⚠️ Внимание: Изменения в механизмах лицензирования и политиках безопасности платформы 1С могут вноситься с выходом новых релизов. Всегда сверяйте актуальные пути и форматы файлов в документации к вашей конкретной версии платформы.
Понимание архитектуры хранения критической информации является фундаментом для грамотного администрирования инфраструктуры 1С Предприятие. Когда речь заходит о том, где физически располагаются учетные данные, ответ не может быть однозначным, так как система использует многоуровневую модель защиты. Данные могут находиться как в реестре операционной системы, так и в специализированных файлах конфигурации или зашифрованных хранилищах на сервере.
Администратору необходимо четко разграничивать понятия: данные для авторизации в операционной системе, лицензии на использование программного продукта, сертификаты электронной подписи и внутренние пароли пользователей информационной базы. Каждый из этих типов информации имеет свое уникальное место дислокации и формат хранения, нарушение целостности которого может привести к полной неработоспособности бизнес-приложения.
В данной статье мы детально разберем физические пути к файлам, содержащим ключевые секреты системы, а также рассмотрим логическую структуру их защиты. Вы узнаете, как платформа 1С:Предприятие управляет доступом в файловом и клиент-серверном вариантах работы, и какие инструменты предусмотрены для безопасного извлечения или миграции этих данных.
Файловая система и реестр: первичный уровень защиты
При установке платформы на рабочую станцию или сервер первичная регистрация продукта и хранение базовых лицензионных ключей происходит в защищенных областях операционной системы. В среде Windows основным хранилищем служит системный реестр, где создаются специальные ветки, доступ к которым ограничен правами администратора. Здесь resides информация о количестве одновременных подключений и типе используемой лицензии.
Однако, наиболее критичные данные, такие как файлы защиты пин-кодов и аппаратных ключей, часто дублируются или хранятся исключительно в файловой системе. Специальный файл pkey.dat (или его аналоги в новых версиях) содержит зашифрованную информацию о приобретенных лицензиях. Расположение этого файла жестко регламентировано и обычно находится в скрытых системных директориях профиля пользователя или в папке установки программы.
Для файловых баз данных путь к файлу конфигурации, содержащему список пользователей и их права доступа на уровне входа в систему, лежит непосредственно в каталоге базы данных. Файл 1Cv8.1CD (или 1Cv8.DD для новых форматов) хранит структуру метаданных, но параметры входа часто кэшируются в локальных файлах настроек клиента. Это создает риск утечки, если злоумышленник получит прямой доступ к файловой системе сервера.
- 🔑 Файлы лицензий
.licобычно располагаются в директорииC:\ProgramData\1C\1Cv8или аналогичном скрытом каталоге. - 📂 Параметры последних подключений и зашифрованные пароли (при использовании менеджера паролей) хранятся в файле
ibases.v8iв профиле пользователя. - 🛡️ Ключи защиты HASP и программные пин-коды требуют наличия службы лицензирования, которая считывает данные из реестра и файлов при старте сервиса.
Сервер кластера и файлы регистрации
В клиент-серверном варианте работы архитектура хранения усложняется. Центральной точкой управления становится сервер кластера, который хранит реестр всех информационных баз, доступных пользователям. Учетные данные для подключения к самим базам (логин и пароль пользователя 1С) в этом случае хранятся внутри файла базы данных (для SQL-версий — в таблицах системного журнала или служебных таблицах СУБД), но информация о регистрации базы в кластере лежит в отдельном файле.
Файл reginfo.dat (или его бинарные аналоги в зависимости от версии сервера) содержит список зарегистрированных баз, пути к ним и параметры подключения. Этот файл критически важен для работы агента сервера. Если он поврежден, кластер перестает "видеть" базы, хотя сами данные в СУБД остаются в сохранности. Доступ к этому файлу должен быть строго ограничен правами учетной записи, от имени которой запущен сервис 1С:Предприятие 8.3 Сервер.
Отдельного внимания заслуживает хранение паролей администратора кластера. По умолчанию они могут храниться в открытом виде в конфигурационных файлах агента, если не включен режим повышенной безопасности. Для защиты от несанкционированного доступа рекомендуется использовать механизмы операционной системы для шифрования файлов конфигурации или выносить управление кластером на отдельный защищенный контур.
