###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • 1s 8.2 Nu pot instala modul sigur. Mod de operare sigur. Rularea procesării externe în modul normal de aplicare

    11.05.2020 Știri

    Deschidere usoara prelucrare externă realizat folosind obiectul context global ExternalProcessing, care are tipul ExternalProcessingManager. Pentru fiecare mod de operare al platformei 1C (modul de aplicare obișnuit și modul de aplicație gestionată), sunt utilizate diferite metode obiect pentru a lucra cu procesare externă.

    Rularea procesării externe în modul normal de aplicare

    Într-o aplicație tipică, trebuie să utilizați metoda Create() a obiectului ExternalProcessing, căruia i se transmite numele complet al fișierului de procesare externă. Metoda returnează un obiect de tip Procesare externă, acest obiect este procesarea externă care se deschide. Dacă trebuie să deschideți un formular de procesare extern, atunci apelați metoda GetForm() pe obiectul primit, care va returna formularul principal, apoi apelați metoda Open() pentru a-l deschide.


    Procesare = ExternalProcessing.Create(FullFileName);
    Procesare.GetForm().Open();

    În procesarea externă, forma principală trebuie să fie întotdeauna una obișnuită, iar forma controlată trebuie să fie întotdeauna una suplimentară, altfel metoda GetForm() nu va funcționa în modul de aplicare normal.

    Rularea procesării externe în modul aplicație gestionată

    În modul forme controlate algoritmul este împărțit în funcție de contextul de execuție. Pe client, primim date binare folosind numele complet al fișierului de procesare extern. Transferăm datele binare primite pe server și le plasăm în stocare temporară. Apoi, trebuie să apelați metoda Connect() a obiectului ExternalProcessing, la care este transmisă adresa pentru stocarea temporară. Metoda returnează numele procesării externe conectate. Returnăm clientului numele procesării externe, creăm o cale de șir către formularul de procesare și folosim metoda OpenForm() pentru a deschide formularul de procesare externă.

    &Pe server
    Funcția GetExternalProcessingName(BinaryData)
    AddressInTemporaryStorage = PlaceInTemporaryStorage(BinaryData);
    Return ExternalProcessing.Connect(AddressInTemporaryStorage);
    EndFunction

    &OnClient
    FullFileName = ""; // Numele complet al fișierului de procesare externă.
    FileData = new BinaryData(FullFileName);
    ExternalProcessingName = GetExternalProcessingName(FileData);
    OpenForm("ExternalProcessing." + ExternalProcessingName + ".Form");

    Modul sigur pentru procesare externă

    Metodele Create() și Connect() ale obiectului ExternalProcessing au un parametru de intrare SafeMode - un semn al conectării procesării externe în modul sigur. Dacă parametrul nu este specificat, conexiunea se va face în mod securizat.
    Modul sigur munca este menită să protejeze sistemul de execuția de cod de program „neîncrezător” pe server. Potențialul pericol provine din procesarea externă sau codul de program introdus de utilizator pentru a fi utilizat în metodele Run() și Calculate().
    Modul sigur impune următoarele restricții:
    • modul privilegiat este anulat dacă a fost instalat;
    • încercările de a intra în modul privilegiat sunt ignorate;
    • operațiunile cu obiecte COM sunt interzise;
    • este interzisă încărcarea și conectarea componentelor externe;
    • acces interzis Sistemul de fișiere(cu excepția fișierelor temporare);
    • Accesul la internet este interzis.
    Procesele deschise interactiv nu se desfășoară în modul sigur, de aceea se recomandă implementarea unui mecanism de deschidere a procesoarelor externe în modul sigur, precum și la nivel de permisiune pentru a interzice utilizatorului deschiderea interactivă a procesoarelor externe.
    Pentru a interzice deschiderea interactivă a prelucrării, în toate rolurile atribuite utilizatorului, este necesar să eliminați dreptul „Deschiderea interactivă a prelucrării externe” (vezi Figura 1).
    Figura 1. Drepturi de a deschide interactiv procesări/rapoarte externe
    Dreptul „Deschiderea interactivă a prelucrării externe” nu afectează în niciun fel obiectul Prelucrare externă.

    Deschiderea programatică a rapoartelor externe este similară cu procesarea externă, dar ar trebui să utilizați obiectul context global ExternalReports, care are tipul ExternalReportsManager.

    Când porniți programul Încărcați documente sub utilizator obișnuit Apare eroarea „Modul sigur este setat. Operațiunea este interzisă”.

    Această dificultate apare deoarece Nu există suficiente drepturi pentru a începe procesarea externă. Pentru a configura drepturile de acces, conectați-vă la baza de date în modul 1C Enterprise în numele Administratorși mergi la secțiune Setări utilizator și drepturi / Profiluri de grup de acces, clic Pentru a crea un grup.

    Introduceți numele grupului și bifați casetele pentru rolurile disponibile pentru utilizatorii acestui grup -

    • Deschiderea interactivă a rapoartelor externe și procesare
    • Utilizarea rapoartelor și procesării suplimentare

    Clic Salveaza si inchide


    Reveniți la meniul Utilizatori și selectați din listă angajatul care va lucra cu programul Încărcare documente. Faceți clic pe Permisiuni. În lista de profiluri, selectați profilul creat anterior. Clic Scrie.


    Pentru ca utilizatorii să poată începe procesarea, este recomandat să adăugați Încărcarea documentului la lista de procesare externă. Pentru a face acest lucru în meniu Administrare / Formulare tipărite și procesare / Rapoarte suplimentare și procesare creați o nouă prelucrare. Specificați calea către fișierul „Download Documents.epf” și atribuiți un nume. Specificați locația procesării în meniu, de unde utilizatorul o poate lansa mai târziu, de exemplu, selectați meniul Directoare

    Făcând clic pe articol Acces rapid indicați ce utilizatori au acces la procesare:


    După setare, faceți clic Salveaza si inchide. Pentru a începe procesarea, utilizatorii vor trebui doar să reintroducă baza de date și să o deschidă din meniul de acces (în exemplu - Directoare) și să facă clic pe A executa.


    Deschis Meniu - Toate funcțiile.... și găsiți opțiunea „Se folosesc profiluri de securitate” din listă.


    Doar debifați opțiunea „Se folosesc profiluri de securitate”.


    După aceasta, programul se va lansa cu succes.

    Ideea este că atunci când se utilizează versiunea client-server Procesarea/rapoartele externe 1C sunt deschise în modul sigur, în care utilizarea modului privilegiat este interzisă. Iar modul privilegiat este folosit foarte des în configurațiile tipice: formare formulare tipărite, variat controale oficiale(înregistrarea schimburilor), etc. Ca urmare, chiar și folosind un raport regulat asupra sistemului de control al accesului fără formular (în mod implicit, se folosește formularul general „ReportForm”) și salvarea setari personalizate raport (în cartea de referință corespunzătoare), veți primi o eroare despre drepturi de acces insuficiente la diferite constante și parametri de sesiune utilizați în scopuri oficiale după linie SetPrivilegedMode(True) ;

    Soluția „corectă” ar fi conectarea prelucrărilor și rapoartelor externe prin mecanismele BSP „Rapoarte și procesare suplimentare” cu dezactivarea modului sigur sau adăugarea de permisiuni (în opinia mea, din versiunea BSP 2.2.2.1). Dar dacă din anumite motive este necesar să se folosească fișiere externe rapoarte/procesare, puteți configura un profil de securitate cluster utilizat ca profil de securitate în mod sigur pentru o anumită bază de informații.

    Aș dori să observ imediat că această opțiune nu este de preferat, dar din cauza diverselor circumstanțe poate fi utilizată într-o formă atât de simplificată. De exemplu, am mai multe baze de date în diferite orașe, una comună locală cu drepturi strict limitate, USB închis etc., undeva folosesc Accounting 2.0, iar undeva 3.0, fac aproape toate rapoartele folosind instrumente ACS fără formulare, astfel încât acestea deschis în ambele versiuni. Serviți toate aceste rapoarte pentru versiuni diferiteși diferite baze de date este o sarcină laborioasă și inutilă, deoarece Există planuri de a trece la o singură configurație și bază...

    Să creăm un profil.
    În consola clusterului, creăm un profil de securitate în care setăm steagurile „Poate fi folosit ca profil de securitate Safe Mode”și „ în secțiunea „Acces complet permis:” „în modul privilegiat”.

