Заделываем дыры в сервере приложений 1С и вокруг него


    В сегодняшней статье я расскажу об уязвимостях сервера 1С в корпоративной сети.


    Как показала практика, в инсталляциях с 1С все допускают одни и те же ошибки разной степени серьезности. Я не буду касаться очевидных вещей вроде установки обновлений, но пройдусь по специфике работы сервера приложений под Windows. Например, по возможности бесконтрольно манипулировать базами Microsoft SQL с помощью инструментов 1С.


    Исторически так сложилось, что редко когда системные администраторы и программисты 1С работают как одна команда. Чаще всего специалисты по 1С не вникают в тонкости системного администрирования, а сисадмины не стремятся постичь нюансы работы 1С.

    И получается инфраструктура с «детскими болячками», очевидными для специалиста по ИБ ― ниже привожу личный ТОП таких проблем.


    Запускаем сервер правильно


    По умолчанию платформа 1С при установке создает специальную учетную запись с ограниченными правами, под которой работают службы сервера ― USR1CV8. Все идет хорошо, до тех пор пока не становятся нужны ресурсы сети: например, для автоматических выгрузок-загрузок. Учетная запись по умолчанию не имеет доступа на сетевые папки домена, поскольку является локальной.


    В своей практике я встречал множество способов решения этой задачи: папки с доступом на запись для группы «Все», сервер 1С под учетной записью с правами администратора домена, явно прописанные в коде учетные данные для подключения сетевого ресурса. Даже запуск сервера 1С под пользовательской сессией как обычное приложение.



    Заходим на сервер по RDP, видим такое окно и получаем нервный тик.


    Конечно, «захардкоженые» пароли и сетевые ресурсы с анонимным доступом на запись встречаются редко. В отличие от работы сервера 1С из-под обычной доменной учетной записи. Разумеется, с возможностью выполнить произвольный код «на сервере».


    Как известно любому 1С-нику, но не любому системному администратору, в обработках 1С есть два режима выполнения процедур: на сервере и на клиенте. Запущенная в «серверном» режиме процедура будет выполнена под учетной записью службы сервера приложений. Со всеми ее правами.


    Если сервер 1С работает с правами администратора домена, то потенциальный вредитель сможет сделать с доменом что угодно. Разумным выходом станет создание специальной учетной записи ― по мотивам USR1CV8, только уже в домене. В частности, ей стоит разрешить вход только на определенные серверы в оснастке «Пользователи и Компьютеры Active Directory».



    Настройка входа только на разрешенные серверы.


    Не лишним будет и разрешить вход на сервер только в качестве службы, отключив возможность локального (интерактивного) входа в систему. Сделать это можно через локальные политики безопасности непосредственно на сервере, либо с помощью доменных групповых политик.



    Назначение прав пользователя в локальной политике безопасности.


    Все то же самое касается и учетной записи сервера Microsoft SQL. Седых волос может прибавиться от вредных привычек:


    • запускать SQL с правами администратора компьютера или даже домена для удобного резервного копирования;
    • включать возможность запуска исполняемых команд через хранимую процедуру xp_cmdshell для переноса резервных копий на сетевые ресурсы через красивые планы обслуживания.

    Подключаемся к SQL


    Регулярно в практике встречается подключение баз данных к серверу 1С под пользователем «SA» (суперпользователь в SQL). Вообще, это не так страшно как звучит, ведь пароль от SA захэширован в файле 1CV8Reg.lst на сервере приложений. Хэш злоумышленник получить гипотетически может ― не забываем про права учетной записи сервера ― но расшифровка окажется долгой, особенно если использовать брутфорс.


    Но все же не лишним будет настроить аудит доступа к этому файлу с уведомлением ответственных лиц.


    Другое дело, когда программистам 1С «делегируют» обязанности DBA. Опять же, из личного опыта: сервер SQL был в зоне ответственности программистов, как и интеграция внешнего сайта с базами 1С. Итогом был пароль SA в скриптах сайта.

    Для собственного успокоения стоит поставить на SA сложный пароль или вовсе деактивировать эту учетную запись. На SQL тогда нужно включить доменную аутентификацию для управления и создать для 1С отдельное имя входа с правами на необходимые базы.


    Если вы не хотите оставить возможность создавать базы SQL через интерфейс 1С, то новому пользователю хватит общей роли public и db_owner непосредственно в базе 1С.


    Это можно проделать через Management Studio или простым скриптом T-SQL:


    USE <databasename>
    CREATE LOGIN 1c_user WITH PASSWORD = 'VeryStrongPassword'
    CREATE USER 1c_user FOR LOGIN 1c_user
    ALTER ROLE db_owner ADD MEMBER 1c_user
    GO

    Пользователи 1С


    Правам пользователей в 1С почему-то мало кто уделяет внимание. А ведь пользователь с правами «Административные функции» или «Администрирование» запросто выгрузит базу в .DT через конфигуратор и унесет домой ― это подарит не одно мгновение волнительного счастья вашему руководству. Поэтому стоит поймать на рюмочку чая 1С-ника и посидеть совместно над базой, чтобы узнать, какие пользователи имеют подобные права. А заодно ― чем грозит понижение их полномочий.



    Право выгрузить базу у роли Полные Права в типовой 1С: Бухгалтерии 2.0.


    Следующий важный момент ― запуск внешних обработок. Как мы помним, в 1С можно запускать код с правами учетной записи сервера. Хорошо, если она не имеет административных прав на систему, но все равно стоит исключить возможность запуска подобных обработок для пользователей. И не забудьте попросить специалиста по 1С «встраивать» дополнительные отчеты и обработки в базу. Хотя не во всех обработках поддерживается встраивание ― эта возможность зависит от версии 1С.



    Проверить, какие типовые роли не имеют прав на открытие внешних обработок, можно в конфигураторе.


    Все эти действия не только помогут защититься от потенциального «внутреннего вредителя», но и станут дополнительной преградой на пути вирусов-шифровальщиков, маскирующихся под обработки 1С.

    Если все же необходим запуск внешних обработок, то неплохим вариантом контроля и подстраховки будет аудит их запуска. Штатного механизма аудита у 1С пока нет, но в сообществе уже придумали несколько обходных маневров. Внедрять эти механизмы стоит в паре со специалистом 1С, также как и настраивать уведомления о событиях в журнале регистраций базы.


    Отдельно отмечу возможность настройки доменной аутентификации пользователей вместо аутентификации 1С. И пользователям будет удобнее ― меньше паролей в их памяти снижает риск появления стикеров на мониторе.


    Администратор кластера


    Итак, пользователи теперь не могут запускать обработки, учетная запись сервера максимально ограничена. Но есть и еще кое-что: учетная запись администратора кластера 1С, которая не создается по умолчанию.


    Ее отсутствие опасно: любой человек с ноутбуком при открытом доступе к сетевым портам сервера (по умолчанию это TCP:1540) может создать там свою базу, и ограничений на запуск обработок не будет. А еще злодей сможет получить информацию по базам данных, по работающим пользователям, изменить параметры кластера и даже принудительно завершить работу определенных пользователей.


    Пример скрипта на PowerShell, изгоняющего всех пользователей изо всех баз сервера:


    $COMConnector = New-Object -ComObject V83.COMConnector
    $agent = $COMConnector.ConnectAgent("servername")
    $cluster = $agent.GetClusters()[0] 
    $agent.Authenticate($cluster,"", "")
    $sessions = $agent.GetSessions($cluster)
    Foreach ($session in $sessions) {
    $agent.TerminateSession($cluster, $session)
    }

    Использование подобного способа работы с сервером 1С в благих целях уже упоминалось в одной из предыдущих статей.


    Создать администратора кластера не просто, а очень просто ― достаточно щелкнуть правой кнопкой на пункте «администраторы» в управлении кластером 1С, создать нового администратора, задав логин и пароль.



    Создание администратора кластера 1С.


    Я коснулся лишь части недоработок при настройке 1С: Предприятия. Для самостоятельного изучения рекомендую почитать до сих пор не потерявшие актуальность материалы:



    Поделитесь в комментариях своими нестандартными решениями и курьезами при работе с системой 1С: Предприятие.