Путь к файлу регистрации кластера (пример для Linux):
/opt/1C/v8.3/x86_64/srvinfo/reginfo/
Важно понимать, что при миграции сервера кластера простого копирования каталога с базами недостаточно. Необходимо также перенести и корректно настроить файлы регистрации, иначе пользователи получат ошибку "Информационная база не найдена в списке баз на сервере".
Хранилище сертификатов и электронная подпись
Современное бизнес-приложение 1С тесно интегрировано с системами электронного документооборота (ЭДО) и сдачей отчетности в государственные органы. В этом контексте понятие "учетные данные" расширяется до включения сертификатов электронной подписи (ЭП) и закрытых ключей. Платформа не хранит закрытые ключи в своих внутренних таблицах, а использует стандартные механизмы операционной системы или специальные контейнеры.
В операционной системе Windows сертификаты и личные ключи обычно размещаются в хранилище сертификатов пользователя (Certificate Store) или в защищенных контейнерах криптопровайдера (например, CryptoPro). 1С обращается к ним через системные API. При этом путь к контейнеру закрытого ключа часто прописывается в настройках пользователя внутри самой конфигурации 1С, что создает связь между приложением и криптографическим модулем.
Закрытый ключ электронной подписи никогда не должен передаваться по сети в открытом виде или храниться в текстовых файлах внутри каталога базы данных 1С. Его компрометация равносильна потере юридической значимости всех подписанных документов. Для работы в тонком клиенте сертификат должен быть установлен в хранилище "Личные" того пользователя, под которым запущен клиент 1С.
| Тип данных | Место хранения | Уровень доступа | Риск потери |
|---|---|---|---|
| Лицензионный ключ (Пин-код) | Файл pkey.dat / Реестр | Системный / Админ | Высокий (блокировка работы) |
| Пароль пользователя 1С | Таблицы базы данных (SQL/Файл) | Пользовательский | Средний (потеря доступа) |
| Сертификат ЭП (Открытый ключ) | Хранилище ОС / Реестр | Публичный | Низкий (можно перевыпустить) |
| Ключ ЭП (Закрытый ключ) | Контейнер криптопровайдера / Токен | Строгий (Личный) | Критический (юридические риски) |
Используйте аппаратные токены (RuToken, JaCarta) для хранения закрытых ключей ЭП. Это исключает возможность копирования ключа злоумышленниками и повышает уровень безопасности при работе с 1С.
Внутреннее хранилище паролей в конфигурации
Внутри самой конфигурации 1С существует механизм хранения дополнительных паролей, необходимых для работы внешних соединений. Речь идет о паролях к SMTP-серверам для отправки писем, паролях к веб-сервисам, учетных данных для обмена с сайтами или банковскими системами. Эти данные часто хранятся в специальных таблицах информационной базы, таких как ХранениеДополнительнойИнформации или специализированных регистрах сведений.
Разработчики конфигураций обязаны использовать механизмы шифрования при сохранении таких чувствительных данных. Платформа предоставляет встроенные средства криптографии, позволяющие зашифровать строку пароля перед записью в таблицу. Однако, если конфигурация написана с нарушениями стандартов безопасности, пароли могут храниться в открытом виде, что легко проверяется через консоль запросов или прямое подключение к SQL-серверу.
Администраторам следует регулярно проводить аудит конфигурации на предмет наличия plaintext-паролей. Особое внимание нужно уделить обработкам обмена данными, которые часто содержат жестко прописанные учетные данные для подключения к удаленным ресурсам. Такие "зашитые" в код пароли являются одной из самых распространенных уязвимостей.
⚠️ Внимание: Никогда не храните пароли от почтовых ящиков или банковских шлюзов в тексте модулей 1С в открытом виде. Используйте защищенные хранилища или механизмы ввода пароля при запуске обработки.
Для проверки безопасности можно воспользоваться стандартными средствами администрирования или сторонними утилитами анализа кода. Они позволяют выявить места, где строковые константы, похожие на пароли, используются без предварительного шифрования. Своевременное обнаружение таких мест предотвращает утечку данных при компрометации файла конфигурации (.cf или .cfu).
