Попытка защиты 1с #493230

Сегодня научился привязывать имя пользователя ОС и его машины к 1с. Все ОК. ПриНачалеРаботыСистемы выкидываю всех неугодных и неавторизованных. Пока народ в базе есть - md-шник никто поменять не может - соответственно зайти не может в базу и там что-то провернуть. НО. Когда в базе никого нет, возникает вариант: снести userdef, зайти в конфигуратор, закомментарить мои барьеры, сохранить md,зайти в базу, понаделать делов, вернуть все обратно. Подскажите, как можно md-шник защитить (пароль не предлагать) для таких ситуаций?

КЗК

права на изменение только себе оставь

А все таки пароль использовать религия не позволяет?

есть много программ по его обходу

че, директор поконфигурить любит?

именно на этот файл, средствами OC?

много умных менеджеров развелось..

тогда ответ в

видел такое решение - скрипт завершает работу усеров в н-ное время, делает выгрузку (вечером)... утром скрипт делает загрузку из сделанного ранее бакапа... т.о. все корявки хацкеров - до п***ды...

админмеры подключать надо, по-другому 100% результат не получишь никогда ...впрочем, с админмерами тоже ;)

Идея, кстати, отличная.

не очень, ибо время от времени кому-то обязаельно нужно остаться  сверхурочно зы: база где лежит? права админа у кого? может мд-шник запретить менять виндовыми мерами? ..кроме себя-любимого конечно ;)

привязывать надо в справочнике, кто нет все в сад

ФИГАСЕ - ЮЗЕРЫ по конфе гуляют!! Ну у вас и демократия

+ правдо защита все равно от честного люда, но удалить уже не удастся

Все работают в терминале.

а как ты запретить собрался ? ниодин метод на данный момен не запретит Васе Пупкину шастать в конфе

в сухом остатке: 1. Права на md-шник оставить только себе. 2. выгрузка - загрузка

можно ночью прятать мд из папки ИБ...

выгрузка - загрузка решает данный вопрос. пусть хоть папку сносят)))

База на отдельном компе доступ к ней через апликейшин

не увлекайтесь... чревато...

Расслабся, все это до балды. Кто захочет - тому необязательно в твой мд лезть, все прекрасно правится из предприятия. И по уму даже в 1С можно незаходить и править. Так что выпей пивка, сходи на пляж. А 1С - ну ее. Кому нужно те и в обход 1С все вынесут. Еще один защищальщик. Радует только то что непытается защитить свой нетленный код, значит шансы еще есть.

пальцем в небо ...ты-бы сабж почитал  :)

нетленный код пока не появился)))) работаю 2 дня над конторой. Бороться с хитрыми юзерами всё равно надо

а то зашел в журнал регистрации, а там один молодец под моим пользователем с 23.30 до 0.30 документы лопатил. Меня аж передернуло от наглости. Нет бы под директором зашел или глбухом))))

у него твой пароль 123?

не. у него программка любой пароль воспринимает - хоть ваще без пароля

Ну тогда сделай лог действий пользователей. Время от времени анализируй. А так биткой по шаловливым рукам - лучшее решение.

И что ты с юзером сделал?

Патченная платформа у него стоит значит. У меня тоже такая стоит на всякий случай, даже к скулю можно подрубиться, если что.

сказал, чтоб так больше не делал

если что - пусть под директором заходит)))

Можно при начале работы системы добавить проверку на права. Причем добавить хитро, после 256 символа. Т.е. даже в конфигураторе, если не знать - не найдешь.

установи авторизацию призагрузке системы... конфигу закрой кзк... от манагеров это спасает...

как это "после 256 символа"?

Ну с таким подходом вообще ненужно пытаться что-то защищать. Кстати, потом ты по краям пойдешь за установку патчей и прочего.

С КЗК не хочу, т.к. обязательно через несколько месяцев найдется способ обойти и опять надо что-то придумывать((

решение авторизации по вин/ад авторизации правильное (не берем саму реализацию) ибо это сквозная авторизация во всех нужных службах

Вот я и думаю, как сделать нормальную (адекватную) защиту от таких молодцов.

если юзвери сами чего-то устанавливают - то пофиг... либо резать всем права по самые яйца или беги нафиг

Будем резать.

