Вопросы безопасности информационных систем на платформе 1С:Предприятие 8.1
Механизмы обеспечения безопасности в 1С:Предприятии 8.1
Что такое безопасность? Часто считается, что для обеспечения безопасности достаточно задать пароль учетной записи или зашифровать данные. В некоторых случаях это так и есть. Но правильней будет уточнить, что данные меры усиливают защиту информации на некоторых «участках» функционирования системы. Обеспечение защиты данных понятие комплексное. Часть мер по организации контроля доступа к информации осуществляется техническими средствами, в том числе 1С:Предприятием, СУБД (например, Microsoft SQL Server) и операционной системой. Часть мер представляет собой набор административных действий и правил компании.
В данной статье будут рассмотрены вопросы безопасности информационных систем, работающих под управлением 1С:Предприятия 8.1 в клиент-серверном варианте с использованием СУБД MS SQL Server.
Базовый принцип защиты данных в клиент-серверном варианте заключается в том, что пользователи не имеют прямого доступа к файлам информационной базы. «Посредником» между клиентами 1С:Предприятия 8.1 и сервером СУБД является рабочий процесс rphost, который обращается с запросом к СУБД от имени своей учетной записи. Затем полученный результат возвращает клиенту.
Пример реализации клиент-серверной архитектуры
Однако, использование клиент-серверного варианта не означает автоматически стопроцентную защиту информации. Важно правильно настроить систему в соответствии с конкретными требованиями безопасности.
Пример пренебрежения безопасностью MS SQL Server и 1С:Предприятие 8.1
В нашем примере, в некой компании Х в качестве сервера баз данных установлен MS SQL Server 2000 с настройками по умолчанию. В качестве учетной записи контекста исполнения службы «MSSQLServer» была выбрана учетная запись операционной системы. После развертывания клиент-серверного варианта 1С:Предприятие 8.1 для пользователей конфигурации были созданы учетные записи и назначены пароли. Дополнительных настроек связанных с безопасностью не производилось.
На первый взгляд все в порядке, пользователи не имеют доступа к файлам серверов приложений и СУБД. «Взлом» будет засчитан после получения злоумышленником доступа к учетной записи администратора сервера с MS SQL Server.
По нашему сценарию один из сотрудников компании Х становится злоумышленником. У него есть собственный ноутбук. И он работает с информационной базой от имени своей «законнной» учетной записи, как и большинство пользователей компании.
Администраторы, пренебрегли настройками прав доступа пользователей и оставили возможность выгрузки информационной базы при помощи конфигуратора.
Права на выгрзуку информационной базы имеет любой пользователь, которому разрешено выполнять «Административные функции».
Злоумышленник выгружает информационную базу себе на локальный диск в виде файла DT. Теперь он может развернуть ее локально у себя на компьютере или передать «врагам».
Другой возможной опасностью является отсутствие учетной записи администратора кластера на сервере 1С:Предприятия. Это позволит злоумышленнику создать на своем компьютере новую информационную базу на том же сервере 1С:Предприятия, который обслуживает рабочую базу.
Если не задать администратора кластера, то информационные базы сможет создавать любой пользователь
В своей информационной базе злоумышленник создает превелигерованный модуль, исполняемый на стороне сервера. Этот модуль работает от имени учетной записи сервера 1С:Предприятия и, естественно, имеет полный доступ ко всем данным 1С:Предприятия. В том числе этот модуль может прочитать файл настроек C:\Program Files\1cv81\server\reg_1541\ 1CV8Reg.lst, где для баз среди параметров хранятся логин и пароль, под которым происходит подключение к SQL Server.
Прочитав файл настроек, приложение получает доступ к базе данных
Примечание. С версии 8.1.6 пароли логинов СУБД в файле настроек шифруются. Тем неменее надо помнить про подключение через USR1CV81, когда логин и пароль в параметрах базы опускаются.
Причина, позволившая нам прочитать файл настроек – это доступ к файлу для учетной записи процесса rphost, совпадающей по умолчанию с учетной записью процесса ragent и rmngr.
Зная логин и пароль, злоумышленний подключается к MS SQL Server 2000 и выполняет для базы master такой скрипт:
EXEC xp_cmdshell ‘net user Neo passW0rd /add’ EXEC xp_cmdshell ‘net localgroup Administrators Neo /add’
Эта команда содает пользователя с именем Neo и администраторскими правами на сервере, где установлен MS SQL Server.
Причиной, позволившей нам выполнить команды операционной системы, является учетная запись SQL Server, которая по умолчанию имела максимально возможные права.
Для того, чтобы избежать подбных ошибок, рассмотрим более детально, как работают механизмы защиты.
Комплексное понятие безопасности
Комплексное понятие безопасности системы складывается на соновании ее защищенности на различных участках. Можно выделить три основных участка защиты данных:
- Клиент — кластер 1С:Предприятия
- Кластер 1С:Предприятия — СУБД
- Пользователь системы
Участок защиты данных «клиент – кластер 1С:Предприятие 8.1»
При подключении к информационной базе пользователь указывает свой логин и пароль. Если в системе существует учетная запись с соответствующими параметрами, то доступ разрешается. Учетная запись создается для каждой информационной базы, используемой пользователем. При этом выполняется запрос к рабочему процессу кластера, расположенному на сервере 1С:Предприятия. Информация, передаваемая по сети на данном участке может быть зашифрована полностью или частично. Безопасность работы кластера обеспечивается исполнением приложения от имени учетной записи 1С:Предприятия в Windows. Контроль доступа к общим настройкам кластера осуществляется от имени учетной записи администраторов кластера 1С:Предприятие 8.1.
Участок защиты данных «кластер – СУБД»
Защита данных, передаваемых между кластером серверов 1С:Предприятия и сервером СУБД, осуществляется средствами СУБД. MS SQL Server позволяет организовать шифрование передаваемых данных с помощью сертификатов.
Участок защиты данных «Человек»
В настоящей статье рассматриваются только технические меры обеспечения безопасности. Следует иметь в виду, что существует и такой фактов безопасности, как пользователь. Даже самая совершенная защита не может гарантировать безопасность системы, если к ней имеет доступ недобросовестный или неаккуратный пользователь. Системный администратор владеет информацией о паролях, главный бухгалтер — финансовой информацией о компании и т.д. Это значит, что всегда есть еще одно звено системы, которое может оказаться самым уязвивым в защите информации. Политика регулярной смены паролей, проводимая системным администратором, может быть сведена «на нет», если пользователи решат, что хранение «сложных» паролей надо доверить памяткам на мониторе своих рабочих мест.
Аудит безопасности системы
Следующую таблицу можно использовать как памятку при проведении аудита безопасности системы.
Следует понимать, что данная памятка является примером общего подхода к аудиту информационной безопасности вашей системы. Серьезность каждой угрозы может быть различной в каждом конкретном случае.
Для аудита безопасности вашей системы необходимо заполнить аналогичную таблицу, исходя из вашей реальной ситуации. При этом следует внимательно оценивать риски (например, к чему может привести кража «оборотно-сальдовой ведомости») и средства, выделяемые на снижение рисков (что можно сделать без выделенного специалиста безопасности, сколько будет стоит автоматизация доступа по картам сотрудников и т.п).
Начинайте аудит с наиболее серьезных угроз. После этого переходите к мероприятиям защиты с наименьшими трудозатрами. Помните, что система защиты информации не должна быть слишком сложна.
1. Доступ пользователей к административным действиям конфигуратора
1.1 Выявление угрозы
Каждая учетная запись пользователя принадлежит к одной или несколькими ролям. Роль – это набор прав. Некоторые права предоставляют возможность копирования информации или выполнения административных действий. Такие права должны быть только у пользователей, которым они необходимы по служебным обязанностям. Например, у администратора базы данных.
Составьте список всех ролей, имеющих права на выполнение административных функций. Затем составьте список пользователей, которые приписаны к этим ролям. Каждый из пользователей, перечисленных в списке сможет выполнять следующие действия:
- Выгружать информационную базу в файл на диске своего компьютера
- Назначать права доступа для других пользователей информационной базы
Убедитесь в том, что для каждого пользователя из списка верно следующее:
- Сотруднику действительно необходимы административные права для выполнения его служебных обязанностей
- Сотрудник имеет достаточную квалификацию для того, чтобы не причинить непреднамеренный вред системе
- Сотрудник пользуется вашим доверием
На рисунке показано выключение Административных функций для роли «Бухгалтер», используемой пользователем. Административные функции позволяют выгружать базу данных.
1.2 Возможные последствия
Как показывает практика, вероятность возникновения такой угрозы очень высока.
В качестве последствий следует особенно отметить копирование информационной базы.
1.3 Меры защиты
1.3.1 Ограничение прав
Назначайте административные права только тем пользователям 1С:Предприятия, которым это действительно необходимо.
Выделите права, которыми должен обладать только администратор базы и лишите этих прав всех остальных пользователей. Обычно, к таким правам относятся:
- Административные функции
- Обновление конфигурации базы данных
- Внешнее соединение
- Интерактивное открытие внешних обработок
- Интерактивное открытие внешних отчетов
1.3.2 Ограничение доступа к переносным носителям
Для того, чтобы ограничить возможности злоумышленников по копированию базы данных на внешние носители (дисководы, USB-носители и т.п.) можно использовать групповые политики Active Directory.
2. Отсутствие разграничений доступа в режиме 1С:Предприятие
2.1 Выявление угрозы
Доступ к информации в режиме 1С:Предприятие определяется ролями (списком прав), также механизмами, реализованными кодом конфигурации. Для типовых конфигураций 1С это механизм ограничения доступа к данным на уровне записей и полей. Более подробно здесь. Неправильно назначенные права могут привести к несанкционированному доступу к данным.
На рисунке показан пример настройки прав менеджерам по продажам в типовом решении 1С.
Пример настройки прав в отраслевом решении.
Для проверки наличия угрозы необходимо проделать достаточно большую и кропотливую работу по сверке прав учетных записей пользователей и тех уровней доступа, которые должны иметь сотрудники.
Угрозой является наличие у пользователя прав доступа к той информации, которая не должна быть ему доступна. Серьезность этой угрозы определяется в каждом конкретном случае индивидуально.
2.2 Возможные последствия
Вероятность данной угрозы оценивается как средняя. Последствием может быть несанкционированный доступ пользователей к данным информационной базы.
2.3 Меры защиты
Необходимо привести права доступа в соответствие с должностными обязанностями каждого сотрудника. Эта задача, в общем случае, является достаточно трудоемкой. Имеет смысл начинать проверку прав доступа и приведение их в соответствие с наиболее критичных областей данных.
3. Несанкционированный доступ к данным сервера СУБД
3.1 Выявление угрозы
Проверьте следующие признаки угрозы:
- Наличие включенного (enabled) логина sa для используемого MS SQL Server
- Учетная запись службы MS SQL Server входит в доменные группы
- Имеется доступ к файлам, хранящимся на компьютере, на котором запущен MS SQL Server
- Сервер 1С:Предприятия и SQL Server запущены на одном компьютере
- Открыт доступ к серверу учетных записей пользователей
- Слабые пароли логинов MS SQL Server
- Включена возможность работы с командной строкой службой MS SQL Server
3.2 Возможные последствия
Полный доступ к информационным базам, хранящимся на MS SQL Server.
3.3 Меры защиты
Ниже приведены меры защиты в порядке возрастания сложности реализации:
3.3.1. Исключите возможность доступа от имени SA
3.3.1.1. Удалите учетную запись SA
Например, это можно сделать с помощью команды:
ALTER LOGIN sa DISABLE
На рисунке показано успешное отключение логина SA.
3.3.1.2. Для выполнения административных функций создайте учетную запись с другим именем. Включите эту учетную запись в роль sysadmin.
3.3.1.3 Эта учетная запись должна иметь сильный пароль
Задать пароль через Transact-SQL можно так:
ALTER LOGIN my_sa WITH PASSWORD = ‘Ple@se_Don»t_C0mprom1se_My_SQL_S3rv3r_Bec@us3_It_Is_V3ry_Ne@r_And_D3ar_To_My_H3@rt’
В этом примере для логина my_sa будет указан сложный пароль. (Смена пароля в версии MSDE описана на сайте Microsoft)
3.3.1.4 Исключить доступ к процедуре xp_cmdshell
Процедура xp_cmdshell имеет доступ к ресурсам операционной системы сервера СУБД, в частности к диску, на котором физически находитсябаза данных.
3.3.1.5 Удалить группу BUILTIN\Administrator.
Эта группа ролей имеет доступ к административным функциям базы данных. Если кто-то из пользователей Windows входит в эту группу, то он тоже получает этот доступ.
3.3.1.6 Если вы хотите предоставить возможность пользователям создавать самостоятельно базы, создайте персональные учетные записи каждому и наделите их ролью ‘dbcreator’
Создать пользователя и наделить правом создавать базы можно так:
USE [master]GOCREATE LOGIN [user1c] WITH PASSWORD=N'P@ssw0rd' GO EXEC master..sp_addsrvrolemember @loginame = N'user1c', @rolename = N'dbcreator' GO
В данном пример в результате успешного выполнения появиться пользователь user1c и будет обладать ролью ‘dbcreator’.
3.3.1.7. Если вы хотите делегировать ответсвенному пользователю возможность создавать учетные записи другим пользователям, создайте персональные учетные записи каждому и наделите их ролью ‘ SecurityAdmin ‘.
Наделить учетную запись ролью ‘ SecurityAdmin ‘ можно так:
EXEC master..sp_addsrvrolemember @loginame = N’user1c’, @rolename = N’securityadmin’ GO
Примечание. Посмотреть набор прав для роли можно с помощью хранимой процедуры sp_srvrolepermission.
Наример, для роли dbcreator:
exec sp_srvrolepermission 'dbcreator'
3.3.1.7 Администратор баз данных может создавать базы сами затем передавать право владения другим пользователям.
Это делается с помощью хранимой процедуры sp_changedbowner.
На рисунке показано передача прав владения базой от администратора, создавшего базу, к другому пользователю
Такой подход позволит не предоставлять учетным записям пользователей роль dbcreator. То есть, пользователи не смогут самостоятельно создавать базы данных.
Использование sp_changedbowner для смены владельца базы данных:
USE db_buh GOEXEC sp_changedbowner user1c
GO
В этом примере db_buh — имя базы данных, user1c — имя пользователя, который должен стать владельцем базы.
3.3.2 Исключите доступ пользователей (не администраторов) к серверу СУБД
Доступ к серверу должен быть предоставлен только администраторам сервера и учетной записи служб кластера серверов 1С:Предприятие 8.
