профілі безпеки

Реалізовано в версії 8.3.3.641.

Ми приділяємо значну увагу питанням безпеки і стабільності роботи 1С: Підприємства в режимі сервісу. Робота в цьому режимі породжує завдання, яких не виникало раніше, коли рішення 1С: Підприємства експлуатувалися власне організацією-замовником. Якщо в результаті неграмотного або свідомо шкідливого конфігурації робота додатка приводила до проблем, то це були проблеми тільки того суб'єкта, який експлуатує дане прикладне рішення.

Для вирішення цього завдання ми додали в кластер серверів нову сутність - профілі безпеки. Профіль безпеки служить для того, щоб заборонити прикладному рішенню виконувати дії, які можуть бути потенційно небезпечні для функціонування кластера серверів.

Адміністратор кластера може призначити будь-інформаційній базі один з існуючих в кластері профілів безпеки. І тоді потенційно небезпечна функціональність прикладного рішення буде обмежена в тих межах, які описані в цьому профілі.

Стандартно, після створення, профіль безпеки забороняє виконання всіх потенційно небезпечних дій:

профілі безпеки

Це такі дії, як:

  • звернення до файлової системи сервера;
  • запуск COM-об'єктів;
  • використання зовнішніх компонентів 1С: Підприємства;
  • запуск зовнішніх обробок і звітів;
  • запуск додатків, встановлених на сервері;
  • звернення до ресурсів Інтернету.

Таким чином захиститися від небажаних дій незнайомого прикладного рішення дуже просто: потрібно створити порожній профіль безпеки і призначити його інформаційній базі.

Далі, якщо є необхідність, можна розширювати цей профіль, описуючи в ньому дії, які дозволяється виконувати прикладному рішенню.

Наприклад, можна дозволити прикладному рішенню звертатися до деякої області файлової системи сервера. Для цього потрібно описати це дозвіл в розділі Віртуальні каталоги.

профілі безпеки

При цьому код прикладного рішення буде оперувати логічним URL, але фізично, на сервері, буде виконуватися звернення до каталогу, зазначеного у властивості Фізичний URL. При спробі прикладного рішення звернутися по шляху, відмінному від логічного URL, буде викликано виключення.

Можна дозволити запуск і використання будь-яких COM-об'єктів, встановлених на сервері. Наприклад, додатки Microsoft Excel:

профілі безпеки

Для цього в дозволі потрібно вказати ідентифікатор COM-класу Excel.Application, встановленого на сервері. Цю інформацію можна отримати з системного реєстру Windows. Якщо прикладне рішення спробує використовувати інший COM-клас, буде викликано виключення.

Крім цього можна дозволити використання деяких зовнішніх компонентів 1С: Підприємства. Наприклад, зовнішнього компонента Схиляння ПІБ.

профілі безпеки

В цьому випадку в дозволі потрібно вказати контрольну суму файлу цього зовнішнього компонента. Дізнатися її можна за допомогою однієї з утиліт, доступних в Інтернеті, або написавши невеликий фрагмент коду на вбудованій мові 1С: Підприємства.

Щоб дозволити роботу з зовнішнім звітом або обробкою, в дозволі також потрібно вказати контрольну суму файлу цього звіту / обробки:

профілі безпеки

Щоб дозволити прикладному рішенню запуск програми, встановленого на сервері, потрібно вказати шаблон рядки запуску цього додатка:

профілі безпеки

І на закінчення можна дозволити доступ прикладного рішення до деяких ресурсів Інтернету:

профілі безпеки

Таким чином можна поступово вирішувати прикладному рішенню роботу з необхідними ресурсами, які не порушують необхідний рівень безпеки.

Може бути заздалегідь відомо, що, наприклад, всі зовнішні компоненти, з якими працює прикладне рішення, безпечні і не містять шкідливого коду. В цьому випадку не потрібно для кожного з них створювати окремий дозвіл. У властивостях профілю безпеки можна дозволити запуск будь-яких зовнішніх компонентів:

профілі безпеки

При цьому не буде мати значення, які саме дозволи встановлені в розділі Зовнішні компоненти.

Завдяки профілями безпеки тепер можна надійно ізолювати один від одного інформаційні бази, що працюють в режимі сервісу, а також ізолювати один від одного області однією і тією ж бази, що працює в режимі поділу даних. Крім цього використання профілів в цілому збільшує надійність кластера за рахунок заборони потенційно небезпечних дій.

Ще одним важливим моментом, пов'язаним з появою профілів безпеки, є можливість розширити використання безпечного режиму виконання програмного коду. Тепер для нього можна дозволити деякі дії, які раніше були заборонені. Наприклад, роботу з тимчасовими файлами.