Как установить привилегированный режим на клиенте

Виды программных модулей

В системе 1С:Предприятие существуют несколько видов программных модулей. Они различаются по месту размещения и доступному контексту.

Модуль управляемого приложения

Модуль управляемого приложения располагается в корневом разделе конфигурации. В нем располагаются процедуры-обработчики событий, которые инициализируются при старте и окончании работы системы с установленном в значение «Управляемое приложение» свойства Основной режим запуска. В модуле управляемого приложения возможно объявление переменных, а также объявление и описание процедур и функций, которые будут доступны в любом модуле конфигурации (кроме модуля внешнего соединения). Их доступность также обеспечивается для неглобальных общих модулей с установленным свойством Клиент (управляемое приложение). В контексте модуля управляемого приложения доступны экспортируемые процедуры и функции общих модулей.

Модуль сеанса

Модулем сеанса называется модуль, который автоматически выполняется при старте системы 1С:Предприятие 8 в момент загрузки конфигурации.

Модуль сеанса предназначен для инициализации параметров сеанса и отработки действий, связанных с сеансом работы. Модуль сеанса всегда исполняется в привилегированном режиме в кластере серверов 1С:Предприятия 8.

Важно! Модуль сеанса может содержать только определения процедур и функций.

Модуль сеанса не содержит экспортируемых процедур и функций и может использовать процедуры из общих модулей конфигурации.

Модуль внешнего соединения

Модуль внешнего соединения расположен в корневом разделе конфигурации. В нем располагаются процедуры-обработчики событий, которые инициализируются при старте и окончании работы системы в режиме внешнего соединения (СОМ-соединения).

В модуле внешнего соединения возможно объявление переменных, а также объявление и описание процедур и функций, которые будут доступны для внешнего приложения, а также для неглобальных общих модулей с установленным свойством Внешнее соединение.

Объекты 1С:Предприятия, доступные извне через COM-соединение:

Экспортируемые переменные и процедуры/функции модуля внешнего соединения
Экспортируемые процедуры/функции общих модулей
Включение и исключение модулей целиком с помощью установки свойств общих модулей
Включение и исключение фрагментов общих модулей с помощью препроцессора
Глобальный контекст 1С:Предприятия 8
За исключением объектов, жестко связанных с клиентским приложением (ТекстовыйДокумент, ТабличныйДокумент, . )

Модуль присутствует только в сессии внешнего соединения.

В данном режиме характерно полное отсутствие пользовательского интерфейса.

Модуль обычного приложения

Модуль обычного приложения располагается в корневом разделе конфигурации. В нем располагаются процедуры-обработчики событий, которые инициализируются при старте и окончании работы системы с установленным в значение «Обычное приложение» свойством Основной режим запуска. В модуле обычного приложения возможно объявление переменных, а также объявление и описание процедур и функций, которые будут доступны в любом модуле конфигурации (кроме модуля внешнего соединения). Их доступность также обеспечивается для неглобальных общих модулей с установленным свойством Клиент (обычное приложение). В контексте модуля обычного приложения доступны экспортируемые процедуры и функции общих модулей.

Общие модули

Общие модули располагаются в отдельной ветке дерева метаданных. Основным назначением общих модулей является содержание общих алгоритмов конфигурации, доступных из разных модулей. В общих модулях отсутствует раздел определения переменных и раздел основной программы, то есть они содержат только раздел процедур и функций (см. раздел «Структура программного модуля»).

В любом общем модуле возможно объявление и описание процедур и функций, которые будут доступны в любом модуле конфигурации.

Если используется клиент–серверный вариант системы 1С:Предприятие 8, то с помощью свойств Клиент (обычное приложение), Клиент (управляемое приложение) и Сервер, а также инструкций препроцессора можно организовывать выполнение различных процедур и функций общих модулей на сервере приложения или на клиентском месте.

Если установлено свойство Клиент (обычное приложение) или Клиент (управляемое приложение), то все процедуры и функции общего модуля могут использоваться в клиентском приложении.
В контексте неглобального общего модуля с установленным свойством Клиент (обычное приложение) доступны экспортируемые переменные, процедуры и функции модуля обычного приложения.
В контексте неглобального общего модуля с установленным свойством Клиент (управляемое приложение) доступны экспортируемые переменные, процедуры и функции модуля управляемого приложения.