Пример настройки доступа
3.3.3 Разнесите сервер СУБД и сервер 1С:Предприятия по разным компьютерам
Необходимо учитывать, что в некоторых случаях это может привести к некоторому замедлению работы из-за передачи данных по сети.
3.3.4 Исключите файловый доступ данным к MS SQL Server
Для компьютера, на котором запущен MS SQL Server лучше оставить работающим приложением только MS SQL Server, исключив такие сервисы как «общий файловый доступ», «почтовый сервер», «интернет-прокси», «веб-сервера» и т.п.
Пример отключения файлового доступа по сети.
3.3.5 Регулярно создавайте резервные копии и храните их в безопасном месте за пределами расположения рабочих серверов
Все системные администраторы делятся на тех, кто делает бэкапы, и тех, кто их будет это делать после того, как первый раз потеряет важные данные в результате аппратного сбоя.
Уделите внимание безопасности хранилища, в котором содержатся резервные копии инфомационны баз. Помните, что если злоумышленнику будет проще унести резервную копию, чем взломать работающую систему, то он именно так и поступит.
3.3.6 Настройка прав доступа служб MS SQL Server
Безопасность исполнения операций сервера MS SQL Server в операционной системе определяется его учетными записями. Это учетные записи служб SQL Server, Agent SQL Server и Browser SQL Server для SQL Server 2005.
Например, SQL Server имеет доступ к исполнению процедуры «xp_cmdshell», которая позволяет работать с командной строкой Windows. Процесс Windows, порожденный процедурой xp_cmdshell, имеет те же права защиты, что и учетная запись службы SQL Server.
Если учетная запись обладает правами системы или входит в группу Администраторы, то xp_cmdshell возволяет выполнять любые действия в операционной системе сервера СУБД. Если учетная запись входит только в группу Пользователи, возможности xp_cmdshell эквивалентны возможностями простого пользователя.
В SQL Server 2005 функциональность «xp_cmdshell» по умолчанию отключена в целях повышения безопасности.
На рисунке показана консоль SQL Server 2005 Surface Area Configuration, управляющая возможностью включения/выключения наиболее «вероятных» целей злоумышленников, в том числе xp_cmdshell.
Для работы 1С:Предприятие 8.1 все указанные в этой консоли функции могут быть выключены. Некоторые системные администраторы наделяют учетную запись службы административными правами «просто, чтобы работало». Чтобы организовать повышенную безопасность, практикуется «Принцип минимальности привилегий» — субъект должен обладать набором минимально необходимых прав для выполнения своих функций.Применительно к службам SQL Server это означает следующее:
- По возможности запускайте службы от имени учетной записи LocalService
- Используйте запись NetworkService для служб, которым необходим доступ к сетевым ресурсам
- Используйте запись LocalSystem для служб, которым необходим доступ к сетевым ресурсам и полный набор прав на локальный компьютер
- Применяйте повышенные меры безопасности к серверам, на которых запущены службы с правами доменного администратора
На рисунке показан желательный порядок использования привелегий учетной записи службы SQL Server. Чем выше права записи, тем большую язвимость создает служба.
Учетной записи, от имени которой работают службы сервера, присваиваются следующие пользовательские права и привилегии:
- Разрешить замену маркера уровню процесса (Act as part of operating system);
- Разрешить фиксировать страницы в памяти (Lock pages in memory);
- Разрешить обход перекрестной проверки (Bypass traverse checking);
- Разрешить входить в качестве сервиса (Log on as service);
- Разрешить настройку квот памяти для процесса(Increase quotas);
- Разрешить замену уровня процесса (Replace a process level token);
- Запретить локальный вход в систему (Deny logon locally);
- Запретить вход в систему через службы терминалов (Deny log on through Terminal Services).
Запрет локальной регистрации в системе и соединения посредством сервера терминала ограничивают возможности злоумышленника в случае компрометации системы. Также необходимо удалить группу Domain Users у пользователей, имеющих право Logon Locally.
Для работы службы Agent SQL Server рекомендуется выбирать учетную запись пользователя Windows, не входящую в группу Администраторы. Однако существуют ограничения при администрировании нескольких серверов, когда учетная запись службы агента SQL Server не входит в локальную группу Администраторы. В частности, группы Администраторы требуется, чтобы использовать возможность автоматического перезапуска или создания типов CmdExec (вызов команд операционной системы) и ActiveX Script, не принадлежащие администратору SQL Server.
Browser SQL Server выполняется как служба Windows и запускается на UDP-порту 1434. При запуске обозреватель SQL Server считывает данные из реестра, определяет все экземпляры SQL Server на данном компьютере и назначает для них порты. Обозреватель SQL Server прослушивает входящие запросы на ресурсы Microsoft SQL Server и предоставляет сведения об экземплярах SQL Server, установленных на компьютере. При остановке или отключении службы «SQL Server, обозреватель» необходимо назначить каждому именованному экземпляру конкретные номера портов. Права, которые необходимо назначить обозревателю SQL Server для повышения безопасности:
- Запретить сетевой доступ к этому компьютеру.
- Запретить локальный вход в систему.
- Запретить вход в систему в качестве пакетного задания.
- Запретить вход в систему через службы терминалов.
- Разрешить вход в систему в качестве службы.
- Разрешить чтение и запись разделов реестра SQL Server, относящихся к сети (порты и каналы).
Для работы экзмепляра по умолчанию (Default) обозреватель не требуется. В MS SQL Server 2000 роль обозреватель выполняла служба SQL Server.
Более подробно о настройке служб можно прочитать на сайте Microsoft.
3.3.7 Используйте режимы проверки подлинности средствами MS SQL Server
Доступ к MS SQL Server выполняется после прохождения авторизации на сервере. Это можно сделать, используя учетную запись, созданную средствами MS SQL Server или с помощью учетной записи Windows.
На рисунке показаны два способа доступа к серверу.
Это использование логинов SQL Server-а, которые в консоли управления сервером находятся в разделе Security и использования учетных записей Windows. Доступ к базам данных происходит путем ассоциаций прошедших авторизацию на сервере пользователей с пользователями баз данных.
Для работы учетный записей SQL Server-а необходимо использовать смешанный (mixed) режим проверки подлинности пользователей. В большинстве случаев это можно сделать с помощью c графических утилит доступа. Однако для MSDE версии MS SQL Server 2000 оснастки нет. В этом случае можно переключить режим с помощью рееста.
3.7.1.1. Включение смешанного режима после установки
Для работы 1С:Предприятие 8.1 с MS SQL Server используется режим авторизаци MS SQL Server и Windows. Если при установке был выбран режим авторизации только Windows (Windows only) — то подключиться к информационной базе 1С:Предприятия 8.1 не получится.
Для изменения типа авторизации откройте SQL Server Enterprise Manager.
В дереве «Concole Root — Microsoft SQL Servers» разверните группу SQL Server Group и выберите необходимый сервер (соответствует или имени компьютера или (local) — для локального сервера).
Если серверов нет — надо зарегистрировать новый сервер, выбрав из меню Action — New SQL Server Registration.
На значке сервера сделайте правый щелчок мышкой и в контекстном меню выберите Properties. В появишемся окне перейдите на закладку Security.
В разделе Security укажите Authentication на SQL Server and Windows.
Перезапустите сервис например с помощью командной строки:
net stop mssqlservernet start mssqlserver
или перегрузите компьютер с установленным MS SQL Server.
Для SQL Server 2005
Для изменения типа авторизации откройте SQL Server Management Studio.
В меню File – Connect Object Explorer и выберите необходимый сервер.
Далее в окне Object Explorer на значке сервера сделайте правый щелчок мышкой и в контекстном меню выберите Properties. В появишемся окне перейдите на закладку Security.В разделе Server authentication укажите SQL Server and Windows Authentication mode.
Перезапустите сервис. Для этого значке сервера сделайте правый щелчок мышкой и в контекстном меню выберите Restart.
3.3.7.2 Включение смешанного режима проверки подлинности после установки с помощью реестра
Предупреждение. При неправильном использовании редактора реестра могут возникнуть серьезные неполадки, требующие переустановки операционной системы. При изменении реестра полагайтесь на свой опыт и знания.
По умолчанию параметр реестра LoginMode имеет значение 1 (проверка подлинности Windows). Чтобы включить смешанный режим, значение этого параметра необходимо изменить на 2.
Место расположения параметра LoginMode зависит от имени, под которым установлен экземпляр MSDE. Если MSDE была установлена с именем по умолчанию, параметр LoginMode находится в следующем разделе реестра:
HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
Если MSDE была установлена под другим именем, параметр LoginMode находится в следующем разделе реестра:
HKLM\Software\Microsoft\Microsoft SQL Server\имя_экземпляра\MSSQLServer\LoginMode
При использовании SQL Server 2005 Express Edition параметр LoginMode находится в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.4\MSSQLServer
Чтобы присвоить параметру LoginMode значение 2, выполните следующие действия.
1. С помощью компонента «Службы» панели управления остановите MSSQLSERVER и другие связанные службы (например, SQLSERVERAgent).
2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedt32 и нажмите кнопку ОК.
3. Найдите следующий раздел реестра (в соответствии с именем, под которым была установлена MSDE):
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\имя_экземпляра\MSSQLServer\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.4\MSSQLServer\
4. На правой панели окна редактора реестра дважды щелкните параметр LoginMode.
5. В диалоговом окне Изменение параметра DWORD установите для параметра значение 2, выберите вариант Шестнадцатеричное и нажмите кнопку ОК.
6. Чтобы изменения вступили в силу, запустите службы MSSQLSERVER и SQLSERVERAgent.
Обратите внимание. Что возможность управления переключением режимов аутентификации при определенных условиях может воспользоваться злоумышленник.
3.3.8 Поместите сервер в помещении, недоступном для посторонних
Как компромисный вариант, использовать серверную стойку и предоставлять ключи лицам по утвержденном списку.
3.3.9 Шифрование данных MS SQL, хранящихся на диске
В Интернете можно найти статьи, рекомендующие шифровать данные баз данных. Это можно делать и штатными средствами Windows, и используя ключи eToken, и программы сторонних производителей типа Jetico Bestcrypt или PGPDisk. Кроме этого можно встретить рекомендации создавать базы данных в нескольких файлах, один из которых шифровать.
Однако, в большинстве случаев рекомендуется сосредоточить внимание не на шифровании дисков, а на максимальном ограничении интерактивного, сетевого и физического доступа к ним.
3.3.10. Использование неформатированных разделов
Путем использования неформатированных разделов дисков можно обеспечить высокий уровень безопасности информации в базе данных. При этом, в некоторых случаях, может вырасти быстродействие дисковой подсистемы.
SQL Server позволяет использовать для создания файлов базы данных «неформатированные» (или «сырые» — raw) разделы. Неформатированный раздел — это раздел диска, который был создан с помощью утилиты fdisk или Disk Administrator, но не был отформатирован. На таком разделе не существует файловой системы (FAT или NTFS), поэтому там невозможно хранение файлов операционной системы. Тем не менее, если при создании базы данных в качестве физического имени файла указать неформатированный раздел, то SQL Server 2000 создаст в этом разделе блок данных (назовем его файлом), который займет все свободное пространство. Так как при создании файла будет занято все доступное пространство, то увеличение размера файла в данном случае невозможно. В качестве физического имени файла необходимо указать только букву раздела, например F. Задание неформатированного раздела другим способом (а такие имеются — например формат, используемый в файле boot.ini) не допускается. То есть, чтобы иметь возможность разместить файл базы данных на неформатированном разделе, нужно присвоить этому разделу конкретную букву, сконфигурировав его, таким образом, в качестве логического диска.
На рисунке показан неформатированный раздел с логическим диском F.
На неформатированном разделе можно разместить лишь один файл базы данных. Даже после того как SQL Server создаст в этом разделе файл, операционная система будет воспринимать раздел как неформатированный или как раздел с неизвестной файловой системой. Обычные операции работы с файлами, выполняемые операционной системой, будут недоступны. То есть нельзя будет выполнять копирование, удаление, изменение или перемещение созданного файла. Кроме того, операции резервного копирования с помощью утилиты Windows NT Backup также будут недоступны. Однако допускается создание резервных копий базы данных и журнала транзакций средствами SQL Server. При использовании неформатированных разделов недоступны инструменты проверки целостности диска. Более того, невозможна «горячая» замена поврежденных кластеров, которая выполняется для файловой системы NTFS на дисках SCSI. При размещении файлов базы данных на обычных дисках с файловой системой имеется возможность скопировать эти файлы и подключить к другому серверу SQL. При наличии неформатированных разделов скопировать данные будет практически невозможно, так как в операционных системах семейства Windows не реализованы механизмы работы с неформатированными разделами.
Рекомендуется создать базу данных из одного файла данных, расположенного на неформатированном разделе. В идеале файлы журнала транзакций также могут быть расположены на неформатированных разделах. Для каждого файла базы данных потребуется отдельный неформатированный раздел.
Пример cоздания базы db_buh в неформатированном разделе.
USE masterGOCREATE DATABASE db_buhON ( NAME = db_buh, FILENAME = 'f:') LOG ON( NAME = 'db_buh_log', FILENAME = 'g:' ) GO
На рисунке показан пример создания базы в сырых разделах дисков F и G.
4. Использование «старых» логинов
4.1 Выявление угрозы
Среди учетных записей, используемых системой могут оставаться те, которые принадлежали уволенным сотрудникам. Необходимо организовать регулярную процедуру проверки учетных записей.
Можно попробовать разработать автоматизированную процедуру проверки длительной неактивности учетных записей и их автоматического удаления
4.2 Возможные последствия
Уволенный сотрудник может воспользоваться своей старой учетной записью.
4.3 Меры защиты
Регулярное администрирование записей
В данном случае обеспечение безопасности не является операцией, которая раз и на всегда решит проблему. Для поддержания необходимого уровня безопасности на данном участке необходимо организовать и проводить регулярную проверку всех учетных записей системы.
Следует понимать, что существует несколько видов учетных записей, которые используются при работе системы на различных уровнях ее функционирования.
1) Пользователи Windows (локальные учетные записи Windows и в службы каталогов Active Directory)
Факт применения учетной записи Windows можно опредлить по журналу событий безопасности Windows.
