Wie führen Unternehmen jetzt Aufzeichnungen? Normalerweise handelt es sich dabei um ein 1C-Paket, das auf dem lokalen Computer des Buchhalters installiert ist und auf dem ein Vollzeitbuchhalter oder ein ausgelagerter Spezialist arbeitet. Ein Outsourcer kann mehrere solcher Kundenunternehmen gleichzeitig verwalten, manchmal sogar konkurrierende.
Bei diesem Ansatz wird der Zugriff auf Girokonten, Krypto-Schutztools, elektronische Dokumentenverwaltung und andere wichtige Dienste direkt auf dem Computer des Buchhalters konfiguriert.
Was bedeutet das? Dass alles in den Händen des Buchhalters liegt und wenn er sich dazu entschließt, den Geschäftsinhaber zu beschuldigen, dann wird er es ein- oder zweimal tun.
Film „RocknRolla“ (2008)
In diesem Artikel erklären wir Ihnen, wie Sie alle Dienste, einschließlich 1C, sicher in einer Cloud sperren, sodass Sie alle Dienste mit einem Knopfdruck deaktivieren können, auch wenn der Buchhalter ins fabelhafte Bali geflogen ist.
Was könnte passieren? Zwei echte Fälle
Wall-Street-Systemadministrator
Die Frau unseres Mitbegründers ist eine erfahrene Buchhalterin, und letzten Monat wandte sich eine große Restaurantkette in Moskau hilfesuchend an sie. Das Restaurant hielt alle Datenbanken auf seinem Server, die von einem festen Systemadministrator aus dem Restaurantteam verwaltet wurden.
Während der Buchhalter gerade arbeitete, ging der Systemadministrator in ein Online-Casino und infizierte sich mit einem Virus, der die gesamte Datenbank zerstörte. Wem haben sie die Schuld gegeben? Genau, der Buchhalter, der gerade angekommen ist.
Die Heldin hat großes Glück, dass ihr Mann geschäftsführender Gesellschafter des Hostings ist und solche Dinge versteht. Nach langem Streit am Telefon (unser Kollege war bereits bereit, das Gesicht des Administrators selbst zu reinigen) wurden Beweise gefunden und der Täter bestraft. Aber die Datenbank ging verloren, das heißt, es gab kein Happy End für den Systemadministrator.
Laptop steckt in fremder Wohnung fest
Dies ist eine alte Geschichte von anderen Leuten, die wir kennen.
Eine erfahrene 64-jährige Frau führte regelmäßig Buchhaltungsunterlagen für einen Online-Shop für chinesische Gadgets mit 1C. Der Kunde und die Datenbank wurden auf einem Laptop gespeichert, der ihr bei der Arbeit gegeben wurde. Es war praktisch: Das Drucken mit Bürodruckern ist einfach, die Basis ist klein und passt auf ein Netbook, Sie können es mit aufs Land oder nach Hause nehmen.
Dann kam es zu einer Tragödie: Am Freitagabend wurde sie mit einem Schlaganfall in einem Krankenwagen abtransportiert. Das Netbook blieb zu Hause, da der Buchhalter zuständig war und am Wochenende die Arbeit übernahm.
Der Laptop wurde natürlich gerettet, der Buchhalter erholt, aber wenn wir diese Situation auf die heutige Zeit übertragen und den Schlaganfall durch ein Coronavirus ersetzen, dann nimmt die Rettung eines Computers aus einer geschlossenen Wohnung ganz andere Ausmaße an.
Können zwei Katzen und ein Labrador Ihnen die Tür öffnen? Selbst wenn Ihre Nachbarin die Blumen gießt und die Katzen füttert, wird sie Ihnen dann den Computer geben?
Aber kommen wir zu 1C in der Cloud – welche Möglichkeiten gibt es für die Bereitstellung und den Betrieb in der Cloud?
Welche allgemeinen Möglichkeiten gibt es für die Arbeit mit 1C in der Cloud?
Option 1. Client + Unternehmensanwendungsserver + Datenbank
Geeignet für große Unternehmen, die die Dienste eines ganzen Teams von Buchhaltern benötigen. Dies ist eine ziemlich teure Option (es sind viele zusätzliche Lizenzen erforderlich), wir werden sie nicht in Betracht ziehen, da es in dem Artikel darum geht, die Arbeit eines Buchhalters für ein kleines Unternehmen einzurichten.