☑️ Аудит безопасности паролей в 1С
Кэширование и временные файлы
Клиентское приложение 1С активно использует кэширование для ускорения работы. В процессе авторизации и сеанса работы определенные учетные данные могут попадать во временные файлы на локальном диске пользователя. Хотя платформа стремится минимизировать риски, сохраняя в кэше только хеши или токены сессии, при определенных сценариях сбоя или некорректного завершения работы чувствительная информация может остаться в файлах каталога Cache.
Путь к кэшу обычно выглядит как C:\Users\[ИмяПользователя]\AppData\Local\1C\1Cv8\[Идентификатор]\Cache. В этом каталоге хранятся временные копии форм, отчетов и служебных данных. Очистка кэша является стандартной процедурой troubleshooting, но с точки зрения безопасности она также служит методом удаления следов сеанса.
В тонком клиенте существует опция "Сохранять пароль" при входе в базу. При активации этой функции зашифрованный пароль сохраняется в файле ibases.v8i. Степень защиты этого файла зависит от стойкости алгоритма шифрования, используемого платформой, и сложности мастер-пароля (если он задан). На общих терминальных серверах хранение паролей в таком виде категорически не рекомендуется.
Как очистить кэш 1С безопасно?
Для полной очистки кэша необходимо завершить все процессы 1С, удалить содержимое папки Cache в профиле пользователя, а также очистить временные файлы Windows (%TEMP%). Перед этим убедитесь, что все данные сохранены.
Резервное копирование и миграция данных
При организации процесса резервного копирования (Backup) критически важно учитывать расположение всех типов учетных данных. Стандартный дамп базы данных через SQL или выгрузка в формате dt сохранит пользователей и их пароли внутри 1С, но не затронет файлы лицензий pkey.dat, сертификаты ЭП в реестре ОС и файлы регистрации кластера reginfo.
Отсутствие резервной копии лицензионных файлов может привести к тому, что после восстановления системы на новом железе или виртуальной машине 1С перейдет в демонстрационный режим. Восстановление работоспособности в таком случае потребует повторной активации лицензий, что не всегда возможно оперативно, особенно если доступ к порталу лицензий ограничен.
Рекомендуется включать в скрипты резервного копирования не только каталоги с базами данных, но и системные директории платформы. Для файловых баз это сам каталог базы, для клиент-серверных — дампы SQL, файлы кластера и экспорт реестра с ветками лицензий. Комплексный подход гарантирует возможность полного восстановления инфраструктуры в случае аварии.
При миграции на новый сервер используйте штатные средства переноса, такие как утилита ras (Remote Administration Server) для кластеров, которая позволяет корректно перерегистрировать базы и перенести настройки без ручного редактирования системных файлов.
Полноценная резервная копия инфраструктуры 1С должна включать: дамп базы данных, файлы лицензий (pkey.dat), файлы регистрации кластера и экспортированные сертификаты ЭП.
Часто задаваемые вопросы (FAQ)
Где физически находится файл с паролями пользователей 1С?
В файловом варианте базы данные о пользователях хранятся внутри самого файла базы (расширение .1CD или .DD). В клиент-серверном варианте эта информация resides в системных таблицах СУБД (Microsoft SQL Server, PostgreSQL), которые обслуживают базу данных. Отдельного текстового файла с паролями не существует.
Можно ли перенести лицензии 1С на другой компьютер простым копированием файлов?
Нет, простое копирование файла pkey.dat часто недостаточно, так как привязка лицензий может осуществляться по аппаратному идентификатору (HID) компьютера или сервера. Для переноса необходимо использовать утилиту управления лицензиями или процедуру деактивации/активации через портал лицензий 1С.
Как узнать, где хранится мой сертификат электронной подписи?
Откройте оснастку "Управление сертификатами" (certmgr.msc) в Windows. Ваши личные сертификаты с закрытыми ключами обычно находятся в ветке "Личные" -> "Сертификаты". Путь к контейнеру ключа также можно посмотреть в настройках криптопровайдера (например, CryptoPro CSP) во вкладке "Сервис".
Безопасно ли хранить пароль от базы в файле ibases.v8i?
Это удобно, но снижает безопасность. Файл ibases.v8i хранится в профиле пользователя и пароли в нем зашифрованы, но при наличии прав администратора на компьютере злоумышленник может получить к ним доступ. На рабочих местах с общим доступом эту функцию лучше не использовать.