2) Пользователи информационных баз 1С:Предприятия
Факт использования учетной записи фиксируется в журнале регистрации 1С:Предприятия
3) Пользователи сервера MS SQL Server
Факт использования учетной записи фиксируется в логах MS SQL Server (в соответствии с настройками)
4) Пользователи баз данных MS SQL Server
5) Администраторы центрального сервера кластера серверов 1С:Предприятия 8.1
6) Администраторы кластера 1С:Предприятия
7) Учетные записи Windows для контекста исполнения служб 1С:Предприятие 8.1 и MS SQL Server (и других СУБД)
Кроме того, следует понимать, что:
- Пользователи Windows (1) могут выступать как Пользователи 1С:Предприятие 8.1 (2), как Администраторы файла кластеров (5), и Администраторы кластера (6)
- Пользователи Windows (1) могут быть Пользователями серверов СУБД (3). Однако 1С:Предприятие 8.1 использует учетные записи самой СУБД (3)
- Пользователи СУБД (3) неявно получают доступ к базе данных «связывая» с учетной записью базы данных (4). Например, пользователь «dbo» – это владелец базы (dbowner). Пользователь СУБД с ролью «Создателя базы», в MS SQL Server это «dbcreator» считается пользователем базы «dbo»
- Учетные записи Windows (1) также являются контекстом работы служб (7). Поэтому не предоставляйте эти записи для работы обычных пользователей (1),(2)
- Разработчики конфигураций на платформе 1С:Предприятие также могут использовать программное разграничения доступа. Для этого, как правило, создается справочник «Пользователи». Управление настройками такого справочника выполняется в режиме «1С:Предприятие», а не Конфигураторе. Максимальные права доступа к справочнику «Пользователи» — чтение данных.
5. Несанкционированный доступ к файлам кластера серверов
5.1 Выявление угрозы
Признаки возможной угрозы:
- Отсутствие учетных записей администраторов кластера
- Использование одной учетной записи для служб ragent, rmngr, rphost
- Файловый доступ к серверу
- Физический доступ к серверу
5.2 Возможные последствия
Злоумышленник может получить пароли и общую информацию для подключения к серверу СУБД. Это может привести к тому, что ему станут полностью доступны данные информационных баз.
5.3 Меры защиты
5.3.1 Создать администратора центрального сервера и администратора кластера серверов 1С:Предприятия
Создайте администратора центрального сервера
Если не задан администратор центрального сервера, то любой пользователь сможет создать новый кластер.
Создайте администратора кластера
Если не задан администратор кластера, то любой пользователь сможет редактировать параметры кластера.
5.3.2 Использовать разные учетные записи для разных служб кластера серверов 1С:Предприятия
Кластер серверов 1С:Предприятия использует для работы ряд служебных данных. Например, список кластеров сервера, реестры кластеров и др. Все служебные данные представляют собой совокупность файлов, которые находятся в двух каталогах:
- Каталог данных приложения
- Каталог временных файлов.
Общая идеология работы со служебными данными заключается в том, что доступ к служебным данным кластера серверов должны иметь только менеджер кластера (rmngr.exe) и агент сервера (ragent.exe). Рабочие процессы (rphost.exe) используют служебные данные только через менеджер кластера, поскольку являются потенциально опасными (в них могут выполняться фрагменты кода конфигураций).
На рисунке показана общая схема кластера
5.3.2.1 Создайте дополнительного пользователя операционной системы, от имени которого стартуют только рабочие процессы.
В каталоге данных приложения при установке кластера серверов 1С:Предприятия 8.1 создается специальный каталог, предназначенный только для файлов кластера серверов 1С:Предприятия.
Пользователю USR1CV81, от имени которого стартует по умолчанию агент сервера, назначаются полные права на этот каталог. Другим пользователям доступ в этот каталог запрещается. Запуск менеджера кластера выполняет агент сервера от имени того же самого пользователя, от которого запущен он сам.
На рисунке показана настройка каталога кластера.
Обратите внимание, если для рабочего процесса используется собственная учетная запись Windows, то она не имеет доступа к каталогу кластера.
Запуск рабочих процессов также осуществляет агент сервера. По умолчанию рабочий процесс запускается от имени того пользователя, от которого запущен и агент сервера. Однако предусмотрена возможность создания дополнительного пользователя операционной системы, от имени которого стартуют только рабочие процессы. Это позволяет предотвратить непосредственный доступ программного кода конфигураций к служебным данным.
Для того, чтобы rphost запускался от имени пользователя RPHOSTUSER, а
ragent запускается от USR1CV81, необходимо сделать следующее:
- в каталог данных центрального сервера () положить файл swpuser.ini следующего содержания:
- Пользователя USR1CV81 включить в локальные политики безопасности:
- Разрешить замену маркера уровню процесса (Adjust memory quotas for a process);
- Разрешить замену маркера уровня процесса (Replace a process-level token);
- Разрешить вход в качестве службы (Log on as service);
- Разрешить вход в качестве пакетного задания (Log on as batch job)
- Вход в качестве службы (Log on as service)
- Вход в качестве пакетного задания (Log on as batch job).
На рисунке показаны пользователи процессов RPHOST , RAGENT и RMNGR кластера 1С:Предприятие 8.1.
Безопасность каталога временных файлов обеспечивается иначе. Поскольку системный каталог временных файлов является общедоступным, то в нем ограничиваются права доступа к каждому временному файлу отдельно.
Для этого при создании временного файла кластером серверов 1С:Предприятия пользователю USR1CV81 устанавливаются полные права на создаваемый файл. Другим пользователям доступ к этому файлу запрещается. Таким образом, данные, хранимые во временных файлах, защищаются от несанкционированного доступа.
5.3.3 Исключите файловый доступ к рабочим серверам кластера
Для сервера 1С:Предприятия исключите такие сервисы как «общий файловый доступ», «почтовый сервер», «интернет-прокси», «веб-сервера» и т.п.
Пример отключения файлового доступа по сети.
5.3.4 Поместите сервер в помещении, недоступном для посторонних
Как компромисный вариант, используйте серверную стойку и предоставляйте ключи лицам по утвержденном списку.
6. Уязвимости операционной системы, СУБД
6.1 Выявление угрозы
Следите за появлением информации о уязвимостях операционной системы и СУБД. При появлении официальных сообщений от производителя, воспользуйтесь предлагаемыми обновлениями. Если есть такая возможность, желательно пользоваться автоматической загрузкой и установкой обновлений.
6.2 Возможные последствия
Вероятность угрозы оценивается, как незначительная. Последствия зависят от обнаруженной уязвимости. Риск взлома значительно уменьшается при отсутствии удаленного доступа к серверам из Интернета.
6.3 Меры защиты
- Выполняйте обновление операционной системы
- Выполняйте обновление СУБД
- Пользуйтесь услугами компаний, специализирующихся на безопасности
7. Вирусы, трояны, логгеры
7.1 Выявление угрозы
Присутствие вредоносных программ обнаруживается либо при помощи антивирусов, либо по факту вредоносной деятельности вируса.
7.2 Возможные последствия
Обычно вирусы не нацелены на взлом приложений 1С:Предприятия. Вероятность угрозы оценивается как невысокая. Однако, нарушение работы 1С:Предприятие может стать побочным эффектом деятельности вируса, поэтому пренебрегать этой опасностью не следует.
7.3 Меры защиты
7.3.1 Используйте брандмауэры.
Брандмауэр – средство защиты , которое отслеживает и ограничивает обмен данными между компьютером и сетью или Интернетом, т.е. защищает компьютер от несанкционированного доступа извне.
Начиная с Windows XP, операционные системы компании Microsoft стали содержать втроенный брандмауэр (сетевой экран, firewall). Для Windows XP SP2 и Windows Vista брандмауэр по умолчанию включен.
Для защиты данных в сети также могут применяться аппаратные и программные брандмауэры (межсетевые экраны) других производителей. Большинство программ не сможет принимать внешние запросы на соединение, если эти программы не внесены в список исключений брандмауэра.
Включенный брандмауэр (особенно программный) снижает быстродействие. В связи с этим рекомендуется избегать использования брандмаэров на сервере СУБД и сервере 1С:Предприятия.
Возможным последствием использования брандмауэра , который не настроен для работы с 1С:Предприятие 8.1, может быть сообщение об ошибке: «Не обнаружен ключ
Для обеспечения работоспособности 1С:Предприятие 8.1 , его необходимо добавить в список исключений брандмауэра.
Чтобы добавить программу 1С:Предприятие 8.1 в список исключений брандмауэра Windows XP SP2, необходимо выполнить следующие действия:
- Войдите в систему с помощью учетной записи администратора.
- Выберите в меню Пуск пункт Выполнить, введите команду Firewall.cpl и нажмите кнопку ОК.
- Откройте закладку Исключения.
- На закладке Исключения нажмите кнопку Добавить программу.
- Нажмите кнопку Обзор, перейдите в каталог программы (обычно C:\Program Files\1cv81\bin),найдите программу 1cv8.exe и нажмите кнопку ОК.
- Нажмите кнопку ОК.
Если в сети используется компьютер с HASP License Manager и на нем включен брандмауэр, то необходимо добавить HASP License Manager в список исключений брандмауэра. В Windows XP SP2 для этого необходимо выполнить следующие действия:
- Войдите в систему с помощью учетной записи администратора.
- Выберите в меню Пуск пункт Выполнить, введите команду Firewall.cpl и нажмите кнопку ОК.
- Откройте закладку Исключения.
- На закладке Исключения нажмите кнопку Добавить программу.
- Нажмите кнопку Обзор, перейдите в каталог %Windir%\System32\, найдите программу nhsrvw32.exe и нажмите кнопку ОК.
- Нажмите кнопку ОК.
Возможно случаи, когда брандмауэр включен на сервере, или в качестве сервера используется компьютер с настрольной операционной системой, например Windows XP SP2.
Совет. Вовсе не обязательно запоминать порты и исполняемые файлы, которые необходимо прописывать в брандмауэре.
Чтобы увидеть «реальную» картину работы клиент-серверного варианта и используемых портов (например, чтобы настроить брандмауэр) можно воспользоваться бесплатной утилитой TCPView.
7.3.2 Использование антивирусного ПО совместно с 1С:Предприятием 8
Антивирусное программное обеспечение помогает защищать компьютер от известных вирусов, «червей», «троянцев» и других вредоносных программ, которые могут привести к сбою в работе компьютера. Однако антивирусное ПО требует аппартных ресурсов. При постоянно включенном мониторинге всех действий скорость выполнения всех остальных приложений, в том числе 1С:Предприятие 8 может заметно снизиться. Приведем рекомендации для каждого из компонент клиент-серверной архитектуры 1С:Предприятие 8.
7.3.2.1 Использование антивирусного ПО на сервере с MS SQL Server
Антивирусное программное обеспечение, работающее в реальном времени, отнимает значительные ресурсы у SQL Server. Использовать его не рекомендуется.
Вместо этого следует периодически сканировать SQL Server при помощи сканеров вирусов, предпочтительно в периоды минимальной нагрузки.
7.3.2.2 Использование антивирусного ПО на кластере серверов 1С:Предприятие 8
Так же рекомендуется избегать постоянно включенного мониторинга. Выполняйте сканирование на вирусы в периоды минимальной загрузки.
7.3.2.3 Использование антивирусного ПО на клиенте 1С:Предприятие 8
Компьютер с клиентской частью 1С:Предприятие 8 имеет наибольший риск заражения вирусами. Надо понимать, что используя антивирусную программу Вы должны выбрать разумный компромис между степенью защиты и быстродействием.
Как вариант настройки антивируса предлагается:
- Добавить в исключения проверяемых файлов:
- файлы с расширениями *.1CD, *.1cl, *.log, *.elf, *.pfl, *.usr, *.v8i, *.lst, *.st, *.snp, *.epf, *.dat
- исполняемые приложения приложения: 1cv8.exe, ragent.exe, rmngr.exe, rphost.exe, 1CV8 Servers.msc из папки C:\Program Files\1cv8\bin\ (C:\Program Files (x86)\1cv8 — для 32битной версии в 64битной среде ) или C:\Program Files\1cv81\bin\ (C:\Program Files (x86)\1cv81 — для 32битной версии в 64битной среде )
- C:\Program Files\1cv8
- С:\Program Files (x86)\1cv8
- C:\Program Files\1cv81
- C:\Program Files (x86)\1cv81
- C:\Documents and Settings\All Users\Application Data\1С
- C:\Documents and Settings\USR1CV81\Local Settings\Application Data\1C\1Cv81
Основная сложность выбора настроек заключается в том, что 1С использует «опасные» каталоги, и при низком быстродействии или жалобах пользователей надо исследовать временные каталоги, как место потенциального попадания вирусов:
- C:\Documents and Settings\\Local Settings\Temp
- C:\WINNT\Temp
Если рассматриваемые в данном разделе риски высоки и отказаться от антивирусов и брандмауэра нельзя, расчитывайте на более мощное клиентское и сервное оборудование. Данное защитное ПО может расходовать значительные ресурсы компьютеров.
7.3.3 Исключение доступа в интернет
Полностью исключите возможность подключения к серверам через интернет.
8. Пароли на мониторах, слабые пароли
8.1 Выявление угрозы
Наличие действующих учетных записей уволенных сотрудников или не использующихся действующими сотрудниками больше месяца. Даже если сотрудник находится в отпуске, на время его отсутствия лучшим средством снизить риск является временно отключение пользователя или смена пароля.
8.2 Возможные последствия
Серьезность угрозы прямо зависит от прав записи данного сотрудника.
8.3 Меры защиты
8.3.1 Используйте политку сложных паролей, выполняйте проверку на сложность паролей
Пароли являются «первой линией защиты» от несанкционированного доступа к Вашей информации. Не смотря на все современные технологии, часто они становятся основной целью злоумышленника. Пользователи часто придумывают очень простые пароли. Они могут означать день рожденья пользователя, имя любимой кошки или номер сотового. Такие пароли легко подобрать, применяя общеизвестные закономерности. Другим способом является перебор всех возможных комбинаций символов.
Важно, чтобы пользователи составляли надежные пароли. Хороший пароль — это тот, который крайне трудно угадать или подобрать, но очень легко запомнить.
Для того чтобы обеспечить «сложные для взлома» пароли, в Windows используется политика «Пароль должен удовлетворять требованиям сложности»:
- содержит как минимум 7 символов;
- сочетает в себе буквы, числа и специальные символы;
- не содержится в словарях;
- не является именем команды;
- не является именем человека;
- не является именем пользователя;
- регулярно изменяется;
- в значительной степени отличается от предыдущих паролей.
Политика Windows представлена на рисунке.
Подробней о применении политики паролей Windows можно прочитать на сайте Microsoft. В MS SQL Server 2000 контроль сложных паролей отсутствует. В MS SQL Server 2005 cуществует возможность использовать политику сложных паролей Windows. Для каждого логина сервера политика назначается персонально. Т.е. один логин может отвечать требованиям сложного пароля, а другой – нет.
На данном рисунке параметр Enforce password policy означает применение политики паролей, параметр Enforce password expiration обозначает применение политики истечения срока действия паролей.
Паролями можно управлять через Transact-SQL:
На данном рисунке с помпощью кода Transact – SQL для существующего логина был изменен пароль и включен параметр CHECK_POLICY (установлено значение ON -применение политики паролей), включен параметр CHECK_EXPIRATION (установлено значение ON — Политика истечения срока действия паролей).
Проверка сложности паролей пользователей также присутствует в 1С:Предприятии 8.1.
Для управления проверкой сложности выберите меню «Администрирование – Параметры информационной базы».
На рисунке показана настройка требований к паролям конфигурации.
Если флажок «Проверка сложности паролей пользователей» установлен, минимальный размер пароля пользователя равен 7 символам.
8.3.2. Применять устройства автоматической аутентификации
Например, вы можете использовать смарт-карты.
9. Перехват информации
9.1 Выявление угрозы
Существует класс программ-шпионов, которые способны перехватывать информацию, передаваемую по сети. Например, к ним относятся безобидные на первый взгляд сетевые мониторы (сниферы).
9.2 Возможные последствия
Возможным последствием является полный перехват всего сетевого траффика, расшифровав который, можно (теоретически) получить какую-то информацию о работе вашей системы. Вероятность возникновения такой угрозы минимальна. Трудозатраты на организацию защиты очень высоки. Необходимо адекватно оценить риски. Как правило, организация защиты такого класса характерна для крупных компаний.
9.3 Меры защиты
9.3.1 Организуйте защиту траффика штатными средствами 1С:Предприятия (защита передачи данных кластеру серверов)
При создании новой базы вы указываете параметр «безопасное соединение» (защищенное соединение). Существует возможность выбрать одно из трех значений:
- Выключено
- Установка соединения
- Постоянно
На рисунке показан выбор параметра «Защищенное соединение» для вновь создаваемой базы.
Настройка действует для всех подключений к кластеру серверов, в том числе с консоли «Сервера 1С Предприятий».
Уровень «Выключено» является самым низким, уровень «Постоянно» – самым высоким. При этом используется безопасное соединение по протоколу TCP/IP с шифрованием алгоритмами RSA и Triple DES.
Уровень безопасности «Постоянно»
Использование уровня безопасности «Постоянно» позволяет полностью защитить весь поток данных (как пароли, так и непосредственно данные) между клиентом и кластером серверов. При этом весь обмен происходит с использованием алгоритмов шифрования RSA и Triple DES. Следует учитывать, что при этом возможно снижение производительности системы.
Уровень безопасности задается при создании информационной базы. Эта информация сохраняется как на клиенте (в списке информационных баз), так и в кластере серверов (в реестре кластера). После создания информационной базы, ее параметры, сохраненные в реестре кластера, изменить уже нельзя. Однако можно изменить уровень безопасности, указанный для этой информационной базы на клиенте. Выполнить настройку уровня безопасности подключения через параметр запуска /SLev, который определяет уровень защищенности соединения клиента с сервером 1С:Предприятия
/SLev0 – незащищенное соединение.
/SLev1 – защищенное соединение только в процессе выполнения аутентификации.
/SLev2 – защищенное соединение в течение всего сеанса.
Отсутствие параметра эквивалентно /SLev0.
На рисунке показаны свойства ярлыка, вызывающего 1С:Предприятие с указанием уровня защищенности соединения.
Необходимость в таких настройках может возникнуть, если например, пользователь из дома захотел подключиться к информационной базе по модему или по выделенной линии. Так как информация будет проходить по внешним каналам связи, то желательно установить более высокий уровень безопасности.
После установки соединения клиент генерирует приватный и публичный ключи для шифрования RSA, и передает в кластер серверов публичный ключ и уровень безопасности, который указан для данной информационной базы на клиенте. Это желаемый уровень безопасности.
Кластер серверов выбирает максимальный уровень безопасности из переданного клиентом и указанного для этой информационной базы в реестре кластера. Это фактический уровень безопасности. Кроме этого кластер серверов генерирует сеансовый ключ для шифрования Triple DES и вместе с фактическим уровнем безопасности передает его клиенту, предварительно зашифровав эти данные с помощью публичного ключа клиента.
Дальнейший обмен данными выполняется в соответствии с фактическим уровнем безопасности, при этом как клиент, так и сервер шифруют передаваемые данные с использованием сеансового ключа по алгоритму Triple DES, у которого сам процесс шифрования более скоростной, чем RSA.
Уровень безопасности «Установка соединения»
Этот уровень безопасности является компромиссом между безопасностью и производительностью. Использование уровня безопасности «Установка соединения» позволяет частично защитить поток данных (только пароли) между клиентом и кластером серверов. Алгоритмы шифрования здесь используются до момента установки соединения клиентского приложения с рабочим процессом и выполнения аутентификации пользователя, затем идет открытый процесс обмена данными с кластером серверов.
При этом уровне безопасности данные информационной базы передаются в открытом виде. Поскольку эти данные составляют основную массу всего потока данных, производительность системы практически не снижается.
Частичную защищенность данных информационной базы обеспечивает то, что ключевая информация (пароли) передается только в зашифрованном виде. В результате, если открытый поток данных будет перехвачен, то из него можно будет получить лишь незначительную часть данных информационной базы. Т.к. пароли будут недоступны, то злоумышленник не сможет аутентифицироваться в информационной базе и получить доступ ко всем данным или выполнить произвольные действия с информационной базой.
Уровень безопасности «Выключено»
Уровень безопасности Выключено является самым низким и самым производительным. Практически все данные передаются без использования шифрования.
После установки соединения первый обмен данными выполняется с использованием шифрования по алгоритму RSA. Дальнейший обмен выполняется нешифрованными данными.
Безопасность данных, передаваемых между консолью кластера серверов и кластером серверов обеспечивается, также, за счет возможности шифрования передаваемых данных. При этом используются те же самые три уровня безопасности: Выключено, Установка соединения и Постоянно.
Консоль кластера серверов взаимодействует с агентом сервера (процесс ragent.exe). Желаемый уровень безопасности задается при старте агента сервера. Фактический уровень безопасности будет выбран агентом сервера как максимальный из указанного при старте и уровней безопасности всех кластеров, расположенных на данном центральном сервере. Уровень безопасности кластера задается при его создании (программном или интерактивном).
На рисунке показан реквизит «Безопасное соединение» консоли кластеров.
Специалистам по безопасности также может потребоваться знание алгоритмов шифрования, применяемые в 1С:Предприятие 8.1
- Криптографическая система RSA является системой ассиметричного шифрования, в которой для кодирования сообщения используется один ключ (публичный), а для расшифровки другой (секретный), т.е. криптографический алгоритм с открытым ключом.
- Triple DES использует тройное шифрование симметричным алгоритмом DES. Этосимметричный алгоритм шифрования, в котором один ключ используется как для зашифровывания, так и для расшифровывания сообщений.
При уровне безопасности «Постоянно» выполняется шифрование по следующей схеме
В общем виде протокол взаимодействия клиента и кластера серверов представлен на следующем рисунке:
Протокол взаимодействия одинаков как для менеджера кластера (rmngr.exe), так и для рабочего процесса (rphost.exe): после установки соединения первый обмен данными выполняется с использованием шифрования по алгоритму RSA, дальнейший обмен данными выполняется с использованием шифрования по алгоритму Triple DES.
Для уровня «Установка соединения» в общем виде протокол взаимодействия клиента и кластера серверов представлен на следующем рисунке:
После установки соединения первый обмен данными выполняется с использованием шифрования по алгоритму RSA, затем обмен данными выполняется с использованием шифрования по алгоритму Triple DES до окончания процедуры аутентификации. Дальнейший обмен выполняется нешифрованными данными.
Для уровня безопасности «Выключено» в общем виде протокол взаимодействия клиента и кластера серверов представлен на следующем рисунке:
После установки соединения клиент отправляет Открытый ключ RSA и уровень безопасности в кластер серверов. Менеджер кластера отправляет ему сообщение о новом уровне безопасности, зашифрованное Открытым ключом RSA. Дальнейший обмен выполняется нешифрованными данными. Аналогичным образом осуществляется обмен данными клиентского приложения с рабочим процессом кластера.
Пароли администраторов кластера серверов и пароли доступа к информационным базам хранятся на кластере серверов в зашифрованном виде. Для этого используется шифрование алгоритмами SHA1 и AES128.
SHA1 — это алгоритм контрольного суммирования. С его помощью хранятся пароли, которые проверяет система 1С:Предприятие (например, пароль администратора кластера, администратора центрального сервера). При этом исходный текст хранимых паролей восстановить нельзя, а можно только проверить совпадение контрольной суммы введенного пароля с хранимой контрольной суммой.
AES128 – это алгоритм шифрования. С его помощью хранятся пароли, для которых должен восстанавливаться исходный текст (например, пароли доступа к СУБД).
9.3.2 Защита MS SQL Server
Microsoft SQL Server позволяет шифровать передаваемый по сети трафик. Для этого используется Secure Sockets Layer (SSL) при передаче данных между серверома кластера и MS SQL Server. Если рабочий сервер кластера и MS SQL Server на одном компьютере, то используется протокол обмена Shared Memory (и шифрование не используется).
Для шифрования всех передаваемых данных для MS SQL Server 2000 необходимо воспользоваться утилитой «Server Network Utility». На закладке «General» установите флажок «Force protocol encryption».
На рисунке указано шифрование на стороне клиента SQL Server
Метод шифрования выбирается в зависимости от используемого клиентским приложением (т.е. сервером приложения 1С). Для использования SSL необходимо правильно настроить службу выдачи сертификатов в сети.
Более подробно о шифровании сертификатами можно прочитать на сайте Microsoft.
Для того чтобы установить необходимость шифрования всех передаваемых данных для определённого сервера приложений необходимо воспользоваться утилитой «Client Network Utility» (обычно расположенной в «C:\WINNT\system32\cliconfg.exe»). Как и в предыдущем случае, на закладке «General» установите флажок «Force protocol encryption».
На рисунке показано шифрование на стороне сервера.
Помните, что использование шифрования может достаточно сильно сказаться на производительности системы, особенно при использовании запросов, возвращающих большие объёмы информации.
Допольнительными мерами защиты передачи данных между сервером приложений и MS SQL Server при использовании протокола TCP/IP можно считать изменение настроек, заданных по умолчанию. Это использование нового порта взамен используемого стандартно порта 1433. При этом это изменение должно также быть выполнено для компьютера с сервером приложений, т.е. должен использоваться один и тот же порт.
В настройках протокола TCP/IP на сервере MS SQL «поднять» флажок «Hide server», запрещающий ответы на широковещательные запросы данному экземпляру службы MS SQL Server.
На рисунке показано «скрытие» SQL Server.
MS SQL Server 2005 поддерживает сетевые соединения как с клиентом SQL Server 2000, так и «собственных» клиентов Native Client.
Общая настройка сетевой конфигурации сервера здесь.
Совет. Определить правомочность использования учетной записи Windows для подключения к базе данных 1С:Предприятия 8.1
Еще один момент, который следует знать, но он не считается сам по себе уязвимостью.
Рекомендуемый режим подключения к SQL Server для процессов 1С:Предприятия 8.1 – смешанный режим «mixed» авторизации (SQL Server и Windows). Для подключения необходимо использовать учетные записи SQL Server. Тем не менее, существуюет возможность использовать режим авторизации Windows.
На рисунке показан режим авторизации Windows для SQL Server 2005.
В этом случаи необходимо определить, какая учетная запись Windows используется процессом rphost.exe.
На рисунке показаны в дистепечере процессы rphost.exe и учетная запись RPHOSTUSER, используемая для этих процессов.
И указать записи права для доступа к SQL Server и возможности создавать базы.
На рисунке создан пользователь SQLSRV\RPHOSTUSER (он же пользователю процессов rphost.exe) и указаны разрешения для работы с базами данных на SQL Server 2005.
Теперь при подключении информационных баз имя пользователя базы данных и пароль можно оставлять пустыми.
На рисунке показан пример создания новой информационной базы.
Пользователь базы данных и пароль пользователя не указаны. Будет использована учетная запись рабочего процесса кластера.
Отсюда следует вывод: для всех информационных баз 1С:Предприятия 8.1 пользователь будет один!
Такой подход снижает общую безопасность системы, т.к. получив этот единственный пароль, злоумышленник получит доступ ко всем базам сразу.
Как перенести 1С 8.3 на другой компьютер с сохранением лицензии
Для переноса 1С или базы данных могут быть различные причины. Например, перенос рабочего места домой или замена оборудования в компании парка на более новое.
Однако не стоит выполнять перенос SQL-версии самостоятельно по простой инструкции. Конфигурация имеет некоторые нюансы в базе и сложности в выгрузке.
При переносе базы данных придётся обратиться к специалисту 1С и получить консультацию. Если у пользователя есть права Администратора, которые дают доступ к управлению конфигуратором, то он сможет самостоятельно воспользоваться системой «1С:Предприятие» для переноса файловой версии базовых данных.
Подробно разберём пошаговую инструкцию для переноса 1С. Для примера воспользуемся конфигурацией «Управление нашей фирмой 1.6.19.237».
Выгрузка базы 1C
В начале любых действий с конфигурацией, вам необходимо убедиться в том, что вы создали, выгрузили и сохранили архивную копию базы данных.
Для быстрого переноса базы нужно воспользоваться меню. Сначала выберите «Администрирование», после «Выгрузить информационную базу», а затем укажите адрес хранения.
На самом деле сохранение базы данных являются нормативной операцией, необходимой для сохранения безопасности данных.
Однако при подобном способе выгрузки данных не сохраняются некоторые настройки и доработки типовых конфигураций 1С, которые отвечают за комфорт работы с ней. Это и является основным недостатком данного способа переноса.
Для копирования базы полностью со всеми текущими настройками шрифтов, отчётов и т. д., перейдите в меню и выберите «Конфигурация», а затем «Сохранить конфигурацию в файл».
Сохраните предложенный системой файл с расширением .cf. Он и является конфигурацией.
Сохраните файл конфигурации, выбрав нужную папку. Также конфигурацию базы можно сразу скопировать из каталога. Узнать, где находится база, можно в меню «Справка-О Программе», где вы найдёте «Каталог».
Не следует после выгрузки базы работать в системе. Это может привести к возникновению расхождения с данными, которые уже были сохранены.
Перенесем 1С на другой компьютер!
Перенес необходимые данные на другой компьютер с сохранением лицензий. Гарантия на услуги!
Установка платформы
После этого установите платформу (файла setup.exe.). Его можно найти в диске ИТС или самостоятельно скачать с помощью аккаунта в ИТС на сайте для поддержки клиентов 1С.
Более подобно разберём установку с помощью ИТС, так как этот ресурс ограничен и может не иметь нужной версии платформы.
Выберите нужную версию платформы среди доступных вариантов.
Нажмите на следующий дистрибутив.
Найдите нужный раздел хранилища, перейдите в него и скачайте дистрибутив.
Совершите распаковку и сохранение дистрибутива в каталог.
Нажмите на файл «setup.exe» для начала работы операции по установке.
После нажмите на «Далее» без внесения поправок. Все компоненты уже выбраны настройками по умолчанию.
Выберите язык интерфейса.
Перейдите к операции по установке.
Система попросит вас «Установить драйвер защиты» для окончания установки. Он нужен когда:
- Используется аппаратная защита (USB ключ);
- Установка платформы выполняется в первый раз.
Если вы используете лицензию на программное обеспечение, вы можете убрать галочку. Но поскольку в приведенном выше примере установка выполняется на новое устройство, а значит впервые, отметку «Установить драйвер защиты» необходимо оставить и нажать «Далее»
Галочку «Открыть файл Readme» следует убрать, если вы не планируете ознакомляться с информацией. Далее нажмите «Готово», заканчивая установку.
Файл для установки также можно установить и с компьютера, но в этом случае платформа может работать некорректно.
Лицензионные ключи
Раннее уже сообщалось, что продукты 1С могут иметь лицензию на программном или аппаратом уровне.
Аппаратная лицензия активируется с помощью USB-ключа, а лицензия на программное обеспечение — с помощью пин-кода при первичном запуске 1С на новом устройстве. Пин-код содержится в комплекте программы. Он одноразовый, так как подходит только определенному компьютеру.
В службе поддержки партнёров 1С вам могут предоставить дополнительные ключи. Для этого вам понадобится взять и заполнить форму для регистрации. Главным моментом является то, что все данные, которые вы внесёте в форму, должны совпадать с предыдущими.
Запуск базы данных 1C
Последним шагом является подключение информационной базы. Система сама подсказывает добавить базу в список при первоначальном включении «1С:Предприятия».
Далее выберите «Добавлению в список существующей ИБ», так как база уже существует.
В новой форме выберите наименование и тип расположения базы. Также вам потребуется выбрать каталог, в который будет устанавливаться информационная база.
Нажмите «Далее», а после «Готово”.
При отсутствии каталога, «1С:Предприятие 8» самостоятельно создаст его при необходимости. Конечным пунктом является окно настроек запуска. Если параметры ваc устраивают, то нажмите «Готово». База теперь в списке.
Перенос данных 1С осуществлён.
Остались вопросы или нужна помощь с переносом данных 1С? Закажите консультацию наших специалистов!
Хотите получать подобные статьи по четвергам?
Быть в курсе изменений в законодательстве?
Подпишитесь на рассылкуПеренос 1С на другой компьютер
Перенос 1С на другой компьютер — оперативно, с сохранением лицензии. Гарантия на услуги 12 месяцев.
от 2 700 руб.
Причины для переноса 1С (или базы данных) с компьютера на компьютер могут быть самыми разными – обновление в компании парка оборудования, желание поработать на выходных дома и пр.
При этом следует отметить, что перенос SQL-версии нельзя выполнить, следуя простой, пошаговой инструкции — прежде всего, из-за трудностей выгрузки и нюансов конфигурации базы
Для этого требуется привлечение ИТ-специалиста и 1С консультация. Самостоятельно пользователь продуктов на платформе «1С:Предприятие» сможет перенести только файловую версию базы данных при наличии прав Администратора, позволяющих работать в конфигураторе. Рассмотрим процесс переноса базы на примере конфигурации «Управление нашей фирмой 1.6.19.237».
Выгрузка базы
Как и при любых манипуляциях с конфигурацией, вначале нужно создать, выгрузить и сохранить архивную копию базы данных.
Самый быстрый путь выгрузки базы – через меню конфигуратора: «Администрирование», затем «Выгрузить информационную базу» и далее указать адрес хранения.
По сути, сохранение базы – это регламентная процедура, необходимая для подстраховки.
Но у нее есть существенный недостаток именно для переноса конфигурации: при выгрузке базы таким способом не сохраняются определенные настройки и доработки типовых конфигураций 1С, обеспечивающие привычный комфорт работы.
Чтобы сделать копию базы целиком, с рабочими настройками шрифтов, отчетов и т.д., нужно выбрать пункт меню «Конфигурация» и далее «Сохранить конфигурацию в файл».
Система предложит сохранить файл с расширением .cf (это и есть конфигурация).
Выбрав путь к нужной папке, сохранить файл конфигурации. Конфигурацию базы со всеми настройками можно также скопировать напрямую из каталога. Местонахождение базы можно уточнить в меню «Справка-О Программе», пункт «Каталог».
После выгрузки базы в системе работать не рекомендовано, так как могут возникнуть расхождения с сохраненными данными.
Установка платформы
Следующий шаг – установка платформы (файла setup.exe), который можно либо взять с диска ИТС, либо скачать (2) с сайта поддержи пользователей 1С (1), используя учетную запись в ИТС.
Рассмотрим подробно второй вариант установки, поскольку диск ИТС – ограниченный ресурс и может не содержать необходимой версии платформы.
Среди технологических дистрибутивов выбираем нужную нам версию платформы.
Выбираем нужный дистрибутив.
Переходим в соответствующий раздел хранилища и скачиваем дистрибутив.
Распаковываем и сохраняем дистрибутив в нужный каталог.
Двойным щелчком на файле «setup.exe» запускаем программу установки.
В процессе жмем «Далее» без изменений, так как все необходимые компоненты уже выбраны в качестве настроек по умолчанию.
Выбираем язык интерфейса.
… и переходим к установке программы.
Для завершения процесса установки система потребует «Установить драйвер защиты». Он необходим:
- Если будет использоваться аппаратная защита (USB ключ);
- Если выполняется первичная установка платформы.
При использовании программной лицензии галочку можно снять. Так как в данном случае платформа устанавливается на новое устройство, то есть впервые, оставляем флажок «Установить драйвер защиты» и нажимаем «Далее».
Если ознакомление со справочной информацией не планируется, снимаем галочку с «Открыть файл Readme» и нажимаем кнопку «Готово», тем самым завершая установку.
Установочный файл можно скачать и с компьютера, на котором с программой работали ранее, но в этом случае нельзя будет гарантировать полную корректность работы платформы.
Лицензионные ключи
Как уже упоминалось, лицензия продуктов 1С может поддерживаться на программном или аппаратном уровне.
Активация аппаратной лицензии подразумевает использование USB-ключа, а программной – введение пин-кода при первом запуске 1С на условно новом компьютере. Пин-коды (основной и два резервных) входят в комплект поставки программы и являются одноразовыми, так как запущенная лицензия учитывает параметры конкретного «железа» и к другому уже не подойдет.
Для получения дополнительных ключей необходимо обратиться в службу поддержки компании-партнера 1С, оказывающей услуги сопровождения, получить и заполнить регистрационную форму. Важно, чтобы все реквизиты и другая информация в ней полностью совпадали с заполненными в предыдущий раз.
Запуск базы данных
После перенесения сохраненной базы данных на новый компьютер необходимо подключить информационную базу. При первом запуске «1С:Предприятия» предлагается добавить информационную базу в список.
Поскольку речь идет о базе, которая уже существует, в окне выбора режима щелкаем по «Добавлению в список существующей ИБ».
В появившейся форме указываем наименование (1) и тип расположения базы (сохраненный ранее адрес (2)). Тип расположения «На данном компьютере или на ПК локальной сети» (файловая база) требует выбора каталога, куда будет установлена информационная база.
Нажать «Далее» и в открывшемся окне «Готово».
Если каталога до этого не было, система «1С:Предприятие 8» автоматически создаст его при запуске. Окно параметров запуска является заключительным. Если настройки по умолчанию удовлетворяют требования, при нажатии «Готово» база будет добавлена в список.
Перенос 1С на другой компьютер выполнен.
Сопровождение переноса 1С
Поддержка вашей работы в 1С, регулярные консультации, помощь в переносе 1С на другой копьютер
от 5 400 руб.
Перенесем 1С на другой компьютер
Перенес необходимые данные на другой компьютер с сохранением лицензий. Гарантия на услуги!
Как восстановить программную лицензию 1С:Предприятие 8 версии ПРОФ после изменения параметров компьютера, обновления Windows или платформы 1С
Как восстановить лицензию 1С с программной защитой после изменения параметров компьютера, обновления/переустановки Windows, обновления платформы 1С или сбоев.
Система программного лицензирования программных продуктов системы «1С:Предприятие 8» обеспечивает защиту от несанкционированного использования программ 1С с помощью электронных лицензий без использования аппаратных USB-ключей типа HASP.
Акция. Скидка до 50% на переход с базовой версии 1С в облако 1С:Фреш !
Льготный переход с базовых версий 1С:Бухгалтерия, 1С:Управление нашей фирмой, 1С:Розница и 1С:Зарплата и управление персоналом в облако 1С:Фреш со скидкой более 50% !Облачные версии программ 1С не требуют активации программных лицензий и ввода пинкодов, не привязываются к какому-то конкретному компьютеру и позволяют работать с любого устройства, имеющего доступ в интернет, в том числе на компьютерах от компании Apple с операционной системой MacOS, а также на мобильных устройствах с iOS или Android.
В данной статье описана процедура восстановления только легально приобретенных лицензий 1С. Если у вас еще нет официальных лицензий (или утеряли все данные для их восстановления), то вы можете их приобрести напрямую в нашей компании. Пинкоды для активации программных лицензий мы высылаем в течение 2-3 часов после оплаты.
В данной статье мы рассматриваем только самый распространенный вариант восстановления клиентских лицензии программ 1С версии ПРОФ на компьютере с ОС Windows, с файловой базой данных без использования технологий виртуализации.
Порядок первичного получения программной лицензий при первой установке программ для программных продуктов системы 1С:Предприятие версии ПРОФ отличается от порядка восстановления и был подробно рассмотрен ранее
Пошаговая инструкция по первичной активации программных лицензий 1С:Предприятие
Процесс переустановки базовых версий 1С также имеет свои существенные отличия и освещен в отдельной статьеПроцесс восстановления лицензии 1С для ОС Linux, MacOS, лицензии на сервер 1С и прочие случаи смотрите в документации к программным продуктам или на сайте ИТС.
При активации программной лицензии с помощью пинкода происходит «привязка» к параметрам системного блока компьютера, на котором происходит активация. Лицензия представляет собой файл с расширением lic в котором зашифрована информация о материнской плате, процессорах, объеме ОЗУ, HDD/SSD, сетевых адаптерах, сетевом имени, версии и дате установки Windows и мн.др. Подробнее в статье К каким параметрам компьютера «привязывается» программная лицензия «1С:Предприятие 8»
При каждом запуске программы система защиты 1С:Предприятие сверяет текущие данные компьютера с параметрами, которые были записаны в файл лицензии при ее получении.
Если данная информация была для Вас полезной, то Вы можете поддержать авторов, поставив оценку в панели инструментов Яндекс.Браузера, или оставить свой отзыв на странице нашей компании в сервисе Яндекс.Бизнес
Таким образом, если будет изменен хотя бы один из ключевых параметров компьютера, то лицензия «слетает» и в результате вы получите сообщение: «Не найдена лицензия. Не обнаружен ключ защиты программы или полученная программная лицензия!».
Если в окне с сообщением нажать кнопку «ОК», то будет запущен помощник получения программной лицензии.
Для восстановления работоспособности пользователю необходимо получить новую программную лицензию с помощью резервного пинкода.
Шаг 1. В данном окне можно выбрать один из двух вариантов: «Получить лицензию» и «Загрузить файл-ответ». Выбираем «Получить лицензию».
Шаг 2. Появится окно «Регистрация комплекта», в котором необходимо указать регистрационный номер комплекта 1С и пинкод, с помощью которого была активирована текущая лицензия (тот пинкод, с помощью которого была получена лицензия в предыдущий раз).
Мы рекомендуем отмечать пинкоды, которые ранее уже были использованы или аннулированы. Если в организации используется несколько компьютеров мы также рекомендуем отмечать имя компьютера, на котором был активирован каждый из пинкодов.
Если вы не знаете, с помощью какого пинкода была активирована текущая лицензия, то напишете запрос в центр лицензирования на соответствующей странице портала 1С или е-майл lic@1c.ru с указанием регистрационного номера и контактных данных организации. В ответ вам должно прийти письмо с указанием пинкодов и компьютеров на которых они были активированы. Подробная инструкция: Как запросить информацию о использованных, текущих и резервных пин-кодах для получения программных лицензий 1С:Предприятие
Шаг 3. В следующем окне будет предложено выбрать один из двух вариантов: «Первый запуск» или «Восстановление».
Шаг 4. Далее откроется окно «Пинкоды для восстановления лицензии».
Если вы уверены, что параметры компьютера не менялись, то укажите «Я уверен(а), что ключевые параметры компьютера не изменились», система защиты попробует получить программную лицензию с теми же параметрами компьютера.
Если предыдущий вариант не поможет или если параметры компьютера изменились, то нужно убрать этот флаг. Появится второе поле для ввода резервного пинкода.
Напоминаем, что для ПРОФ версий нет ограничений количества активаций.
Если у вас закончились пин-коды для активации или вы не знаете, какой именно пинкод из вашего комплекта остался неиспользованным, то пишете запрос в центр лицензирования lic@1c.ru с указанием регистрационного номера и контактных данных организации. В ответ вам должно прийти письмо с новым пин-кодом (если все уже были использованы) или вам подскажут, какие пин-коды из вашего комплекта остались неиспользованными.
Как написать запрос на получение дополнительного резервного пин-кода для активации программной лицензии 1С:Предприятие, если были израсходованы все пин-коды из комплекта поставки
Шаг 5. Далее откроется окно проверки данных организации.Если компьютер не менялся, то все поля могут заполнится автоматически и руками ничего указывать не потребуется.
Если же анкета осталась пустой, то необходимо будет ввести данные организации в ручную. Обратите внимание, указать данные необходимо абсолютно точно также, как указывали при первичной активации, с точностью до запятой, в противном случае программа выдаст окно с сообщением: Ошибка повторного получения лицензии. Параметры владельца лицензии отличаются от введенных ранее.