Option 2. 1C: Frisch
1C: Fresh ist eine ziemlich bequeme Möglichkeit, in 1C über einen Browser zu arbeiten. Es sind keine Einstellungen erforderlich: Bei der Anmietung einer solchen Lizenz richtet das Franchisenehmerunternehmen alles selbst ein und Sie erhalten einen Login und ein Passwort.
Aber es gibt zwei Nachteile:
✗ Hoher Preis: Der Basistarif für eine Bewerbung erfordert die Zahlung für 6 Monate auf einmal für mindestens zwei Jobs – 6808 RUR
✗ Sie können keinen VPS-Server selbst einrichten, auf dem viele Unternehmen gleichzeitig arbeiten. Sie erhalten nur einen Schlüssel für Ihr Wohnheimzimmer, basierend auf dem Prinzip des Shared Hosting.
Das Fresh hat auch die 1C: BusinessStart-Konfiguration, ein Abonnement, das als Aktion 400 Rubel kostet. im Monat. Die Konfigurationsmöglichkeiten sind deutlich eingeschränkt; ohne Aktion kostet ein Abonnement 1000 Rubel, außerdem muss man dafür mindestens sechs Monate bezahlen.
Option 3: Ihr eigener VPS, auf dem der 1C-Client und die Datenbank installiert sind
Diese Option eignet sich für kleine Unternehmen mit 1-2 Buchhaltern – sie können ganz bequem arbeiten, ohne den 1C: Enterprise-Anwendungsserver und SQL-Server zu installieren.
Das Schöne an diesem Ansatz ist vor allem, dass ein gemieteter VPS mit einer RDP-Verbindung als vollwertiger Arbeitscomputer für einen Buchhalter fungieren kann.
Wenn alle Datenbanken, Dokumente und Zugriffe auf einem VPS unter Ihrer Kontrolle gespeichert sind, müssen Sie sich keine Sorgen machen, dass Laptops in Ihrer Wohnung eingesperrt sind oder dass der Buchhalter und der Systemadministrator gemeinsam auf die Inseln fliehen und alle Dokumente und Gelder aus dem Strom stehlen Konto. Sie können den Zugriff mit einer Schaltfläche deaktivieren, indem Sie den Benutzer löschen.
Diese Methode ist auch gut und hier ist der Grund:
- Wenn ein Buchhalter mit 1C-Produkten arbeitet, generiert 1C viele Word-, Excel- und Acrobat-Dokumente. Wenn der 1C-Client auf dem Computer des Buchhalters gestartet wird, werden alle Dokumente auf seinem Laptop gespeichert. Beim Arbeiten an einem VPS wird alles auf der virtuellen Maschine gespeichert.
- 1C-Datenbanken und -Dokumente gelangen überhaupt nicht auf den PC des Buchhalters (bei Verwendung von 1C: Fresh müssten Dokumente heruntergeladen werden).
- Die Möglichkeit, einen VPS über VPN mit dem Unternehmensnetzwerk zu verbinden und dem Buchhalter einen sicheren Zugriff auf interne Ressourcen zu ermöglichen (bei Verwendung von 1C: Fresh müsste der Personalcomputer des Buchhalters hierfür mit einem sicheren LAN verbunden sein).
- Sie können eine sichere Integration von 1C: Enterprise mit externen Systemen einrichten: elektronischer Dokumentenfluss, persönliche Konten von Banken, Regierungsdiensten usw. Wenn Sie 1C: Fresh verwenden, müsste der Zugriff auf viele wichtige Dienste auf dem PC des Buchhalters konfiguriert werden.
Und der Preis natürlich. Die Miete einer virtuellen Maschine mit einer 1C-Lizenz kostet etwa 1500 Rubel. pro Monat, wenn Sie königliche Tarife von teuren Hosting-Anbietern in Anspruch nehmen. Dies ist nicht viel teurer als das minimale Basispaket an 1C: Fresh-Diensten und deutlich günstiger als andere Abonnements. Sie können monatlich zahlen.
