Можно ли запустить базу 1С (8.3.8+) без доступа к файловой системе
Дано:
- в пустую файловую базу загружен dt/1CD неизвестного происхождения
Найти:
1) способ ограничить опасные для системы windows действия (запуск приложения/команды системы)
2) способ ограничить чтение/запись файловой системы (ФС) (кроме, разумеется, каталога временных файлов)
Решение:
1) Это решается, насколько понял, созданием Пользователя в конфигураторе -> установка галки Защита от опасных действий (только на предупреждение, но тем не менее)
2) Доступ к ФС ограничить, кроме как запуская 1С из под Гостя windows не нашел. Есть ли другой способ (напр. какой нибудь параметр запуска /ОтключитьДоступКФайловойСистеме
- в пустую файловую базу загружен dt/1CD неизвестного происхождения
Найти:
1) способ ограничить опасные для системы windows действия (запуск приложения/команды системы)
2) способ ограничить чтение/запись файловой системы (ФС) (кроме, разумеется, каталога временных файлов)
Решение:
1) Это решается, насколько понял, созданием Пользователя в конфигураторе -> установка галки Защита от опасных действий (только на предупреждение, но тем не менее)
2) Доступ к ФС ограничить, кроме как запуская 1С из под Гостя windows не нашел. Есть ли другой способ (напр. какой нибудь параметр запуска /ОтключитьДоступКФайловойСистеме
Прикрепленные файлы:
По теме из базы знаний
Найденные решения
А что запустить платформу от имени другого пользователя никак? используйте команду системы runas или на худой конец с зажатым SHIFT-ом жмете ПКМ на ярлык и выбираете это (см. скрин). Пользователя из-под которого запускаете 1С разумеется конкретно ограничиваете в правах как вам нужно.
Прикрепленные файлы:
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(7)
делайте отдельный стенд - виртуальный или физический с монитором ресурсов.
как вариант - наметьте вероятный список угроз. Выгрузите конфигурацию в файлы и поищите теми же регулярками запросы на доступ к файловой системе и к прочим ресурсам. Здесь есть вероятность, что будут закрытые модули - тогда только физический запуск на стенде.
Ищу решение подходящее
делайте отдельный стенд - виртуальный или физический с монитором ресурсов.
как вариант - наметьте вероятный список угроз. Выгрузите конфигурацию в файлы и поищите теми же регулярками запросы на доступ к файловой системе и к прочим ресурсам. Здесь есть вероятность, что будут закрытые модули - тогда только физический запуск на стенде.
(5) согласен с отвечающими: запускать 1С под бесправным пользователем винды (типа гостя). Зарезать ему доступ ко всему. у себя в домашней папке он будет что-то делать, если захочет наружу - система ругнется, что нет прав. Вроде так можно.
Это если "по-простому", а если правильно - тут рекомендовали виртуалку.
Если сделают продукт 1С:Контейнер - докер для 1с, вот это будет хорошо. Наверное и просто режим запуска "/ContainerMode" для 1С:Предприятие будет неплохо. Подразумевает рутовую ФС в указанной папке.
Что-то я размечтался...
Это если "по-простому", а если правильно - тут рекомендовали виртуалку.
Если сделают продукт 1С:Контейнер - докер для 1с, вот это будет хорошо. Наверное и просто режим запуска "/ContainerMode" для 1С:Предприятие будет неплохо. Подразумевает рутовую ФС в указанной папке.
Что-то я размечтался...
И как Вы это себе представляете?
Что у Вас значит без доступа к файловой системе?
При запуске файлового варианта 1С необходим ПОЛНЫЙ доступ к файлам в папке базы данных. Без этого работать не будет.
Остальное можете хоть под гостем.
Что у Вас значит без доступа к файловой системе?
При запуске файлового варианта 1С необходим ПОЛНЫЙ доступ к файлам в папке базы данных. Без этого работать не будет.
Остальное можете хоть под гостем.
Если цель - защитить клиентскую файловую систему при тесте базы неизвестного происхождения и при этом нет времени каждый раз локально разворачивать виртуальную машину, то отличным вариантом будет поднять виртуалку на офисном/домашнем компе и организовать к ней доступ через RDP, подключив у провайдера статический ip. Если домашний и офисный комп ограничены в ресурсах, то в качестве альтернативы можно арендовать готовый VPS с виндой и заходить туда через тот же RDP.
