Сделать это можно через локальные политики безопасности непосредственно на сервере, либо с помощью доменных групповых политик.

Мнение эксперта

1С:Эксперт по технологическим вопросам

Задавайте мне вопросы, и я помогу разобраться!

Обновление стандартной программы не должно вызвать затруднений как правило, для этого достаточно стабильного подключения к интернету. Заделываем дыры в сервере приложений 1С и вокруг него / Хабр Обращайтесь в форму связи

Заделываем дыры в сервере приложений 1С и вокруг него

В сегодняшней статье я расскажу об уязвимостях сервера 1С в корпоративной сети.

Как показала практика, в инсталляциях с 1С все допускают одни и те же ошибки разной степени серьезности. Я не буду касаться очевидных вещей вроде установки обновлений, но пройдусь по специфике работы сервера приложений под Windows. Например, по возможности бесконтрольно манипулировать базами Microsoft SQL с помощью инструментов 1С.

Исторически так сложилось, что редко когда системные администраторы и программисты 1С работают как одна команда. Чаще всего специалисты по 1С не вникают в тонкости системного администрирования, а сисадмины не стремятся постичь нюансы работы 1С.

И получается инфраструктура с «детскими болячками», очевидными для специалиста по ИБ ― ниже привожу личный ТОП таких проблем.

Настройка прав пользователей в конфигурациях 1С

Запускаем сервер правильно

По умолчанию платформа 1С при установке создает специальную учетную запись с ограниченными правами, под которой работают службы сервера ― USR1CV8. Все идет хорошо, до тех пор пока не становятся нужны ресурсы сети: например, для автоматических выгрузок-загрузок. Учетная запись по умолчанию не имеет доступа на сетевые папки домена, поскольку является локальной.

В своей практике я встречал множество способов решения этой задачи: папки с доступом на запись для группы «Все», сервер 1С под учетной записью с правами администратора домена, явно прописанные в коде учетные данные для подключения сетевого ресурса. Даже запуск сервера 1С под пользовательской сессией как обычное приложение.

Заходим на сервер по RDP, видим такое окно и получаем нервный тик.

Конечно, «захардкоженые» пароли и сетевые ресурсы с анонимным доступом на запись встречаются редко. В отличие от работы сервера 1С из-под обычной доменной учетной записи. Разумеется, с возможностью выполнить произвольный код «на сервере».

Промокоды на Займер на скидки

Займы для физических лиц под низкий процент

• 💲Сумма: от 2 000 до 30 000 рублей
• 🕑Срок: от 7 до 30 дней
• 👍Первый заём для новых клиентов — 0%, повторный — скидка 500 руб

Получить купон

Как известно любому 1С-нику, но не любому системному администратору, в обработках 1С есть два режима выполнения процедур: на сервере и на клиенте. Запущенная в «серверном» режиме процедура будет выполнена под учетной записью службы сервера приложений. Со всеми ее правами.

Если сервер 1С работает с правами администратора домена, то потенциальный вредитель сможет сделать с доменом что угодно. Разумным выходом станет создание специальной учетной записи ― по мотивам USR1CV8, только уже в домене. В частности, ей стоит разрешить вход только на определенные серверы в оснастке «Пользователи и Компьютеры Active Directory».

Не лишним будет и разрешить вход на сервер только в качестве службы, отключив возможность локального (интерактивного) входа в систему. Сделать это можно через локальные политики безопасности непосредственно на сервере, либо с помощью доменных групповых политик.

Назначение прав пользователя в локальной политике безопасности.

Все то же самое касается и учетной записи сервера Microsoft SQL. Седых волос может прибавиться от вредных привычек:

• запускать SQL с правами администратора компьютера или даже домена для удобного резервного копирования;
• включать возможность запуска исполняемых команд через хранимую процедуру xp_cmdshell для переноса резервных копий на сетевые ресурсы через красивые планы обслуживания.

В случае, когда справиться с проблемой самому не получается, нужно обратиться к системным администраторам или специалистам, которые решат вашу проблему.

Мнение эксперта

1С:Эксперт по технологическим вопросам

Задавайте мне вопросы, и я помогу разобраться!

Если пользователь делает настройку прав в конфигурации первый раз, можно воспользоваться услугами специалистов сопровождающей компании. Не обнаружена установленная версия 1С Предприятия 8.3 Обращайтесь в форму связи

На компьютере может быть недостаточно места, поэтому не удаётся завершить установку

Диагностировать и исправить эту причину появления ошибки с установкой обновления в Windows 10 будет легче всего, поэтому начать нужно именно отсюда.

Для каждого обновления Windows в автоматическом режиме нужно скачать, распаковать файлы, и подготовить их. Лишь после этого происходит установка обновлений, а уже потом, если всё прошло успешно, временные файлы удаляются и место освобождается. Если обновление крупное и значимое, то места оно может занять много.

1. Если на жёстком диске компьютера места недостаточно, то обновление может не произойти и служба обновления будет завершать работу.
2. Проверить свободное место можно, зайдя в «Этот компьютер».
3. Достаточно места должно быть именно на том разделе жесткого диска, на котором установлена Windows, как правило, это локальный диск C.