    Сервер Молл 117,03
    серверы HP, Dell и Lenovo: новые и восстановленные
    Поделиться публикацией
    Похожие публикации
    Комментарии 96
    • 0
      Но всего этого можно избежать, если ориентироваться на модель конфигураций для платформы 8.3. Например все типовые решения уже переведены (в базе требуют) на платформу 8.3 и представляют из себя «тонкие клиенты» на клиентской стороне. А это в свою очередь позволяет вытолкнуть коннект на http-прокси, а сами сервера вывести из домена/закрыть VLANами, оставив в «группе доверия» только разрабов с их конфигураторами. Понятно, что решение подходит не всем и не всегда, но вариант проходной в достаточно солидном количестве случаев.
      • 0
        Чет вы вообще всё в кучу собрали. При чем тут тонкие клиенты, VLAN и http? В статье конкретно показаны узкие места обеспечения безопасности при развертывании 1с с СП хоть в домене, хоть без. Статья правильная, дает абсолютный минимум за исключением того, что забыли админа центрального сервера.
        В общем и целом, я бы сказал, что 1с тут не при чем, любой СП может подвергнуться таким болячкам, но вот именно потому, что 1с как СП там распространен, болезнь может быть страшнее.
        • +1
          Статья, будучи технически правильной, морально устарела. Она не освещает архитектурные решения по безопасности, заложенные в современных платформах и конфигурациях. А именно (параллельно отвечая на критику «Чет вы вообще в кучу все собрали...»):

          Сегментация может быть достигнута как нарезкой по подсетям, так и нарезкой на VLANы. Тонкий клиент 1с.83 вполне себе замечательно работает через http-коннектор. Такая архитектура позволяет изолировать сервер 1с-SQL от остальной сети предприятия, тем самым решается возможное отсутствие квалификации в области системного администрирования у инженера 1с.
          При этом проблема выполнения скриптов в контексте сервера 1с решается _настройкой на уровне конфигурации_. И если 1с-инженеру простительно незнание системы, то за отсутствие базовых навыков в администрировании 1с… лишать гордого звания «Инженер 1С» на общем собрании без права апелляции.
          Так же замечу, что http-proxy в корпоративной сети при применении «OwnCloud»-сервера решит проблему ВаннаКрая и снизит до минимума проблему шифровальщиков.
          Нет ничего плохого, когда специалисты изобретают велосипед в отсутствие нормальных инструментов, как например в случае с «Трицепсом» (голый SQL-сервер, который надо умудриться закрыть). Но если 1с.83 дает инструменты, то почему ими не пользоваться?
          • Она не освещает архитектурные решения по безопасности, заложенные в современных платформах и конфигурациях


            Дело не в устарелости. Вы путаете.
            Новые решения — для совсем других целей.

            Тонкие клиенты хороши когда пользователи сидят на плохом канале.
            Когда пользователи сидят в офисе — им гораздо комфортабелнее классический толстый клиент.
            • 0
              Понимаете в чем дело, на платформе 8.3 современные конфигурации (БП 3, Розница 2, УТ 11 и пр...) если «режим запуска» выбирать «автоматический» (а чаще всего так они и стоят), то клиенты стартуют в режиме «тонкого клиента». Т.е. именно это режим работы является ШТАТНЫМ для современных конфигураций.
              Понимаю, что скрины Вас могут не убедить, а взывать к своему авторитету не могу, т.к. вряд ли мы знакомы. Потому могу предложить скайп в режиме демонстрации рабочего стола. У меня как раз уровень Разраба и все базы коннектятся к серверу по стандартной схеме (а не через прокси). Более того, есть просто локальные базы. Готов принять вызов или хотя бы увидеть аргументы у Вашей позиции.
              • –2
                Готов принять вызов или хотя бы увидеть аргументы у Вашей позиции.


                ОК.
                Очень многие предпочитают шустрый интерфейс старого типа. Связано это или с тем, что они умеют переключаться с «умолчаний» или с традициями.
                Видите ли, хорошо живущие сегодня конторы возникли не вчера. И не вчера поставили себе 1С.
                Скорее всего 1С доработана, что затрудняет обновление. Да и психологической мотивации недостаточно — ведь старая устраивает.
                Вон, еще V77 которая выпущена в прошлом веке — далеко не редкость.
                Поэтому систем где принципиально не возможно включить доступ через web полно.
                А еще есть драйвера торгового оборудования и гемор с ними через веб.

                Так что http — далеко не универсальное решение.
                • +1
                  1. Про шустрость старого интерфейса — специально сейчас запустил БП 3 под толстым и тонким клиентами — разницы не увидел. В общем виде различие между толстым и тонким клиентом — в контексте исполнения. Очень упрощенно: толстый клиент хомячит ресурсы клиентской машины, тонкий — ресурсы сервера. Буквально перед НГ (где-то в октябре) мы внедрили серверную 1с.83 (переход с 7.7), оставив СТАРЫЕ компы, что оказалось экономически выгодным. Скорость работы тоже оценивалась. Это к вопросу о «старых, хорошо живущих»
                  Про «драйвера» и «через веб» — я предлагаю вам полнее освоить документацию (если хотите дальше дискутировать) и узнать, что такое работа через Веб-интерфейс, что такое работа тонким клиентом через HTTP-коннектор и чем это все отличается. Могу заверить — Вас ждут открытия.
                  2. Я не настаиваю на универсальности. Более того, именно об этом в первом посте я и говорил. Понимаете, каждое конкретное решение необходимо рассматривать через призму целесообразности.
                  Но данная статья, если предназначена «для старых и хорошо живущих» — опоздала, целевая аудитория уже наступила (надеюсь) к сегодняшнему дню на все возможные грабли. Для новых или прогрессивных данная статья имеет нулевую ценность в силу наличия новых архитектурных подходов в новых продуктах.
                  А я как сказал? Я собсно так и говорил: «Технически корректно, но морально устарела».
                  • –2
                    Про шустрость старого интерфейса — специально сейчас запустил БП 3 под толстым и тонким клиентами — разницы не увидел.


                    Локально?
                    И компьютер поди не слабый?
                    Смешно.
                    Вас ждут открытия

                    уже открыл, что с оборудованием, требующим драйвера для своего подключения, лучше всех работает только 32-битный толстый клиент. не 64-х битный толстый. и не тонкий не в коем разе.
                    когда нибудь это изменится, но не сейчас.

                    • +1
                      Перечень оборудования возможно опубликовать? Ибо мы сопровождаем торговую сеть и никаких сложностей в достаточно широком перечне оборудования не встречали.
                      Что значит «локально»? Локальную базу? Нет, серверную, если Вы об этом. Превосходство тонких клиентов в клиент-серверной реализации, когда клиенты — достаточно старые машины, я увидел на внедрении. Но об этом я уже писал.
                      • –1
                        Перечень оборудования возможно опубликовать?


                        Наплевать на список.
                        Уже есть оборудование — драйвера работают только с толстым клиентом и только 32 бита.
                        Проверено в разных местах с разным оборудованием раз 15.
                        • 0
                          Так я больше для своего будущего интересуюсь списком, вдруг попадется. Чтоб не танцевать лишние танцы вокруг него. И за ОС был бы признателен и за конфу и за комбинации испробованные…
                          • –1
                            Из того, что помню — ФР Феликс, Штрих
                            Что больше всего удивляет — и штрих-сканеры простые тоже
                            • 0
                              ФР Штрихи — базовое оборудование, вообще проблем не было. С Феликсами не сталкивался, а значит постараюсь по-возможности избегать. Но исходя из того, что я его не нашел в списке по 54ФЗ, то можно предположить, что и не столкнусь.
                              Про штрих-сканеры тоже удивили, мы стараемся устанавливать простой USB-HID прибор, во всех конфах на тонких клиентах впахивает.
                              Спасибо за инфу.
                              • –1
                                ФР Штрихи — базовое оборудование, вообще проблем не было.

                                Там что-то было с несоответствием версий драйверов.
                                В коде 1С одна версия ожидается, а получить (официально) удавалось dll другой версии с несовместимым API и т.п.
                                • 0
                                  Может с атолом путаете? Они цифровую подпись на свои драйвера для WIN10 чуть ли не в декабре 17 года получили и из-за это были некоторые накладки, но опять же не с 1с.
                                  У Вас типовые конфы или самописные? Версии какие? Может могу посоветовать что? Опыт-то большой :).
                                  • –1
                                    Может с атолом путаете?

