Аутентификация операционной системы 1С

30.05.2016

Фирмой «1С» выпущена версия защищенного программного комплекса «1С:Предприятие 8.3z»

Защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z» прошел процедуру сертификации в Федеральной службе по техническому и экспертному контролю Российской Федерации (ФСТЭК России) и доступен для продажи с 25 мая 2016 года.

«1С:Предприятие 8.3z» – это система программного обеспечения, в которую входят средства разработки прикладных решений на своем встроенном в систему языке и «исполняющая система», позволяющая выполнять эти прикладные решения (модели предметной области или конфигурации) и обеспечивающая защиту информации на прикладном уровне. Вместе с конфигурацией «1С:Предприятие 8.3z» ориентирован на решение задач автоматизации учета и управления предприятием и выступает в качестве уже готового к использованию программного продукта, ориентированного на определенные типы предприятий и классы решаемых задач.

«1С:Предприятие 8.3z» сертифицирован в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 и имеет сертификат соответствия № 3442 (выдан ФСТЭК России 2 сентября 2015 года). Согласно сертификату, изделие соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации.

Способы защиты информации в «1С:Предприятие 8»

Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля, руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности при выполнении указаний по эксплуатации, приведенных в разделе 12 формуляра, входящего в комплект изделия.

Ознакомиться с сертификатом можно по следующей ссылке http://www.1c.ru/rus/products/sert.htm .

«1С:Предприятие 8.3z» может применяться в государственных информационных системах до 1 класса защищенности включительно, а также в информационных системах до 1 уровня защищенности персональных данных включительно.

Предусмотрено два варианта функционирования «1С:Предприятие 8.3z»: файловый вариант работы с информационными базами данных и клиент-серверный вариант работы с информационными базами данных.

Защищенный программный комплекс «1С:Предприятие, версия 8.3z» может применяться для обеспечения безопасности персональных данных в соответствии Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, в информационных системах персональных данных всех уровней защищенности.

При этом нет ограничений по количеству рабочих мест (ранее приобретенных клиентских лицензий на «1С:Предприятие 8»).

Приобретать «1С:Предприятие 8.3z» разрешается только в дополнение к зарегистрированным программным продуктам системы «1С:Предприятие», находящихся на официальной поддержке, в том числе к продуктам «1С-Совместно».

  • «1С:Предприятие 8.3z» может быть использован только при наличии имеющихся лицензий и ключей защиты (как аппаратных, так и программных) в составе ранее приобретенных программных продуктов «1С:Предприятие 8»;
  • Использование 1С:Предприятие, версия 8.3z не требует переоформления ранее приобретенных лицензий.

Разработка применяемых с «1С:Предприятие 8.3z» конфигураций должна осуществляться в соответствии с требованиями, указанными в разделе 4 документа «Защищенный программный комплекс 1C:Предприятие, версия 8.3z. Руководство разработчика» и они не должны реализовывать функции безопасности и оказывать влияние на реализацию функций безопасности «1С:Предприятие 8.3z». При выполнении этих условий сертификация конфигураций в Cистеме сертификации N РОСС RU.0001.01БИ00 в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации» не требуется.

Указанные выше требования выполнены в отношении всех типовых конфигураций фирмы «1С».

Возврат к списку

Slide 0

Методы и средства обеспечения информационной безопасности в системе 1С:Предприятие 8.1 П.Б.Хоревдоцент кафедры информационной безопасности РГСУ

Slide 1

Основные методы защиты информационных систем Идентификация и аутентификация субъектов.Авторизация субъектов.Аудит событий, имеющих отношение к безопасности.

Slide 2

Идентификация и аутентификация пользователей Создание и редактирование списка пользователей.Выбор способа аутентификации пользователей.

Slide 3

Способы аутентификации Средствами системы 1С:Предприятие (по имени и паролю).Средствами ОС Microsoft Windows (по имени и паролю или с помощью смарт-карт).

