Можно ли в Windows назначить права для папки так чтобы приложение имело права на чтение и запись, а обычные пользователи использующие его нет?

Question

[DzenRoamer]

Собственно в случае с 1С например. Чтобы программа 1С имела права на чтение и запись из папки, а пользователь который запускает эту программу этих прав не имел? То есть чтобы он НЕ мог зайти в папку с БД и скопировать\изменить\удалить эти файлы.
Вариант с SQL известен. Но я сейчас про файловый вариант с использованием сервера терминалов.
Слышал про вариант что программу можно запускать из-под другого пользователя. Не очень понятно насколько это надежно, ведь пароль где-то должен сохраняться что небезопасно.

Answer 1

[АртемЪ]

Итак вариант решения проблемы -
Создаем батник примерно следующего содержания:

runas /savecred /user:WORKSTATION\test "C:\Program Files (x86)\1cv8\common\1cestart.exe"

WORKSTATION\test - имя машины и пользователя, если у вас домен то пишется наоборот и через собаку.
C:\Program Files (x86)\1cv8\common\1cestart.exe- путь к файлу запуска 1с.

Ищем папку, где лежит база 1с, идем во вкладку безопасность, делаем владельцем пользователя test, отключаем наследование, даем ему полные права, всем остальным права удаляем.

При первом запуске с ярлыка программа запросит пароль пользователя тест - вводим его и он будет сохранен в хранилище паролей windows.

Но есть проблема - через интерфейс 1с - меню - открыть файл - пользователь будет прекрасно иметь доступ к каталогу базы с правами пользователя test и может скопировать базу.
Победить это можно - отберите права на запись у пользователя test во все директории кроме папки с базой, и своего профиля.

И еще один момент - пользователю 1с нужно урезать права не только на доступ к папкам, но и на запуск программ, и тех же батников.
Т.е разрешить запуск программ только из системных директорий в которые он не может записывать.
У него не должно быть возможности создать батник на рабочем столе и запустить его.

Comments

[DzenRoamer]

"Но есть проблема - через интерфейс 1с - меню - открыть файл - пользователь будет прекрасно иметь доступ к каталогу базы с правами пользователя test и может скопировать базу."
За этот момент спасибо! Подзабыл что так можно. Информацию тоже изучу, спасибо.

[Александр Никитин]

И чего, для каждого юзера будем хотя бы раз запускать этот батник и вводить пароль для пользователя test? На сколько мне известно пароль этот хранится в зашифрованном виде в реестре, но обычному пользователю доступна для чтения только своя ветка реестра в разделе HKCU. Значит пароль этот надо для каждого пользователя персонально ввести. А если пользователей 150-1000?

[АртемЪ]

DzenRoamer: Ну это решается если не давать пользователю от которого запускаем 1с прав админа.
Права должны быть ограничены по максимуму, запись только в свой профиль и в папку с базой.
Батник я проверил - все работает отлично.
Не забудьте про ключ /savecred который заставляет запоминать пароль в хранилище и не спрашивать его при каждом запуске.
И отберите у юзера права на запись в батник, чтобы он не мог менять содержимое скрипта.

[АртемЪ]

Александр Никитин: Вы классно шутите.
150-1000 пользователей в файловой базе это надо записать, для потомков!!!
Да больше 5 юзеров в файловой базе уже работать невозможно и приходится переходить на скуль.

[h8nor]

Тот момент, когда принимаешь безысходность. После открытия произвольного файла админский пароль на этой же машине можно сбрутить за 3 дня.

[АртемЪ]

Дѣаволъ: Каким образом пользователь с ограниченными правами будет брутить пароль на терминальном сервере, объясните пожалуйста подробнее.

[Александр Никитин]

АртемЪ: Да я больше про то, что runas и прочее г..но что осталось от старых версий винды и поддерживается МС только для совместимости это жуткие костыли. Есть современные инструменты, но вы предлагаете костыли. =( это печельно. А про 5 юзеров в файловой базе это вы кому другому расскажите. Видел и по 10. =) Вопрос лишь в количестве транзакций в единицу времени. Где то 2 человека шлепают по 200-300 документов в час, а где то 15 человек генерят 5 документов в час.

[abcyu]

АртемЪ:
не 5
можно и 20 работать.

[h8nor]

АртемЪ: Здесь я тупанул, полагая что у test есть права root.
Александр Никитин: Я тоже не понимаю в чём надёжность Powershell перед cmd :(

[АртемЪ]

abcyu: Сильно зависит от конфигурации и интенсивности работы.
В торговле когда три пользователя активно продают - уже невозможно.
В бухгалтерии, когда один юзер работает более менее плотно, а остальные раз в полчаса делают какую нибудь доверенность, то и 30 будут комфортно работать.

Но по опыту в среднем пять активных юзеров, если больше то на скуль.

[АртемЪ]

Александр Никитин: По поводу современных инструментов - если они есть, так вы скажите какие, приведите работающий пример, и я скажу вам спасибо, и признаю что это старый костыль.