Eine Lizenz kann bei jedem Franchisenehmer erworben werden, der Preis hängt von der Konfiguration des Produkt- und Dienstleistungspakets ab und nach Ablauf der Laufzeit müssen Sie für den Support über das 1C:ITS-Portal für Updates extra bezahlen.
Wenn du nimmst Für solche Zwecke bieten wir bei uns eine virtuelle Maschine mit vorinstalliertem 1C:Enterprise-Client an (schreiben Sie uns einfach an den Support mit einer Beschreibung Ihrer Aufgabe). Die Miete einer virtuellen Maschine kostet etwa 800 Rubel. pro Monat und die Kosten für die Anmietung einer 1C-Lizenz für einen Arbeitsplatz betragen weitere 700 Rubel. Wir bieten Support ohne zusätzliche Kosten, während 1C: Enterprise von unseren Spezialisten aktualisiert wird, wenn Sie uns schreiben zum technischen Support.
Für einen Buchhalter wird alles genau gleich aussehen – ein vertrauter Desktop, Symbole, Sie können sogar vertraute Hintergrundbilder aufhängen. Und nun zum Punkt, wie man eine solche Cloud erstellt und konfiguriert, deren Zugriff mit einem Knopfdruck deaktiviert werden kann.
Wir bestellen einen VPS mit integriertem 1C: Enterprise
Für einen Buchhalter ist Windows das ideale Betriebssystem. Zur Leistung von VPS – unserer Erfahrung nach für das komfortable Arbeiten von ein oder zwei Mitarbeitern mit der Fileserver-Version von 1C: Ein Unternehmen verfügt über eine ausreichende Konfiguration mit zwei Rechenkernen, mindestens 4-5 GB RAM und schnellen 50 GB-SSD.
Wir automatisieren die Dienste erst, wenn wir genau wissen, was die Kunden benötigen. Daher ist die Verbindung noch nicht automatisiert und Sie müssen einen Server bei 1C über das Ticketsystem bestellen. Wir konfigurieren alles manuell für Sie.
Wenn Sie über RDP eine Verbindung zur erstellten virtuellen Maschine herstellen, sehen Sie etwa Folgendes.
Übertragen der 1C-Datenbank
Der nächste Schritt besteht darin, die Datenbank von der zuvor auf dem Buchhaltungscomputer installierten 1C: Enterprise-Version herunterzuladen.
Anschließend müssen Sie es per FTP, über einen beliebigen Cloud-Speicher oder durch Verbinden eines lokalen Laufwerks mit dem VPS über einen RDP-Client auf einen virtuellen Server hochladen.
Als nächstes müssen Sie im Client-Programm eine Informationsbasis hinzufügen: Wie das geht, zeigen wir in den Screenshots.
Nachdem Sie die 1C: Enterprise-Datenbank erfolgreich hinzugefügt haben, können Sie an Ihrem eigenen VPS arbeiten. Es müssen nur noch Remote-Desktops für Benutzer eingerichtet und mit verschiedenen externen Systemen wie persönlichen Bankkonten oder elektronischen Dokumentenverwaltungsdiensten integriert werden.
Remote-Desktops einrichten
Standardmäßig erlaubt Windows Server maximal zwei gleichzeitige RDP-Sitzungen für die Systemverwaltung. Ihre geschäftliche Nutzung ist technisch nicht schwierig (es reicht aus, einen nichtprivilegierten Benutzer der entsprechenden Gruppe hinzuzufügen), aber dies stellt einen Verstoß gegen die Bedingungen der Lizenzvereinbarung dar.
Um vollständige Remotedesktopdienste (RDS) bereitzustellen, müssen Sie Serverrollen und -funktionen hinzufügen, einen Lizenzserver aktivieren oder einen externen verwenden und separat erworbene Clientzugriffslizenzen (RDS CALs) installieren.
Auch hier können wir helfen: RDS CAL können Sie bei uns ganz einfach schriftlich erwerben . Wir werden weitermachen: Installieren Sie sie auf unserem Lizenzserver und konfigurieren Sie die Remotedesktopdienste.
Aber wenn Sie die Dinge selbst einrichten möchten, verderben wir Ihnen natürlich nicht den Spaß.