    În multe cazuri de utilizare a rapoartelor și procesare simplă aceasta metoda va fi aplicabil. Pentru situații mai complexe, nu are rost să descriem procesul, deoarece este subliniat în documentație (capacitatea de a configura profiluri de securitate pentru anumite fișiere externe prin specificarea cantității de hash, etc.).

    P.S. Credeam că profilurile de securitate funcționează doar atunci când se folosesc licențe de platformă și server la nivel de CORP, dar această funcționalitate funcționează și pe platforma 1C:Enterprise 8.3 (se poate numi condiționat PROF, prin analogie cu configurațiile standard Basic/PROF/CORP)

    În versiunea 8.3.9.2170, securitatea a fost întărită - sistemul solicită acum confirmarea pentru a lansa procesări externe, extensii etc. Aparent după troian:

    A fost implementat un mecanism de protecție împotriva acțiunilor periculoase. Când se efectuează o acțiune potențial periculoasă, sistemul emite un avertisment care conține informații despre acțiunea în curs și despre pericolul potențial al acestei acțiuni. Activitățile potențial periculoase includ:

    • Încărcarea unui raport extern, procesare sau extensie de configurare.
    • Se încarcă sau se actualizează configurația/extensia.
    • Acces de la un raport/procesor extern sau extensie la următoarele capabilități:
    • Executarea unei comenzi de sistem de operare.
    • Managementul utilizatorilor.

    Utilizatorul are capacitatea de a permite sau de a respinge o acțiune potențial periculoasă. Dacă o acțiune este permisă, în unele cazuri poate fi necesar să reexecuți acțiunea permisă.

    Mesajul arată astfel:

    Avertizare de securitate

    Deschide „” din fișierul „C:\.......epf”. Se recomandă să acordați atenție sursei din care a fost obținut acest fișier. Dacă nu există un acord cu sursa cu privire la dezvoltarea modulelor suplimentare sau există îndoieli cu privire la conținutul fișierului, atunci nu este recomandat să îl deschideți, deoarece acest lucru poate dăuna computerului și datelor. Permiteți deschiderea acestui fișier. NU CHIAR

    Soluţie:

    În configurator, în proprietățile utilizatorului de securitate a informațiilor, debifați caseta de selectare „Protecție împotriva acțiunilor periculoase”.

    Din documentatie:Dezactivarea mecanismului de protecție a activităților periculoase

    În unele cazuri, este necesară dezactivarea mecanismului de protecție împotriva acțiunilor periculoase. Pentru a face acest lucru, puteți utiliza următoarele opțiuni:

    1. Dezactivați caseta de selectare Protecție împotriva acțiunilor periculoase (Protecție împotriva acțiunilor periculoase) din proprietăți utilizator specific. Acest lucru va dezactiva protecția pentru acel utilizator.

    2. Utilizați parametrul Protecție împotriva acțiunilor periculoase din metodele Connect() ale managerilor externi de procesare (rapoarte). În acest caz, este posibilă încărcarea procesării externe (raportului) fără solicitările utilizatorului.

    3. Utilizați proprietatea Protecție împotriva acțiunilor periculoase a obiectului Extensie de configurare înainte de a apela metoda Write() a acestui obiect.

    4. Utilizați parametrul DisableUnsafeActionProtection din fișierul conf.cfg. În acest caz, mecanismul de protecție împotriva acțiunilor periculoase va fi dezactivat pentru toți utilizatorii bazei de informații ale căror șiruri de conexiune satisfac măștile specificate.

    Dezactivarea protecției împotriva acțiunilor periculoase se efectuează conform următoarelor reguli (în ordinea dată):

    1. Protecția este considerată dezactivată dacă utilizator curent Caseta de selectare Protecție împotriva activităților periculoase este debifată.

    2. Protecția este considerată dezactivată dacă șirul de conexiune cu baza de informatii satisface unul dintre modelele specificate în parametrul DisableUnsafeActionProtection al fișierului conf.cfg.

    3. Dacă procesarea externă (raportul) este conectată cu protecția dezactivată în mod explicit folosind parametrul Protecție împotriva acțiunilor nesigure.

    4. Dacă protecția este dezactivată în mod explicit folosind proprietatea extensiei Protecție împotriva acțiunilor periculoase.