Slide 4

Создание учетной записи пользователя

Slide 5

Повышение достоверности аутентификации средствами 1С:Предприятие Установка минимальной длины паролей пользователей.Включение проверки сложности паролей.Удаление имени пользователя из списка выбора при входе в систему.

Slide 6

Повышение достоверности аутентификации средствами ОС Windows Установка минимальной длины и сложности паролей.Ограничение максимального срока действия паролей.Включение требования неповторяемости паролей и их минимального срока действия.Неотображение последнего имени пользователя, входившего в систему.Вход в систему с использованием смарт-карт.

Slide 7

Объединение аутентификации средствами 1С:Предприятие и средствами Windows Наиболее безопасный способ аутентификации пользователей.Требуется принудительное отображение диалога аутентификации пользователя средствами 1С:Предприятие (параметр командной строки /WA+).

Slide 8

Авторизация пользователя в системе 1С:Предприятие Назначение роли.Назначение интерфейса.

Slide 9

Назначение пользователю роли и интерфейса

Slide 10

Создание и назначение роли Роли создаются для отдельных должностных обязанностей.Каждому пользователю системы может быть назначена одна или несколько ролей.

Slide 11

Создание и редактирование роли Выбор объекта (объектов) конфигурации.Выбор прав доступа, разрешенных для выбранного объекта.Учет наследования (иерархии) прав доступа.

Slide 12

Создание и редактирование роли Возможность автоматической установки прав доступа к новым объектам.Возможность ограничения доступа к данным на уровне отдельных полей и записей.Ограничение доступа к данным может быть определено с помощью конструктора или путем создания и редактирования именованных шаблонов ограничения доступа.

Slide 13

Slide 14

Slide 15

Slide 16

Механизм интерфейсов Создание наборов команд главного меню и элементов панели инструментов, доступных для пользователя.Возможность дополнительного ограничения полномочий конкретного пользователя.

Slide 17

Создание пользовательского интерфейса

Slide 18

Slide 19

Обновление конфигурации базы данных Необходимо после создания ролей и интерфейсов, чтобы новым пользователям информационной системы могли быть назначены созданные роли и интерфейсы.

Slide 20

Настройка журнала регистрации системы 1С:Предприятие Определение событий, которые должны регистрироваться в журнале.Выбор периода времени, по истечении которого журнал регистрации будет сохраняться в новом файле.Возможность сокращения записей журнала до истечения указанного периода путем их удаления и, при необходимости, сохранения в файле.

Slide 21

Настройка журнала регистрации системы 1С:Предприятие Возможность сохранения разделения журнала по периодам и его объединения с ранее сохраненным журналом.Возможность автоматического обновления после заданного интервала времени при просмотре журнала регистрации.

Slide 22

Настройка журнала регистрации

Slide 23

Информация о событии в журнале регистрации Уровень события (ошибка, предупреждение, информация, примечание).Дата и время события.Имя и представление приложения, вызвавшего событие.Имя и представление события.Глобальный идентификатор и имя пользователя.Данные события и др.

Slide 24

Slide 25

Отбор записей в журнале регистрации

Slide 26

Сохранение журнала регистрации В формате 1С:Предприятие (*.elf).В формате XML.

Slide 27

Выводы В системе 1С:Предприятие 8.1 реализованы все необходимые методы обеспечения безопасности информационных систем.В механизме парольной аутентификации предусмотрены возможности ее усиления и объединения с механизмом аутентификации пользователей ОС Windows.При авторизации пользователей используется гибкий и мощный механизм ролевого разграничения доступа к объектам информационной системы.

Slide 28

Выводы Для дополнительного разграничения прав пользователей в системе может применяться механизм интерфейсов.Средства ведения, настройки, просмотра и сохранения журнала регистрации событий позволяют вести регулярный аудит безопасности системы.

Slide 29

Замечания В эксплуатационной документации отсутствуют сведения об алгоритме хеширования паролей, что не позволяет точно оценить сложность их подбора.При назначении роли (ролей) пользователям целесообразно ввести средства ограничений на совмещение разных ролей одним пользователем и количество пользователей, которым может быть одновременно назначена некоторая роль.

