Работа с платформой 1С:Предприятие часто требует использования дополнительных функциональных возможностей, которые не предусмотрены в базовой конфигурации. Для этих целей администраторы и разработчики применяют внешние обработки, представляющие собой отдельные файлы кода, подключаемые к информационной базе. Однако современные версии платформы ввели строгие механизмы безопасности, которые по умолчанию блокируют запуск непроверенных модулей, чтобы предотвратить вредоносное воздействие на данные.
Активация возможности работы с такими файлами требует не только изменения настроек в интерфейсе программы, но и корректной настройки прав доступа пользователей, а иногда и вмешательства в конфигурационный файл платформы. Игнорирование этих требований приводит к появлению ошибок доступа, которые блокируют работу специалистов с необходимыми отчетами или инструментами обмена данными. В этой статье мы детально разберем все этапы подключения, от настройки параметров безопасности до выдачи специфических ролей.
Механизм безопасности платформы и режимы запуска
Начиная с определенных версий платформы, разработчики внедрили механизм защиты, который требует явного подтверждения доверия к внешнему коду. Это связано с тем, что внешняя обработка фактически является исполняемым файлом, способным выполнять произвольные действия внутри процесса 1С:Предприятия. Система анализирует цифровую подпись файла или его расположение в специальных доверенных каталогах перед тем, как разрешить выполнение.
Существует несколько уровней доверия, которые определяют, будет ли обработка запущена автоматически или потребует вмешательства пользователя. Если файл не подписан квалифицированной электронной подписью и не находится в списке разрешенных, платформа переведет его в режим ограниченной функциональности или полностью заблокирует. Администратору системы необходимо понимать разницу между режимами "Безопасный режим" и полным доступом, так как многие старые обработки просто не смогут работать в новых реалиях без переподписи.
Важно учитывать, что настройки могут применяться как на уровне конкретного пользователя, так и глобально для всего кластера серверов. В тонком клиенте параметры часто хранятся в локальных настройках, тогда как в веб-клиенте или толстом клиенте управление осуществляется через файлы конфигурации или параметры запуска. Неправильная интерпретация этих уровней приводит к ситуации, когда у одного сотрудника отчет работает, а у другого — нет, хотя права в самой базе 1С у них идентичны.
Почему старые обработки перестали работать?
В последних обновлениях платформы 8.3 были ужесточены требования к сертификатам. Обработки, созданные несколько лет назад без использования современной криптографии или подписанные самоподписанными сертификатами, теперь воспринимаются системой как потенциально опасные и блокируются на уровне операционной системы или самой платформы.
Настройка параметров безопасности в интерфейсе
Первым шагом для легализации работы с внешними файлами является проверка настроек в самом пользовательском интерфейсе. В большинстве случаев, особенно при работе в режиме обычного приложения или толстого клиента, параметры находятся в разделе администрирования. Пользователь должен обладать полными правами на изменение настроек системы, иначе пункт меню может быть скрыт или неактивен.
Необходимо перейти в раздел Администрирование и найти пункт, отвечающий за параметры системы или безопасность. Здесь часто встречается галочка, разрешающая использование внешних обработок и печатных форм. Если этот флажок снят, то любые попытки загрузки файла извне будут прерываться системой безопасности до начала выполнения кода. В некоторых конфигурациях, таких как 1С:Бухгалтерия предприятия или 1С:Управление торговлей, этот параметр может быть вынесен в отдельный подраздел настроек печати и отчетов.
После изменения настроек часто требуется перезапуск приложения для применения изменений. Это критически важный момент, который многие упускают, пытаясь сразу запустить обработку и получая ошибку. Также стоит проверить, не включен ли режим повышенной безопасности, который может игнорировать стандартные разрешения и требовать цифровую подпись для любого исполняемого кода, даже внутреннего.
⚠️ Внимание: Включение поддержки внешних обработок снижает общий уровень защищенности базы данных. Убедитесь, что файлы, которые вы планируете запускать, получены из доверенных источников и проверены антивирусным ПО перед добавлением в систему.
Если вы работаете в веб-клиенте через браузер, настройки безопасности часто управляются на стороне сервера приложений. Локальные изменения в браузере пользователя могут не иметь эффекта, если политика безопасности задана в файле ragent.cfg или через консоль управления кластером.