                                    Атол кстати тоже был.
                                    И вот через толстый клиент — он самый что ни на есть стабильный. Даже удивительно.

                                    Версия Windows — 2012 Server R2
                                    • 0

                                      В целом все понятно. Успехов в труде и удачи Вашим заказчикам.

                          • 0

                            Вы, наверное, не видели предобзор БПО 3.0.1:
                            https://releases.1c.ru/project/CEL30#plan-release-link-3.0.1

                            • +1
                              у меня сложилось ощущение, что вульварисмагистралис тролль. или аникей решивший срубить бабло на ниве 1с.
                        • 0
                          И кстати, я Вас не уговариваю на тонкие клиенты.
                          Повторюсь, что целесообразность рулит.
                        • 0
                          1) БП 3.0 не имеет старый интерфейс!
                          Толстый и тонкий клиент к визуальному интерфейсу не имеет никакого отношения. БП 3.0 на управляемых формах — новый интерфейс. БП 2.0 — старый интерфейс. Из опыта — УФ тормознее, особенно это заметно на не новых бухгалтерских компах. Иногда удовольствие доставляло обновлять БП 3.0 с небольших ОЗУ — просто брал базу домой, обновлял, приносил обратно, поскольку ОЗУ не хватало, 1С вылетала.
                          • –1
                            БП 2.0 — старый интерфейс. Из опыта — УФ тормознее, особенно это заметно на не новых бухгалтерских компах.


                            При том что V8 БП 2 еще поддерживается, то можно на нем и оставаться.
                            И судя по судьбе все еще поддерживаемой Бух V7 — можно оставаться еще долго.
                            • 0
                              поддержка на уровне сдачи отчетов (регламентированных форм). Новых фич в 8.2, а тем более в 7.7 не будет.
                              • –2
                                Зачем они?
                                Что там такого удивительного можно сделать в бухгалтерии?
                                А… проверка контрагентов — за последние лет 5 это единственное ради чего бухгалтера запросили обновления. Но не настаивали, когда узнали о цене переезда на новую версию.
                                • Товарищ прав — все прочие обновления (для соответствия новым законам) легко проходят без смены платформы даже.

                                  Можно до сих пор пользоваться Бухгалтерией V77 и все у тебя будет свежо и законно. Фирма 1С заботится об выпуске обновлений.

                                  Только подобные вторичные вещи как «Проверка контрагентов» да «Подключение к партнеру 1С для сдачи отчетности в налоговую» и требуют перехода на свежую платформу.

                                  Люди, подвязавшиеся делать то, что сама 1С еще не успела сделать (например, Онлайн-Кассы, ЕГАИС и пр.) — тоже предлагают решения в том числе и под старые версии. Да, в том числе и под V77, при том, что V8 вышла еще в 2003 году (15! лет назад)
                            • 0
                              В контексте беседы под интерфейсом понимался режим запуска, по крайней мере с моей стороны.
              • 0
                В частности, ей стоит разрешить вход только на определенные серверы в оснастке «Пользователи и Компьютеры Active Directory».

                Вроде как MSA и gMSA как раз с этой целью и спроектированы. Плюс очень сложный пароль с автосменой раз в 90 дней.

                К SQL тоже лучше подключаться в режиме проверки подлинности Windows (как и настойчиво рекомендует Microsoft), т.е. вполне можно подключиться с помощью того же MSA, пароль от которого при это нигде хранить/записывать не надо. По возможности лучше вообще отключить стандартную аутентификацию.

                Учетная запись «sa» в реалиях 2018 должна быть отключена. Да, вообще. Для работы 1С сервера достаточно роли processadmin.
                • +1
                  Плюс очень сложный пароль с автосменой раз в 90 дней.

                  для автоматически запускаемой службы-то?
                  • 0
                    ЕМНИП оно само и поменяет. это просто не полноценный пользователь, а глобальный аккаунт для службы.
                    тут можно немного почитать habrahabr.ru/post/204780

                    но вот работает ли с ним 1С — вопрос:)
                    • 0
                      Зачем менять пароль от учетки службы если оно надо 3 раза в жизни: (1)сохранить уникальный в менеджере паролей, (2)ввести при установке и (3)повторить?

                      Меня поражает эта ерунда со сменой паролей ради смены паролей.
                      • 0
                        В том-то и дело, чтотесли использовать MSA, не нужно использовать менеджер паролей или что-то запоминать. Пароль автогенерится, 240 символов. Смена пароля тож автоматически происходит, типа на случай утечки.

                        А вот со сменой паролей ради смены паролей пользователей — согласен, это приводит к «стикерам на мониторе». Как и чрезмерные требования к сложности.
                        • 0
                          Механизм смены пароля у MSA учетки идентичен смене пароля учетки компьютера в домене. Да, у учетки компьютера тоже есть пароль, и вы вряд ли замечали его наличие вообще, и автосмену в частности.

                          MSA тем и удобна, что пароль от неё не нужен — ни в первый, ни во второй, ни в третий раз. Т.е. ничего нигде хранить не надо. При этом запустить что либо другое, кроме указанной вами службы, от имени этой учетки ни на сервере, ни где либо в домене нельзя.
                        • 0
                          Отлично работает.
                    • +5
                      • Советовать статью на мисте 2005 года про 1С 8.0 с совершенно другой архитектурой (COM+) и давно вылеченными детскими болячками платформы я бы уже не стал. А впрочем и статью ИТС года примерно 2006 тоже бы постеснялся.
                      • Кроме администраторов кластера есть роль "Администратор центрального сервера" или как-то так. Если этот список не задан, то подняв "фальшивый" кластер в локальной сети я легко и непринужденно подниму рабочий процесс на вашем сервере. Причем до 8.2.13 там была "особенность", что любой кластер мог у любого сервера попросить поднять процесс. С версии 8.2.13:
                        "Для рабочего сервера кластера, не являющегося центральным, в котором имеется не пустой список администраторов центрального сервера, в списке администраторов должен присутствовать администратор, у которого определена аутентификация ОС пользователя, от имени которого запущен "ragent" центрального сервера кластера или должен присутствовать администратор с именем и паролем, совпадающими с именем и паролем одного из администраторов центрального сервера кластера. "
                      • Пароль логина SQL в 1CV8Reg.lst не захеширован. Он обратимо зашифрован (и алгоритм расшифровки пробегал то ли на мисте, то ли в инфостарте, короче есть в паблике). И я даже не буду подбирать и расшифровывать пароль sa. Я просто скопирую эту строчку в свой 1CV8Reg.lst. Раньше по крайней мере работало. Да, в 1С можно использовать и виндовую авторизацию MS SQL — если база одна, то вполне годный вариант, потому что пароль не светится. Если баз несколько, то их разделение надо будет делать (поднимать несколько служб сервера предприятия)
                      • Если у логина SQL, который использует сервер предприятия только public и db_owner, то сервер не сможет видеть и убивать соединения. Как правильно сказали выше — приходится давать processadmin
                      • Для ограничения того, что можно запускать из серверных процедур по идее задумывался "Сервер предприятия КОРП" с профилями безопасности. Взлетело или нет — честно говоря просто не знаю.
                      • "запросто выгрузит базу в .DT", ага, незаметно выгонит пользователей, незаметно остановит работу на несколько часов. Проблема с лишними правами в том, что правильно настроить роли и разбираться с пользователями реально долго и дорого и команду "эй, ты, дай наконец права менеджерам по продажам, чтобы они работали" даёт руководство. Так что имеет смысл сначала идти с разработчиком к руководству и согласовывать бюджет.
                      • 0
                        Вы во многом правы, да и собственно в статье прописные истины озвучены. Но хотелось бы уточнить пару моментов.
                        Если у логина SQL, который использует сервер предприятия только public и db_owner, то сервер не сможет видеть и убивать соединения. Как правильно сказали выше — приходится давать processadmin

                        Это начиная с какой версии 1с/MSSQL?
                        «запросто выгрузит базу в .DT», ага, незаметно выгонит пользователей, незаметно остановит работу на несколько часов

                        Вечером задержался и выгрузил. Не вижу противоречий.

                        А в целом статься грамотна и верна. Дает базовый уровень защиты при использовании 1с и MSSQL. Не хватает, как минимум постгри, но хоть так.

                        • +1
                          Это начиная с какой версии 1с/MSSQL?