Если при первичной активации сохраняли данные, то можно поискать их на компьютере в файле licdata.txt. Если программа сообщает, что данные организации были введены неверно и их не удается найти, то напишете запрос в центр лицензирования на соответствующей странице портала 1С или на емайл lic@1c.ru с указанием регистрационного номера и контактных данных организации. В ответ вам должно прийти письмо с указанием данных организации, которые были вами указаны при первичной активации программного продукта. Подробная инструкция: Как запросить данные о владельце лицензии если при восстановлении программной лицензии 1С:Предприятие выходит ошибка «Параметры владельца лицензии отличаются от введенных ранее»
Обратите внимание, что если при первичной активации лицензии в окне с данными владельца страна была выбрана из предопределенного списка, то в файл licdata.txt записывается только код страны, а не его текстовое представление (Российская Федерация — RU, Украина — UA, Беларусь — BY, Казахстан — KZ и пр.).
Наши рекомендации
В новых версиях платформе «1С:Предприятие 8.3» (начиная с версий 8.3.12.1790, 8.3.13.1644 и 8.3.14.1565) реализован дополнительный способ привязки программных лицензий к аппаратному ключу защиты HASP. Данный вариант привязки позволяет сохранять полученные ранее программные лицензии при изменении параметров компьютера.
Подробнее >>Шаг 6. Если все исходные данные были введены правильно, компьютер подключен к интернет и вы не отключали автоматическое получение лицензии на предыдущем шаге в окне «Регистрация комплекта», то система автоматически формирует запрос в центр лицензирования 1С и переходит к финальному шагу — получение лицензии.
По окончании получения лицензии нажмите кнопку Готово. Полученная лицензия записывается на ваш компьютер в виде нового файла с расширением .lic вида 20**********.lic.
Поздравляем, вы восстановили программную лицензию 1С и можете снова работать в программе !
Особенности восстановления клиентских лицензий на 5, 10 и 20 рабочих мест
В состав клиентских лицензий на 5, 10 и 20 рабочих мест входит по два комплекта пинкодов: один комплект из 3-х пинкодов (1 основной + 2 резервных пинкода) для получения многопользовательской лицензии на соответствующее количество рабочих мест и второй комплект пинкодов для получения соответствующего количества однопользовательских лицензий:
- Лицензия на 5 рабочих мест — комплект из 8-ми пинкодов (5 основных + 3 резервных пинкода);
- Лицензия на 10 рабочих мест — комплект из 14-ти пинкодов (10 основных + 4 резервных пинкода);
- Лицензия на 20 рабочих мест — комплект из 25-ти пинкодов (20 основных + 5 резервных пинкода).
При восстановлении лицензии необходимо использовать резервный пинкод именно из того набора, который использовался ранее, т.к. при активации первой однопользовательской лицензии возможность использования пинкодов для получения многопользовательских лицензий блокируется (и наоборот).
При восстановлении однопользовательской лицензии на Шаге 2 в окне Регистрация комплекта необходимо указать именно тот пинкод, который был использован для активации предыдущей лицензии, взамен которой вы получаете новую лицензию — в результате предыдущая лицензия будет деактивирована. Если будет указан другой пинкод, то аннулируется другая лицензия. Поэтому при активации лицензий мы рекомендуем отмечать имена компьютеров, на которых был использован каждый из пинкодов. Если вы не уверены, какой именно из пинкодов был использован для получения предыдущей лицензии, которая будет аннулирована, то перед процедурой восстановления рекомендуем запросить информацию по пинкодам в центре лицензирования 1С
Как запросить информацию о использованных, текущих и резервных пин-кодах для получения программных лицензий 1С:Предприятия.Получение лицензии вручную
Если на Шаге 1 в окне Регистрация комплекта было отключено автоматическое получение лицензии (Дополнительно флаг Автоматическое получение),
то далее откроется окно с выбором способа получения лицензии:
- Автоматически
- На электронном носителе (через файл)
- По телефону
Если компьютер подключен к интернету, то рекомендуем выбрать вариант «Автоматически».
Выбирать вариант «На электронном носителе (через файл)» имеет смысл, если на данном компьютере нет интернета, но он есть на другом, в этом случае программа 1С сформирует файл запроса (в формате txt), который можете сохранить на любой носитель и отправить его по электронной почте в центр лицензирования 1С с другого компьютера, получить файл ответа, перенести файл ответа в обратном порядке и выбрать его нажав кнопку «Загрузить».
Вариант «По телефону» для восстановления лицензии можно использовать только в том случае, если первичная активация данной лицензии выполнялась также по телефону (оператору центра лицензирования 1С необходимо будет голосом сообщить 48 цифр кода запроса, в ответ оператор продиктует вам набор из 120 цифр).Важно!
Если при первичной активации программная лицензия было получена голосом по телефону, то восстановить такую лицензию можно будет также только по телефону, а автоматически или с помощью файла нельзя.
Если при первичной активации программная лицензия было получена автоматически через интернет, то восстановить такую лицензию можно будет также автоматически через интернет или с помощью файла запроса, а по телефону нельзя.
Если при первичной активации программная лицензия было получена с помощью файла запроса, то восстановить такую лицензию можно будет также с помощью файла запроса или автоматически через интернет, а по телефону нельзя.Восстановление нескольких лицензий на одном сервере
Если на одном сервере необходимо восстановить несколько клиентских лицензий (как однопользовательских, так и многопользовательских), но после получения первой лицензии не выходит окно для активации следующих лицензий, то запустить мастер получения лицензии вручную можно в режиме «Конфигуратор» выбрав пункт меню «Сервис» > «Получение лицензии. «.
Напоминаем, что активировать на сервере многопользовательские лицензии или несколько однопользовательских можно только в трех случаях:
- на компьютер с установленным сервером «1С:Предприятия 8.*» в случае клиент-серверного варианта информационной базы;
- на компьютер с установленным модулем расширения веб-сервера в случае публикации информационной базы на веб-сервере (Apache или IIS) в файловом варианте;
- на сервер терминалов в случае использования терминального режима работы (RDP / удаленный рабочий стол).
Журнал поиска ключа
Если в окне с сообщением «Не найдена лицензия. Не обнаружен ключ защиты программы или полученная программная лицензия!» нажать кнопку «Подробно», то будет открыт «Журнал поиска ключа».
В данном журнале отображается информация о том, где выполнялся поиск лицензий, статус этого поиска (успешно или не успешно) и каковы причины неудачного поиска. Анализ данного журнала может упростить поиск причин и диагностику проблем с лицензиями.
Более подробная информация, как отрыть Журнал поиска лицензий 1С с примерами анализа его содержимого есть в статье:
Полезные статьи:
- Порядок первичной активации программных лицензий 1С:Предприятие 8 ПРОФ.
- Как запросить данные о владельце лицензии если при восстановлении программной лицензии 1С:Предприятие выходит ошибка «Параметры владельца лицензии отличаются от введенных ранее».
- Как запросить информацию о использованных, текущих и резервных пин-кодах для получения программных лицензий 1С:Предприятие.
- Как запросить дополнительный резервный пин-код для активации программной лицензии 1С:Предприятие 8 ПРОФ.
- Основные понятия и положения лицензирования программных продуктов системы «1С:Предприятие 8»
Компания «Онлайн», 2016
www.online-ufa.ru
Ответы на вопросы пользователей (FAQ)
1. Вопрос: При восстановлении программной лицензии 1С нет окна «Получить лицензию» для ввода резервного пинкода, выходит только окошко с кнопками «Завершить работу» и «Перезапустить». Что можно сделать?
Ответ: Бывают ситуации, когда при запуске программа 1С сообщает, что лицензия не обнаружена, но при этом она не предлагает восстановить или получить новую лицензию, а просто закрывается (нет кнопки «ОК»).
В этом случае попробуйте выполнить следующее:
1. Запустите программу в режиме Конфигуратор.2. Если это не помогло, то также найдите и удалите все файлы ранее полученных программных лицензий вида 20*********.lic.
В операционной среде Windows файлы скорее всего будут храниться в каталогах:
- %ALLUSERSPROFILE%\1C\licenses\
- %ALLUSERSPROFILE%\Application Data\1C\licenses\
Но файлы лицензий могут быть сохранены и в других местах, более подробная информация есть здесь:
Если не уверены, что эти файлы лицензий вам больше не понадобятся, то перед удалением заархивируйте их или скопируйте в «укромное» место, где программа 1С их не увидит и искать не будет.
3. Если на компьютере был установлен только один файл программной лицензии, то найдите и удалите файл 1cv8conn.pfl (для 8.2 conn8211.pfl). Данный файл содержит список центральных серверов кластера в разрезе информационных баз, а также другую информацию, используемую клиентскими и серверными приложениями системы «1С:Предприятие».
В операционной среде Windows файл может хранится в нескольких местах:- %ALLUSERSPROFILE%\1C\1cv8\
- %ALLUSERSPROFILE%\1C\1Cv82\
- C:\ProgramData\Application Data\1C\1Cv8\
- C:\ProgramData\Application Data\1C\1Cv82\
4. В очень редких случаях проблема может наблюдаться после установки какого-нибудь «экзотического» ПО, которое могло повредить работу службы WMI в операционной системе Windows. В этих случаях необходимо очистить и вручную добавить библиотеки scecli.dll и userenv.dll в репозиторий WMI (информация для системного администратора).
2. Вопрос: При восстановлении лицензии базовой версии 1С в окне с сообщением «Не обнаружена лицензия для использования программы! Если Ваш комплект поставки включает информацию для получения лицензии из центра лицензирования (пинкоды), то вы можете получить лицензию для использования программы на данном компьютере, запустив программу от имени администратора компьютера», нет предложения «Получить лицензию из центра лицензирования?» и кнопки «Да», как было при первой установке. Есть только кнопка «ОК», при нажатии на которую окно просто закрывается и мастер получения лицензии не запускается. Как активировать лицензию?
Ответ: Попробуйте выполнить следующее:
1. Запустите программу в режиме Конфигуратор.
2. Найдите файл лицензии (у базовых версий файл лицензии имеет вид file0.lic, file1.lic, file2.lic и т.д.) и заархивируйте его или перенести в папку, где 1С не будет его искать.
3. Найдите и удалите файл 1cv8conn.pfl (для 8.2 conn8211.pfl).
4. В очень редких случаях проблема может наблюдаться после обновления Windows или установки какого-нибудь «экзотического» ПО, которое могло повредить работу службы WMI в операционной системе Windows. В этих случаях необходимо очистить и вручную добавить библиотеки scecli.dll и userenv.dll в репозиторий WMI.
Информация для системного администратора:
sc config winmgmt start= disabled
net stop winmgmt
cd %windir%\system32\wbem
winmgmt /resetrepository
winmgmt /resyncperf
if exist Repos_bakup rd Repos_bakup /s /q
rename Repository Repos_bakup
regsvr32 /s %systemroot%\system32\scecli.dll
regsvr32 /s %systemroot%\system32\userenv.dll
for /f %s in (‘dir /b *.dll’) do regsvr32 /s %s
for /f %s in (‘dir /b *.mof’) do mofcomp %s
for /f %s in (‘dir /b *.mfl’) do mofcomp %s
sc config winmgmt start= auto
net start winmgmt
wmiprvse /regserver3. Вопрос: Как при восстановлении программной лицензии 1С:Предприятие в поле «Страна:» указать «Россия» (как у нас записано в LicData), если из списка можно выбрать только «Российская Федерация»?
Ответ: Если вы уверены, что правильно вводите остальные данные организации, но программа по прежнему сообщает, что данные организации были введены не верно, то возможно причина в том, что при первичной активации лицензии версия платформы 1С:Предприятие 8.3 была ниже 8.3.11.*, а в старых версиях поле Страна было ещё текстовым и при первичной активации вместо Российская Федерация могли указать Россия или РФ. В этом случае в поле Страна из доступного списка выберите , а в открывшемся для редактирования текстовом поле ниже вручную укажите Россия.
Обратите внимание, что если при первичной активации лицензии на платформе выше версии 8.3.11 в окне с данными владельца страна была выбрана из предопределенного списка, то в файл LicData.txt будет записан только код страны, а не его текстовое представление (Российская Федерация — RU, Украина — UA, Беларусь — BY, Казахстан — KZ и пр.), т.е. если в LicData.txt в поле Страна указано RU, то при восстановлении необходимо выбрать Российская Федерация.
4. Вопрос: При восстановлении программной лицензии 1С выходит сообщение «Ошибка ввода пинкода. Пинкод не укомплектован». Что делать?
Ответ: Такое сообщение может появляться в различных случаях:
- пинкод введен с ошибкой;
- введенный пинкод не соответствует регистрационному номеру комплекта 1С, который был указан в окне «Регистрация комплекта»;
- вводятся первые 15 цифр из 16-ти значного пинкода для активации базовой версии;
- вводятся первые 15 цифр из 16-ти значного пинкода для регистрации программного продукта на портале;
- вводится пинкод для активации программной лицензии отраслевой конфигурации СЛК;
- вводится пинкод не от программы 1С .
Проверьте, что пинкод вводится правильно, рег.номер соответствует пинкоду, вводимый пинкод соответствует версии и предназначен именно для получения лицензии на платформу 1С:Предприятие, а не для СЛК или регистрации программного продукта на портале 1С.
Такая ошибка может возникнуть при неправильной первичной установке или переносе на другой ПК базовой версии программы 1С, т.к. у базовых версий пинкод состоит из 16 цифр, а программа не может распознать конфигурацию запускаемой информационной базы и запрашивает пинкод из 15 цифр, как для версии ПРОФ.
Что делать, если программа 1С при активации запрашивает пинкод из 15 цифр, а у вас он состоит из 16 символов?5. Вопрос: При восстановлении программной лицензии 1С выходит сообщение «Лицензия не получена. Пинкод уже активирован. Повторная активизация данного пинкода на другой компьютер запрещена». Что я не так делаю?!
Ответ: Возможны две причины появления ошибки:
- Если данное сообщение выходит при попытке активации лицензии на новом ПК, то это говорит о том, что введенный пинкод из комплекта с указанным регистрационным номером ранее уже был использован для получения программной лицензии на другом компьютере. Напоминаем, что пинкоды одноразовые, т.е. пинкод можно использовать для активации лицензии только один единственный раз. Если вы активируете однопользовательские лицензии из комплекта многопользовательских лицензий на 5, 10 или 20 рабочих мест и уверены, что еще не все пинкоды для первичного получения лицензий были использованы, то введите следующий пинкод из списка. Если же такое сообщение вышло при попытке активировать многопользовательскую лицензию, лицензию на сервер или лицензию из однопользовательского комплекта, то используйте процедуру восстановления лицензии с помощью резервного пинкода.