Nach der Einrichtung von RDS kann der Buchhalter mit 1C: Enterprise auf einem virtuellen Server wie auf einer lokalen Maschine arbeiten. Vergessen Sie nicht, Standard-Buchhaltungssoftware auf dem VPS zu installieren: Office-Suite, Browser eines Drittanbieters, Acrobat Reader.
Jetzt müssen Sie sich nur noch darum kümmern, den 1C-Kunden mit den Privatkonten der Bank zu verbinden.
Einrichten der Integration mit Banken
1C: Enterprise verfügt über DirectBank-Technologie für den direkten Datenaustausch mit Banken, ohne dass zusätzliche Software installiert werden muss. Damit können Sie Kontoauszüge herunterladen und Zahlungsdokumente versenden, ohne sie in Dateien hochzuladen, wenn die Bank einen solchen Interaktionsstandard unterstützt (andernfalls müssen Sie sich auf altmodische Weise mit Textdateien im 1C-Format begnügen, aber das ist in Ordnung – jetzt). sie werden auf einer virtuellen Maschine gespeichert).
Zunächst wird im Buchhaltungsprogramm ein Girokonto erstellt (sofern noch nicht geschehen). Anschließend müssen Sie dessen Formular in der Karte der Organisation öffnen und den Befehl „Connect 1C: DirectBank“ auswählen. Exchange-Einstellungen können automatisch oder manuell in 1C: Enterprise geladen werden: Detaillierte Anweisungen finden Sie auf der Website der Bank. In einigen Fällen muss die Integration mit 1C-Produkten separat in Ihrem persönlichen Konto aktiviert werden.
Zur Einrichtung benötigen Sie ggf. einen Login und ein Passwort für das Privatkonto des Unternehmens bei der Bank. Die am häufigsten verwendete Methode ist die Zwei-Faktor-Authentifizierung (2FA) per SMS.
Eine weitere beliebte Option, ein sicherer Hardware-Token, ist aufgrund der Verwendung eines virtuellen Servers für uns nicht geeignet. Darüber hinaus müssten die geschützten Medien aus den Räumlichkeiten des Unternehmens entfernt und einem Buchhalter übergeben werden, der aus der Ferne arbeitet, wodurch die Kontrolle darüber verloren ginge.
Die Option mit Login/Passwort und 2FA per SMS kann ebenfalls unsicher sein, obwohl die DirectBank-Technologie Ihnen nur den Empfang von Kontoauszügen und den Versand von Zahlungsdokumenten ermöglicht. Um eine Zahlung durchführen zu können, müssen sie durch eine elektronische digitale Signatur zertifiziert werden, die auf einem sicheren physischen Medium des Kunden oder auf Seiten der Bank gespeichert wird. Im ersten Fall gibt es keine Probleme: Wenn der externe Buchhalter keinen Zugriff auf den Token hat, kann er nur Dokumente generieren.
Bei einer digitalen Cloud-Signatur wird in der Regel eine SMS mit einem Einmalcode zur Bestätigung der Zahlung an dieselbe Telefonnummer gesendet, die zur Authentifizierung in Ihrem persönlichen Konto verwendet wurde. Einige Banken haben dieses Problem selbst gelöst, indem sie Kunden den Datenaustausch über DirectBank ohne 2FA ermöglichen. In diesem Fall kann der Buchhalter nur Kontoauszüge herunterladen und Dokumente versenden, er erhält jedoch keinen Zugriff auf Geld oder gar auf sein persönliches Konto.
Es gibt eine weitere Möglichkeit zur Trennung der Zugriffsebenen: Viele Banken ermöglichen die Nutzung eines Kontos bei State Services über ein einheitliches Identifikations- und Authentifizierungssystem (). Der Manager muss lediglich zu seinen Kontoeinstellungen gehen, die Registerkarte „Organisationen“ auswählen und einen Mitarbeiter einladen. Wenn er die Einladung annimmt, können Sie im Abschnitt „Zugriff auf Systeme“ Ihre Bank finden (nachdem Sie die Integration damit eingerichtet haben) und dem Benutzer Zugriff auf Ihr persönliches Konto gewähren. In diesem Fall ist es nicht erforderlich, ihm die Telefonnummer oder den Token zu übermitteln, mit dem Zahlungsdokumente signiert wurden.