                          Лет 10 уже


                          Не вижу противоречий.

                          Я не говорю, что невозможно. Просто это слишком "палевно".

                        • 0
                          Да, в 1С можно использовать и виндовую авторизацию MS SQL — если база одна, то вполне годный вариант, потому что пароль не светится.

                          Еще момент, что при использовании SQL авторизации, логин/пароль светятся уже на уровне драйвера и передачи по сети:

                          docs.microsoft.com/ru-ru/dotnet/framework/data/adonet/sql/authentication-in-sql-server
                          Рекомендуется по возможности использовать проверку подлинности Windows. При проверке подлинности Windows используется ряд зашифрованных сообщений для проверки подлинности пользователей в SQL Server. А при использовании имен входа SQL Server имена входа и пароли SQL Server передаются по сети, что делает их менее защищенными.
                          • 0
                            Для ограничения того, что можно запускать из серверных процедур по идее задумывался «Сервер предприятия КОРП» с профилями безопасности. Взлетело или нет — честно говоря просто не знаю.

                            Насчет «Сервер предприятия КОРП» не знаю (все отличия сервера КОРП и обычного вроде бы только на бумаге). А профили безопасности есть. Не скажу что очень удобны в работе — но в целом задачу решают.
                          • 0
                            Статья про общие понятия безопасности любой СУБД и любого СП. Претензий нет, да и 1с и MSSQL тут вообще не при чем, по сути.
                            • 0
                              Если вы не хотите оставить возможность создавать базы SQL через интерфейс 1С, то новому пользователю хватит общей роли public и db_owner непосредственно в базе 1С

                              Но если вы используете Postgresql то такими правами не отделаешься. 1с лезет и вешает блокировки в Information_schema
                              • 0
                                А как обезопасить 1с, если она работает через «шару», т.е. по SMB? Кроме соотвествующих прав доступа на шару и «No_SMB_v1», что-то можете посоветовать?
                                • 0

                                  Не используйте SMB)
                                  клиент-сервер лучше всего
                                  на крайний случай файловую через веб-сервер (но надо уметь настраивать безопасность веб-сервера)

                                  • 0
                                    клиент-сервер безопаснее, но при крайне малом количестве людей (1-2 человека) работать будет медленнее. чем файловая база.
                                    публикация через веб-сервер это здорово… если конфа поддерживает тонкие клиенты ;)
                                    • 0
                                      работать будет медленнее. чем файловая база.

                                      На основании чего это заключение? Замеры производительности обычно показывают обратное.


                                      если конфа поддерживает тонкие клиенты

                                      Давайте серьезно, уже 8.2 вышла в 2009 году
                                      ERP 2.0 в 2013 (5 лет), против УПП 1.2, выпускаемой с 2006 (12 лет)
                                      УТ 11.0 в 2010 (8 лет), против УТ 10.2, выпускаемой с 2006 (12 лет)
                                      БП 3.0 в 2012 (6 лет), против БП 2.0, выпускаемой с 2010 (8 лет)
                                      ЗУП 3.0 в 2016 (2 года), против ЗУП 2.5, выпускаемой с с 2010 (8 лет)


                                      Все конфигурации на обычных формах морально устарели, в них от 1С предлагается только обновление законодательства и исправление критических ошибок.


                                      Конфигураций, поддерживающих тонкие клиенты, сейчас в разы больше, чем не поддерживающих.


                                      Бизнес, который игнорирует вклады в развитие IT обречен, т.к. рано или поздно не сможет угнаться за конкурентами, которые будут использовать новые методики ведения учета и производства.


                                      И дело тут не только в тонких клиентах, дело в том, что для успешного ведения бизнеса нужны быстрые доработки изменения учета.


                                      Когда мне говорят, что "У нас есть программа, мы ее наладили и работаем" я задаюсь вопросом, "А что, с того момента вы совсем не развились? Вам не нужно обновлять свои бизнес-процессы под измененные условия и объемы?"


                                      Компании, которые до сих пор используют конфигурации на обычных формах, это либо отстающий эшелон, либо какие-то собственные поделки с сумасшедшей не поддерживаемой кодовой базой, в которую поднасрал каждый проходящий мимо студент.

                                      • –1
                                        На основании чего это заключение? Замеры производительности обычно показывают обратное.


                                        Нельзя так голословно.
                                        Зависит же от числа пользователей, от железа, от операций.

                                        Например, операции записи с одним пользователем — однозначно локальная файловая летает на фоне клиент-серверной. Ну если только клиент не совсем дохлый.

                                        • 0
                                          также замеры производительности. как минимум — появляется лишняя прослойка в виде сервера приложений.
                                          два человека уже могут мешать друг другу из-за механизма блокировок файловой бд — и тут скуль начинает выдвигаться вперёд. 3 человека — уже стоит думать про сервер.
                                          пруфы? ограничусь статьёй Гилёва www.gilev.ru/mssqlvsfile

                                          про развитие спорить не буду, но проблема сатанинских самописов (даже на 7.7) и стоимости доработки 8 под бизнес-процессы (или переработки бизнес-процессов под типовую конфу) всё ж стоит довольно остро.
                                          • 0
                                            всё ж стоит довольно остро

                                            Это именно то, о чем я и пишу, те времена, когда IT был статьей затратной — давно прошли.
                                            Сейчас бизнес диктует как должен развиваться IT и делает его под себя.
                                            Если бизнес не может найти денег на это, то и развиваться в современных реалиях он не сможет.
                                            А это значит проблема не в том, что нет денег на программу, проблема в подходе к работе бизнеса.

                                          • 0
                                            Хорошо жить в России и делать вид, что всего остального СНГ не существует. К примеру, у нас в Украине все до сих пор сидят на старой бухе, так как на управляемых формах вышла относительно недавно и большая часть людей, которые пытались на нее переходить, вернулись к предыдущей стабильной версии. Та же ERP для Украины вышла буквально на днях — 20 декабря 2017 года. Во всяких Киргизтанах, Таджикистанах, Грузиях и Армениях дела обстаят еще хуже.
                                        • Не используйте SMB)
                                          клиент-сервер лучше всего


                                          То, что это совсем другие деньги — не смущает?
                                          Сервер стоит не 3 копейки. Сравните со стоимостью файловой.
                                          • 0

                                            Не смущает. С точки зрения информационной безопасности риски — это деньги, если потенциальный ущерб от угрозы ИБ выше в разы, чем стоимость сервера — то дешевле купить сервер.
                                            Если база не содержит ДСП, то, очевидно, использовать файловую выгоднее.

                                            • 0
                                              1с сервер мини (на 5 человек) стоит недорого совсем — ЕМНИП менее 15к.
                                              • 0
                                                через веб-прокси можно публиковать без сервера, если только это не базовая конфа, а хотя бы уровня проф.
                                          • 0
                                            как обычно, составить модель угроз и смотреть, как от них защищаться. составить модель можно только исходя из вашей конкретной инфраструктуры — может вам достаточно будет прав на шару, а может нужен ipsec.
                                            • 0
                                              Где-то ниже по ветке проскочило, но как-то вскользь. Так вот, файловую точно так же можно опубликовать через веб-сервис.
                                              • 0
                                                Через WEBDAV, если не ошибаюсь?
                                                • 0

                                                  Нет. IIS Windows server например.

                                                  • 0

                                                    Чуть позднее отправлю в лк ссылку на хорошую инструкцию.