Защита конфигураций 1С, отчетов и обработок. Как защитить программный код 1с?

Slide 30

Замечания В эксплуатационной документации отсутствуют сведения о защите журнала регистрации событий от его удаления или подмены с целью скрытия совершенных несанкционированных действий. Неясно также, фиксируется ли в журнале событие, связанное с сокращением (удалением) записей в журнале до истечения заданного периода.

Защита персональной информации гарантируется Конституцией России. С внедрением информационных технологий на предприятиях этот вопрос обострился. С 01.01.2011 вступил в действие Федеральный закон о защите персональных данных всеми в информационных системах.

Для проведения работ по защите информации самостоятельно организациям потребуется выполнить правовые, организационные и технические мероприятия. Лучшим решением будет утверждение в штатном расписании новой должности и найму сотрудника, отвечающего за защиту информации. Для проведения эффективной защиты потребуются дополнительные денежные средства.

Часто организации не в состоянии провести полный комплект мероприятий на профессиональном уровне.

Компания «1С» готова оказать информационную и практическую помощь по внедрению защиты информации. В новых версиях своих программ «1С» уже включила элементы защиты.

Возможная угроза

При исследовании вопроса специалисты «1С» определили перечень угроз и технические возможности утечки информации.

Потеря данных может происходить случайно и несанкционированно.

Как правило, вся электронная техника предприятий от компьютеров до оргтехники связана в единую внутреннюю сеть. Сегодня большинство организаций имеют доступ к международной сети информационного обмена. Это и есть два основных источника утечки информации. Кроме этого не надо забывать о проникновении вредоносных программ. На утечку информации могут также влиять аппаратные или программные закладки. Все это дает доступ к информации пользователям, которые случайно или преднамеренно получают персональные данные. Потеря данных может произойти и при краже оборудования или при проведении ремонтных работ, и даже при сбое в электросети.

Опасность потери данных

Потеря персональных данных может повлечь негативные последствия, как для сотрудников, так и для самого предприятия. Незначительными потерями считается утрата неактуальной информации. Самая тяжелая потеря – это раскрытие информации государственного значения.

Защита программного обеспечения

Анализ возможных потерь данных послужил компании «1С» для проведения работ по доработки технической платформы самого распространенного продукта «1с бухгалтерия» и изменению прикладных программ.

Прежде всего, установлен отказ к допуску данных по профессиональной деятельности. Кроме того, введена регистрация лиц, получивших этот доступ. Новые решения уменьшают производительность работы программ, но разработчики уверяют, что это не будет заметно пользователям.

В прикладных программах также внесены изменения. Так, например, включена настройка, производящая выплату зарплаты по персональным платежным листам.

Защита учетных систем 1С

Выполняя требования закона о защите персональных данных, введена возможность их удаления по заявлению физического лица. В программе останутся данные, подлежащие обязательному хранению, которые обеспечивают полный цикл работы предприятия.

Компания «1С» провела работу, позволяющую решать и другие задачи по контролю и защите персональных данных. Сотрудники компании делают все возможное для обеспечения надежной работы выпускаемых программ.

Настройка аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах

Описание проблемы

Не работает аутентификация операционной системы (windows) через IIS при использовании тонкого клиента или веб-клиента.

С точки зрения пользователей, будет видно окно с запросом логина и пароля.

Проблема может заключаться в том, что методы операционной системы в силу различных причин возвращают описание текущего пользователя сеанса в таком представлении, которое не совпадает ни с одним пользователем в списке пользователей информационной базы 1С

Решение проблемы

На сервере 1С включить технологический журнал, используя следующую настройку:

Копировать в буфер обмена<?xml version="1.0" encoding="UTF-8"?>
<config xmlns="http://v8.1c.ru/v8/tech-log">
 <log location="C:\CONN\" history="24">
  <event> 
   <eq property="Name" value="CONN"/>
  </event>
  <event> 
   <eq property="Name" value="EXCP"/>
  </event>
  <property name="all"/>
 </log>
</config>

Воспроизвести ситуацию с неудачной аутентификацией операционной системы. Авторизоваться под пользователем операционной системы, указанным в свойствах пользователя 1С.

