Аутентификация операционной системы
Аутентификация операционной системы — это один из видов аутентификации, поддерживаемых механизмом аутентификации 1С:Предприятия.
В случае аутентификации средствами операционной системы в конфигураторе для пользователя выбирается один из пользователей операционной системы:
При выполнении аутентификации средствами операционной системы, от пользователя не требуется каких-либо действий по вводу логина и пароля. Система анализирует, от имени какого пользователя операционной системы выполняется подключение к прикладному решению, и на основании этого определяет соответствующего пользователя 1С:Предприятия 8. При этом диалог аутентификации 1С:Предприятия не отображается, если не указан специальный параметр командной строки.
Если для пользователя не указан ни один из видов аутентификации, — такому пользователю доступ к прикладному решению закрыт.
Защита информации от несанкционированного доступа в «1С:Бухгалтерии государственного учреждения 8»
Актуальность обеспечения защиты информационных ресурсов
Для обеспечения информационной безопасности организации, учреждения, предприятия должны быть созданы такие условия, при которых использование, потеря или искажение любой информации о состоянии организации, в том числе бухгалтерской и финансовой, работниками организации или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности организации.
Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием Доктрины информационной безопасности в Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895). Одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:
- система государственной статистики;
- кредитно — финансовая система;
- информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
- системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
- системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Угрозами информационной безопасности предприятия, учреждения, организации, связанными с бухгалтерским учетом и отчетностью, являются угрозы:
- целостности бухгалтерской информации и отчетности;
- нарушения конфиденциальности бухгалтерской информации и отчетности;
- нарушения доступности (блокирование) бухгалтерской информации и отчетности;
- достоверности бухгалтерской информации и отчетности;
- содержанию бухгалтерской информации и отчетности, вызванные действием персонала и других лиц;
- вызванные использованием некачественной бухгалтерской информации и отчетности.
Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»
Программа «1С:Бухгалтерия государственного учреждения 8» редакция 2 (далее — Программа) соответствует современным требованиям информационной безопасности. Для повышения степени защиты от несанкционированного доступа информации, хранящейся в Программе, предусмотрены следующие возможности:
- аутентификация;
- настройка и контроль сложности пароля;
- требование смены пароля по расписанию или вручную. Смена пароля — периодически или по требованию;
- настройка и контроль повторяемости пароля;
- ограничение срока действия учетных записей.
Рассмотрим подробнее данные возможности Программы.
Аутентификация
Механизм аутентификации — это один из инструментов администрирования. Он позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к Программе в данный момент, и предотвратить несанкционированный доступ в Программу.
В «1С:Бухгалтерии государственного учреждения 8» редакции 2 поддерживается три вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:
- аутентификация 1С:Предприятия — аутентификация по созданному в Программе пользователю и паролю;
- аутентификация операционной системы — в Программе для пользователя выбирается один из пользователей операционной системы. Программа анализирует, от имени какого пользователя операционной системы выполняется подключение к Программе, и на основании этого определяет соответствующего пользователя Программы;
- OpenID-аутентификация — аутентификацию пользователя выполняет внешний OpenID-провайдер, хранящий список пользователей.
Если для пользователя не указан ни один из видов аутентификации, такому пользователю доступ к Программе закрыт.
Если необходимо, чтобы пользователь входил в Программу с паролем, который будет проверяться, следует включить флаг Аутентификация 1С:Предприятия (см. рис. 1). Он включается по умолчанию вместе с флагом Вход в программу разрешен.
Состояние аутентификации «1С:Предприятия» выводится под флагом.
При создании нового пользователя ему Программой автоматически назначается пустой пароль. Чтобы его изменить, следует воспользоваться командой Установить пароль в карточке пользователя (см. рис. 1).
В форме Установка пароля необходимо ввести Новый пароль для входа в Программу, написать его повторно в поле Подтверждение.
В целях информационной безопасности рекомендуется задавать пароли для пользователей, не оставлять это поле пустым.