Verbindung zu EDF-Diensten herstellen
Dienste zum Austausch elektronischer Dokumente sind bequem und durch die universelle Fernarbeit einfach notwendig. Client 1C: Enterprise lässt sich mit ihnen integrieren, aber rechtlich bedeutsames EDI erfordert die Verwendung einer qualifizierten elektronischen Signatur.
Es kann nur auf einem Flash-Laufwerk aufgezeichnet oder in einem Cloud-Dienst gespeichert werden, der über die entsprechenden Zertifikate inländischer Aufsichtsbehörden verfügt.
Es ist unmöglich, eine elektronische Signatur auf ein beliebiges Medium hochzuladen oder auf einem VPS zu speichern, daher arbeitet ein Buchhalter normalerweise mit der elektronischen Dokumentenverwaltung von einem lokalen Computer aus, indem er ein Flash-Laufwerk einsteckt. Darauf sind ein zertifiziertes kryptografisches Informationsschutztool (der sogenannte Kryptoprovider) und ein öffentliches elektronisches Signaturzertifikat installiert. Sein geschlossener Teil wird auf einem Flash-Laufwerk gespeichert, das physisch mit dem Computer verbunden sein muss, um Dokumente in Programmen zu signieren, die diese Funktion unterstützen. Um mit EDI über die Weboberfläche arbeiten zu können, benötigen Sie Browser-Plugins.
Damit ein geschäftskritisches System nicht auf dem Personalcomputer eines remote arbeitenden Spezialisten bereitgestellt werden muss, ist auch ein VPS sinnvoll, die Option mit einem physischen Token funktioniert hier jedoch nicht.
Es ist schwer zu sagen, wie sich ein Krypto-Anbieter in einer virtuellen Umgebung verhält, insbesondere wenn er versucht, einen USB-Port über einen RDP-Client an einen VPS weiterzuleiten. Was bleibt, ist eine digitale Cloud-Signatur ohne physisches Medium, aber nicht alle E-Document-Flow-Dienste bieten einen solchen Dienst an. Übrigens kostet es etwa tausend Rubel pro Jahr, die Abonnementgebühr für den Dokumentenaustauschdienst selbst nicht mitgerechnet, die vom Volumen abhängt.
Die gute Nachricht ist, dass fast alle beliebten russischen Dienste seit langem über ein gegenseitiges Roaming von Dokumenten verfügen, sodass Sie sich mit jedem verbinden können. Es gibt auch eine schlechte Nachricht: Eine vollständige Abschaffung des Papiers wird nicht möglich sein, da es unter den Gegenparteien sicherlich auch solche geben wird, die kein EDI nutzen.
Zugriff auf Dienste mithilfe von Zertifikaten einrichten
Viele Dienste ermöglichen die Authentifizierung und Autorisierung ohne Login und Passwort mithilfe von SSL-Client-Zertifikaten, die auch auf einem VPS und nicht auf dem Computer des Buchhalters installiert werden können.
Auf die gleiche Weise können Sie die Authentifizierung für Unternehmenswebressourcen einrichten. Wie kann man das machen:
- Kaufen Sie eine vertrauenswürdige Zertifizierungsstelle, um damit Client-SSL-Zertifikate zu signieren und zu überprüfen.
- Erstellen Sie Client-SSL-Zertifikate, die mit einem vertrauenswürdigen Zertifikat signiert sind.
- Konfigurieren Sie Webserver, um Client-SSL-Zertifikate anzufordern und zu überprüfen.
- Installieren Sie Client-Zertifikate für Remote-Desktop-Benutzer auf dem VPS.
Das Thema der Bereitstellung von 1C: Enterprises für kleine Unternehmen auf virtuellen Servern ist breit gefächert. Wir haben nur eine Methode beschrieben, die zur Gewährleistung der Buchhaltungssicherheit geeignet ist.
VPS kann manchmal gute Dienste leisten und die Installation kritischer IT-Lösungen und die Fernübertragung privater Unternehmensdaten auf den PC eines Spezialisten vermeiden.
Wir hoffen, dass der Artikel für Sie nützlich war.
Source: habr.com