Можно ли запустить базу 1С (8.3.8+) без доступа к файловой системе

1. user785225 17 15.05.21 08:55 Сейчас в теме
Дано:
- в пустую файловую базу загружен dt/1CD неизвестного происхождения

Найти:
1) способ ограничить опасные для системы windows действия (запуск приложения/команды системы)
2) способ ограничить чтение/запись файловой системы (ФС) (кроме, разумеется, каталога временных файлов)

Решение:
1) Это решается, насколько понял, созданием Пользователя в конфигураторе -> установка галки Защита от опасных действий (только на предупреждение, но тем не менее)
2) Доступ к ФС ограничить, кроме как запуская 1С из под Гостя windows не нашел. Есть ли другой способ (напр. какой нибудь параметр запуска /ОтключитьДоступКФайловойСистеме
Прикрепленные файлы:
По теме из базы знаний
Вознаграждение за ответ
Показать полностью
Найденные решения
14. sinichenko_alex 178 18.05.21 06:22 Сейчас в теме +1 $m
А что запустить платформу от имени другого пользователя никак? используйте команду системы runas или на худой конец с зажатым SHIFT-ом жмете ПКМ на ярлык и выбираете это (см. скрин). Пользователя из-под которого запускаете 1С разумеется конкретно ограничиваете в правах как вам нужно.
Прикрепленные файлы:
user785225; dimao; +2 Ответить
Остальные ответы
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
3. Denis_CFO 48 15.05.21 09:25 Сейчас в теме
(1) закинуть платформу и базу в виртуальную машину запустить 1С и монитором ресурсов смотреть куда она ломится.
user785225; +1 Ответить
5. user785225 17 15.05.21 09:26 Сейчас в теме
(3) да, тема хорошая, но неоперативно. Если не предложат другого варианта, этот будет решением
6. Denis_CFO 48 15.05.21 09:28 Сейчас в теме
(5)
но неоперативно

согласен. Но вы же не кардиохирурги. Здесь такая скорость не так важна, зато точно знать будете какие могут быть сюрпризы. ИМХО восстанавливать учет у клиента, а может и остальные данные - так себе перспектива.
7. user785225 17 15.05.21 09:30 Сейчас в теме
(6) нет-нет, упаси боже у клиента жертвовать безопасностью ради оперативности. Ищу решение подходящее для быстрого множественного просмотра чужих самописных маленьких баз 1С несколькими пользователями
8. Denis_CFO 48 15.05.21 09:33 Сейчас в теме
(7)
Ищу решение подходящее

делайте отдельный стенд - виртуальный или физический с монитором ресурсов.
как вариант - наметьте вероятный список угроз. Выгрузите конфигурацию в файлы и поищите теми же регулярками запросы на доступ к файловой системе и к прочим ресурсам. Здесь есть вероятность, что будут закрытые модули - тогда только физический запуск на стенде.
16. dimao 19.05.21 16:45 Сейчас в теме
(5) согласен с отвечающими: запускать 1С под бесправным пользователем винды (типа гостя). Зарезать ему доступ ко всему. у себя в домашней папке он будет что-то делать, если захочет наружу - система ругнется, что нет прав. Вроде так можно.
Это если "по-простому", а если правильно - тут рекомендовали виртуалку.

Если сделают продукт 1С:Контейнер - докер для 1с, вот это будет хорошо. Наверное и просто режим запуска "/ContainerMode" для 1С:Предприятие будет неплохо. Подразумевает рутовую ФС в указанной папке.

Что-то я размечтался...
2. FilimonVl 15.05.21 09:17 Сейчас в теме
И как Вы это себе представляете?
Что у Вас значит без доступа к файловой системе?
При запуске файлового варианта 1С необходим ПОЛНЫЙ доступ к файлам в папке базы данных. Без этого работать не будет.
Остальное можете хоть под гостем.
4. user785225 17 15.05.21 09:25 Сейчас в теме
(2) благодарю за интерес к теме.
Если формулировать постановку от и до, уйдет час ☺

Имел ввиду ограничить доступ только к папкам выделенным зелененьким (добавил картинку в описание)
9. GeraltSnow 171 15.05.21 14:05 Сейчас в теме
Если цель - защитить клиентскую файловую систему при тесте базы неизвестного происхождения и при этом нет времени каждый раз локально разворачивать виртуальную машину, то отличным вариантом будет поднять виртуалку на офисном/домашнем компе и организовать к ней доступ через RDP, подключив у провайдера статический ip. Если домашний и офисный комп ограничены в ресурсах, то в качестве альтернативы можно арендовать готовый VPS с виндой и заходить туда через тот же RDP.
10. XAKEP 15.05.21 17:00 Сейчас в теме
не очень понял, чего хотите.