Важно! Свойство Клиент (обычное приложение) показывается, если в настройках конфигурации режима запуска установлен режим «Управляемое приложение и обычное приложение«.

Если установлено свойство Сервер, то все процедуры и функции общего модуля могут использоваться в клиент-серверном варианте.

Если предполагается, что процедуры и функции общего модуля могут быть использованы во внешнем соединении, то следует установить свойство Внешнее соединение.
В контексте неглобального общего модуля с установленным свойством Внешнее соединение доступны экспортируемые переменные, процедуры и функции модуля внешнего соединения.

Свойство Вызов сервера разрешает вызов сервера. Свойство доступно, если установлено свойство Сервер. Если не установлено, то процедуры и функции данного модуля доступны только на сервере. Если установлено, то процедуры и функции данного модуля доступны на клиенте.

Свойство Привилегированный предназначено для установки полных прав доступа при выполнении действий с базой данных в процедурах и функциях общего модуля. При установленном свойстве выполнение производится только на сервере.

Повторное использование возвращаемых значений. Свойство доступно, если общий модуль не является Глобальным. Это свойство может принимать следующие значения:

Не использовать – повторное использование возвращаемых значений для функций этого общего модуля не используется;
На время вызова и На время сеанса – для общего модуля используется метод определения повторного использования данных. Суть этого метода заключается в том, что в ходе выполнения кода система запоминает параметры и результат работы функций после первого вызова функции. При повторном вызове функции с такими же параметрами, происходит возврат запомненного значения (из первого вызова) без выполнения самой функции. Если функция во время своего выполнения меняет значения параметров, то повторный вызов функции не будет это делать.

Можно выделить следующие особенности сохранения результатов вызова:

если функция выполняется на сервере и вызывается из серверного кода, то значения параметров и результат вызова запоминаются для текущего сеанса на стороне сервера;
если функция выполняется на толстом или тонком клиенте, то значения параметров и результатов вызова запоминается на стороне клиента;
если функция выполняется на стороне сервера, а вызывается из клиентского кода, то значения параметров вызова запоминаются и на стороне клиента и на стороне сервера.

Сохраненные значения удаляются:

если свойство установлено в значение На время вызова:
- на стороне сервера – при возврате управления с сервера;
- на стороне клиента – при завершении работы процедуры или функции встроенного языка верхнего уровня (вызванной системой из интерфейса, а не из другой процедуры или функции встроенного языка).
если свойство общего модуля установлено в значение На время сеанса:
- на стороне сервера – при окончании сеанса;
- на стороне клиента – при закрытии клиентского приложения.

Читать еще: Вкладыш для ванны акриловый как установить

Сохраненные значения могут быть удалены:

после долгого неиспользования (более 5 минут);
при нехватке оперативной памяти в рабочем процессе сервера;
при перезапуске рабочего процесса;
при переключении клиента на другой рабочий процесс.

После удаления значений, вызов экспортной функции выполняется как при первом вызове.

Свойство Глобальный определяет, являются ли экспортируемые методы общего модуля частью глобального контекста.
Если свойство Глобальный установлено в значение Истина, то экспортируемые методы общего модуля доступны как методы глобального контекста.

Если свойство Глобальный установлено в значение Ложь, то в глобальном контексте создается свойство с именем, соответствующим имени общего модуля в метаданных. Данное свойство доступно ТОЛЬКО для чтения. Значением данного свойства является объект ОбщийМодуль. Через данный объект доступны экспортируемые методы данного общего модуля. Таким образом, обращение к методам неглобальных общих модулей выглядит как XXXXX.YYYYY, где XXXXX – это имя свойства общего модуля, а YYYYY – имя экспортируемого метода общего модуля.

Если установлено свойство Клиент (обычное приложение), то модуль загружается в толстом клиенте в режиме обычного приложения.

Если установлено свойство Клиент (управляемое приложение), то все процедуры и функции общего модуля могут использоваться в режиме Управляемое приложения, в тонком клиенте, в веб-клиенте.

Модули с установленным свойством Клиент (обычное приложение), проверяются для режимов запуска:

Толстый клиент (обычное приложение);
Толстый клиент (обычное приложение) вариант клиент-сервер.