Хороший пароль должен состоять не менее чем из восьми символов, включать в себя заглавные и прописные латинские буквы, цифры, символы (подчеркивание, скобки и т. д.) и быть малопонятным выражением. Нежелательно, чтобы пароль совпадал с именем пользователя, полностью состоял из цифр, содержал понятные слова, чередующиеся группы символов. Примеры хороших паролей: "nj7 В Программе предусмотрена возможность автоматической проверки сложности пароля. По умолчанию в целях безопасности пароль при вводе не показывается. Для того чтобы видеть, какие символы вводятся, следует включить флаг Показывать новый пароль. Для автоматической генерации пароля можно воспользоваться кнопкой Создать пароль. Пароль будет создан Программой. Для сохранения пароля необходимо нажать на кнопку Установить пароль. После этого состояние аутентификации 1С:Предприятие меняется на Пароль установлен. В карточке пользователя кнопка меняет значение на Сменить пароль. Для удобства администрирования и обеспечения безопасности у всех пользователей предусмотрен флаг Потребовать смену пароля при входе, который нужен, чтобы пользователь сменил пароль, заданный администратором, на свой. При включенном флаге пользователь будет обязан самостоятельно ввести свой пароль, который больше никто не будет знать. Если флаг Потребовать смену пароля при входе не включен, и установленный ранее пароль не устраивает по каким-то причинам, то можно поменять его в любой момент в карточке пользователя. Включенный флаг Пользователю запрещено изменять пароль запрещает пользователю, не имеющему полные права, самостоятельно задавать и изменять пароль. Реквизиты Потребовать смену пароля при входе и Срок действия можно увидеть в карточке пользователя и в отчете Сведения о пользователях (Сведения о внешних пользователях). В форме Настройки входа (раздел Администрирование, команда панели навигации Настройки пользователей и прав) раздельно для внутренних и внешних пользователей Программы можно настроить такие параметры как: На рисунке 2 представлена настройка для внутренних пользователей. Аналогичная настройка предусмотрена для внешних пользователей. При установленном флаге Пароль должен отвечать требованиям сложности программа проверяет, чтобы новый пароль: Минимальную длину пароля можно изменить, поставив флаг напротив одноименного поля и указав необходимую длину пароля (рис. 3). Предусмотрено две настройки смены пароля: периодическая или по требованию администратора. Для периодической смены пароля необходимо ограничить срок действия пароля настройками Минимальный срок действия пароля и Максимальный срок действия пароля. По истечении установленного срока Программа предложит пользователю поменять пароль. Максимальный срок действия пароля — срок после первого входа с новым паролем, после которого пользователю потребуется сменить пароль, по умолчанию 30 дней. Минимальный срок действия пароля — срок после первого входа с новым паролем, в течение которого пользователь не может сменить пароль, по умолчанию 1 день. Для смены пароля по требованию администратору необходимо установить флаг Потребовать установку пароля при входе в карточке пользователя. При первом входе в Программу она потребует сменить пароль, заданный администратором, на свой. Чтобы исключить создание пользователями повторяющихся паролей, необходимо включить настройку Запретить повторение пароля среди последних и установить количество последних паролей, с которыми будет сравниваться новый пароль. Для защиты от несанкционированного доступа в Программу можно установить ограничение для пользователей, не работающих в программе определенный период времени, например, 45 дней. По истечении указанного срока программа не позволит пользователю войти в Программу. Открытые сеансы пользователей автоматически завершаются не более чем через 25 минут после того, как вход в Программу был запрещен. В карточке пользователя, которая доступна в персональных настройках Программы, по гиперссылке Установить ограничения можно указать дополнительные ограничения на вход в Программу (рис. 4). С помощью переключателя можно установить ограничение на вход в Программу: Отчет Сведения о пользователях (рис. 5) предназначен для просмотра сведений о пользователях Программы, включая настройки для входа (свойства пользователя информационной базы). Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других). Отчет открывается из списка Пользователи (Внешние пользователи) по команде Все действия — Сведения о пользователях (Все действия — О внешних пользователях). В зависимости от вида списка Программа автоматически выбирает нужный вариант отчета. Сведения о внутренних и внешних пользователях в одном отчете можно открыть через панель действий раздела Администрирование по команде Сведения о пользователях. Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других). С помощью кнопки Настройки. можно открыть список полей и при необходимости добавить нужные поля в отчет. Например, можно добавить в отчет поля Потребовать смену пароля при входе и Срок действия. В заключение следует отметить, что управление доступом в Программу — это только один из элементов защиты данных, предоставляемых Программой. Постановлением Правительства РФ от 01.11.12 № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, где определены уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных. В соответствии с этими требованиями приказом ФСТЭК России от 18.02.13г. № 21 детализированы состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Нормы действующего законодательства о персональных данных предъявляют дополнительные требования и к программным продуктам, в частности, к программному обеспечению, являющемуся средствами защиты информации. Для обеспечения защиты персональных данных предназначен защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z», который является сертифицированным ФСТЭК России программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведений, составляющих гостайну. ЗПК «1С:Предприятие 8.3z» позволяет блокировать: Совместное использование типовой «1С:Бухгалтерии государственного учреждения» редакции 2 и ЗПК «1С:Предприятие 8.3z» позволяет создать информационную систему персональных данных всех уровней защищенности, и дополнительная сертификация