8.3.9.2170 versijoje saugumas buvo sustiprintas – dabar sistema prašo patvirtinimo, kad būtų paleistas išorinis apdorojimas, plėtiniai ir kt. Matyt po Trojos arklys:
Įdiegtas apsaugos nuo pavojingų veiksmų mechanizmas. Kai atliekamas potencialiai pavojingas veiksmas, sistema pateikia įspėjimą, kuriame pateikiama informacija apie atliekamą veiksmą ir galimą šio veiksmo pavojų. Potencialiai pavojinga veikla apima:
- Išorinės ataskaitos įkėlimas, apdorojimas arba konfigūracijos plėtinys.
- Įkeliama arba atnaujinama konfigūracija / plėtinys.
- Prieiga iš išorinės ataskaitos / procesoriaus arba plėtinio prie šių galimybių:
- Vykdoma operacinės sistemos komanda.
- Vartotojo valdymas.
Vartotojas turi galimybę leisti arba atmesti potencialiai pavojingą veiksmą. Jei veiksmas leidžiamas, kai kuriais atvejais gali tekti iš naujo atlikti leidžiamą veiksmą.
Pranešimas atrodo taip:
Apsaugos Įspėjimas
Atidaroma "" iš failo "C:\.......epf". Rekomenduojama atkreipti dėmesį į šaltinį, iš kurio jis buvo gautas šį failą. Jei nesutariama su šaltiniu dėl papildomų modulių kūrimo arba kyla abejonių dėl failo turinio, tada jo atidaryti nerekomenduojama, nes tai gali pakenkti kompiuteriui ir duomenims. Leiskite atidaryti šį failą. NE VISAI
Sprendimas:
Konfigūravimo priemonėje informacijos saugos naudotojo ypatybėse panaikinkite žymės langelio „Apsauga nuo pavojingų veiksmų“ žymėjimą.
Iš dokumentacijos:Apsaugos nuo pavojingos veiklos mechanizmo išjungimas
Kai kuriais atvejais būtina išjungti apsaugos nuo pavojingų veiksmų mechanizmą. Norėdami tai padaryti, galite naudoti šias parinktis:
1. Konkretaus vartotojo ypatybėse išjunkite žymės langelį Apsauga nuo pavojingų veiksmų (Apsauga nuo pavojingų veiksmų). Tai išjungs to vartotojo apsaugą.
2. Naudokite išorinio apdorojimo (ataskaitų) tvarkytojų Connect() metodo parametrą Apsauga nuo pavojingų veiksmų. Tokiu atveju galima įkelti išorinį apdorojimą (ataskaitą) be vartotojo užklausų.
3. Prieš iškviesdami šio objekto Write() metodą, naudokite objekto Configuration Extension savybę Apsauga nuo pavojingų veiksmų.
4. Failo conf.cfg naudokite parametrą DisableUnsafeActionProtection. Tokiu atveju apsaugos nuo pavojingų veiksmų mechanizmas bus išjungtas visiems informacijos bazės vartotojams, kurių ryšio eilutės atitinka nurodytas kaukes.
Apsaugos nuo pavojingų veiksmų išjungimas vykdomas pagal šias taisykles (nurodyta tvarka):
1. Apsauga laikoma išjungta, jei dabartinio vartotojo Apsauga nuo pavojingos veiklos žymimasis laukelis išvalytas.
2. Apsauga laikoma išjungta, jei ryšio eilutė su informacinė bazė atitinka vieną iš šablonų, nurodytų conf.cfg failo parametre DisableUnsafeActionProtection.
3. Jei išorinis apdorojimas (ataskaita) yra susijęs su apsauga, aiškiai išjungta naudojant parametrą Apsauga nuo nesaugių veiksmų.