Недостаточно прав для удаления Обратитесь к системному администратору – Решение

• Перейдите на страницу скачивания Windows 10 по этой ссылке. И нажмите кнопку «Обновить сейчас».
• Файл скачается на ваш компьютер. После этого откройте его двойном кликом левой кнопкой мышки.
• Если вашему компьютеру требуется какое-то обновление для Windows, то об этом появится сообщение. Нажмите «Обновить сейчас».
• Произойдёт проверка вашего компьютера на совместимость с последним обновлением. Когда увидите, что всё соответствует, нажмите «Далее».
• Теперь начнётся скачивание и установка обновления, что может занять значительное время. Это зависит от скорости вашего интернета и производительности компьютера.
• Когда обновление завершится успешно, вы увидите такое сообщение, где нужно нажать на «Выйти».

Некорректная настройка служб

Для того, чтобы обновление Windows произошло корректно, необходима правильная работа пяти служб системы. Если хотя бы одна из них работает не правильно или вообще не доступна, то может появиться сообщение об ошибке при установке обновлений Windows. Для того чтобы проверить состояние служб, сделайте следующее:

1. Запустите окно «Выполнить» с помощью комбинации клавиш Win + R. Клавиша Win находится внизу слева клавиатуры, на ней нарисована эмблема Windows.
2. В появившемся окне введите services.msc и нажмите «Ок».
3. Откроется окно со списком служб, которые есть на компьютере. По умолчанию они сортированы по алфавиту, что поможет вам искать нужное.
4. Найдите в списке «Служба Medic центра обновления Windows». Её тип запуска должен быть «Вручную».
5. Теперь найдите «Службы криптографии». Её статус запуска должен быть «Автоматически».
6. Служба «Установщик Windows» должна иметь тип запуска «Вручную».
7. «Фоновая интеллектуальная служба передачи (BITS)» должна иметь тип запуска «Автоматически (отложенный запуск)».
8. Служба «Центр обновления Windows» должна быть с типом статуса «Вручную».
9. Таким образом вы можете проверить состояние работы каждой из пяти служб и убедиться, что они соответствуют описанному выше.
10. Если вдруг тип запуска какой-то из этих служб не такой, как нужен, то кликнув на службе два раза левой кнопкой мышки, вы можете изменить это. В списке «Тип запуска» можно выбрать нужный вариант. А затем нажать «Ок».

Неправильная работа служб является часто причиной появления ошибок при обновлении Widnows 10. Для диагностики причины «Не удалось завершить установку, поскольку служба обновления завершает работу» необходимо внимательно и кропотливо проверить службы.

Все перечисленные операции записываются в специальный log-файл, который обычно располагается в основной папке программы вместе с файлом деинсталлятора.

Мнение эксперта

1С:Эксперт по технологическим вопросам

Задавайте мне вопросы, и я помогу разобраться!

Кроме этого, в пределах платформы можно настраивать подходящий внешний вид программы, который будет наиболее комфортным для восприятия. Не работает 1С, быстрое решение проблемы Обращайтесь в форму связи

Дополнительный способ

Ничего не помогло — воспользуйтесь следующими методами:

Путь к имени файла должен быть допустимым в каталоге отчетов: щелкните вкладку «Вывод». Перейдите на вкладку «Параметры вывода». В поле Имя файла убедитесь, что путь действителен.

Сколько дискового пространства доступно для файла: Откройте Windows Explorer. Выберите Локальный диск (буква диска:), на котором хранится отчет. Щелкните правой кнопкой мыши на локальном диске (буква диска:) и нажмите Свойства. Откроется окно свойств. Проверьте доступное свободное пространство на этом локальном диске.

Убедитесь, что у пользователя есть разрешения на доступ к папке IO_Data: Откройте проводник Windows. Щелкните правой кнопкой мыши основную папку выберите «Свойства».

Перейдите на вкладку «Безопасность». Убедитесь, что у пользователя есть полные права на эту папку и все подпапки. Если вы не можете проверить права доступа, обратитесь к администратору.

Не удалось завершить установку, поскольку служба обновления завершает работу

Ошибка при совместном доступе в 1C

Взгляните на права пользователя под которым вы зашли в систему виндоус. У вас должны быть права и на чтение файлов и на запись.

Когда данные к которым нужно получить доступ (база) находится на удаленном (локальном) персональном компьютере — смотрим закладку «Безопасность». В безопасности вы должны убедиться что у пользователя нет запрета на запись.

Предупреждения о проблемах вылазят когда возмущается брандмауэр. Это касается сетевых объектов. Антивирусные программы препятствуют нормальной работе.

Открываем брандмауэр и антивирус и ищем в списке блокируемых программ 1С. Удаляем из списка.

Большой шанс появления ошибки, когда два синонимичных приложения запускаются вместе. К примеру, ЗУП и Бухгалтерия. Если запустить по очереди, проблема исчезнет