                                                    • 0
                                                      отправил
                                                • +2
                                                  Здравствуйте, меня зовут Сергей и я алкоголик системный администратор. Меня очень волнует вопрос прав пользователей 1С т.к. я понимаю, что работа пользователя с правами администратора базы это очень большая проблема. Когда на меня накатывает очередной приступ перфекционизма и я пытаюсь отобрать у пользователей эти самые права я почему-то из раза в раз обнаруживаю, что пользователи не могут выполнять свою работу без этих прав.
                                                  Возьмём например две типовые конфигурации «Бухгалтерия предприятия 3.0» и «Управление торговлей 11.4». Я думаю не сильно ошибусь если предположу, что это одни из самых «ходовых» конфигураций.
                                                  В БП есть уже готовые роли «Только чтение», «Бухгалтер», «Главный бухгалтер». Казалось бы обычному бухгалтеру должно хватать роли «Бухгалтер», ну или на крайний случай «Главный бухгалтер». Но попытка выставить эти роли вызывает незамедлительный звонок и жалобой «У меня перестало работать то-то и то-то». Предвидя вопросы скажу сразу — бухгалтера в нашей организации не занимаются вопросами бэкапа баз, обновлениями и т.п. (как это бывает в некоторых организациях). Почему они не могут выполнять повседневную работу без роли «администратор» для меня загадка.
                                                  Теперь рассмотрим УТ. Там из предустановленных ролей есть «Администратор» и «Бухгалтер». Тут больше даже сказать нечего.
                                                  Я, как сисадмин, не обладаю достаточной компетенцией, что бы создать роль в 1С и выставить в ней все необходимые права. Я иду к программисту разработчику 1С. Он смотрит на меня грустными глазами и вопрошает что-то типа того «Зачем тебе это?». После ликбеза про ИБ он делает вид, что проникся но помочь всё равно не может. Потому что тоже не знает как сделать роль отличную от админа и что бы при этом работало всё что надо. И сильно подозревает, что это практически не возможно. «Потому что это 1С, детка...».
                                                  И тут я имею в виду не какого-то конкретного прог… простите, разработчика. Так мне говорили все знакомые 1С'ники с которыми я пытался обсудить этот вопрос.
                                                  В итоге. На мой скромный взгляд имеется серьёзная проблема корни которой проистекают из самой 1С.
                                                  • 0
                                                    это не сильно сложно делается. в конфигураторе есть помощник «все роли» в котором видны все роли, которые имеют право выгружать базу и администрировать, их нужно снять и создать спец роль для этих прав. вашему разработчику на 10 мин работы
                                                    • 0
                                                      Зачем разработчик, если профили, для указанных вами конфигураций, настраиваются в режиме предприятия.
                                                      • 0
                                                        Ну если вас заставляют лезть в 1С, то значит и 1сник у вас недавний студент, который работает у вас за опыт. И причем тут платформа 1С?
                                                        • +1
                                                          Меня не заставляют лезть в 1С. Но я отвечаю за ИБ. И я вижу дыру. И да, я считаю, что виновата в этом фирма 1С.
                                                          Поясню. Тут мне несколько человек ответили уже. Все ответы сводятся примерно к тому, что это можно сделать. Отвечу на Ваш комментарий, но можно считать что всем.
                                                          Начну издалека. Вот есть скажем Microsoft (который так принято ругать) со своим продуктом — ОС Windows. После установки системы в ней сразу «из коробки» есть группы «Администраторы» и «Пользователи». И если поместить какого-то пользователя в группу «Пользователи» он сможет без проблем работать в операционной системе годами.
                                                          И есть фирма 1С со своим продуктом — Бухгалтерия Предприятия. Там тоже из коробки есть готовые роли. Но, как я писал выше, работать под ними не получается. Или продукт Управление торговлей, где и вовсе ролей из коробки считай что нет.
                                                          Да, конечно, всё это можно доделать. Но давайте взглянем правде в глаза. Если вас устраивает имеющийся функционал конфигурации, то вы не будете держать штатного 1С'ника. Вы просто поставите конфигурацию и будете ей пользоваться. Вызывать кого-то со стороны для донастройки? Мало кто будет тоже. Потому что во-первых мало кто задумывается над последствиями работы под админом, а во-вторых почему платя от десятков до сотен тыс.руб. за продукт я должен еще его «допиливать» за деньги? Причем допиливать по сути базовый функционал (да, я считаю, что наборы прав (хотя бы базовые) это именно базовый функционал).
                                                          Как результат мы имеем повсеместную работу в базах 1С под админскими правами. Это настолько видимо массовое явление, что у 1С'ников (не только студентов, поверьте) это вызывает описанную выше реакцию.
                                                          Конечно, тут всегда можно обвинить конечного потребителя продукта — мол сам не подумал, сам не донастроил, короче ССЗБ.
                                                          Но мне видится это так, что есть фирмы понимающие реалии и заботящиеся о безопасности конечного потребителя (Microsoft как пример) и фирмы которым наплевать.
                                                          И еще один пример.
                                                          Многие наверное знают, что некоторое время назад 1С вынес право запускать внешние обработки из роли «Администратор». Произошло это после того как появились вредоносные обработки-вымогатели, шифрующие базу. Ну а поскольку все сидят под админом… короче сами понимаете. В общем когда жареный петух в опу клюнул, немного пошевелились и сделали этот костыль. Хотя по уму это всё должно было быть изначально сделано.
                                                          Это я сейчас не затрагиваю еще проблему квалификации кадров. Которая, на мой взгляд, имеет место быть, причём весьма остро. Тут я имею в виду всю вот эту вот систему фрилансеров (как их не называй) берущих оплату по часам. Из-за чего вся эта индустрия обросла огромной массой так называемых специалистов, которые не умеют ничего кроме обновлений. Из-за чего годного работника можно искать месяцами.
                                                          — Ладно, это всё на самом деле мой бухтёж. Я просто описал как я это вижу со стороны человека отвечающего за ИБ. Или просто хотя бы думающего про ИБ.
                                                          Т.е. это просто мои личные претензии к фирме 1С. Не более.
                                                          • 0
                                                            а во-вторых почему платя от десятков до сотен тыс.руб. за продукт я должен еще его «допиливать» за деньги?


                                                            У предприятий — куча своих особенностей, продукт нужно подгонять под конкретное предприятие.
                                                            Недопиливаемые продукты — не выжили.
                                                            Их много было за последние 25 лет.
                                                            Выжила только 1С, которая поставляется по сути с исходниками.
                                                            • 0
                                                              Здесь я с Вами и соглашусь, и не соглашусь. То что продукт допиливаемый это отлично! Многие организации действительно допиливают его под свои нужды. Но так же многим организациям достаточно функционала из коробки. И в этот функционал должны входить базовые вещи, в том числе и для обеспечения ИБ.
                                                              Я сам не склонен обвинять 1С во всех грехах. У них отличные продукты за свои деньги (несмотря даже на «сотни тысяч рублей»).
                                                              Но я указываю на конкретную проблему. Компания должна понимать реальную среду применения своих продуктов. И уж коль так получилось, что это не только крупные компании (где всё по ITIL), но и мелкие организации (где чаще всего админ и 1С'ник приходящие) нужно подумать о каких-то базовых мерах обеспечения безопасности. После появления обработок-вымогателей им таки пришлось над этим задуматься. Но в результате был рождён к сожалению костыль.
                                                              • Здесь я с Вами и соглашусь, и не соглашусь. То что продукт допиливаемый это отлично! Многие организации действительно допиливают его под свои нужды. Но так же многим организациям достаточно функционала из коробки. И в этот функционал должны входить базовые вещи, в том числе и для обеспечения ИБ.


                                                                А что такого в базовый функционал не входит по части прав доступа?
                                                                Роли там есть. То что они прописаны несколько не так, как надо — это уникальная особенность конкретного предприятия.

                                                                То что не все их включают при вводе продукта 1С в эксплуатаци — другой вопрос.
                                                                Дык, может, там вообще очень малое предприятие, где и бухгалтер и владелец и менеджер один и тот же человек — и разделение прав не нужно. Это можно решить только на месте.

                                                                То, что админы/программисты не компетентны? А что, Нуралиев должен лично приезжать к каждому клиенту настраивать 1С?
                                                                Сертификацию специалистов 1С делает уже много лет, если конечному покупателю продукта 1С наплевать на квалификацию специалиста, то ничего не поделаешь.

                                                                То, что конечный покупатель плюет на то, что 1С умеет ограничивать и так и эдак и в присядку — это личное дело конечного покупателя продукта 1С.

                                                                А так то 1С много чего умеет, вплоть до шифрования БД, но кто об этом знает и кто этим пользуется?
                                                                • 0
                                                                  А что такого в базовый функционал не входит по части прав доступа? Роли там есть.

                                                                  Я уже писал в принципе… Какие есть готовые группы доступа из коробки в продуктах УТ 11.3 и ЗУП 3.1 (для примера)?

                                                                  То что они прописаны несколько не так, как надо — это уникальная особенность конкретного предприятия.