6. Вопрос: При восстановлении лицензии 1С выходит сообщение «Ошибка ввода старого пинкода. Старый пинкод не активен». Что это значит и как исправить?
Программа выдает сообщение: «Лицензия не получена. Ошибка ввода старого пинкода. Старый пинкод не активен», подскажите, что нужно сделать?
Ответ: Данное сообщение говорит о том, что на этапе регистрации комплекта был неверно введен текущий (старый) пинкод, с помощью которого была получена предыдущая лицензия, т.е. вместо пинкода, с помощью которого была получена текущая лицензия при предыдущей активации, вы ввели какой-то совсем древний пинкод, который ранее уже был аннулирован.
Для решения проблемы необходимо вернуться к окну на шаге Регистрация комплекта в самом начале процедуры восстановления лицензии и правильно указать именно тот пинкод, с помощью которого была получена предыдущая лицензия, которую должна заменить новая лицензия при данной процедуре восстановления. Если вы точно не знаете, какой пинкод необходимо указать, то запросите информацию по пинкодам в центре лицензирования.
Как запросить информацию о использованных, текущих и резервных пин-кодах для получения программных лицензий 1С:Предприятие7. Вопрос: При восстановлении лицензии 1С выходит сообщение «Ошибка ввода старого пинкода. Старый пинкод не выдан».
Программа выдает сообщение: «Лицензия не получена. Ошибка ввода старого пинкода. Старый пинкод не выдан», как восстановить лицензию?
Ответ: Данное сообщение говорит о том, что на этапе регистрации комплекта был неверно введен текущий пинкод, с помощью которого была получена предыдущая лицензия.
Возможны несколько причин:
- вместо пинкода, с помощью которого была активирована предыдущая лицензия, был введен резервный пинкод, который ранее еще не использовался для получения лицензии;
- при вводе текущего (старого) пинкода была допущена ошибка и какой-то из символов был введен неправильно;
- в качестве текущего пинкода был введен пин из другого комплекта лицензии с другим регистрационным номером.
Для решения проблемы необходимо вернуться к окну на шаге Регистрация комплекта в самом начале процедуры восстановления лицензии и внимательно указать именно тот пинкод, с помощью которого была получена предыдущая лицензия из данного комплекта, которую должна заменить новая лицензия при восстановлении. Если вы не уверены, какой именно пинкод необходимо указать, то запросите информацию по пинкодам в центре лицензирования.
Как запросить информацию о использованных, текущих и резервных пин-кодах для получения программных лицензий 1С:Предприятие8. Вопрос: Что делать, если при восстановлении программной лицензии 1С выходит сообщение «Достигнут предел одновременно активированных пинкодов для выбранного варианта программной защиты.
Активизация этого пинкода запрещена.
Для активизации данного пинкода необходимо отменить активизацию ранее активированного пинкода. Вернитесь на страницу «Операция с лицензией» и выберите «Восстановление»?Ответ: Данное сообщение может выходить в следующих случаях:
- Если в окне «Операция с лицензией» был выбран пункт «Первый запуск», что можно сделать только при первичной активации лицензии (например, если производится активация однопользовательской лицензии из однопользовательского комплекта, то данный пункт можно выбрать только при активации первого пинкода, а при активации однопользовательских лицензий из комплекта на 5 рабочих мест при активации первых пяти пинкодов). При всех последующих активациях необходимо выбрать «Восстановление», иначе будет выходить именно такое сообщение: «Достигнут предел одновременно активированных пинкодов. «. При этом в первом окне «Регистрация комплекта» необходимо было указать регистрационный номер комплекта и предыдущей пинкод, который был использован для получения аннулируемой лицензии, а новый резервный пинкод вводится в следующем окне «Пинкоды для восстановления лицензии». Ваша ошибка скорее всего в том, что в окне «Регистрация комплекта» вы ввели сразу резервный пинкод, а не тот, с помощью которого была получена лицензия при предыдущей активации.
Если же производится активация пинкодов для получения однопользовательских лицензий из многопользовательского комплекта (например, клиентская лицензия на 5 рабочих мест), то в окне «Операция с лицензией» выбрать «Первый запуск» можно только при активации первых 5-ти пинкодов, а при всех последующих активациях «Восстановление».
9. Вопрос: При восстановлении программной лицензии выходит сообщение: «Ошибка ввода пинкода. Уже активирован по крайней мере один индивидуальный пинкод из данного комплекта». Не пойму в чем проблема?
Ответ: Данное сообщение выходит в случае попытки восстановления многопользовательской лицензии на 5, 10 или 20 рабочих мест, в состав которых входит два комплекта пинкодов (для получения одной многопользовательской или нескольких однопользовательских) и говорит о том, что для восстановления вы пытаетесь использовать пинкод для получения многопользовательской лицензии, хотя ранее был активирован пинкод из комплекта для получения однопользовательских лицензий.
Для восстановления лицензии используйте пинкоды из комплекта для получения однопользовательских лицензий.
При необходимости вы можете написать запрос в центр лицензирования 1С на смену комплекта лицензий для активации с однопользовательских на многопользовательские, но при этом следует учитывать, что будут деактивированы все ранее полученные однопользовательские лицензии, полученные с помощью пинкодов из данного комплекта. Обратите внимание, что такая возможность предоставляется только один раз и в дальнейшем вы уже не сможете обратно заменить одну многопользовательскую на несколько однопользовательских, если такая возможность возникнет. Поэтому рекомендуем очень хорошо подумать, прежде чем делать такой запрос.
10. Вопрос: Что делать, если при восстановлении лицензии выходит сообщение: «Ошибка ввода пинкода. Уже активирован общий пинкод из данного комплекта»?
Ответ: Данное сообщение выходит в ситуации обратной той, которая бала описана в предыдущем случае — при восстановлении такой же многопользовательской лицензии на 5, 10 или 20 рабочих мест, в состав которых входит два комплекта пинкодов (для получения одной многопользовательской или нескольких однопользовательских), но говорит о том, что вы наоборот пытаетесь использовать пинкод для восстановления однопользовательской лицензии, хотя до этого был активирован пинкод из комплекта для получения многользовательской лицензии. Для восстановления используйте пинкод из комплекта для получения многопользовательской лицензии.
При необходимости вы также можете написать запрос в центр лицензирования 1С на смену комплекта лицензий для активации с многопользовательской на несколько однопользовательских, но при этом следует учитывать, что будет деактивирована ранее полученная многопользовательская лицензия, полученная с помощью пинкодов из данного комплекта. Обратите внимание, что такая возможность предоставляется только один раз и в дальнейшем вы уже не сможете обратно заменить однопользовательские на многопользовательскую, если такая возможность возникнет. Поэтому рекомендуем очень хорошо подумать, прежде чем делать такой запрос.
11. Вопрос: При вводе пинкода для восстановления лицензии программа пишет, что лицензия была успешно получена, но при запуске программа все равно пишет ошибку «Лицензия не обнаружена». Уже несколько раз вводил пинкод > «Лицензия получена» > «Лицензия не обнаружена» и так по кругу. Почему зацикливается процедура получения лицензии?
Ответ: Если при восстановлении лицензии и вводе резервного пинкода программа сообщает, что лицензия была успешно получена, при этом файл лицензии записывается в каталог C:ProgramData\1C\licenses, но при запуске программы все равно выходит сообщение «Лицензия не обнаружена», то скорее всего вы вводите пинкод для получения не той лицензии, которую пытается найти программа.
Например, это может быть в случаях:- Антивирус блокирует работу системы защиты 1С и/или возможность проверки валидности лицензий. Добавьте всю папку 1сv8 в исключения используемой антивирусной программы.
Дело в том, что система защиты программ 1С не допускает одновременное использование нескольких программных лицензий, которые были получены с помощью пинкодов из одного и того же комплекта.
Для решения проблемы необходимо внимательно сверить, какую именно лицензию запрашивает программа и из какого комплекта вводится пинкод, т.к. в подавляющем большинстве случаев проблема в том, что вводится пинкод из комплекта не той лицензии, о которой сообщает программа в окне «Лицензия не обнаружена».
Если вы все проверили и на 100% уверены, что вводите пинкод из нужного комплекта, то см. Журнал поиска ключа, возможно анализ его содержимого даст нужные подсказки.
Журнал поиска программных лицензий и HASP-ключей программ 1С:Предприятие 8Например, в нашей практике была похожая проблем при активации программной лицензии на виртуальной машине, после того как имя компьютера в ВМ было изменено пользователем вручную — понять причину проблемы удалось только после анализа файла полученной программной лицензии «*.lic» и Журнала поиска лицензий.
Если разобраться самостоятельно не удается, то обратитесь в центр лицензирования 1С по email: lic@1c.ru. В письме укажите регистрационный номер программы 1С, данные владельца лицензии и описание проблемы. К письму приложите текст или скан Журнала поиска ключа.
12. Вопрос: У нас на сервере вижу несколько файлов лицензий — как по файлу лицензии «*.lic» определить, какая именно это лицензия (соответствие файла лицензии «*lic» номеру из регистрационной карточки)?
Ответ: Файл лицензии базовой версии имеет вид files0.lic, files1.lic, files2.lic и т.д., а файл лицензии версии ПРОФ состоит из 14 цифр вида 20***********.lic, где имя файла — это дата и время получения лицензии.
Из файла лицензии базовой версии никакой полезной информации извлечь невозможно.Если ПРОФ лицензия была получена на актуальной версии платформы 1СПредприятие 8.3 (начиная с версий 8.3.12.1790, 8.3.13.1644 и 8.3.14.1565), то в конце файла программной лицензии должен быть указан регистрационный номер комплекта, наименовании лицензии, тип лицензии (клиентская или серверная, однопользовательская или многопользовательская).
13. Вопрос: Раньше у нас была лицензионная базовая версия 1С:Бухгалтерии и я без проблем могла переносить на флешке базу домой и работать на своем домашнем ПК. Сейчас перешли на версию ПРОФ и начались проблемы — если я активирую лицензию на домашнем ПК, то слетает предыдущая лицензия на компьютере в офисе, и наоборот. Как можно решить проблему, программа же лицензионная?
Ответ: Условия лицензионного использования однопользовательских продуктов допускают одновременное использование программы только на одном компьютере. Причем это относится как к 1С:Бухгалтерии 8 ПРОФ, так и к базовой версии, просто в ПРОФ версии аннулирование предыдущей лицензии происходит автоматически, а в базовой версии автоматическое аннулирование не реализовано и старую лицензию с предыдущего ПК вы должны были удалять вручную. Можем предложить несколько вариантов решения:
- купить 1С:Бухгалтерию ПРОФ с USB ключом и носить ключ вместе с базой на флешке;
- отказаться от переноса базы на флешке и удаленно подключаться из дома к компьютеру в офисе, например, с помощью сервиса 1С:Линк;
- перейти на использование облачной версии 1С:Бухгалтерии 8 ПРОФ — облачная версия не привязана к какому-то одному конкретному устройству и позволяет работать с той же самой базой как из офиса, так и из дома (так и любого другого устройства, в том числе мобильного на iOS или Android). Стоимость доступа к 1С:Бухгалтерии 8 ПРОФ в облачном сервисе 1С:Фреш на 2-ух одновременных пользователей и одну базу данных составляет 13029 руб. в год. (на первый месяц доступ к облаку предоставляется бесплатно).
Подробнее: Тарифы 1С:Фреш.
14. Вопрос: Есть клиентская лицензия на 5 рабочих мест с двумя наборами пинкодов. Пытаюсь восстановить лицензию с помощью резервного пинкода, но на листке с резервными пинкодами есть отмеченные пинкоды как в списке многопользовательских лицензий, так и в списке однопользовательских! Как такое может быть, ведь насколько я знаю, если активировать пинкод для получения многопользовательской лицензии, то пинкоды для активации однопользовательских лицензий блокируются?
Ответ: Все верно, при первичной активации лицензии на 5, 10 или 20 рабочих мест пользователю предлагают выбрать вариант активации и предупреждают «Если вы получите первую лицензию по пинкоду для однопользовательской лицензии, вы не сможете потом использовать комплект пинкодов для многопользовательской лицензий. И наоборот. «.
Но при технической необходимости один раз все же можно написать запрос в центр лицензирования 1С с просьбой аннулировать ранее полученную многопользовательскую лицензию и разблокировать пинкоды для активации однопользовательских лицензий (или наоборот) — видимо это как раз ваш случай. Осталось выяснить, какой именно из вариантов является актуальным, а который аннулированным (например, если лицензия слетела только на одном из компьютеров, а на других продолжает работать, то очевидно, что были активированы пинкоды для получения однопользовательских лицензий). Кстати, на сервере можно активировать несколько однопользовательских лицензий и они будут раздаваться точно также, как одна многопользовательская лицензия. Если возникают какие-то затруднения, то можно запросить информацию в центре лицензирования 1С:
15. Вопрос: У нас на сервере установлены две программные клиентские лицензии на 10 рабочих мест и лицензия на сервер 1С, все три лицензии были привязаны к параметрам сервера. Почему могла слететь только одна из лицензий, а другие две продолжают работать?
Ответ: Посмотрите по дате создания файлов лицензий, если дата активации слетевшей лицензии отличается от остальных, то скорее всего активация выполнялась на разных версиях платформы, а в разных версиях платформы разработчики могли изменять параметры привязки и алгоритмы проверки (например, с лицензиями, полученными на разных версиях платформы 1С:Предприятие 8.3 может отличаться реакция системы защиты на изменение имени компьютера в ОС Windows). Почему лицензия не проходит валидацию и какие именно текущие параметры сервера отличаются от записанных в файл лицензии при активации — это можно увидеть в Журнале поиска ключа.
16. Вопрос: Файловая база УТ11 была опубликована на веб-сервере Apache. На машине с веб-сервером была установлена программная клиентская лицензия на 10 рабочих мест, с помощью которой база запускалась как тонкими клиентами, так и веб-клиентом (Chrome). Сейчас приобрели и установили сервер 1С:Предприятия 8.3 x64 (PostgreSQL). Загрузили базу, опубликовали на веб. При попытке запуска базы на веб-клиенте выходит Ошибка запуска (см.рис.).
Консультировался с франчами до перехода на клиент-сервер — они меня уверяли, что лицензию вообще не придется переактивировать и будет работать с уже имеющейся лицензией, но после покупки лицензии бесплатно они подсказать уже ничего не могут, просят доплатить за консультации. Попробовал восстановить лицензию по вашей инструкции, программа пишет, что Лицензия получена и записана, но ошибка не исчезла. Подскажите, как восстановить клиентскую лицензию на сервере?