заметь притче о невидимом пациенте

+ )))

Ты не думай - делай. Всеравно 100% защиты небудет. Начни с забиранием у всех балбесов админских прав, в т.ч. и локальных. По уму пожалуй будет правильнее переставить систему с нуля с настройкой прав. Поднять АД если есть домен. В АД рулить всеми правами.

С КЗК замучаются обходить.

Ему КЗК как раз и ненужен. Он код непытается защищать, что есть по сути правильным подходом.

Я вот с 256 символами не врубился..

Да забей. Пока с сетью неразберешся в 1С делать нечего.

обрати внимание на диалог - "следующий"

а где ваш одмин?

Нормальная защита только одна. Приказ по фирме за подписью генерального всем кроме тебя лазить в конфиг. И увольнение тугодумов.

я и не собираюсь 100%. Юзеры просто должны четко понимать - если кто-то вскрыл - то это враждебный для фирмы акт и должен расцениваться как акт промышленного шпионажа с последующим увольнением.

Плагины редактирования в Тотал или Фаре это позволяют, кажется. По крайней мере, сталкивался с такой защитой, машина в сети стоит, все работает (на ней какая то кривая самописная казахская конфига стояла). Переставили ее в другую подсеть со сменой имени, работать напрочь перестала. Админ 3 дня ипался, оказалось, в ПриНачалеРаботыСистемы в глобальнике ПриНачалеРаботыСистемы стоял код типа если имя компьютера, путь к базе, на равно чему-то - ЗавершениеРаботыСистеы

Типа того

Причем код стоял именно за 256 символом. Его не видно при стандартном просмотре в конфигураторе.

Админ - приходящая фирма, такая же как и я

"акт промышленного шпионажа" - бу-га-га. Да, повеселил...

в каком редакторе внесли такой код?

выпустите по нашей конторе такой приказ, позырю в каком бетоне вы станете

гуаноконторааа... ))) экономят... кризис... ну вот и результадо...

в точку

Суровая челябинская фирма? Юзеры генерального в бетон закатывают?

+1 как это сделать?

просто ларек

в сабже не защита, а попытка правильного подхода к авторизации

Зачем оно тебе? Куда интересней когда 1С закрывается, удаляется база, удаляется сама 1С, ... Хотя это подход студентов. Как по мне куда интереснее пройтись по таблицам и поставить рандомные значения. Там без бекапа уже никак.

в Тотал командере. Листер плагин кажется называется.

спасибо. поищу.

+ GComp вроде умеет, но утверждать небуду.

Месье знает толк в извращениях...))))

Ага. Особенно если проставляешь только цифровые данные, то народ как бы и не сразу замечает. Бывает вылезет так через недельку другую - весело всем.

Летальные случаи у бухгалтеров были?

можно в хранимой процедуре отслеживать контрольные суммы по числовым полям в определенное время (событие)...

Да. Обычно хранится всего пара-тройка последних бекапов. Так что если хлопают долго, то данные уже невосстановить. Проги любят такие "мины" ставить на случай невыплаты ЗП или еще чего. Так что ...

такую мину (обработку или скульную процедуру) можно отыскать и натыкать гада...

Гадить в базе это непрофессионально. Пару раз мог это сделать, но не стал. Хотя очень хотелось.

хотя, если всем всё пофих, да ещё зоопарк усеров могут запускать всё что угодно...

пройти эту черту - признак хорошего дзена...

Да вариантов много конечно. Лучший это хранить бекапы за 100 дней. Но не все знают, и попадают под раздачу за низачто.

у мну бэкапы за три месяца + ключевые точки...

Ну ты уже собаку съел на этом. А есть конторы где экономия прежде всего.

Пит рассказывал про какой то способ убить базу. Медленно-медленно информация в базе превращается черт-те во что, и найти концов невозможно.

Лучше как положено за неделю - ежедневные, за месяц - четыре недельных. Ну и все ежемесячные на болванках вне конторы.

проще напустить на базу студента...

Это называется "ССЗБ" :-)

Бред какой-то Меняй работу, пусть сами конфигурастят

о блин Вадимко снизошел ))) рад увидеть

:) челябинские юзеры настолько суровы..

...что хранят бинарный код в своих мозгах.

терминал, вход для юзера только в программу, все остальные действия только на локальном компе

Сервис -> Табло -> Командасистемы("cmd")

можно запретить