 1С.
  
• Жёсткие ограничения прав пользователя USER1CV8SERVER на доступ к сети.
  
• Правильная настройка брандмауэра на сервере приложений 1С.

При правильном использовании удобно организовывать, например, рассылку электронной почты с сервера приложений.

Типы "МенеджерПользователейИнформационнойБазы", "ПользовательИнформационнойБазы"

Нарушение прав. При некорректном использовании (в привилегированном модуле) возможно добавление пользователей или смена параметров авторизации существующих пользователей.

Функция Формат

Сбой сервера. Да! Эта, вроде бы безобидная функция, если не контролировать её параметры и выполнить на сервере, способна вызвать аварийное завершение приложения сервера. Ошибка проявляется при форматировании чисел и использовании режима вывода ведущих нулей и большого количества знаков, например

Формат(1, "ЧЦ=999; ЧВН=");

Надеюсь, эта ошибка будет исправлена в ближайших релизах платформы, а пока во всех вызовах этой функции, которые могут исполняться на сервере, проконтролируйте параметры вызова.

Процедуры и функции сохранения значений (ЗначениеВСтрокуВнутр, ЗначениеВФайл)

Сбой сервера. Эти функции не обрабатывают циклические ссылки в коллекциях и очень большую глубину вложенности, поэтому в некоторых очень специальных случаях могут вызвать аварийное завершение.

Ошибки граничных и особых значений параметров в функциях. Контроль выполнения.

• Для функций встроенного языка проверяйте параметры их запуска (яркий пример – функция "Формат")
  
• При использовании циклов убедитесь, что условие выхода из цикла срабатывает. Если цикл потенциально бесконечный ограничьте искусственно количество итераций:

  МаксимальноеЗначениеСчетчикаИтераций = 1000000;
  СчетчикИтераций = 1;
  Пока 
      ФункцияКотораяМожетНеВернутьЛожногоЗначения() 
      И (СчетчикИтераций<МаксимальноеЗначениеСчетчикаИтераций) Цикл
      
      //.... Тело цикла
      СчетчикИтераций = СчетчикИтераций + 1;
  КонецЦикла;
  Если СчетчикИтераций>МаксимальноеЗначениеСчетчикаИтераций Тогда
      //.... обработать событие чрезмерно долгого выполнения цикла
  КонецЕсли;

  
  
  
• При использовании рекурсии ограничивайте максимальный уровень вложенности.
  
• При формировании и выполнении запросов старайтесь предотвратить очень долгие выборки и выборки большого количества информации (например, при использовании условия "В ИЕРАРХИИ" не используйте пустое значение)
  
• При проектировании информационной базы обеспечьте достаточно большой запас разрядности для чисел (иначе сложение и умножение становится некоммутативным и неассоциативным, что затрудняет отладку)
  
• В исполняемых запросах проверьте логику работы на наличие значений NULL и корректную работу условий и выражений запроса с использованием NULL.
  
• При использовании коллекций контролируйте возможность их передачи между сервером приложений и клиентской частью.

Использование терминального доступа к клиентской части для ограничения доступа

• Возможность блокировать работу других пользователей путём захвата чрезмерного количества ресурсов
  
• Доступ к данным других пользователей.
  
• Несанкционированное копирование данных с терминального сервера на компьютер пользователя

• Повысить надёжность работы (при сбое на компьютере-терминале пользователь может впоследствии продолжить работу с того же места)
  
  
• Ограничить доступ к клиентскому приложению, сохраняемым им файлам.
  
• Перенести вычислительную нагрузку с рабочего места пользователя на сервер терминального доступа
  
• Более централизованно управлять настройками системы. Для пользователей сохранённые настройки будут действительны вне зависимости от того, с какого компьютера они вошли в систему.
  
• В некоторых случаях можно использовать терминальное решение для удалённого доступа к системе.

Необходимо ограничивать количество возможных соединений с сервером терминалов одного пользователя

Нельзя допускать запуска более одного-двух клиентских приложений 1С одновременно в одном подключении

Не рекомендуется давать права на доступ к терминальному серверу пользователям, обладающих правом запуска ресурсоёмких вычислительных задач в 1С или предотвращать такой запуск во время активной работы других пользователей.

Необходимо удостовериться, что каждый пользователь имеет права на запись только в строго определённые каталоги сервера терминалов и другие пользователи не имеют к ним доступа.

Необходимо запретить подключение (mapping) дисковых устройств, принтеров и буфера обмена клиентского рабочего места.

Сетевой файловый доступ с сервера терминалов должен быть ограничен.

Необходимо исключить возможность запуска всех приложений кроме 1С:Предприятия на терминальном сервере.

• При входе в терминальный режим не запускается стандартное меню "Пуск" Windows или оно в значительной мере ограничено политикой безопасности и настройками меню "Программы". Как предельный вариант ограничений – использовать запуск 1С вместо запуска Explorer (возможно, сразу с ключами командной строки, определяющими ИБ). При использовании ICA лучше использовать seamles mode.
  
