Медиацентр

Как обеспечить доступ к 1С с помощью PAM?

Во многих организациях привилегированные пользователи работают с 1С через терминальные серверы. Такой подход упрощает администрирование и централизует доступ к информационным системам, однако требует дополнительного контроля привилегированных действий и защиты от несанкционированного доступа. Одним из способов решения этой задачи является использование PAM-системы Infrascope совместно с технологией Remote App. Рассказывает Дмитрий Симак, менеджер продукта PAM Infrascope.

Доступ только к нужным приложениям 1С

В сценарии с использованием терминального сервера для доступа к 1С возможно применение технологии Remote App в RDP для четкого разделения ролей и ограничения доступа. Как это реализуется?

Привилегированные пользователи подключаются через PAM Infrascope к RDP сессии на терминальном сервере, где им доступен только Remote App с клиентом 1С - (конфигуратором, тонким или толстым клиентом). При этом они не видят полный рабочий стол, не могут запускать сторонние программы, копировать файлы или переключаться на другие системы, что снижает риск утечки данных и случайных ошибок.

Администраторы 1С и разработчики могут получать разные наборы Remote Apps в зависимости от их роли. Администраторы — консоль администрирования 1С, образовательные и демо конфигурации, инструменты мониторинга и т.п. Разработчики — конфигуратор 1С, локальные или тестовые базы, консоль разработки. Через терминальный сервер они подключаются к нужной RDP-сессии, а Infrascope гарантирует, что каждый видит только те 1С приложения, которые ему разрешены политиками PAM.

Контроль и управление привилегированными сессиями

Infrascope обеспечивает применение политик безопасности, производит логирование, предоставляет возможность аудита (наблюдения), управления и приостановки сессии. При подключении администратора к сессии или перехвате управления у пользователя появляется соответствующее сообщение.

Дополнительно Infrascope позволяет применять к RDP-сессиям следующие меры контроля:

  • Ограничение доступа по геолокации и/или IP-адресу. Пользователю будет отказано в доступе, если он производит подключение из сети или местоположения, которых нет в списке разрешенных;
  • Ограничение доступа по времени или дню недели. Доступ будет разрешен только определенное для работы время и день недели;
  • Подтверждение администратором доступа к сессии. При попытке подключения пользователя к системе администратор будет получать уведомление о попытке и принимать решение о выдаче доступа пользователю к конечной системе;
  • Ограничение использования буфера обмена и файловой передачи на целевую систему;
  • Сокрытие паролей привилегированных учетных записей от пользователя, при подключении к целевым ресурсам. Выполнение автоматической подстановки учетных данных при инициации сессии.

Полное журналирование действий

PAM Infrascope производит логирование сессий привилегированных пользователей. На доступ к просмотру логов также распространяются правила доступа, на основе ролевой модели.

При подключении по RDP производится логирование следующих данных:

  • IP-адрес хоста;
  • Идентификатор подтверждения (если производилось подтверждение администратора для установления сессии);
  • Имя хоста, к которому подключался пользователь;
  • Протокол подключения;
  • Имя пользователя;
  • IP-адрес пользователя;
  • Имя инстанса, через который производилось подключение;
  • Время начала и завершения сессии
  • Уникальный ID пользователя;
  • Время выполнения сессии;
  • Период неактивности пользователя во время проведения сессии.

Помимо перечисленных данных, сессия сохраняется в формате видеолога, с возможностью перехода по временным меткам выполнения команд. При просмотре видеолога существует возможность прямо с экрана просмотра копировать необходимую информацию в текстовом виде. Видеолог хранится в системе в виде сырых файлов, для его скачивания предусмотрена возможность преобразования в видеофайл формата .mp4.

Также для подключений по RDP есть возможность применять дополнительные инструменты при записи видео-лога: OCR (Оптическое распознавание символов) и Key-logger (Фиксация нажатий клавиш на клавиатуре). OCR распознает текстовые названия всего, что отображается на экране. Key-logger записывает все нажатия клавиатуры (в том числе ввод команд и сочетания клавиш) и мыши.

Полнотекстовый поиск по действиям пользователей

В Infrascope реализован удобный полнотекстовый поиск по вышеперечисленным сохраняемым данным о сессии, в том числе поиск осуществляется для системных событий (перехват сессии пользователя администратором, копирование файлов или содержимое буфера обмена) и для данных, снятых на основе OCR и Key-logger. Помимо поиска по данным, также возможен поиск по выполненным на конечном хосте командам.
Использование Infrascope совместно с Remote App позволяет организовать безопасную работу с 1С через терминальный сервер, обеспечить строгое разграничение доступа, исключить несанкционированные действия и получить полный аудит работы привилегированных пользователей. Такой подход помогает не только повысить уровень безопасности, но и упростить контроль действий администраторов, разработчиков и подрядчиков, работающих с критически важными системами 1С.
2026-06-03 13:58