В прошлой статье мы начали разбирать лучшие способы по защите 1С Предприятия в клиент-сервере, но так как статья по защите 1С в клиент-сервере получилась длинной, пришлось и ее разбить на две части.

Использование старых логинов

В одной из прошлых статей мы уже говорили о паролях и учетных записях в 1С Предприятии.

Вот только 1С Предприятие не единственный источник брошенных учетных записей. Куда важнее следить за учетными записями, которые мы создаем в Active Directory или на серверах: (Терминальный, Почтовый, если не используется «AD»).

Часто взломы 1С Предприятия и баз данных СУБД, происходят сотрудниками, которые уже не работают в организации. За этим нужно следить, также стоит разработать регламент по работе при увольнении сотрудника и его приеме на работу. Если конечно этим вопросам вы не уделяли должного внимания раньше. В любом случаи старайтесь время от времени просматривать учетки всех ваших пользователей, удаляйте старые, и отключайте (на время) тех, кто находиться в отпуске.

Защита Сервера 1С (Кластера серверов).

Часто причиной несанкционированного доступа в 1С, является отсутствие учетной записи администратора  кластера серверов. Это позволяет злоумышленнику создать на своем «пк» новую информационную базу на том же сервере 1С:Предприятия, который обслуживает рабочую базу.

Фактически если не сделать администратора кластера, то любой пользователей сможет создавать информационные базы. Кроме того, более продвинутый пользователь (Особенно если у Вас 1С Предприятие 8.1) может получить доступ ко всем вашим информационным базам на этом кластере.

Как решить проблему?

Здесь все очень просто, запускаем утилиту:  «Администрирование кластера серверов», разворачиваем кластер серверов, находим «Администраторы».

Создаем администратора для кластера серверов в 1С

Затем правый клик мышкой и создать Администратора.

Укажем имя и надежный пароль обязательно!

Далее по защите Сервера 1С (Кластера серверов).

Исключаем файловый доступ к серверу 1С.

Это мы уже проделали в прошлой статье с сервером СУБД,  здесь все аналогично, на сетевом адаптере убираем птичку возле: «Служба доступа к файлам и принтерам сетей Microsoft»

Также в 1С рекомендуют, создать учетные записи для разных служб сервера 1С, но как по мне это уже лишнее, если конечно есть возможность ограничить доступ к «Серверу 1С».

Защита соединений клиент – сервер 1С.

Здесь речь пойдет о защите 1С Предприятия в сети, где мы по каким-то причинам не можем должным образом обеспечить безопасную передачу данных от клиента к серверу (Кластеру серверов). Это бывает нужно если сеть не защищена должным образом на стороне клиента или сервера.

К примеру, пользователь подключается из дома к серверу 1С (Кластеру серверов).

Или подключение клиента из филиала, где есть риски перехвата трафика, например программой сниффером.

Защита соединения клиент -сервер в 1С

Как организовать такую защиту?

Все довольно просто!

Запускаем утилиту администрирования серверов 1С.

И при создании информационной базы 1С на сервере 1С (Кластере серверов), в строке «Защищенное соединение » Выбираем – «Только соединение».

Создаем ИБ на кластере 1С с защищенным соединением

Как видите, нам на выбор кластер предлагает три варианта

•          Выключено
•          Постоянно
•          Только соединение

Расскажу в двух словах об этих параметрах.

Выключено  –  После установки соединения первый обмен данными выполняется с использованием шифрования по алгоритму RSA. Далее обмен выполняется нешифрованными данными. Фактически самая простая защита соединения.

Постоянно – Использование уровня безопасности «Постоянно» позволяет полностью защитить весь поток данных (пароли, и  данные) между клиентом и кластером серверов. При этом весь обмен происходит с использованием алгоритмов шифрования RSA и Triple DES. Следует учитывать, что при этом возможно снижение производительности системы.

Только соединение – здесь шифруются только пароли между клиентом и сервером 1С (кластером серверов). Тем не менее, этого фактически всегда вполне достаточно. Производительность не падает, а  злоумышленник не может перехватить пароль и соответственно не может получить доступ к вашей информационной базе.

Этот вариант защиты я собственно и Вам рекомендую использовать.

Как Вы уже, наверное, заметили, одну довольно важную деталь во всей этой защите.

Это ее создание – только в момент создания новой информационной базы на кластере серверов.

Но на самом деле защиту можно изменить на клиенте, просто прописав в ярлыке запуска программы 1С нужный параметр.

Возможные значения:

   /SLev0 – незащищенное соединение.

   /SLev1 – защищенное соединение только в процессе выполнения аутентификации.

   /SLev2 – защищенное соединение в течение всего сеанса.

Параметр запуска 1С с защитой соединения

Так, на этом буду завершать этот цикл статей по защите 1С Предприятия от несанкционированного доступа и вирусов в 1С.  

Источник: http://kuharbogdan.com/stati-po-1s/zashhita-1s-predpriyatiya-v-klient-servere-chast-5/