                                                                  Т.е. если я беру продукт БП 3.0 и обнаруживаю там из коробки роль «Главный бухгалтер», ставлю её всем без исключения бухгалтерам (не только главному) и получаю жалобы, что он не могут работать, это уникальная особенность нашего предприятия? При этом я особо подчёркиваю, что бухгалтера не занимаются бэкапами базы, обновлениями конфигурации, созданием пользователей БД. У меня возникает резонный вопрос — какого лешего им не хватает в роли «Главный бухгалтер»?

                                                                  То, что конечный покупатель плюет на то, что 1С умеет ограничивать и так и эдак и в присядку — это личное дело конечного покупателя продукта 1С.

                                                                  Вы опять не слышите что я пытаюсь донести. Почитайте мои ответы на другие комментарии. Модель должна строиться так, что бы из коробки была некая роль «Пользователь БД», который как минимум не мог бы зайти в конфигуратор и парой щелчков мыши украсть всю БД. Это сильно упрощая. И ежу понятно, что 1С обладает массой возможностей по настройке. Вот только критичные права должны быть выданы вручную, а не быть доступны сразу всем. Или же критичные права должны иметь возможность быть отозванными быстро и просто (помещением пользователя в имеющуюся группу) и без ущерба для его повседневной работы. Более развернуто я написал вот тут: habrahabr.ru/company/pc-administrator/blog/349620/?reply_to=10685856#comment_10685788
                                                                  • ставлю её всем без исключения бухгалтерам (не только главному) и получаю жалобы


                                                                    Вот только критичные права должны быть выданы вручную, а не быть доступны сразу всем


                                                                    2 ваши цитаты выше. Вы и так не довольны и так.

                                                                    Ограничивают — не довольны, не хотите вручную снимать ограничения.
                                                                    Не ограничивают — недовольны, нужно чтобы вручную ограничения выставлялись.

                                                                    Ответы на ваши вопросы — читай инструкцию к программе.
                                                                    Хотя, я ее и не читал никогда — но для меня подобные проблемы не являются проблемами, почему то.
                                                                    • 0
                                                                      Вы вырываете цитаты из контекста и на основе этого указываете мне на то какой я дурак. Хотя далее по тексту там было «Или же» и предложение другого варианта решения. Оба варианта меня бы одинаково устроили.
                                                            • 0
                                                              Понимаете, у 1с в области БД просто другая модель, чем у майкрософт в области ОС. Но в защиту 1с могу сказать, что и майкрософт для своего ERP-ПО и SAP для бухгалтерского используют схожие с 1с модели. Они продают поддержку. Чёрт его знает, может класс ПО такой?
                                                              А вот со спецами беда, тут я с Вами полностью согласен. Прознал хитрый эникей, что «бабло в 1с крутится», да решил, что по старой схеме сможет работать. Раньше все неудачи на вирусы да на криворукость мелкомягких списывал, а теперь на 1с. Нет, 1с не ангелы, но ты хоть на its.1c.ru загляни, раз назвался «разбирающимся в 1с», хотя бы в общедоступный раздел.
                                                              Знаете сколько таких на собеседование приходит…
                                                              • 0
                                                                Да я понимаю… Я поэтому при всех моих претензиях могу так же прямо заявить, что всё равно считаю продукты 1С отличными. У конкурентов дела не многим лучше насколько мне известно. Зато зачастую гораздо дороже.
                                                                И да, я понимаю, что надо продавать поддержку. MS тоже продаёт поддержку, в том числе в области ОС (крупный корпоративный сегмент). Но блин! Какую-то совесть иметь надо же.
                                                                С кадрами в области 1С реальная беда. К сожалению я знаю сколько таких приходит, т.к. не только алкоголик сисадмин, а еще и по факту начальник ИТ (от чего я правда не в восторге). И опять же я склонен винить с этой ситуации саму 1С. Вообще найти квалифицированного специалиста в любой области это наверное определённая проблема. Но с 1С'никами это как-то особо остро проявляется. Дельные ребята сидят на «очень хороших з/п». Те кто дельные но не сидит на з/п идут во фрилансерство, но заканчивается это почти всегда плачевно — нахватают кучу клиентов и делать ничего не успевают. Во всяком случае вести более менее большие проекты точно не способны. И тысячи и тысячи вот этих вот эникеев от 1С. Причем насмотревшись на дельных ребят с «очень хорошими з/п» просят они тоже весьма не мало. В итоге если ты не готов предложить «очень хорошую з/п» или даже чуть больше, для переманивания заведомо дельного сотрудника, а готов предложить «просто хорошую з/п», то приходится пересмотреть кучу бездельников. К тому же понять их квалификацию в ходе собеседования не всегда возможно. И на всё это уходит куча времени. Ну да собственно что я рассказываю?
                                                                • И да, я понимаю, что надо продавать поддержку.


                                                                  Вы неправильно понимаете. Никто там специально ничего не усложняет.

                                                                  Любой мало-мальски сложный продукт просто нуждается в поддержке. Нуждается во внедрение с участием людей со спец. знаниями.

                                                                  Любой универсальный продукт рано или поздно становится сложным.

                                                                  Это у нас, в стране Кулибиных, не столько очевидно, да.
                                                                  Тут же каждый второй может и электропроводку сделать и порошок в картридж засыпать и автомобиль сам починить и 1С сам установить, не заглядываю в инструкцию.

                                                                  Однако, по мере усложнения вещей вокруг нас эти самоучки уже не могу делать эти вещи достаточно хорошо.

                                                                  И тут вылазит то, что и так очевидно: сложную вещь должны помогать эксплуатировать профи.

                                                                  Их достаточно полно по 1С. Это чуть ли не вторая самая распространенная специализация в ИТ.

                                                                  В итоге если ты не готов предложить «очень хорошую з/п» или даже чуть больше, для переманивания заведомо дельного сотрудника, а готов предложить «просто хорошую з/п», то приходится пересмотреть кучу бездельников


                                                                  Это проблема абсолютно любой профессии.
                                                                  Профи всегда мало во всех сферах. Было есть и будет.

                                                                  • 0
                                                                    1С отличными

                                                                    На безрыбье и рак рыба. Счастье 1с в том, что конкуренты делают чуть ли не хуже.
                                                                    Не так давно по скайпу мне презентовали CRM с кучей модулей превращающей ее по сути в ERP (причем ребятки пафосные на уровне «клиенты до н тысяч долларов нам не интересны»). Зная какой ад в 1с с характеристиками предложил им создать товар «Пуховик» в двух цветах с размерной линейкой и выставить на него счет.
                                                                    Ребятки сдались через ~50 минут и не смогли предложить вменяемого решения.
                                                                • 0
                                                                  Как же я вас понимаю. У меня тоже всевозможных вопросов к 1сникам сотни. Начиная от простых по правам в БД и заканчивая настройкой отладчика. И им всем либо резко некогда, либо неохота, либо «вам это не нужно» и тд и тп

                                                                  Сам 1с не занимаюсь принципиально. Ибо я разработчик сходных решений, хотя и в меньших масштабах и 1с, а в особенности цена владения, меня повергает в ужас.

                                                                  Из свежего кстати: целая пачка аутсорсеров рассказывает с пеной у рта что на PostgreSQL 1с работает хреново, поддерживать ее тяжело, настройка долгая итд. Причем при таком ответе они сразу идут в лес и не получают денег совершенно точно. А я сижу и гадаю как же у меня это работает годами…

                                                                  Хотя тому кто в 1с придумал, например, вешать блокировки на системные таблицы ручки бы оторвать неплохо было бы.
                                                                  • Ибо я разработчик сходных решений, хотя и в меньших масштабах и 1с, а в особенности цена владения, меня повергает в ужас.


                                                                    Любой программист средней руки должен быть способен написать узкоспециализированное (в отличие от довольно-таки универсальной 1С) решение, которое и летать будет и работать будет отлично.

                                                                    Но как только бизнес запросит очередное расширение этого узкоспециализированного решения — как сразу выясниться, что у 1С не так уж и дорого и не так уж и долго.

                                                                    Все дело — в специализации решения.

                                                                    Но везде и всюду все же не ставят специализированные решения, ибо в среднем, это дороже и дольше подгоняется под предприятие. Предпочитают стандартную 1С.