Модули с установленным свойством Клиент (управляемое приложение), проверяются для режимов запуска:

Толстый клиент (управляемое приложение);
Толстый клиент (управляемое приложение) вариант клиент-сервер;
Тонкий клиент;
Веб-клиент.

Модули общих объектов

Некоторые общие объекты имеют собственные модули. К таким объектам относятся:

Команды;
Web-сервисы.

Модули располагаются в ветках конфигурации, в которых содержатся сами объекты и являются свойствами объектов. Каждый объект имеет свой индивидуальный модуль. В этих модулях возможно объявление переменных, процедур и функций, которые будут доступны при работе с объектом извне во встроенном языке, дополняя контекст объекта.

Модули прикладных объектов

Набор прикладных объектов имеет собственные модули. К таким объектам относятся:

менеджеры значения константы;
справочники;
документы;
отчеты (внешние отчеты);
обработки (внешние обработки);
планы видов характеристик;
планы счетов;
планы видов расчетов;
бизнес-процессы;
задачи;
регистры.

В контексте модуля прикладного объекта есть доступ к реквизитам и табличным частям объекта, а также его методам и событиям.

Модули менеджеров прикладных объектов

Каждый прикладной объект имеет менеджер, предназначенный для управления этим объектом, как объектом конфигурации. С помощью менеджера можно создавать объекты, работать с формами и макетами. Модуль менеджера позволяет расширить функциональность менеджеров за счет введения процедур и функций на встроенном языке. Фактически, это позволяет описать методы для объекта конфигурации (например, справочника), которые относятся не к конкретному экземпляру объекта базы данных, а к самому объекту конфигурации.
Контекст модуля менеджера образуется из:

глобального контекста, в том числе экспортируемых функций общих модулей (если для модулей установлено свойство Клиент (обычное приложение), Клиент (управляемое приложение) или Сервер);
экспортируемых переменных, процедур и функций модулей управляемого или обычного приложений;
локальных и экспортируемых функций самого модуля.

Модуль менеджера не может иметь переменных и тела модуля.

Если функции или процедуры модуля менеджера объявлены как экспортируемые, к ним можно будет получить доступ через менеджер объекта.

Пример:
Модуль менеджера:

Функция ПолучитьСписокДебиторов ( ) Экспорт
…
КонецФункции

Вызов из прикладного кода:

Дебиторы = Справочники . Контрагент . ПолучитьСписокДебиторов ( ) ;

Модули команд (модули общих команд)

Для нестандартных команд требуется написать процедуру ее выполнения. Для этого служит модуль команды, в котором можно написать предопределенную процедуру ОбработатьКоманду(). Данная процедура должна предваряться директивой компиляции &НаКлиенте, так как выполнение команды происходит в клиентском приложении.

Модули управляемых форм

Модуль состоит из набора процедур и функций. Переменные модуля и тело модуля не допускаются.

Модули форм

Эти модули содержатся в формах конфигурации. Каждая форма имеет свой индивидуальный модуль. В этих модулях возможно объявление переменных, процедур и функций, которые будут доступны при работе с формой извне во встроенном языке, дополняя контекст формы.

В контексте модуля формы доступны реквизиты формы, а также ее свойства, методы и события. Если у формы назначен основной реквизит, то в модуле формы становятся доступны свойства и методы прикладного объекта, используемого в качестве основного реквизита.

Привилегированный режим работы

В системе есть возможность временно отключить проверку прав доступа. Такой режим называется привилегированным. В привилегированном режиме разрешены любые операции с базой и не производится контроль RLS.

Включение привилегированного режима осуществляется методом

Если вызвать метод УстановитьПривилегированныйРежим (Ложь) большее количество раз, чем УстановитьПривилегированныйРежим (Истина) , то будет вызвано исключение.

Получить текущее значение привилегированного режима можно функцией

которая возвращает значение типа Булево.

4. Вопросы производительности

Расширения конфигурации, дополнительные отчеты и обработки не должны вызывать деградацию производительности сервиса. Поэтому используемые запросы на встроенном языке должны быть оптимально построены и соответствовать стандартам (подробнее см. здесь и здесь). Типичные причины неоптимальной работы запросов и методы оптимизации запросов рассмотрены в статье 1С:ИТС по ссылке.

Особое внимание следует уделить оптимизации:

соединений с виртуальными таблицами, подзапросами (они могут привести к значительному замедлению запроса);
отборов с «ИЛИ»;
запросов с получением данных через точку от полей составного ссылочного типа (при выполнении такого запроса будет выполняться соединение со всеми таблицами объектов, входящими в составной тип).

Читать еще: Айфон 11 как настроить оптимизированную зарядку

Частые формулировки отказа:

Запрос построен неоптимально.
Необходимо руководствоваться рекомендациями https://its.1c.ru/db/metod8dev/content/5842/hdoc

При написании расширения конфигурации, дополнительного отчета и обработки необходимо избегать кода, выполнение которого может привести к неоправданно повышенному потреблению процессорного времени. В первую очередь это касается «пустых» циклов:

Роли пользователя

После настройки прав доступа для роли ее можно назначить пользователю. Причем можно указать сразу несколько ролей. Состав ролей указывается в карточке пользователя на закладке Прочие:

Если хотя бы у одной роли есть права на объект, то у пользователя будет доступ к этому объекту. То есть сочетание прав разных ролей работает по условию «ИЛИ». Если ни в одной роли нет прав на объект, то у пользователя не будет доступа к этому объекту.

При создании новой роли автоматические устанавливаются следующие права на конфигурацию:

Тонкий клиент
Веб-клиент
Мобильный клиент
Все режимы основного окна
Клиент системы аналитики
Сохранение данных пользователя
Вывод

А также для всех существующих объектов метаданных устанавливаются права на подчиненные объекты:

Реквизиты
Табличные части
Стандартные реквизиты
Команды

При этом на сами объекты метаданных права сняты.

В результате достаточно дать права на объект, а права на подчиненные объекты уже установлены. При необходимости их можно снять.

Если для роли установлен флаг Устанавливать права для реквизитов и табличных частей по умолчанию, то при добавлении в конфигурацию нового объекта у роли автоматически будут проставлены права для его подчиненных объектов:

Если данный флаг снят, то при добавлении нового объекта в конфигурацию для его подчиненных объектов не будут установлены права. В этом случае при добавлении прав на этот объект, нужно не забыть дать права и на его подчиненные объекты.

Флаг Независимые права подчиненных объектов позволяет складывать права на объекты с правами подчиненных объектов из разных ролей.

Например, в одной роли настроены права на справочник, но нет прав на подчиненные объекты справочника (реквизиты, табличные части и т.п.). А в другой роли нет прав на справочник но зато есть права на подчиненные объекты справочника.

Если флаг Независимые права подчиненных объектов снят, то у пользователя с двумя этими ролями не будет прав на подчиненные объекты справочника. Права из второй роли не применились, потому что нет прав на справочник.

Если установить данный флаг в настройках второй роли, где заданы права на подчиненные объекты, то у пользователя будут права как на справочник, так и на подчиненные объекты. Права из второй роли на подчиненные объекты считаются независимыми и были сложены с правами из первой роли.

Если щелкнуть правой кнопкой по корню конфигурации или по узлу дерева Роли, то можно выбрать пункт меню Все роли:

В результате будет открыто окно, где слева представлены все объекты конфигурации, а справа список прав на выделенный объект и наличие права у той или иной роли:

Программная работа с Ролями

Для проверки доступности Роли текущему пользователю:

РольДоступна ( НаименованиеРоли >)
// Пример использования:
ЭтоАдминистратор = РольДоступна ( Метаданные . Роли . АдминистраторСистемы );
//Тот же самый результат можно получить так:
ЭтоАдминистратор = РольДоступна ( «АдминистраторСистемы» );

Для определения права доступа (чтение, изменение и т.д.) к объекту метаданных:

ПравоДоступа ( Право >, ОбъектМетаданных >, Пользователь/Роль >, СтандартныйРеквизитСтандартнаяТабличнаяЧасть >)
// Пример использования: проверка у текущего пользователя права на изменение справочника ФизическиеЛица
МожноРедактироватьФизЛиц = ПравоДоступа ( «Изменение» , Метаданные . Справочники . ФизическиеЛица );

Для проверки прав доступа текущего пользователя на объект метаданных:

ВыполнитьПроверкуПравДоступа ( Право >, ОбъектМетаданных >, СтандартныйРеквизитСтандартнаяТабличнаяЧасть >)
//Примеры использования:
ВыполнитьПроверкуПравДоступа ( «ИнтерактивноеОткрытиеВнешнихОбработок» , Метаданные );
ВыполнитьПроверкуПравДоступа ( «ИнтерактивнаяПометкаУдаления» , Метаданные . Справочники . ФизическиеЛица );

Процедура ВыполнитьПроверкуПравДоступа () отличается от функции ПравоДоступа () тем, что доступна только для текущего пользователя. При отсутствии права вызывается исключение, а в журнал регистрации пишется событие ОтказВДоступе.

Для получение информации о праве доступа на определенный объект метаданных для пользователя или роли с учетом указанных полей:

ПараметрыДоступа ( НаименованиеПрава >, ОбъектМетаданных >, СписокПолей >, Пользователь/Роль >)
//Пример использования:
ПараметрыДоступа = ПараметрыДоступа ( «Чтение» , Метаданные . РегистрыСведений . ТекущиеКадровыеДанныеСотрудников , «ТекущаяОрганизация,ФизическоеЛицо» );
ЕстьДоступ = ПараметрыДоступа . Доступность ;
ОграничениеRLS = ПараметрыДоступа . ОграничениеУсловием ;

Для получения представления права по имени:

ПредставлениеПрава ( ИмяПрава >)
//Пример использования:
Представление = ПредставлениеПрава ( «ИнтерактивноеОткрытиеВнешнихОбработок» );
// Переменная Представление будет содержать строку «Интерактивное открытие внешних обработок»

Управление привилегированным доступом (Privileged Account Management, PAM) помогает:

уменьшить площадь атаки,
смягчить воздействия кибератак,
повысить производительности работы,
снизить риска от ошибок пользователя.

Главной целью PAM является ограничение прав доступа и разрешенных действий для учетных записей, систем, устройств (таких, как IoT), процессов и приложений.

PAM рассматривается многими аналитиками как один из наиболее важных проектов безопасности для снижения рисков. Ведь PAM обеспечивает детальный обзор, контроль и аудит над привилегированными доступами и действиями.

Что такое привилегии и зачем они?

Привилегия в информационных технологиях – это полномочие, которое учетная запись или процесс имеет в вычислительной системе.

Включать в себя разрешения на выполнение следующих действий:

выключение систем,
загрузка драйверов устройств,
настройка сетей или систем,
подготовка и настройка учетных записей,
подготовка и настройка облачных экземпляров и т. п.

Сотрудникам можно дать привилегии, основанные на ролях (например, маркетинг, менеджмент или IT-отдел) и других параметрах (стаже работы, времени суток и т. д.).

Примеры привилегированных учетных записей:

Локальные административные учетные записи – неличные учетные записи, обеспечивающие административный доступ только к локальному хосту или экземпляру.
Административные учетные записи домена – привилегированный административный доступ ко всем рабочим станциям и серверам в домене.
Аварийные учетные записи – непривилегированные пользователи с административным доступом к защищенным системам в случае чрезвычайной ситуации.
Сервисные аккаунты – привилегированные локальные или доменные учетные записи, которые используются приложением или службой для взаимодействия с операционной системой.
Учетные записи приложений – для доступа к базам данных, запуска пакетных заданий или сценариев или предоставления доступа к другим приложениям.

Привилегии позволяют пользователям, приложениям и другим системным процессам права доступа к определенным ресурсам. В то же время возможность злоупотребления со стороны как внутренних, так и внешних злоумышленников создает для организаций серьезную угрозу безопасности.

Читать еще: Как настроить google play с разблокированным загрузчиком

Внешние и внутренние угрозы привилегированных доступов

Хакеры, вредоносные программы, партнеры, инсайдеры, пользовательские ошибки представляют собой наиболее распространенные векторы привилегированных угроз.

Преимущества управления привилегированным доступом:

Чем больше привилегий и доступа к пользователю, учетной записи или процессу накапливается, тем больше вероятность злоупотребления, эксплойта или ошибки. Реализация управления привилегиями не только минимизирует вероятность возникновения нарушения безопасности, но также ограничит область нарушения в случае его возникновения.
PAM может демонтировать несколько точек цепочки кибератак, обеспечивая защиту как от внешних атак, так и от внутренних атак, совершаемых в сетях.
Ограничение привилегий для людей, процессов и приложений уменьшит площадь атаки, защищая от внешних и внутренних угроз.
С PAM уменьшится распространение вредоносных программ, ведь многие их разновидности нуждаются в повышенных привилегиях для установки или запуска. Удаление чрезмерных привилегий, таких как принудительное применение наименьших привилегий в масштабах предприятия, помешает вредоносному ПО закрепиться в системе.
Снизится вероятность возникновения проблем несовместимости между приложениями или системами и сам риск простоев.
Управление привилегированным доступом поможет создать менее сложную и, следовательно, более простую для аудита среду.

Представление рабочего процесса привилегированного управления паролями.

Как осуществляется защита PAM

Автоматизированные, предварительно упакованные решения PAM способны масштабироваться на миллионы привилегированных учетных записей и активов для повышения безопасности и соответствия требованиям.

Решения PAM могут автоматизировать обнаружение, управление и мониторинг, чтобы устранить пробелы в привилегированном покрытии учетных записей и учетных данных, одновременно оптимизируя рабочие процессы и значительно уменьшая административную сложность.

Управление привилегированными доступами поможет повысить безопасность с помощью:

Ведения полного списка всех активных привилегированных учетных записей в сети и обновления этого списка при каждом создании новой учетной записи.
Хранения привилегированных идентификаторов, таких как пароли, ключи SSH и сертификаты SSL, в безопасном хранилище.
Применения строгих политик безопасности, охватывающих сложность пароля, частоту его сброса, создания надежных пар ключей SSH и так далее.
Предоставления привилегированного доступа с минимальными разрешениями, необходимыми для выполнения задания.
Аудита всех операций с идентификацией, таких как вход для привилегированных пользователей, общие пароли, попытки доступа к паролю, действия по сбросу и т. д.
Мониторинга и записи всех сеансов привилегированных пользователей в режиме реального времени.

Компания CloudNetworks занимается внедрением PAM-систем. После консультации мы подберем наилучший вариант для защиты вашего бизнеса.

Как поставить на cisco пароль в enable режиме

Для того чтобы войти в привилегированный режим пишем enable. Знак # как раз и говорит о максимальных правах.

Заходим в режим конфигурации, выполнив команду

Пишем enable password и сам пароль в моем примере пароль cisco

Как поставить пароль на привелигированный режим в Cisco на примере Cisco 2960+48TC-S-03

Делаем exit. И пытаемся снова попасть в режим enable. И вуаля просит пароль, вы только, что на привелигированный режим enable установили пароль.

Все бы хорошо но пароль в данный момент находится в открытом виде, посмотреть это можно введя вот такую команду

Как поставить пароль на привелигированный режим в Cisco на примере Cisco 2960+48TC-S-05

И действительно видно пароль cisco в поле enable password.

Чтобы это исправить есть два способа, ниже мы их рассмотрим.

Первый способ зашифровать пароль enable

Настройка пароля cisco первым методом. Идем в режим конфигурации

Вводим sh run и видим, что пароль зашифрован, теперь он прошел обработку по специальной функции и получился в виде буквенно-циферного кода.

Как поставить пароль на привелигированный режим в Cisco на примере Cisco 2960+48TC-S-07

Второй способ зашифровать пароль enable

Находясь все в том же режиме конфигурации выполняем вот такую команду:

PS еще советуют к этому способу добавить команду service password-encryption для лучшей стойкости.

Вводим sh run и видим,что пароль зашифрован.

Как поставить пароль на привелигированный режим в Cisco на примере Cisco 2960+48TC-S-10

и если выйти в обычный режим то пароль cisco из первого метода не подойдет, а будет cisco2 так как имеет высший приоритет. Как видите на всю настройку у меня ушло не более двух минут, из чего следует, что настройка пароля cisco очень простая вещь и не требует особо углубленных знаний IOS системы.

0 0 голоса

Рейтинг статьи