Внешние обработки в 1С = полный доступ ко всем базам Надеюсь, вы прочитали мой прошлый пост, ограничили сервер 1С в правах и поставили пароль на консоль администрирования. Но остались внешние обработки. Их включают чуть ли не всем — от бухгалтера до кладовщика. И даже если вы урезали сервер 1С в правах, каждый такой пользователь может запустить обработку, которая: • откроет консольный доступ к серверу 1С → • прочитает файл конфигурации сервера → • получит оттуда адрес сервера SQL, имя пользователя и зашифрованный пароль для подключения к базе... И вот дальше вопрос: как зашифрован этот пароль? А зашифрован он во всех инсталляциях 1С … барабанная дробь… одним и тем же ключом шифрования! Который, конечно же, никто в мире не знает. Ну а те, кто всё же знает этот ключ, легко и непринуждённо получают доступ к базам на сервере SQL и могут делать с ними всё, что душе угодно (см. скриншоты 2 и 3). К сожалению, я не знаю, как исправить этот типичный Security through obscurity («безопасность через неясность») в 1С. Могу рекомендовать лишь: 1. Разрешать внешние обработки только тем пользователям, которым они действительно нужны. 2. Устанавливать таким пользователям действительно сложные пароли в 1С (в аудите частенько встречаешь пользователей вообще без пароля). 3. Ограничить доступ к серверу SQL по сети только с сервера 1С, чтобы даже со знанием пароля нельзя было подключиться к SQL в обход сервера 1С. 4. Следить, чтобы учётная запись подключения не имела прав sysadmin, а сам SQL был запущен без прав администратора. Компрометация учётной записи не должна превращаться в компрометацию всего сервера БД. 5. Не совмещать базы 1С с другими базами на одном SQL. Это ограничит ущерб от несанкционированного доступа. 6. Поставить антивирус (не Defender) на сервер 1С и на сервер SQL. Это хоть как-то усложнит развитие атаки и закрепление. 7. В режиме максимальной паранойи — ограничить доступ к серверу 1С только из контролируемого окружения (выделенный сервер терминалов). Для чего я это рассказал Чтобы в следующей серии продолжить рассказ о защите централизованных систем. На этот раз хочу коснуться системы, в которой хранятся пароли от всего на свете — это система резервного копирования Veeam. Вы же уже задумывались, как в ней защищены пароли? Задумывались же? Не переключайтесь!