                                                                    Так что на счет стоимости владения… Да, разумеется, у нишевых продуктов есть плюсы. Ровно до тех пор пока бизнес устраивают эти ниши.
                                                                    • 0
                                                                      Любой программист средней руки должен быть способен написать узкоспециализированное

                                                                      Я очень много работаю со всевозможными crm,erp и прочими и я должен вам сказать что вы ошибаетесь. У двух третей я даже не могу понять: ну неужели хоть раз нельзя было попробовать то что создал на практике, неюзабельно в дым.

                                                                      Но как только бизнес запросит очередное расширение этого узкоспециализированного решения — как сразу выясниться, что у 1С не так уж и дорого и не так уж и долго.

                                                                      Проблема как правило в том что бизнес понятия не имеет что именно и куда нужно расширять и подсказать им некому, либо наоборот, «умные» настолько что доказать им что-либо не вариант.

                                                                      Так что на счет стоимости владения… Да, разумеется, у нишевых продуктов есть плюсы. Ровно до тех пор пока бизнес устраивают эти ниши.

                                                                      Конечно. Но все же меня удивляет на то насколько всевозможные продукты плохо приспособлены например под большой ассортимент одежды
                                                                      • У двух третей я даже не могу понять: ну неужели хоть раз нельзя было попробовать то что создал на практике, неюзабельно в дым.


                                                                        Узкоспециализированное.
                                                                        Сделанное по заказу конкретного предприятия. Ожидать от него понятности универсальный систем — не приходится.

                                                                        что бизнес понятия не имеет


                                                                        Моя практика показывает — что имеет понятие.
                                                                        Но не разговаривает на ИТ-языке, это другое дело.

                                                                        Но все же меня удивляет на то насколько всевозможные продукты плохо приспособлены например под большой ассортимент одежды


                                                                        Сколько видел подобных вещей — у каждого предприятие свое уникальное вИдение как именно им это надо.
                                                                        Поэтому двух одинаковых систем быть не может.
                                                                        • 0
                                                                          Узкоспециализированное

                                                                          Да нет, дебильное. Когда простая операция требует нетривиальных движений в дебильном интерфейсе это диагноз. Например вот один сервис не имеет возможности разнести один платеж по нескольким счетам. Естественно выяснилось это уже довольно поздно.

                                                                          Моя практика показывает — что имеет понятие.
                                                                          Но не разговаривает на ИТ-языке, это другое дело.

                                                                          Разговаривать на ИТ языке от них не требуется. Но когда бизнес-процессы из разряда «кто в лес, кто по дрова» тут как то сразу грустно становицо.

                                                                          Сколько видел подобных вещей — у каждого предприятие свое уникальное вИдение как именно им это надо.

                                                                          Вот хоть одно бы удобное встретить.
                                                                    • 0
                                                                      а PostgreSQL 1с работает хреново, поддерживать ее тяжело, настройка долгая итд

                                                                      если всю жизнь делали на винде, то конечно, нюансы могут всплывать :) вроде относительных путей, ком\оле и всего-вот-этого.
                                                                      + ещё есть вопросы по стоимости владения. например один клиент решил переплатить и взять ms sql, потому что линуксовых спецов у него нет.

                                                                      к слову, пока не встречал (вернее встречал только жалобы) шуструю работу 1с с потсгре под виндой. но правда и сам не тыкал веткой.
                                                                      • 0
                                                                        если всю жизнь делали на винде, то конечно, нюансы могут всплывать

                                                                        Дак и оставьте на винде тогда)

                                                                        к слову, пока не встречал (вернее встречал только жалобы) шуструю работу 1с с потсгре под виндой. но правда и сам не тыкал веткой.

                                                                        40 пользователей + 2 сайта + десяток парсеров на кроне, полет отличный. Единственное в пике памяти серверу виндовому нехватало(16гб), HDD обычный, без рейда. Сейчас база вынесена на отдельный сервер, оба курят от скуки.
                                                                        Единственное что скорость работы самой 1с меня лично не устраивает. Я прямым запросом к ее базе данных добивался прироста в скорости в 100 раз в самом запущенном случае.

                                                                        Единственное что что по режимам блокировок информации исчезающее мало. А 1с там вытворяет сними забавные штуки я вам скажу.

                                                                        Да и сами 1с не особо парились с поддержкой pg: mvrachar которому вломы было все функции прописать, хотя сейчас есть mchar</a, который входит в сборки

                                                                        Итд итп
                                                                        • 0
                                                                          вот именно, неоднократно видел жалобы на скорость работы именно 1с на виндовом постгре. сервер 1с тоже на винде ессно.
                                                                          при этом на том же железе мс скуль под виндой работает отлично, как и постгре + сервер 1с под никсами.
                                                                          • 0
                                                                            Настолько медленней что аж заметно? Мистика. «Не верю» 8)

                                                                            В теории может какойто дебильный механизм кеша у виндов. PG не дублирует работу системного кеша а пользуется им
                                                                          • Я прямым запросом к ее базе данных добивался прироста в скорости в 100 раз в самом запущенном случае.


                                                                            Технически не проблема и в 1000 раз. Другой вопрос — а согласны ли заказчики за это платить, за эту доработку.

                                                                            Практика показывает, что нет. Кроме редких исключений. Обычно заказчику нужно чтобы функция уже была в системе или ее добавление стоило недорого.

                                                                            1С медленная не потому что там программисты тупее вас.
                                                                            А потому что она уж очень универсальная.

                                                                            Ваше же решение очень узкоспециализированное — потому и быстрое. Но оно простое, потому это и может сделать программист средней квалификации.
                                                                            • 0
                                                                              Технически не проблема и в 1000 раз. Другой вопрос — а согласны ли заказчики за это платить, за эту доработку.

                                                                              Как вы лихо цифрами разбрасываетесь, я вот так не умею.
                                                                              Так доработки то. Суть в тмо что я не дорабатываю 1с, я дезть в нее не желаю. Простая веб морда и грамотный запрос. А когда 1с-«программист» наваяет отчет который выполняется по полдня: заплатят, куда они денуцо.

                                                                              1С медленная не потому что там программисты тупее вас.
                                                                              А потому что она уж очень универсальная

                                                                              Еще совсем недавно я наблюдал работу относительно старой 1с с бд как с файловым хранилищем. А уж веселостей у нее сколько.
                                                                              А универсальность бывает разная. Где то библиотеку под БД меняем и все работает как и раньше. А где то мы принудительно все стаскиваем к одному формату а потом жалуемся.

                                                                              Но оно простое, потому это и может сделать программист средней квалификации.

                                                                              Да я же не спорю, что по идее оно так. Вот только я искал «программистов средней квалификации» в свое время: 30% не знает что такой explain, 30% не умеет его читать и использовать, 30% молятся на ORM.

                                                                              Если работа с БД — вещь такая простая, почему мне постоянно встречаются продукты загинающие хороший сервер нараз на совершенно смешных объемах данных?
                                                                  • 0
                                                                    Есть замечательный курс со сквозным примером, в котором можно научиться, в том числе, настраивать РОЛИ. Приобрести доступ к курсу можно либо самостоятельно, либо через любого франчайзи 1С в Вашем городе.
                                                                    • 0
                                                                      кстати, смотря что вам нужно. если есть понимание или тз хотя бы, то могу помоч. если не слишком гемморно/заумно — то бесплатно (при условии наличия действующего итс). но курс рекомендую приобрести, может вопросов будет меньше.
                                                                      • +1
                                                                        Спасибо Вам огромное за предложение. Я думаю мы всё же решим этот вопрос своими силами.
                                                                        Но самом деле мой столь объёмный комментарий был на примере нашей организации. Но хотел-то я сказать о наличии проблемы в принципе. Не только конкретно в моей организации, а повсеместно. Выше (в ответе к Necessitudo) я раскрыл тему более подробно.
                                                                        Я не вижу смысла развивать эту тему дальше. Понятно, что всё это решается. Я просто хотел сказать, что этот вопрос должен решаться еще на этапе выпуска продукта, а не у конечного потребителя его силами (и средствами).
                                                                      • 0

                                                                        Современные продукты 1С очень гибки в плане настройки прав доступа:


                                                                        • Роли используются как базовые наборы прав, которые задаются разработчиком.
                                                                          Они атомарны и минимальный набор прав определяется ролями БазовыеПрава<ИмяБиблиотеки>.
                                                                          Остальные права определяются префиксами Чтение <Что-то> и ДобавлениеИзменение <Что-то>.
                                                                        • На уровне предприятия роли объединяют в профили групп доступа, что показывает какие группы могут быть на предприятии. Профиль — это совокупность ролей.
                                                                        • Профили используются как шаблоны для определения групп доступа, в группах доступа идет уточнение по разделителям, используемыми при огранияениях на уровне записей, т.е. профиль может описать группу Кладовщики, а группа доступа по профилю кладовщики описать группу по складу конкретному, так, чтобы кладовщики одного склада не видели документы по другим складам, или профиль Менеджеры быть использованным для группы по менеджерам конкретной группы партнеров чтобы ограничить работу по организации или группам партнеров.

                                                                        В типовых конфигурациях заранее поставляют собранные профили и группы доступа, но на реальном внедрении их зачастую переопределяют, потому что каждое предприятие уникально.


                                                                        Проблемы большего количества администраторов в том, что они относятся к 1С как к чему-то "ну это ваша программа, сами в ней и работайте ", не понимая что администрированим кому-то надо заниматься. Например создание резервных копий, выполнение обновлений на новые релизы, выполнение синхронизаций с другими программами, установка дат запрета редактирования, чтобы определить закрытые периоды, настройки полнотекстового поиска, пересчет итогов и агрегатов для оптимальной работы регистров и очень много чего еще. Это задачи администратора, а не программиста или бухгалтера. Администраторы же не попытавшись разобраться в этом спихивают эту работу на рядовых бухгалтеров, а тем ничего не остается, как просить права на выполнение работы, которая в общем случае вообще за рамками их компетенции.


                                                                        В первую очередь я бы вам посоветовал прочитать руководство по администрированию для платформы и документацию к БСП, БИП и БЭД, в которую включается большая часть административных механизмов.


                                                                        А дальше перед вами встанет выбор, спихнуть ли эту работу на бухгалтеров дав им полные права, или же взять административную работу на себя, как администратор, и пользоваться 1С так, как это задумывали разработчики 1С.


                                                                        https://its.1c.ru/db/metod8dev/browse/13/-1/1981
                                                                        https://its.1c.ru/db/bsp245doc#content:1785:hdoc
                                                                        https://its.1c.ru/db/uisldoc#content:122:hdoc
                                                                        https://its.1c.ru/db/bed1310doc#content:5:hdoc

                                                                        • 0
                                                                          Вот знаете, несколько раз перечитал Ваш комментарий. И чёрт возьми, говорите же правильные вещи! Но проблема в том, что Вы описываете какой-то идеальный мир, утопию, организацию где всё по ITIL. Но мы живём в мире реальном. И в нём имеют место быть такие вещи как: зажимание бюджетов на расширение штата, квалификация сотрудников, недооценивание рисков, работа с перегрузкой и тд. и тп. Грубо говоря если сисадмин знает хорошо хотя бы свою сисадминскую область, то это уже счастье. Вы хотите что бы он совмещал еще обязанности администратора БД? О'кей, давайте разберёмся почему он это не делает? Он считает, что это не его обязанность или может быть он уже загружен систменым администрированием на 150%? И далее можно перечислять бесконечно.
                                                                          Тут можно долго дискутировать «идеальный мир vs реальный», говорить что это не правильно и так быть не должно. Но факт заключается в том, что изменить мир мы не в состоянии. И продукт должен писаться для мира реального, а не идеального. Тот же MS пишет же. Да, не всё идеально и у них, но многое работает.
                                                                          Вы снова не слышите того, что я пытаюсь донести. Я не говорю, что 1С такой растакой плохой. Я не говорю, что у них плохие продукты. Я не говорю, что проблемы не решаются принципиально.
                                                                          Я говорю о том, что надо понимать для какого потребителя пишутся продуты. Заведомо известно, что определённый процент внедрений будет происходить в среде где нет и никогда не будет постоянного администратора не то что БД, а даже системного.
                                                                          Понимая это Microsoft в своё время сделал UAC. Как бы многие его и ненавидели, но факт в том, что его появление фактически уничтожило целые классы вредоносов. Что сделал 1С в этом направлении? Запретил запуск обработок. Уже не плохо, но мало.
                                                                          Нужны работающие роли из коробки. Я подчёркиваю — именно из коробки. Пока их нет либо вообще (УТ, ЗУП), либо они неработоспособны (БП).
                                                                      • 0

                                                                        Жизнь и практика показали, что большая часть проблем у заказчика решаются ШТАТНЫМИ средствами продукта при соответствующем освоении продукта. При соответствующей подготовке специалистов заказчика.

                                                                        • 0
                                                                          При соответствующей подготовке…?

                                                                          Да, согласен.
                                                                          У меня есть знакомый — директор предприятия с хрен знает какими оборотами (вскоре после описываемых собитий — он прикупил себе торговый центр, а это очень недешево).
                                                                          Этот чел — в девичестве программистом был.
                                                                          Поэтому весь свой учет вел на самолично написанных Excel-макросах.
                                                                          • 0
                                                                            После этой статьи готов поверить даже в такое.
                                                                            А после каких «описываемых событий ...» и что я пропустил?
                                                                            • 0
                                                                              Очевидно под описываемыми событиями имелся в виду факт ведения учёта в Excel.
                                                                              А вот Вам еще случай из жизни. На настоящее место работы я устроился в 2014-м году. Так вот на тот момент времени вся торговля (оборот примерно около 10 млн.руб/мес) велась в самописной (на Clipper'е) программе под DOS. Еще раз: в программе под DOS в 2014-м году. При этом БД была сетевая.
                                                                              И вот уже учёт в Excel не выглядит таким уж диким, да?
                                                                              • –1
                                                                                А что вас удивляет?

                                                                                Всего лет 80 назад уже существовали огромные международные корпорации, но компьютерного учета еще не было. Не Клиппера, ни Экселя. Но они существали и неплохо существовали.

                                                                                А не так много лет до того — не существовало быстрой электросвязи. Вы представляете? Ни в каком виде — ни интернета, ни телеграфа, не телефона. И радиосвязи тоже не было. Тем не менее это не помешало подъему Ротшильдов в 18 веке (к слову они создали для этого свою почтовую сеть).

                                                                                Тем не менее существовали огромные имерии, некоторые даже столетиями. И как-то они управлялись.

                                                                                Да что там Чингисхан или британцы. Из Марселя в Бретань (разные побережья Франции) ехать было далеко не один день. Но Франция вполне себе существует более 1000 лет.

                                                                                Или существовавшие веками всяческие Ост и Вест-Индийские компании, что творили бизнес на другой стороне Земного шара.

                                                                                Так вот на тот момент времени вся торговля (оборот примерно около 10 млн.руб/мес) велась в самописной (на Clipper'е) программе под DOS


                                                                                Если программа выполняет свои функции, то зачем ее переписывать? Деньги на ветер.

                                                                                Я вам больше скажу — лет 40 примерно назад в СССР была создана система торговли авиабилетами. На старых менйнфреймах. К концу века мейнфреймы перестали выпускаться эти.

                                                                                Проще оказалось написать эмулятор мейнфрейма, чем переписывать систему продажи авиабилетов.
                                                                                • 0
                                                                                  Или существовавшие веками всяческие Ост и Вест-Индийские компании, что творили бизнес на другой стороне Земного шара.

                                                                                  И к чему вот это всё? Я думаю все эти компании успешно пользовались благами технического прогресса современными для них. Я уверен, что никто из них не пользовался голубиной почтой в то время когда существовал уже не только телеграф, но и телефон.
                                                                                  Если программа выполняет свои функции, то зачем ее переписывать? Деньги на ветер.

                                                                                  Меня удивляет крайняя глупость и недальновидность. Вы представляете себе как из программы для DOS печатать на современные принтеры и работать с сетью? Как к ней прикручивать онлайн кассы по ФЗ-54 и систему Меркурий? А что будет если единственный человек её писавший уйдёт на пенсию (или не дай бог еще чего похуже)?
                                                                                  И вот когда из-за таких недальновидных людей все мыслимые и немыслимые сроки эволюционного и безболезненного перехода уже профуканы оказывается, что проще написать эмулятор неведомо чего. Вот только не надо представлять это как гениальное и эффективное решение.
                                                                                  • –1
                                                                                    Меня удивляет крайняя глупость и недальновидность

                                                                                    Видимо поэтому они зарабатывали больше вас.

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                        Самое читаемое