дано : это вы или вам загрузили ?
где находится ресурс - у вас в локалке ?

_____________
Найти:
1) способ ограничить опасные для системы windows действия
(запуск приложения/команды системы)
2) способ ограничить чтение/запись файловой системы (ФС)
(кроме, разумеется, каталога временных файлов)

______________

по первому пункту - все очень просто настроить правами доступа к папке или к файлу
начиная от пользователя и о заканчивая его правами - полный доступ или без него , удаление и т.д.

и пользователя виндовс создавайте с обычными правами.

только вообще неизвестно, что и где вы хотите делать. и зачем ?

если в серверной системе да еще безопасность интересует, то лучше бы не вам это делать

если в локальной сети, то да, согласен, можете тренироваться.
12. user785225 17 17.05.21 10:45 Сейчас в теме
(10)
загрузили


Дано: загрузил я на свой ноут. Но это не так важно. Можно считать что Польз. А загрузил на свой комп с win B неизвестную базу C

База файловая, доступ только чз тонкий клиент, не по сети.

1) Понимаю. Это решается даже без установки прав запуском 1С от имени Гостя, о чем упомянул в сабже
2) Есть несвязанные между собой пользователи группы D, 10-100 пользователей [10:100]. Они (каждый самостоятельно) пишут конфигурации с 0 [100:1000]. Есть пользователи группы A [10:100] (строго говоря те же самые) - хотелось бы для них обезопасить запуск конфигураций, которых мб вплоть до 1000, и суммарное время на проверку каждой из 1000 очень велико, это не продуктивно
11. -AI- 16.05.21 14:23 Сейчас в теме
делал что-то подобное с помощью UWF (Unified Write Filter)

правда давно это было и под XP, правда там и по Win7 оно называлось EWF
(но ссылку нашел свежую, для w81)

идея такая - все изменения в ФС пишутся в память, и при перезагрузке не сохраняются.

я таким образом защищал диск C, а все данные хранились на D, который работал обычным образом.

PS ещё нашёл, и на русском
f.lex; dimao; +2 Ответить
13. user785225 17 17.05.21 10:48 Сейчас в теме
(11) инструмент over-крутой! Но в рамках этой задачки сложнее, чем запуск из под юзера которого не жалко
14. sinichenko_alex 178 18.05.21 06:22 Сейчас в теме +1 $m
А что запустить платформу от имени другого пользователя никак? используйте команду системы runas или на худой конец с зажатым SHIFT-ом жмете ПКМ на ярлык и выбираете это (см. скрин). Пользователя из-под которого запускаете 1С разумеется конкретно ограничиваете в правах как вам нужно.
Прикрепленные файлы:
user785225; dimao; +2 Ответить
15. hamsar 15 18.05.21 15:10 Сейчас в теме
контейнер с виртуалкой в vhd делаете. И генерируете для каждого желающего свой контейнер раскидываете их по портам в rdp и потом грохаете за ненадобностью задача для админа. Делается быстро
17. user1103553 11.06.21 10:25 Сейчас в теме
через апач можно создаете в конфигураторе "опубликовать в веб" и через внешний IP через проброс порта цепляетесь с любой точки планеты через браузер
Оставьте свое сообщение
Вакансии
1С аналитик
Москва
зарплата от 210 000 руб.
Полный день

Руководитель направления 1С
Москва
зарплата от 350 000 руб.
Полный день

1С Программист
Москва
зарплата от 180 000 руб.
Полный день

Программист 1С
Москва
зарплата от 180 000 руб. до 220 000 руб.
Полный день

Аналитик 1С / Бизнес-аналитик
Нижний Новгород
зарплата от 100 000 руб. до 250 000 руб.
Временный (на проект)