[Александр Никитин]

АртемЪ: скрипт на powershell. Нужный командлет Start-Process -FileParh "...\1CStart.exe" -Credentials $credential. А хранить пароль в зашифрованном виде можно так как написано в статье в моем первом комментарии, только там его сохраняют в файл, но ничто не мешает вам писать его в раздел реестра например, на который можно потом установать права для чтения для всех наших пользователей. Все это надо будет проделать 1 раз.

[DzenRoamer]

"но ничто не мешает вам писать его в раздел реестра например, на который можно потом установать права для чтения для всех наших пользователей. Все это надо будет проделать 1 раз."
А вот этот пароль получается доступен для пользователя, условно "админский" пароль. А он ведь может его использовать для других действий, разве нет?

Answer 2

[Александр Никитин]

Собственно ПО (в данном случае 1С) запускается в контексте пользователя, а значит использует его (пользователя) права.

Можно как вариант сохранить пароль от специально созданного пользователя в виде secure string и написать скрипт, который будет эту строку читать и потом использовать в качестве пароля для запуска 1с от этого специально созданного пользователя. Это будет относительно секьюрно.

blogs.technet.com/b/robcost/archive/2008/05/01/pow...
Вот тут есть примеры как использовать этот метод.

Comments

[АртемЪ]

А окно программы будет какому пользователю показываться? Тому от которого запустили.

[DzenRoamer]

Изучу эту информация, спасибо. Это вариант чтобы сохранять пароль, понятно. Но а вот на счет дать права именно приложению такого в Windows нет, правильно?

[АртемЪ]

DzenRoamer: Права даются пользователю.

[DzenRoamer]

АртемЪ: Это я знаю что пользователю. Но лелею надежду что можно еще и приложению дать права. Или нет, точно нельзя?

[АртемЪ]

DzenRoamer: Какая именно 1с?

[АртемЪ]

Ошибочка вышла, с окном все нормально, так что можно.

[Александр Никитин]

DzenRoamer: точно нельзя.

[DzenRoamer]

АртемЪ: да без разницы какая 1С в общем то. Пусть будет 1С 8.3

[DzenRoamer]

Александр Никитин: Может быть случайно знаете: а в Линукс такое можно? Дать права приложению, а пользователю запретить? То есть пользователь может пользоваться файлом только через конкретное приложение.

[АртемЪ]

DzenRoamer: Ну имеется ввиду что для БП3 можно запустить веб сервер с нужными правами и все.
Для той же БП2 этот фокус уже не прокатит.

Я написал ответ - окно действительно выводится куда надо, пароль сохраняется, попробуйте.

[Александр Никитин]

DzenRoamer: на сколько мне известно в линуксе точно так же. =)

Answer 3

[Alejandro Esquire]

нужно причислить отдельными приказом ген.дира 1С к числу приложений требующих администраторские привелегии, а пользователи пусть дальше работают под ограниченной учеткой... сами наверное сталкивались, некоторые программы при запуске сами говорят что им требуются админские права и ты подтверждаешь что разрешаешь проге так запуститься....

Comments

[АртемЪ]

Чем это поможет? Как это вообще работать будет?

[Alejandro Esquire]

в смысле как? отдельно запустится 1с с правами админа и соответственно правами за чтение и запись всего что доступно админу. а пользователь продолжит сидеть в ограниченной учётке... и открывая окна проводника - прав на запись не будет...

[DzenRoamer]

Ну в том то и дело. Пользователь работает под своей учеткой, и доступа к папкам с базами у него нет. Запускает программу из-под админа (или другого ползователя), ок. Но пароль то?? Пароль то окуда брать?

[АртемЪ]

DzenRoamer: Ну пароль в винде хранить не проблема.
Окно программы в сеанс какого пользователя пойдет, если вы его от другого пользователя запустите.
Ну и даже если вы так запустите, то пользователь через 1с будет иметь полный доступ к файловой системе.

[DzenRoamer]

"Окно программы в сеанс какого пользователя пойдет, если вы его от другого пользователя запустите." Окно пойдет куда надо - от того пользователя кто запустил от имени другого пользователя)) Я не понимаю где хранить пароль. Получается пароль в этом случае открыт.

[Alejandro Esquire]

DzenRoamer: Кое что на схожую тему с вариантами: www.oszone.net/10594

[АртемЪ]

DzenRoamer: пароль хранить в винде, где хранятся все пароли, с чего бы он был открыт?

[АртемЪ]

А с окном я действительно ошибся, все идет куда надо.

[Александр Никитин]

Alejandro Alajuela: не надо троллить людей.

[Alejandro Esquire]

Александр Никитин: Полностью с вами согласен.

Answer 4

[Павел Самохвалов]

Зачем такие выкрутасы?
Вы наверное хотите обезопасить себя от кражи базы?
Сделайте терминальный сервер, урежьте там все политиками по-максимуму, чтобы юзер мог только запускать 1С, запретить буфер обмена и подключение локальных дисков.
Бэкап базы - защита от порчи.