Ответ: С лицензией все было в порядке и ее переактивация действительно не требовалась. Причина проблемы указана у вас на скрине: «Выдача клиентских лицензий сервером 1С:Предприятия запрещена«. Дело в том, что ранее, при публикации файловой базы на веб-сервере, лицензии клиентам автоматически выдавал модуль веб-сервера, никаких дополнительных настроек для этого делать не требовалось. После перехода на клиент-сервер лицензии выдавать может уже только сервер 1С:Предприятия, но эта возможность по умолчанию на сервере отключена. Для включения раздачи лицензий сервером в настройках параметров информационной базы в кластере установите параметр Разрешить выдачу лицензий сервером 1С:Предприятия в значение Да.
Обратите внимание, что для каждой информационной базы данный параметр настраивается отдельно.
Рекомендация: если в будущем надумаете покупать еще лицензии, то покупайте в нашей компании — стоимость та же самая, пинкоды в электронном виде высылаем уже через 2-3 часа после оплаты (или можете сами скачать в личном кабинете на портале 1С), 100% гарантия лицензионности (официальные партнеры 1С с 1995 г.) + бесплатные консультации по активации лицензий от специалистов экспертного уровня!
17. Вопрос: Несколько лет назад была приобретена 1С:Управление торговлей 8 Базовая версия. Несколько лет работали без обновления, но в связи с последними изменениями потребовалось установить обновления за все годы. После обновления программа пишет «Лицензия не обнаружена» и для восстановления лицензии просит вбить пинкод из 15 цифр, а у нас на листке из коробки пинкод 16 цифр. Как восстановить лицензию?
Ответ: Ваша проблема ни в лицензии, ни в пинкода, а в информационной базе. При обновлении программы лицензия не должна слетать вовсе и вводить пинкод не требуется. Если программа не может опознать конфигурацию как базовую версию, то она начинает запрашивать пинкод из 15 цифр, как для версии ПРОФ. Конфигурация может перестать корректно опознаваться, если была повреждена или если была «криво» обновлена. Если конфигурацию обновляли самостоятельно, то восстановите архивную копию и повторите процедуру обновления с соблюдением рекомендуемой цепочки обновлений. Если обновление выполняли сторонние специалисты, то им надо задать вопрос, почему после обновления конфигурация перестала опознаваться как базовая версия.
18. Вопрос: У нас приобретены «1С:Предприятие 8 ПРОФ. Клиентская лицензия на 50 рабочих мест. Электронная поставка» + «1С:Предприятие 8 ПРОФ. Клиентская лицензия на 20 рабочих мест» (обе лицензии с пинкодами) + «1С:Предприятие 8.3 ПРОФ. Лицензия на сервер (x86-64)» с аппаратным USB-ключом. При активации программные лицензии на 50 и 20 раб.мест были привязаны к аппаратному ключу на сервер 1С. Планируется полная переустановка системы на сервере (Windows Server 2019 + MS SQL Server 2019 + Сервер 1С:Предприятия). Потребуется ли после переустановки восстанавливать лицензии с помощью резервных пинкодов или можно просто скопировать файлы лицензий вида «20************.lic» из папки «C:\ProgramData\1C\licenses\» и после переустановки вернуть их на место?
Ответ: Резервные пинкоды не потребуются в любом случае. В соответствии с документацией в таких случаях при восстановлении лицензии необходимо ввести тот же самый пинкод и взвести флаг «Я уверен(а), что ключевые параметры компьютера не изменялись».
Но большая вероятность, что при копировании файлов лицензий на прежнее место активировать лицензии заново не потребуется вовсе, т.к. ID ключа, к которому были привязаны лицензии, остается тем же самым, хотя это и недокументированная возможность.
19. Вопрос: На виртуальной машине установлены программные лицензии «1С:Предприятие 8.3 Лицензия на сервер x64» + «1С:Предприятие 8.3 Лицензия на на 50 рабочих мест». Включена раздача лицензий сервером 1С. Если клиенты подключаются к серверу через RDP, то программа без проблем запускается, при этом в справке «О программе» указаны рег.номера серверной и клиентской лицензии и что лицензию «получило клиентское приложение». Если же клиенты подключаются к серверу по сети без RDP, то выходит ошибка «Не найдена лицензия. Не обнаружен ключ защиты программы или полученная программная лицензия! Ошибка программного лицензирования. Ошибка привязки программной лицензии к компьютеру: file://C:/ProgramData/1C/licenses/20************.lic», при этом ошибка привязки у тех самых лицензий, которые указаны в окне «О программе» при подключении по RDP. Как такое может быть?
Ответ: Скорее всего изменились параметры виртуальной машины, к параметрам которой были привязаны программные лицензии (какие именно параметры ВМ изменились должно быть указано в журнале после слов: «Ошибка привязки программной лицензии к компьютеру:»), а при запуске по RDP клиенты пока могут временно работать из-за того, что есть доступ к служебному файлу 1cv8conn.pfl, в котором кешируются параметры подключения. Через некоторое время запуск по RDP также будет невозможен. Удалите файл 1cv8conn.pfl и в осстановите лицензии вручную с помощью резервных пинкодов. Где можно найти файл 1cv8conn.pfl есть выше на данной странице в ответе на первый вопрос.
20. Вопрос: Слетела программная лицензия на сервер 1С:Предприятия 8.3 (x86-64). После восстановления лицензии выходит сообщение «Ошибка программного лицензирования. Вместо файла file://C:/ProgramData/1C/licenses/20************.lic был получен новый. Файл file://C:/ProgramData/1C/licenses/20************.lic не используется и должен быть удален». Как восстановить работу программы?
Ответ: Скорее всего при восстановлении лицензии указали не тот пинкод в качестве Текущий пинкод на Шаге 1 и/или Резервный пинкод на Шаге 4.
Удалите файл file://C:/ProgramData/1C/licenses/20************.lic , т.к. он уже аннулирован. Запросите в центре лицензирования информацию по использованнным, текущим и резервным пинкодам.Инструкция: Как запросить информацию о использованных, текущих и резервных пин-кодах для получения программных лицензий 1С:Предприятие
Восстановите лицензию вручную по настоящей инструкции с помощью резервного пинкода, при этом в окне Регистрация комплекта на Шаг 1 укажите пинкод со статусом Активирован , а в окне Пинкоды для восстановления лицензии на Шаг 4 укажите пинкод со статусом Резервный (статусы пинкодов будут указаны в письме, которое придет в ответ на запрос в центр лицензирования).21. Вопрос: У меня есть листок с пинкодами, но у меня не получается восстановить лицензию, т.к. в окне сообщения «Не найдена лицензия. Не обнаружен ключ защиты программы или полученная программная лицензия!» нажимаю на кнопку ОК, окно закрывается и ничего не происходит. Никаких окон для ввода пинкода не появляется. Как вызвать мастер получения лицензии?
Запустить в режиме Конфигуратора не могу, т.к. кнопка Конфигуратор при запуске не активна, она какая-то серая и нажать на нее невозможно.
Ответ: Судя по описанию, у вас на компьютере установлен только «Тонкий клиент «1С:Предприятие 8.3» (можно проверить в панели управления Windows), информационная база опубликована на веб-сервере и подключение осуществляется по http/ https (тип подключения и путь к базе указан в самом низу окна запуска 1С со списком информационных баз) . Если это так, то советую обратиться к администратору сервера, т.к. в данном случае много нюансов:
- прежде чем восстанавливать лицензию желательно уточнить причину, по которой слетела предыдущая, т.к. в некоторых случаях лицензию можно восстановить не используя резервный пинкод, а устранив причину проблемы;
- нужно знать, где именно необходимо восстанавливать лицензию, на клиентском компьютере или на сервере, т.к. если даже сейчас получится вызвать мастер получения и активировать лицензию локально на клиентском ПК, то это еще вовсе не значит, что эта локальная лицензия будет использоваться при запуске этой базы;
- если опубликованная база клиент-серверная, то для активации лицензии на сервере с клиентского ПК у пользователя должен быть доступ к машине с сервером по сети и соответствующие права, а также необходимо будет указать имя сервера и порт агента сервера 1С;
- если же база файловая, то активировать лицензию на сервере с клиентского ПК имея доступ только по http(s) вовсе технически невозможно;
- для восстановления лицензии необходимо знать текущий активный пинкод, который использовался при предыдущей активации лицензии из данного комплекта с пинкодами;
- для восстановления лицензии вам потребуются данные владельца, которые указывались при первичной активации (с точностью до знака) из файла LicData.txt.
Если после вышесказанного вы не передумали и на 100% уверены, что вам необходимо активировать однопользовательскую клиентскую лицензию именно на клиентском ПК, а не на сервере, то установите на данном ПК «Толстый клиент 1С», создайте локальную базу и запустите ее. При первом запуске должно появиться окно для получения лицензии. Получите лицензию, после чего толстый клиент можно будет удалить.
22. Вопрос: Слетела программная лицензия от 1С:Бухгалтерии ПРОФ. При попытке восстановить лицензию 1С не видит ключевые параметры компьютера, а в информации о ПК пишет только «0Mb RAM» и больше ничего!
В журнале поиска лицензии пишет ошибку:
«Не найдена лицензия. Не обнаружен ключ защиты программы или полученная программная лицензия!
по причине:
Поиск лицензии на клиенте:
Ошибка программного лицензирования. Error=-2147217406(0x80041002)»Подскажите, как исправить данную ошибку?
Ответ: Скорее всего причина проблемы та же самая, что и у базовых версий, которая описана выше в Вопросе 2 — бы ла нарушена работа службы WMI (Windows Management Instrumentation) в операционной системе Windows после некорректного обновления ОС или после установки какого-нибудь ПО. В этих случаях необходимо очистить и пересоздать репозиторий WMI (информация для системного администратора). Если не менялись ключевые параметры компьютера, к которым была привязана программная лицензия, то скорее всего заново получать лицензию даже не потребуется.
23. Вопрос: После автоматического обновления программы слетела лицензия от «1С:Бухгалтерии 8. Базовая версия. Электронная поставка». Выходит ошибка «Лицензия не обнаружена». Если нажать на кнопку «Подробно», то выходит окно с текстом:
Не найдена лицензия. Не обнаружен ключ защиты программы или полученная программная лицензия!
по причине:
Поиск лицензии на клиенте:
Ошибка программного лицензирования. Неверный формат файла программного лицензирования: file://C:/ProgramData/1C/licenses/file0.lic
локальный ключ недоступен: Status=0, ORGL8 Локальный, не установлен
локальный ключ недоступен: Status=0, ORG8A Локальный, не установлен
локальный ключ недоступен: Status=0, ORG8B Локальный, не установлен
nethasp.ini: C:/Program Files (x86)/1cv8/conf/nethasp.ini, прочитан успешно, ошибка соединения с менеджером лицензий: Net Status=0, System Error=0, Warning=15, ORGL8 Сетевой, не установлен
nethasp.ini: C:/Program Files (x86)/1cv8/conf/nethasp.ini, прочитан успешно, ошибка соединения с менеджером лицензий: Net Status=0, System Error=0, Warning=15, ORG8A Сетевой, не установлен
nethasp.ini: C:/Program Files (x86)/1cv8/conf/nethasp.ini, прочитан успешно, ошибка соединения с менеджером лицензий: Net Status=0, System Error=0, Warning=15, ORG8B Сетевой, не установлен
Конфигурация не является базовой, Конфигурация не является базовойЕсли нажать на кнопку «ОК», то программа предлагает ввести пинкод из 15 цифр, но у меня базовая версия с пинкодом из 16 цирф. Как восстановить лицензию?
Ответ: Ваша проблема не в пинкоде и не в лицензии. С лицензией все в порядке (в сообщении указан путь до лицензии file://C:/ProgramData/1C/licenses/file0.lic), но она теперь не подходит для запуска вашей информационной базы. Дело в том, что с данной лицензией можно запустить информационную базу только с базовой конфигурацией, а конфигурация запускаемой базы перестала опознаваться как базовая версия (см. последнюю строку в Журнале поиска ключа: «Конфигурация не является базовой«), поэтому и запускается процедура получения лицензии ПРОФ, которая активирется пинкодом из 15 цифр. Если конфигурация базы точно была базовая и ранее с данной лицензией на этом ПК она запускалась, то скорее всего информационная база была повреждена. Если есть возможность, то восстановите архивную копию (рекомендуем сначала восстанавливать из архива в другую чистую папку «рядом», а не в рабочую базу, т.к. есть риск остаться и без архива и без рабочей базы). Если архивной копии нет, то рекомендуем обратиться к специалистам, т.к. в зависимости от характера повреждений решение может быть как простым и быстрым, так и очень сложным и трудоемким, а в некоторых случаях информационная база может быть разрушена полностью и не подлежать восстановлению вовсе.
24. Вопрос: Не получается восстановить лицензию после замены диска. При запуске программы выходит сообщение «Не обнаружено свободной лицензии!», нажимаем на ОК, но ничего не происходит, окно просто пропадает и мастер получения новой лицензии не открывается.
Пробовали запускать Конфигуратор, но история та же самая. Как восстановить лицензию?
Ответ: Если программа выдает сообщение «Не обнаружено свободной лицензии!», но не предлагает получить новую лицензию, то скорее всего база опубликована на веб-сервере и подлючение осуществляется по http(s) или база клиент-серверная и лицензии клиентам выдает сервер 1С:Предприятия. Если клиентскую лицензию необходимо активировать именно на клиентском ПК, а не на сервере, то на этой клиентской машине создайте пустую локальную базу и запустите ее — программа должна сообщить «Лицензия не обнаружена» и предложить получить новую лицензию. После активации лицензии пустую базу можно будет удалить.
25. Вопрос: Отличная статья, но она для версии ПРОФ. Есть ли такая же инструкция по восстановлению лицензии для базовой версии 1С?
Ответ: У базовых версий как таковой нет процедуры «восстановления» лицензии . При переносе программы на другой ПК (или после изменения его параметров) лицензию необходимо получить заново, точно так же, как при первичной активации — ввести тот же самый пинкод из 16 цифр, который изначально входил в комплект поставки.
Указывать регистрационный номер комплекта, данные владельца или какие-либо другие данные, кроме самого пинкода, при повторной активации лицензии базовой версии программы 1С не требуется.
При этом необходимо учитывать следующие моменты:- Программа будет запрашивать пинкод из 16 цифр только в случае, если конфигурация запускаемой информационной базы опознается как базовая версия. Если запускается пустая база без конфигурации или конфигурация не определяется как базовая по каким-то другим причинам, то программа будет запрашивать пинкод из 15 цифр, как для версии ПРОФ.
Инструкция:Как перенести базовую версию программы 1С:Предприятие 8 с одного компьютера на другой