Работа с файлом cfg и доверенными каталогами
Для глобального управления запуском внешних компонентов на уровне платформы используется конфигурационный файл 1cestart.cfg или личные настройки пользователя в каталоге AppData. Этот метод является наиболее надежным для корпоративных сетей, где необходимо централизованно разрешить работу определенных инструментов для всех сотрудников без ручной настройки каждого рабочего места.
В данном файле существует специальный раздел, отвечающий за доверенные каталоги. Если поместить внешнюю обработку в папку, путь к которой прописан в этом списке, платформа будет автоматически считать любой код из этой директории безопасным. Это избавляет от необходимости подписывать каждый файл цифровой подписью, что особенно удобно для внутренних разработок компании.
[TrustExtensions]
Path=D:\1C_Extensions\Reports
Path=C:\Program Files\1C\v8.3\trusted
Редактирование этого файла требует прав администратора операционной системы. Синтаксис должен быть соблюден предельно точно, так как любая ошибка в пути может привести к тому, что настройки не применятся, а система продолжит блокировать запуск. После внесения изменений необходимо завершить все процессы rphost и 1cv8.exe, чтобы при следующем старте платформа подхватила обновленную конфигурацию.
☑️ Настройка доверенных путей
Назначение прав доступа в режиме Предприятия
Даже если платформа позволяет запускать внешние файлы, внутри самой информационной базы могут существовать ограничения на уровне ролей пользователей. В современных конфигурациях на базе БСП (Библиотека Стандартных Подсистем) существует специальная роль, отвечающая за взаимодействие с внешними отчетами и обработками. Без этой роли пользователь увидит сообщение о недостатке прав доступа, даже если системные настройки платформы разрешают запуск.
Администратору необходимо зайти в режим конфигуратора или использовать интерфейс администрирования в режиме предприятия, если это позволяет конфигурация. В списке ролей следует найти профиль, соответствующий должности сотрудника, и добавить в него разрешение на использование внешних печатных форм. Часто эта роль называется "Использование внешних отчетов" или имеет схожее наименование в зависимости от версии конфигурации.
| Роль пользователя | Необходимое право | Где находится |
|---|---|---|
| Бухгалтер | Просмотр внешних отчетов | Профили групп доступа |
| Менеджер | Использование внешних обработок | Настройки пользователей |
| Администратор | Полный доступ к расширениям | Конфигуратор |
| Кладовщик | Запуск внешних печатных форм | Группы доступа |
Стоит отметить, что в некоторых случаях права могут быть разграничены еще тоньше: отдельно на чтение, отдельно на выполнение и отдельно на модификацию. Если пользователь жалуется, что он может открыть отчет, но не может его сохранить или выгрузить данные, проблема кроется именно в детализации этих прав. Проверка профиля доступа занимает несколько минут, но экономит часы на отладку несуществующих технических проблем.
⚠️ Внимание: Не выдавайте права на использование внешних обработок всем пользователям подряд по принципу "чтобы работало". Это создает брешь в безопасности, через которую некомпетентный сотрудник может случайно запустить вредоносный скрипт, повреждающий регистры.
Устранение популярных ошибок при запуске
Наиболее распространенной проблемой является ошибка с текстом "Внешняя обработка может быть выполнена только в безопасном режиме" или сообщение о том, что файл не является доверенным. Эта ситуация возникает, когда файл был скачан из интернета и операционная система Windows пометила его как полученный из ненадежного источника. Свойство файла блокирует его выполнение внутри любых приложений, включая 1С.
Для решения этой проблемы необходимо снять блокировку на уровне файловой системы. Это делается через свойства файла в проводнике Windows, где нужно нажать кнопку "Разблокировать" внизу окна свойств. После этой процедуры платформа 1С сможет корректно прочитать цифровую подпись или проверить файл на соответствие правилам доверенных каталогов.
Другая частая ошибка связана с несовместимостью версии обработки и версии платформы. Если внешняя обработка былаcompiled в более старой версии 1С:Предприятие 8.3, а запуск производится в новой, или наоборот, могут возникать конфликты библиотек. В таких случаях помогает пересохранение обработки в актуальной версии платформы в режиме конфигуратора или использование инструмента конвертации кода.
Большинство ошибок "Недоверенный файл" решаются снятием блокировки в свойствах файла Windows или добавлением папки с обработкой в список доверенных путей конфигурации платформы.