4. Jei apsauga yra aiškiai išjungta naudojant plėtinio ypatybę Apsauga nuo pavojingų veiksmų.
Faktas yra tas, kad naudojant 1C kliento-serverio versiją, išorinis apdorojimas / ataskaitos atidaromos saugiuoju režimu, kuriame draudžiama naudoti privilegijuotąjį režimą. O privilegijuotas režimas labai dažnai naudojamas tipinėse konfigūracijas: spausdintų formų generavimas, įvairūs paslaugų patikrinimai (biržų registracija) ir kt. Dėl to net naudojant įprastą prieigos kontrolės sistemos ataskaitą be formos (pagal numatytuosius nustatymus naudojama bendra forma „Ataskaitos forma“) ir išsaugodami pasirinktinius ataskaitos nustatymus (atitinkamame kataloge), gausite klaidą apie nepakankamą prieigą. teisės į įvairias konstantas ir seanso parametrus, naudojamus oficialiais tikslais po eilutės SetPrivilegedMode(True) ;
„Teisingas“ sprendimas būtų prijungti išorinį apdorojimą ir ataskaitas per BSP „Papildomos ataskaitos ir apdorojimas“ mechanizmus, išjungiant saugųjį režimą arba pridedant leidimus (mano nuomone, iš BSP 2.2.2.1 versijos). Bet jei dėl kokių nors priežasčių būtina naudoti išorinius failus ataskaitas / apdorojimą, galite sukonfigūruoti klasterio saugos profilį, naudojamą kaip konkrečios informacijos bazės saugaus režimo saugos profilį.
Iš karto norėčiau pažymėti, kad ši parinktis nėra pageidautina, tačiau dėl įvairių aplinkybių ji gali būti naudojama tokia supaprastinta forma. Pavyzdžiui, aš turiu kelias duomenų bazes skirtinguose miestuose, bendrą vietinę su griežtai apribotomis teisėmis, uždaru USB ir pan., kai kur naudoju Accounting 2.0, o kažkur 3.0, beveik visas ataskaitas darau naudodamas ACS įrankius be formų, kad jos atidarytos abiejose versijose. Pateikite visas šias ataskaitas skirtingos versijos o įvairios duomenų bazės yra daug darbo reikalaujanti ir bergždžia užduotis, nes Planuojama pereiti prie vienos konfigūracijos ir bazinės...
Sukurkime profilį.
Klasterio konsolėje sukuriame saugos profilį, kuriame nustatome vėliavėles "Gali būti naudojamas kaip saugaus režimo saugos profilis" ir " skiltyje "Visa prieiga leidžiama:" „Privilegijuotuoju režimu“.
Daugeliu atvejų naudojant ataskaitas ir paprastą apdorojimą šis metodas bus taikomos. Sudėtingesnėse situacijose nėra prasmės aprašyti procesą, nes tai nurodyta dokumentacijoje (galimybė konfigūruoti konkrečių išorinių failų saugos profilius, nurodant maišos kiekį ir pan.).
P.S. Maniau, kad saugos profiliai veikia tik naudojant platformos ir serverio licencijas CORP lygiu, tačiau ši funkcija veikia ir 1C:Enterprise 8.3 platformoje (sąlygiškai ją galima pavadinti PROF, pagal analogiją su standartinėmis konfigūracijomis Basic/PROF/CORP)
Kai vykdote dokumentų įkėlimo programą kaip įprastas vartotojas, pasirodo klaida "Nustatytas saugus režimas. Operacija draudžiama."
Šis sunkumas kyla dėl to pradžiai išorinis apdorojimas neužtenka teisių. Norėdami sukonfigūruoti prieigos teises, prisijunkite prie duomenų bazės 1C Enterprise režimu vardu Administratorius ir eikite į skyrių Vartotojo ir teisių nustatymai / Prieiga prie grupių profilių, spustelėkite Norėdami sukurti grupę.
Įveskite grupės pavadinimą ir pažymėkite langelius prie vaidmenų, galimų šios grupės vartotojams -
- Interaktyvus išorinių ataskaitų atidarymas ir apdorojimas
- Papildomų ataskaitų naudojimas ir apdorojimas
Spustelėkite Išsaugokite ir uždarykite
Grįžkite į meniu Vartotojai ir iš sąrašo pasirinkite darbuotoją, kuris dirbs su Dokumentų įkėlimo programa. Spustelėkite Leidimai. Profilių sąraše pasirinkite anksčiau sukurtą profilį. Spustelėkite Užsirašyti.
Kad vartotojai galėtų pradėti apdoroti, rekomenduojama į išorinio apdorojimo sąrašą įtraukti Dokumento įkėlimą. Norėdami tai padaryti meniu Administracija / Spausdinamos formos ir apdorojimas / Papildomos ataskaitos ir apdorojimas sukurti naują apdorojimą. Nurodykite kelią į failą „Download Documents.epf“ ir priskirkite pavadinimą. Meniu nurodykite apdorojimo vietą, iš kurios vartotojas gali vėliau jį paleisti, pavyzdžiui, pasirinkite meniu Katalogai
Spustelėjus elementą Greita prieiga nurodote, kurie vartotojai turi prieigą prie apdorojimo:
Po nustatymo spustelėkite Išsaugokite ir uždarykite. Norėdami pradėti apdorojimą, vartotojams tereikės iš naujo įvesti duomenų bazę ir atidaryti ją prieigos meniu (pavyzdyje - Katalogai) ir spustelėti Vykdyti.
Atviras Meniu – visos funkcijos.... ir sąraše raskite parinktį „Naudojami saugos profiliai“.
Tiesiog atžymėkite parinktį „Naudojami saugos profiliai“.
Po to programa bus sėkmingai paleista.
Programinis išorinio apdorojimo atidarymas atliekamas naudojant globalaus konteksto objektą ExternalProcessing, kurio tipas ExternalProcessingManager. Kiekvienam 1C platformos veikimo režimui (režimas reguliarus taikymas ir režimas valdoma programa) yra naudojami įvairių metodų objektas darbui su išoriniu apdorojimu.
Vykdomas išorinis apdorojimas įprastu programos režimu
Įprastoje programoje turite naudoti objekto „ExternalProcessing“ metodą Create(), kuriam perduodamas visas išorinio apdorojimo failo pavadinimas. Metodas grąžina tipo objektą Išorinis apdorojimas, šis objektas yra atidaromas išorinis apdorojimas. Jei reikia atidaryti išorinę apdorojimo formą, gautame objekte iškvieskite metodą GetForm(), kuris grąžins pagrindinę formą, tada iškvieskite Open() metodą, kad jį atidarytumėte.Apdorojimas = IšorinisApdorojimas.Sukurti(FullFileName);
Apdorojama.GetForm().Open();
Išoriniame apdorojime pagrindinė forma visada turi būti įprasta, o valdoma forma – papildoma, kitaip GetForm() metodas neveiks įprastu taikymo režimu.
Išorinis apdorojimas vykdomas valdomos programos režimu
Režimu valdomos formos algoritmas skirstomas pagal vykdymo kontekstą. Kliente gauname dvejetainius duomenis naudodami pilną išorinio apdorojimo failo pavadinimą. Gautus dvejetainius duomenis perkeliame į serverį ir talpiname į laikinąją saugyklą. Tada turite iškviesti objekto „ExternalProcessing“, kuriam perduodamas laikino saugojimo adresas, metodą „Connect()“. Metodas grąžina prijungto išorinio apdorojimo pavadinimą. Mes grąžiname klientui išorinio apdorojimo pavadinimą, sukuriame eilutės kelią į apdorojimo formą ir naudojame OpenForm() metodą, kad atidarytume išorinę apdorojimo formą.&Serveryje
Funkcija GetExternalProcessingName (dvejetainiai duomenys)
AddressInTemporaryStorage = PlaceInTemporaryStorage(BinaryData);
Grąžinti ExternalProcessing.Connect(AddressInTemporaryStorage);
EndFunction
&OnClient
FullFileName = ""; // Pilnas vardas išorinis apdorojimo failas.
„FileData“ = nauji dvejetainiai duomenys (Visas failo pavadinimas);
ExternalProcessingName = GetExternalProcessingName(FileData);
OpenForm ("Išorinis apdorojimas." + Išorinis apdorojimo pavadinimas + ".Forma");
Saugus išorinio apdorojimo režimas
Objekto ExternalProcessing metodai Create() ir Connect() turi įeinantį parametrą SafeMode – išorinio apdorojimo prijungimo saugiuoju režimu ženklą. Jei parametras nenurodytas, ryšys bus užmegztas saugiuoju režimu.Saugus režimas darbas skirtas apsaugoti sistemą nuo „nepatikimo“ programos kodo vykdymo serveryje. Galimas pavojus kyla dėl išorinio apdorojimo arba vartotojo įvesto programos kodo, skirto naudoti Vykdyti() ir Calculate() metoduose.
Saugusis režimas nustato šiuos apribojimus:
- privilegijuotas režimas atšaukiamas, jei jis buvo įdiegtas;
- bandymai įjungti privilegijuotą režimą ignoruojami;
- draudžiamos operacijos su COM objektais;
- draudžiama krauti ir prijungti išorinius komponentus;
- prieiga uždrausta Failų sistema(išskyrus laikinuosius failus);
- Prieiga prie interneto draudžiama.
Norint uždrausti interaktyvų apdorojimo atidarymą, atliekant visus vartotojui priskirtus vaidmenis, būtina pašalinti teisę „Interaktyvus išorinio apdorojimo atidarymas“ (žr. 1 pav.).
| 1 pav. Teisės interaktyviai atidaryti išorinį apdorojimą/ataskaitas |
Programinis išorinių ataskaitų atidarymas yra panašus į išorinį apdorojimą, tačiau turėtumėte naudoti visuotinio konteksto objektą ExternalReports, kurio tipas ExternalReportsManager.
Išleidus platformą 8.3.9.2033, atsirado naujas mechanizmas „Apsauga nuo pavojingų veiksmų“.
Dėl šios naujovės 1C pradėjo keiktis pradėdamas apdorojimą (ir ne tik):
Apsaugos Įspėjimas
Atidaro „Mano išorinis apdorojimas“ iš failo „My_External_Processing.epf“
Rekomenduojama atkreipti dėmesį į šaltinį, iš kurio buvo gautas šis failas. Jei nesutariama su šaltiniu dėl papildomų modulių kūrimo arba kyla abejonių dėl failo turinio, tada jo atidaryti nerekomenduojama, nes tai gali pakenkti kompiuteriui ir duomenims.
Leisti man atidaryti šį failą?
Taigi 1C nusprendė kovoti su kenkėjišku kodu!
kur tai bus" kenkėjiškas kodas„Įmonėje tai vis dar paslaptis)
Potencialiai pavojingi veiksmai:
- Išorinės ataskaitos įkėlimas, apdorojimas arba konfigūracijos plėtinys.
- Įkeliama arba atnaujinama konfigūracija / plėtinys.
- Prieiga iš išorinės ataskaitos / procesoriaus arba plėtinio prie šių galimybių:
- Vykdoma operacinės sistemos komanda.
- Vartotojų valdymas (informacijos apie informacijos bazės vartotoją įrašymas arba ištrynimas).
- Išorinio apdorojimo (ataskaitų) valdytojo Connect() metodo iškvietimas.
- Metodo ExtendConfiguration.Write() iškvietimas.
- Darbas su COM objektais.
Kaip išjungti šį „stebuklą“?
Norėdami tai padaryti, turite paleisti „1C Enterprise“ konfigūravimo režimu.
Pasirinkite meniu „Administravimas“ - „Vartotojai“.
Vartotojams atsidariusiame lange turite atidaryti vartotojo nustatymų langą ir panaikinti skirtuko „Pagrindinis“ žymėjimą. „Apsauga nuo pavojingų veiksmų“
Yra ir kitų būdų tai išjungti:
Dabar galima nurodyti informacinių bazių sąrašą, su kuriomis dirbant bus išjungta apsauga nuo pavojingų veiksmų.
Už nugaros šią funkciją reaguoja į parametrą DisableUnsafeActionProtection faile conf.cfg, kuris leidžia išjungti apsaugos nuo pavojingų veiksmų mechanizmą visiems tam tikrų informacijos bazių vartotojams, kurių ryšio eilutės atitinka parametre DisableUnsafeActionProtection nurodytas kaukes.
Šiame parametre galite nurodyti kelias kaukes, atskirtas simboliu „;“, pavyzdžiui:
DisableUsafeActionProtection=test_.*;stage_.*;
Be to, programiškai galima išjungti apsaugą nuo pavojingų naudotojo veiksmų, kuriems galimi šie parametrai ir savybės:
- Parametrų apsauga nuo išorinio apdorojimo (ataskaitų) tvarkytojų Connect() metodų pavojingų veiksmų
- Objekto Configuration Extension savybė Apsauga nuo pavojingų veiksmų prieš iškviečiant šio objekto Write() metodą.
Patikrinimas, ar reikia naudoti apsaugą nuo pavojingų veiksmų, atliekama tokia tvarka:
1. Jei dabartinio naudotojo žymimasis laukelis „Apsauga nuo pavojingos veiklos“ yra išvalytas, apsauga laikoma išjungta.
2. Jei ryšio eilutė su informacijos baze atitinka vieną iš šablonų, nurodytų conf.cfg failo parametre DisableUnsafeActionProtection, apsauga laikoma išjungta.
3. Jei apsauga yra aiškiai išjungta naudojant Apsauga nuo pavojingų išorinio apdorojimo veiksmų arba ataskaitos parametrą.
4. Jei apsauga yra aiškiai išjungta naudojant plėtinio ypatybę Apsauga nuo pavojingų veiksmų.