этого прикладного решения не требуется. Использование ЗПК«1С:Предприятие 8.3z» совместно с сертифицированными ФСТЭК операционными системами, СУБД и другими сертифицированными средствами позволяет полностью выполнить требования вышеуказанных нормативных документов. Поскольку «1С:Бухгалтерия государственного учреждения» обеспечивает обмен данными с органами Федерального Казначейства, Налоговыми органами, с информационными системами о государственных и муниципальных платежах (ГИС ГМП), учета федерального имущества (АСУФИ), регистрации и начисления платежей (ИС РНИП) и др. через Интернет, для выполнения требований безопасности объект должен быть обеспечен сертифицированными средствами межсетевого экранирования. Разумеется, необходимо ежедневно проверять компьютеры, на которых установлена Программа, на наличие вредоносных компьютерных программ с использованием сертифицированных в системе сертификации ФСТЭК России средств антивирусной защиты. Одним из трех методов для предотвращения несанкционированного доступа к ресурсам платформы «1С» является аутентификация операционной системы (обратите внимание на то, что если не указать для пользователя ни одного вида аутентификации, то доступ ему будет запрещен). Для реализации этой схемы идентификации пользователя достаточно в конфигураторе соотнести пользователя прикладного решения с одним из пользователей операционной системы. Дополнительное удобство этого метода состоит в том, что пользователю не потребуется для начала работы вводить логин и пароль: сама ОС проанализирует, что за пользователь обращается за разрешением начать работу в прикладном решении, и соотносит его с соответствующим пользователем «1С:Предприятие 8». По умолчанию диалог аутентификации не отображается (чтобы его подключить, следует указать необходимый параметр командной строки). ТОП ПРОДАЖ Статья повествует о том, что такое аутентификация операционной системы в конфигурации системы 1С и как она происходит. Также будет затронута тема того, как полностью провести в конфигурации системы 1С:Предприятие аутентификацию юзера при помощи операционной системы. Аутентификация операционной системы – это особый тип аутентификации внутри конфигурации системы 1С: Предприятие. Опишем его подробнее. В таком типе аутентификации внутри конфигуратора выбирается определённый вид юзера для пользователя, как демонстрируется далее: Аутентификация операционной системы В данном случае аутентификации, пользователь не должен вводить никаких данных (в том числе, в виде пароля и логина) – вход обеспечивает сама 1С операционная система на компьютере юзера. Конфигурация системы 1С: Предприятие проводит анализ того, от чьего имени происходит запуск решения 1С, и решает: допускать юзера или нет. Важно отметить, что в данном случае не отображается сам диалог аутентификации, кроме случая, если для этого был специально отмечен отдельный параметр. Если же у юзера нет никаких типов аутентификации, то у него вход не произойдёт – доступ будет заблокирован. Рассмотрим, как подробно происходят процессы, связанные с аутентификацией юзера через 1С операционную систему. Каждый конкретный пользователь может получить разрешение на вход только через администратора, который настраивает специально в 1С: Предприятие операционную систему. Такой функционал очень удобен, если у кого-то конфигурация системы 1С: Предприятие работает через облачные сервисы 1С, но внутри сети компании. Для этого, для всех юзеров системы, которым нужно разрешить вход при помощи операционной системы, нужно поставить соответствие юзера операционной системы, за которого отвечает отдельный сеанс обслуживания, которого конфигурация программы 1С сможет распознать. Во время подключения приложения по клиентам (это может быть или веб-страница, или 1С тонкий клиент) к базе данных, — система программы 1С просит имя юзера, который прошёл аутентификацию внутри операционной системы на данный момент. Если, при проверке, появилось сопоставление с пользователем внутри системы, тогда приложение клиента будет подключено к требуемой базе данных. Для самой настройки аутентификации, администратор должен следовать такой инструкции: 1. Для начала, запустить менеджер сервиса 1С; 2. Перейти в панель «Обслуживание» и кликнуть по «Пользователи сервиса»; 3. Далее выбрать мышью требуемого юзера внутри сервиса; 4. Появится следующее окно, как демонстрируется на скриншоте ниже: Базовые права В данном окне администратор должен: · Поставить «галочку» около пункта «Аутентификация операционной системы»; · Прописать в строке «Пользователь» имя юзера внутри 1С операционной системы, которое, при этом, должно соответствовать системному имени, а формат должен быть таким: «\\имя_домена\имя_юзера»; · Кликнуть по кнопке «Записать и закрыть». Аутентификация для юзеров и приложений клиентов, которые работают при помощи операционных систем Windows Mac OS или OC Linux не возможна. Аутентификация через операционную систему для приложений клиентов, которые подключаются к базе данных при помощи 1C веб-сервера Apache под руководством «OC Windows», не возможна. Чтобы аутентификация при помощи операционной системы происходила корректно и стабильно – необходимо прописать все наименования баз данных в перечень тех, которые являются безопасными сайтами. Для этого, открываем, внутри конфигурации системы 1С, «Панель управления», выбираем «Сеть и интернет», переходим на «Свойства браузера» и кликаем на «Безопасность» — в этой вкладке можно создать данный список безопасных ресурсов. В статье было описано то, что такое аутентификация в 1С при помощи операционной системы и как она механически происходит, а также приведена инструкция для администраторов о настройке данной процедуры. Дополнительно были приведены примечания, которые помогут точно корректно выполнить 1С аутентификацию пользователей через операционную систему.Настройки входа в Программу
Контроль сложности пароля
Смена пароля
Контроль повторяемости
Ограничение входа для пользователей
Отчет «Сведения о пользователях»
Обеспечение защиты персональных данных
Аутентификация операционной системы (Operating System Authentication)
Аутентификация операционной системы в 1С:Предприятие
2. Аутентификация юзера через операционную систему в конфигурации системы 1С:Предприятие