Цифровая подпись внешних обработок
Наиболее профессиональным и безопасным способом легализации внешнего кода является его подпись сертификатом. Это позволяет распространять обработки внутри компании или даже продавать их, не требуя от каждого клиента ручной настройки доверенных путей. Для этого необходим сертификат цифровой подписи, выданный удостоверяющим центром, который поддерживается операционной системой.
Процесс подписи осуществляется с помощью утилиты signer.exe, которая поставляется в составе платформы 1С, или через сторонние инструменты работы с сертификатами. Подписанный файл содержит криптографическую информацию, подтверждающую авторство и целостность кода. При запуске такой обработки платформа автоматически проверяет валидность сертификата и, если он доверенный, разрешает выполнение без лишних вопросов.
- 🔐 Получите сертификат в аккредитованном удостоверяющем центре для вашей организации.
- 💻 Используйте утилиту подписи, входящую в дистрибутив платформы 1С.
- ✅ Убедитесь, что корневой сертификат добавлен в хранилище доверенных центров на всех клиентских машинах.
Использование подписи особенно актуально для крупных предприятий, где администрирование тысяч рабочих мест вручную невозможно. Централизованное развертывание доверенных корневых сертификатов через групповые политики домена позволяет мгновенно разрешить работу всем новым обработкам, подписанным внутренним сертификатом компании.
⚠️ Внимание: Срок действия сертификата ограничен. Если вы подписали обработку сертификатом, который истек, она перестанет запускаться после даты истечения. Всегда проверяйте актуальность сертификата перед массовой рассылкой обновлений.
Использование расширений конфигурации как альтернатива
Вместо классических внешних обработок, которые загружаются пользователями вручную, современная методология разработки 1С рекомендует использовать механизмы расширений конфигурации. Расширения позволяют внедрять новый функционал, печатные формы и отчеты непосредственно в структуру базы данных без изменения основной конфигурации. Это решает проблему безопасности, так как код становится частью системы и проходит стандартные проверки при обновлении.
Подключение расширения происходит через интерфейс администрирования, где необходимо выбрать файл расширения с расширением .cfe. После активации расширения все его объекты становятся доступны пользователям согласно их правам доступа, как если бы они были созданы в основной конфигурации. Это устраняет необходимость настройки доверенных каталогов и снятия блокировок с файлов для каждого отчета.
Однако стоит понимать, что расширения требуют прав на администрирование базы данных для их установки и обновления. Если ваша задача — дать пользователю возможность самостоятельно загружать разовые отчеты, то внешние обработки остаются безальтернативным вариантом. Для стационарного, регулярно используемого функционала переход на расширения является более правильным архитектурным решением.
В чем разница между обработкой и расширением?
Внешняя обработка — это отдельный файл, который живет вне базы и требует специальных прав на запуск. Расширение — это набор объектов, встроенных в базу данных, которые работают нативно и не требуют специальных настроек безопасности для каждого пользователя.
Можно ли использовать внешние обработки в 1С через веб-браузер?
Использование классических внешних обработок в веб-клиенте сильно ограничено. Браузерная среда не имеет прямого доступа к файловой системе клиента, поэтому загрузка и выполнение внешних файлов часто невозможны или требуют использования специальных механизмов передачи данных через сервер. В веб-клиенте рекомендуется использовать только расширения конфигурации или отчеты, встроенные в базу.
Почему обработка запускается у администратора, но не у обычного пользователя?
Скорее всего, проблема заключается в правах доступа внутри информационной базы. У администратора по умолчанию есть все разрешения, включая право на использование внешних отчетов. Обычному пользователю необходимо явно добавить соответствующую роль в его профиль доступа в разделе администрирования 1С.
Как проверить, подписана ли внешняя обработка?
В свойствах файла в операционной системе Windows перейдите на вкладку "Цифровые подписи". Если вкладка присутствует и статус подписи "ОК", значит файл подписан. Также можно попробовать запустить ее в 1С: если система не запрашивает подтверждение доверия, значит подпись валидна и сертификат доверен.
Безопасно ли отключать проверку доверенных каталогов?
Полное отключение проверок безопасности не рекомендуется, так как это открывает систему для выполнения произвольного вредоносного кода. Лучше использовать метод доверенных каталогов, помещая проверенные файлы в конкретную папку, чем отключать защиту глобально для всех источников.