Открыть технологический журнал рабочего процесса и найти событие EXCP со следующим описанием: "Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя"

Обратите внимание на предшествующее ему событие CONN и значение свойства DstUserName2 — именно в таком виде пользователь должен быть указан в свойствах пользователя информационной базы.

Копировать в буфер обмена

04:45.940011-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: SrcUserName1: svc-1c@DOMAIN701.COM
04:45.940012-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: DstUserName1: testuser2@DOMAIN701.COM(DOMAIN701.COM\testuser2)
04:45.971001-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr:
04:46.205021-0,EXCP,2,process=rphost,p:processName=trade,t:clientID=60,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=19,Exception=a01f465c-ed70-442e-ada5-847668d7a41c,Descr=’src\VResourceInfoBaseServerImpl.cpp(991):
a01f465c-ed70-442e-ada5-847668d7a41c:

Заменить значение свойства "Пользователь" пользователя информационной базы согласно следующему формату "\\" + .

Проверить работоспособность аутентификации средствами операционной системы, войдя в информационную базу, используя веб-клиент.

Расположение веб-сервера IIS и рабочих серверов 1С на разных машинах

В некоторых случаях, несмотря на корректно указанного пользователя операционной системы в пользователе информационной базы, при попытке входа в опубликованную базу через браузер аутентификация операционной системы не проходит.

Защита персональных данных в 1С — вопросы и ответы

Такая ситуация может возникать, если веб-сервер IIS и сервер 1с находятся на разных машинах. В таком случае в технологическом журнале рабочего процесса можно наблюдать следующую картину:

Копировать в буфер обмена

56:39.487001-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: SrcUserName1: winserver1c$@DOMAIN701.COM
56:39.487002-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: DstUserName1: testuser2@DOMAIN701.COM(DOMAIN701.COM\testuser2)
56:39.596004-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: )
56:39.659003-0,EXCP,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Exception=a01f465c-ed70-442e-ada5-847668d7a41c,Descr=’src\VResourceInfoBaseServerImpl.cpp(991):
a01f465c-ed70-442e-ada5-847668d7a41c:

При возникновении такой ситуации необходимо проверить следующие настройки:

1) Убедиться, что процессы сервера 1С запущены от имени доменной учетной записи, входящей в группу Domain Users.

2) Убедиться, что веб-сервер IIS настроен корректно.

В публикации информационной базы найти настройки аутентификации

В настройках аутентификации отключить анонимную аутентификацию и включить Windows-аутентификацию. В Windows-аутентификации упорядочить доступных провайдеров так, чтобы на первом месте был Negotiate.

Пул приложений публикации не нуждается в настройках, в нем можно оставить все по умолчанию.

После изменения настроек перезапустить веб-сервер с помощью команды iisreset в командной строке.

3) Убедиться, что в контроллере домена в свойствах компьютера, на котором запущен веб-сервер, на вкладке делегирование установлено "Доверять компьютеру делегирование любых служб (только Kerberos)"

Для этого откройте оснастку Active Directory Users and Computers (dsa.msc), в компьютерах найдите веб-сервер, перейдите в его свойства и на вкладке Делегирование установить значение "Доверять компьютеру делегирование любых служб (только Kerberos)" и нажать применить.

4) Убедиться, что на клиенте в свойствах обозревателя разрешена встроенная проверка подлинности Windows.

После выполнения всех действий необходимо перезагрузить клиентский компьютер (рабочие серверы перезагрузки не требуют) и убедиться, что аутентификация операционной системы успешно выполняется.

Важно: аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах в тонком клиенте работает, начиная с версии 8.3.10.2620 (для тестирования).