• Пользователь не может запустить окно "Запуск программы" (рис 5.). Это можно сделать из меню "Пуск" или нажав Win+R или из диспетчера задач. Также необходимо проверить невозможность запустить приложение "CMD" путём запуска ярлыка.
  
  <IMG SRC="166/fig4.png">
• Диспетчер задач недоступен (ни по Ctrl+Alt+Del, ни по Ctrl+Shift+Escape никаким другим образом). При использовании RDP не в полноэкранном режиме или при использовании ICA вместо стандартных комбинаций используются другие.
  
• Нельзя запустить сценарии VBScript и файлы ".bat" и ".cmd".
  
• При появлении окна выпора файла в контекстном меню файлов нельзя выбрать ничего кроме его открытия в 1С (пункт "Выбрать").
  
  
• Нельзя открыть файлы MS Office и других программ с возможностью доступа к программированию (в MS Office переход к редактированию программы – Alt+F11).
  
• Пользователь не может самостоятельно зарегистрировать COM-объект.
  
• Элементы управления ActiveХ в IE запрещены.

Учитывайте ограничения штатного журнала регистрации (все пользователи используют программу с одного компьютера)

Сервер терминалов – защита или уязвимость?

Работа клиентской части

Использование Internet Explorer (IE)

• Создайте новый HTML-документ (Файл -> Новый -> HTML документ).
  
• Перейдите на закладку "Текст" пустого документа.
  
  
• Удалите текст (полностью).
  
• Перейдите на закладку "Просмотр" этого документа
  
• При помощи drag-n-drop переместите из открытого проводника в окно документа файл с расширением SWF (это файлы flash-роликов), например из кеша браузера, хотя можно и с FLASH-игрушкой для забавы.
  
• Какая прелесть! На 1С можно запустить игрушку!

Использование внешних отчетов и обработок.

Использование стандартных механизмов типовых решений и платформы (обмен данными)

Печать списков

Любой список (например, справочник или регистр сведений) в системе, можно распечатать или сохранить в файл. Для этого достаточно использовать штатную возможность, доступную из контекстного меню и меню "Действия":


<IMG SRC="166/fig5.png">


Учитывайте, что фактически всё, что пользователь видит в списках, может быть выведено во внешние файлы. Единственное, что можно посоветовать – ведите протокол печати документов на серверах печати. Для особо критичных форм необходимо настроить панель действий, связанную с защищаемым табличным полем так чтобы возможность вывода списка не была доступна из этой панели, и отключить контекстное меню (см. рис 6).



<IMG SRC="166/fig6.png">

Обмен данными в распределённой базе

Формат обмена данными достаточно прост и описан в документации. Если у пользователя есть возможность подменить несколько файлов, он может внести неавторизованные изменения в систему (хотя это занятие достаточно трудоёмкое). Возможность создания периферийной базы при использовании планов обмена распределённой базы данных не должна быть доступна обычным операторам.


Рекомендация: ограничить доступ к файлам обмена (оставить только администраторам ИБ), использовать шифрование.

Стандартный обмен данными XML

В стандартном обмене данными, который используется для обмена между типовыми конфигурациями (например, "Управление торговлей" и "Бухгалтерия предприятия") есть возможность указать в правилах обмена обработчики событий загрузки и выгрузки объектов. Реализуется это получением обработчика из файла и процедурой "Выполнить()" стандартной обработки загрузки и выгрузки файла (процедура "Выполнить()" запускается на клиентской части). Очевидно, что несложно создать такой фальшивый файл обмена, который будет выполнять вредоносные действия. Для большинства ролей пользователей типовых решений обмен по умолчанию разрешён.


Рекомендация: ограничить доступ к XML-обмену для большинства пользователей (оставить только администраторам ИБ). Вести протоколы запусков этой обработки, сохраняя файл обмена, например, посылая его электронной почтой администратору ИБ до загрузки.

Использование универсальных отчетов, особенно консоли отчетов

Еще одной проблемой является доступ пользователей по умолчанию к универсальным отчетам, особенно это касается отчета "Консоль отчетов". Этот отчет характерен тем, что позволяет выполнить практически любые запросы к ИБ, и, если даже система прав 1С (в том числе RLS) настроена достаточно жёстко, позволяет пользователю получить много "лишней" информации и заставить сервер выполнять такой запрос, который отнимет все ресурсы системы.


Рекомендация: отчет "Консоль отчетов" использовать только для администраторов ИБ.

Использование полноэкранного режима (режима рабочего стола)

Резервное копирование

• Необходимость выбора места хранения резервных копий таким образом, чтобы они не были доступны пользователям.
  
• Необходимость хранения резервных копий на физическом удалении от сервера MS SQL (на случай стихийных бедствий, пожаров, нападения и
  т.п.)
  
• Возможность дать права на запуск резервного

Описание | Рубрикатор | Поиск | ТелепатБот | Захваченные статьи | Установки | Форум
© Станислав Митичкин (Волшебник), 2005-2025 | Mista.ru