не очень понял, чего хотите.
дано : это вы или вам загрузили ?
где находится ресурс - у вас в локалке ?
_____________
Найти:
1) способ ограничить опасные для системы windows действия
(запуск приложения/команды системы)
2) способ ограничить чтение/запись файловой системы (ФС)
(кроме, разумеется, каталога временных файлов)
______________
по первому пункту - все очень просто настроить правами доступа к папке или к файлу
начиная от пользователя и о заканчивая его правами - полный доступ или без него , удаление и т.д.
и пользователя виндовс создавайте с обычными правами.
только вообще неизвестно, что и где вы хотите делать. и зачем ?
если в серверной системе да еще безопасность интересует, то лучше бы не вам это делать
если в локальной сети, то да, согласен, можете тренироваться.
дано : это вы или вам загрузили ?
где находится ресурс - у вас в локалке ?
_____________
Найти:
1) способ ограничить опасные для системы windows действия
(запуск приложения/команды системы)
2) способ ограничить чтение/запись файловой системы (ФС)
(кроме, разумеется, каталога временных файлов)
______________
по первому пункту - все очень просто настроить правами доступа к папке или к файлу
начиная от пользователя и о заканчивая его правами - полный доступ или без него , удаление и т.д.
и пользователя виндовс создавайте с обычными правами.
только вообще неизвестно, что и где вы хотите делать. и зачем ?
если в серверной системе да еще безопасность интересует, то лучше бы не вам это делать
если в локальной сети, то да, согласен, можете тренироваться.
(10)
Дано: загрузил я на свой ноут. Но это не так важно. Можно считать что Польз. А загрузил на свой комп с win B неизвестную базу C
База файловая, доступ только чз тонкий клиент, не по сети.
1) Понимаю. Это решается даже без установки прав запуском 1С от имени Гостя, о чем упомянул в сабже
2) Есть несвязанные между собой пользователи группы D, 10-100 пользователей [10:100]. Они (каждый самостоятельно) пишут конфигурации с 0 [100:1000]. Есть пользователи группы A [10:100] (строго говоря те же самые) - хотелось бы для них обезопасить запуск конфигураций, которых мб вплоть до 1000, и суммарное время на проверку каждой из 1000 очень велико, это не продуктивно
загрузили
Дано: загрузил я на свой ноут. Но это не так важно. Можно считать что Польз. А загрузил на свой комп с win B неизвестную базу C
База файловая, доступ только чз тонкий клиент, не по сети.
1) Понимаю. Это решается даже без установки прав запуском 1С от имени Гостя, о чем упомянул в сабже
2) Есть несвязанные между собой пользователи группы D, 10-100 пользователей [10:100]. Они (каждый самостоятельно) пишут конфигурации с 0 [100:1000]. Есть пользователи группы A [10:100] (строго говоря те же самые) - хотелось бы для них обезопасить запуск конфигураций, которых мб вплоть до 1000, и суммарное время на проверку каждой из 1000 очень велико, это не продуктивно
делал что-то подобное с помощью
правда давно это было и под XP, правда там и по Win7 оно называлось EWF
(но ссылку нашел свежую, для w81)
идея такая - все изменения в ФС пишутся в память, и при перезагрузке не сохраняются.
я таким образом защищал диск C, а все данные хранились на D, который работал обычным образом.
PS
правда давно это было и под XP, правда там и по Win7 оно называлось EWF
(но ссылку нашел свежую, для w81)
идея такая - все изменения в ФС пишутся в память, и при перезагрузке не сохраняются.
я таким образом защищал диск C, а все данные хранились на D, который работал обычным образом.
PS
А что запустить платформу от имени другого пользователя никак? используйте команду системы runas или на худой конец с зажатым SHIFT-ом жмете ПКМ на ярлык и выбираете это (см. скрин). Пользователя из-под которого запускаете 1С разумеется конкретно ограничиваете в правах как вам нужно.
Прикрепленные файлы:
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот