Мне выдали задание согласно которому я обязана организовать систематическую смену паролей пользователей 1С (1 раз в месяц). Пользователи (120 человек) находтятся в разных зданиях. Собирать у каждого пароль по телефону раз в месяц, а затем производить его смену считаю неверным решением в связи с ослаблением системы безопасности. Можно ли как-то автоматизировать процесс смены паролей.

да- выдавать им на листочках... начальникам отделов, чтобы они распределяли их между всеми.

Всё неправильно. Пароль - это секретное слово, его никакие начальники не должны знать, кроме Главного компьютерщика. Он их раздаёт и он их помнит.

Да... автоматизированный, блин, 21 век...

(1) ок, а если пользователей человек 500-1000, находятся они в разных частях города (городах) программист сам должен ездить и раздавать пароли?

(0) я бы порекомендовал некоторую хитрость:
например у нас каждый пользователь будет знать ключевое слово "парольтакото", тогда каждый месяц вы можете сообщать, что для этой группы лиц надо к паролю "парольтакойто" добалять суффикс "наянварь", т.е. получиться пароль "парольтакойтонаянварь" - постоянную часть пароля знает только нужный пользователь, суффикс или динамическую часть вы выдаете каждый месяц.
С уважением Деми :)

Антон своими знаниями ты меня все больше и больше вводишь в шоковое состояние...

(0) Написать свой стартовщик в котором будут свои пароли.
Пароль проверяется стартовщиком. Запретитить вход в 1с предприятие без
стартовщика. Пароль пользователя генереиться самим пользователем на основании
ключевого слова. Т.е. пользователь сам назначает себе пароль естественно с подтверждением.
Раз в месяц или чаще меняй ключевое слово ( можно сделать автоматич чтобы программа-стартовщик меняла это слово - тогда пользователь должен будет заново
переопределить свой пароль).
(6) Не обойдешь. Во первых если sql то снос файла пользователей тебе
ничего не даст. Во вторых в dbf тоже есть методы защиты этого файла.

херня... пардон....

Печатаешь каждому новый пароль на бумажке - складываешь втрое, заклеиваешь...

Каждый получает его в кассе, расписавшись за конверт с паролем... потом получает деньги.... Отказ расписаться в получении пароля = отказ получить деньги...

Ставим 1С 8.0
Включаем авторизацию на уровне Windows
Пропиваем премию от начальства

(9) Не взлетит например для нескольких филиалов в разных городах передавать конвертики. Время Ч у тебя ограничено временем получения денег. Оно может быть разным по дням даже для разных сотрудников одного подразделения.
Далее (8) надо воспринимать как идея решения ( был вопрос можно ли - ответ да можно ) которую нужно наложить на конкретную организацию с конкретными требованиями.

(9) Я деньги сотрудникам на карточки сбрасываю. Они нигде не раписываются.
(0) Зачем менять пароли каждый месяц? Просто интересно, блин.

(10) Никто не говорил в (0) что надо менять Windows авторизацию раз в месяц.
Опять же в 8 все работает автоматически, а у тебя менять пароли раз в месяц
( а то и чаще ) на 120 человек удовольствие еще то.

(13) В Windows можно настроить политику таким образом, что пользователь будет вынужден поменять пароль через месяц, или не сможет работать совсем.

Причем администратору 1С при этом не нужно самому придумывать пароли. Все остальные варианты предусматривают большую нагрузку на администратора.

(10) PS Я уж н говорю что сначала надо купить и отладить-настроить-дописать
8.0 под организацию со 120 пользователями 1с.

(15) В (0), кстати, не говорится под какую версию 1С нужно менять пароли раз в месяц.

(14) Ну тогда можно и твой вариант подагнать под мое решение.
Стартовщик использует Windows авторизацию и сам по имени пользователя Windows
выбирает имя пользователя 1с, далее запускает 1с.
Пароли меняются на уровни Windows.

Можно добавить даже связку пользовательWindows имякомпьютера и стартовщик разрешает запускать 1с полько с определенных компьютеров.
(Пример Иванов может работать только с комп buh1 или buh2)
Естественно все данные стартовщика храняться в зашифрованном виде)

Имеется в виду 1С 7.7. Что понимается под стартовщиком? Есть ли какие-то методы или свойства позволяющие программно поменять пароль? Windows авторизацию использовать нельзя, поскольку есть такие компьютеры на которых работает не один пользователь. У каждого из которых в 1С свои права. Пользователь может не сменить пароль Windows - работать в чужом сетевом сеансе.

(18) В политике Windows авторизации можно прописать принудительную
смену пароля через определенное время.
Стартовщик - это своя собственная программа старта 1с. Примеры
стартовщиков можно посмотреть н hippo.
Windows авторизацию можно использовать под кем зашли под тем и запускаем 1с.
Если не подходит Windows авторизация в ветке описано еще несколько способов.
Фактически используется своя 1с-авторизация.
Можно также и без стартовщика сделать все только средствами 1с но при этом будет
на порядок хуже с секретностью но зато гораздо легче реализовать.
Если что пиши в мыло  t_dik   dog  mail point ru  или тут как тебе удобней.

Такого типа администрирование проще и правильнее организовать в 1С.
1. Нужно завести справочник пользователей.
2. В справочнике хранить пароль и дату его ввода по каждому
  пользователю.
3. Каждый месяц в датуХ сравнить дату установки пароля с датойХ и
  если они отличаются просить пользователя сменить пароль.

P/S Пароль должен храниться в хешированном виде. Функция
хеширования - дело вкуса.

(20) Я это и имел ввиду в последнем абзаце (19).
Продвинутый пользователь может довольно легко обойти. Посмотреть внешними отчетами  свой кеш данные и ввести в чужого пользователя тот же кеш. Получит тем самым доступ к его паролю.После своих несанк. доступа вернуть все обратно.
Так что если делать так то надо добавлять для поиска ключа еще и текущ. имя пользователя. Ну и еще сложность ( Обходить можно по разному ) кеш пароля может
получаться двоичным т.е. тогда нужен еще перекодировщик из двоичного в текстовый.
У стартовщика могут быть еще недостижимые внутреними 1c-проверками преимущества.
Я тут раскопал случайно одну WIN API процедурку снимает очень многие проблемы по защите и доступу к 1с базам( особенно актуально для dbf).

То ZL. Решение с внешним стартером конечно более надежно
в плане защищенности. Но
1. Не спасает от проблем администрирования пользователей
  стартера и собс-но 1С.
2. Остается возможность (для продвинутых) запустить 1С в обход
  стартера.
3. Стартонуть 1С можно и с переименованным или удаленным
  файлом users (да простит меня модератор).
4. Идею можно развить дальше и разработать каскад стартеров и
  повысить защищенность до беспредела и захлебнуться в
  администрировании их всех.

P/S а вот подобрать пароль при правильном выборе функции
хеширования задача далеко не для продвинутого ЮЗЕРА.
Также хешировать пароль вмете с именем пользователя - задача
не для самого продвинутого прога.

Орк
Я в глобалку прописывал процедуру обязательной проверки наличия именно конкретного файла users. при отсутствии онного приложение завершает работу.

To THawk.
Снимаю шляпу.

Спасибо, Орк

(22) Перечитай post 8 что в нем написано для (6)
и еще в (6) написано "Запретитить вход в 1с предприятие без стартовщика"
Если умеешь делать стартовщик то сделать как (23) совмем несложно.
Администрирование тебе все равно нужно как не крути. Либо возлагаешь его
на Windows авторизацию либо на свою какую-то.Варианты уже описаны выше.
Никаких каскадов все лежит только в одном стартовщике.
Кеширование как раз в своем стартовщике уже есть все готовое CAPI ( CryptoAPI).
"P/S а вот подобрать пароль при правильном выборе функции
хеширования задача далеко не для продвинутого ЮЗЕРА.
Также хешировать пароль вмете с именем пользователя - задача
не для самого продвинутого прога" не подобрать а скопировать из одной строки в другую  т.е. идея чтобы этого не происходило если все делать на 1с в ключ добавлять обязательно и имя пользователя.( Учти что если пользователь сам
не догоняет то ему могут и помочь те кому информация очень нужна - а уж они то
если им информация нужна могут превлечь спецов с любой квалификацией).

Ну понятно что все это нужно городить если действительно нужно ну и опять же защита есть сложный комплекс мер ( не только программных ).

(23) и добавь еще к (23)  этому перед закрытием 1с уведомление администратору о изменении файла users.usr c такокото компа в такое-то время.

Z1, Совершенно верно, ну там еще много чего можно сделать, ведь приложение в принципе уже запущенно, например, проверка периодических реквизитов справочников.

самое лучшее написать обработку которая генерирует пароль и пото отправляет нужным пользователям на ящик и все делы а порль пусть будет например символов эдак 15 и состаять будет из  латинских  русских маленьких и больших букв циферь и спец символов и лет через 50 его ктонить расшифрует а еще девяти ступенчатое шифрование применить и все

именно 15....

(29) Пароль в 1с максимум из 10 символов.
Правило защиты предполагает защищать ключи,пароли как можно тщательней а
Вы предлагаете пересылать их по открытым источникам.
(Еще раз все зависит от задачи а уж сделать можно много даже для 1с-предприятия)
Ну и набирать user-ам пароль даже из 10 символов - Вам за это спасибо не скажут. (user-ы будут писать этот пароль либо на листочках, на клавиатуре, на мониторе).

Так значить надо сделать отдельный почтовик в нутри предприятия и отправлять им
а насчет листочков так это занетели батенька подготовка юзверей такая следовательно надо проводить лекции в котроый надо запугать пользовательей и отбить у них охоту писать пароль на листочках и на мониторах

Полный бред. Я бы начал решать проблему с объяснения начальству неспособности 1С встроенными средствами защищать доступ к информации... думаю на этом бы и закончили.

(33)>думаю на этом бы и закончили
с твоей работой на этом предприятии? Ведь при грамотном подходе есть способность у 1С встроенными средствами защитить информацию...

мдя... можно вопрос, а на кой это все нужно

(34) Неужели? Еще один... RLS в применении к 1С не один раз обсуждали... Только в восьмерке, и то, только в седьмой ее редакции, ее зачатки и появились.

(36)Блин, ну на предприятии не хакеры работают, а бухгалтера!!!

(37) Поищи в архивах форумов... "Как воруют с помощью 1С"
Сия тема не один раз обсуждалась...
Много нового узнаешь...
При большом желании и настроении pit может по сему поводу много рассказать... да и у меня есть не один случай...

Имхо надо менять каждый месяц не 1С-ный, а виндовый пароль!!!!
Менять пароль у юзера требуют сами винды, если их настроить как надо (настройка политики безопасности).

А без виндового пароля никто не попадет в папку с конфигурацией 1С и не запустит 1С.

Если же надо разграничить права пользователей внутри 1С, то можно это сделать опять же виндовыми средствами. Создать несколько файлов: например, с именами lock1, lock2... После этого разрешить доступ к ним на чтение определенным группам виндовых пользователей. Из конфы 1С проверять, а доступен ли тот или иной файл на чтение. Если не доступен, то права у пользователя нет, если доступен, то право есть.

Если права нет, то вываливаться со словами "У вас нет доступа в этот документ/справочник/отчет".

Если юзера продвинутые и могут затырить базу SQL, то надо ставить 8.0 или патчить 7.7 патчером Соарона (он что-то делал полезное в этом направлении).

(39) Да... опять "изобретаем велосипед" в виде "оригинальной RLS ";-))
"Из конфы 1С проверять, а доступен ли тот или иной файл на чтение"
А если запущена внешняя обработка?

(40) В настройках прав 1С есть такая настройка не давать запускать внешние обработки иначе как из папки с конфой 1С ExtForms. А эту папку - доступ только на чтение. Так что этот вопрос (а заодно несколько других похожих) продуман в самой 1С 7.7.

Администратор - Открыть конфигурацию - закладка Права - правый клик на корневом узле - Использование любых внешних отчетов и обработок - надо убрать эту галку.

(+41) Сорри, не "Администратор", а "Конфигуратор".

(41) Неужели так просто? ;)) Это ты своим пользователям расскажи, а меня не смеши. Есть НЕ ОДИН способ обойти это "ограничение" ;-))
Ответ есть даже в архивах этого форума...

(43) Пропатчить локальный 1С, чтобы права не проверял, что ли? Ну обычно через терминал 1С запускают... Там не пропатчишь. Или права можно юзерам поставить на каждой локальной тачке, чтобы не могли в Program Files особо руками лезть. Разумеется, у юзеров д.б. отключены административные функции, OLE и всякие там табло.

Может, кто-то скажет, а что это за "способы обойти ограничение", как написано в (43)? Неужели так все плохо?

(45)Все очень, очень плохо :(

А что плохо? Не может быть чтобы с запуском внешних ert было плохо.

(47) плохо не с запуском, а с незапуском, или запретом на запуск внешних ert, да и по поводу других ограничений... :((

(47) Плохо. Я же написал, примеры есть даже на этом форуме...
Например, в конце ветки
ЗаписьЖураналаОегистрации, "ошибки" менеджеров или промахи "жулья"
Другой пример в этой же ветке прибили модераторы...
И таких "примеров" не один...

(49) Ну и что. Там же и написано как закрыть это.
Внешние отчеты тоже можно закрыть - при этом некоторые внеш. отчеты будут выполняться. От подмены md и файла пользователей есть аудит.
Еще прочти последнее предложение в (21) - короче не стоит опускать руки.
Вообщем вечная проблема сыщик и вор.

(50) Там рассказано про одну дыру и метод ее затыкания. Есть еще несколько дырок, про которые не рассказано. Но они известны.. и дырки и затычки...

Но есть пара дырок, заткнуть которые я не смог.... Правда, я про них и не рассказывал...

Есть дырочка, через которую мона пролезть в терминале на диск... Простенько и со вкусом... И пошарить по нему... Тоже так простенько... Причем от имени другого юзера...

(44) и не надо ничего патчить... Зачем мараться... если в 7 вся защита - лажа и сплошная дыра...


Борь, ты как маленький...Базван.... все пристаешь... Он тоже пристает типа слабай статью по средним ценам и авансовым отчетам...
Надоело уже по этому поводу объяснять кому либо что либо...

Ну все это в баню...

А курица все таки ничего была... То, что мне досталось... И шверт выровняли. На пятитонном прессе.

(51) Уже неоднократно были дискусии на т1с можно, нельзя защитить.
Помню и твои ветки на т1с( где-то даже лежат).
Если хочешь скинь  мне по мылу (см 19 ) посмотрю можно ли защититься или
нельзя от "пары дырок". ( у меня нет терминала ).

Я кажется понял - хакеру надо принести папку с 1С, в которой 1cv7.exe пропатчен и не проверяет права. Запустив эту "исправленную" 1С, злой хакер получит полный доступ к любым внешним отчетам.

Как с этим бороться? Видимо, терминал - а в нем, похоже, надо как-то организовать запрет запуска несертифицированного софта. Ну и заморочка... Может в виндах есть уже готовое решение? Или оно есть только в Microsoft X-BOX? :-)

(53) Да... ничего ты не понял... Еще раз прочитай (51)...

(54) Попробовал (53) - работает.
Элементарнейший и простейший способ взлома.
Как с этим бороться - я не знаю...
То есть любой чел может заходить под любым входным именем 1С и править или читать там все что угодно, а также запускать любые внешние отчеты.

Заведу-ка я новую ветку - тема вроде серьезная...