Przegląd parametrów bezpieczeństwa SAP
Przegląd parametrów bezpieczeństwa SAP
Infrastruktura w obszarze przedsiębiorstw IT i rosnące zagrożenia cybernetyczne to czynniki, które bezpośrednio wpływają na bezpieczeństwo organizacji. Rosnąca liczba firm przechodzących w ostatnim czasie na pracę w trybie zdalnym lub hybrydowym sprawiła, że coraz większy nacisk kładziony jest na monitorowanie bezpieczeństwa systemów, z których korzystają użytkownicy zlokalizowani w różnych miejscach na świecie. Bezpieczeństwo centralnych systemów ERP, których przykładem jest SAP, powinno być zatem priorytetem dla wszystkich firm korzystających z opcji pracy zdalnej lub hybrydowej. Pełne zrozumienie znaczenia roli jaką odgrywa bezpieczeństwo systemu SAP jest ważne dla optymalizacji oprogramowania i wypełnienia podstawowych zobowiązań dotyczących bezpieczeństwa danych dla każdego z użytkowników.
Powszechnym sposobem na poznanie metodyki bezpieczeństwa SAP jest zapoznanie się z dokumentacją techniczną dostarczoną przez producenta. Jest to jednak często dla wielu osób proces zbyt czasochłonny, zwłaszcza w przypadku bezpośredniej styczności z SAP Security oraz terminologią bezpieczeństwa systemów SAP. Dobrą praktyką dla osób rozpoczynających pracę na systemie SAP jest poznanie najważniejszych aspektów bezpieczeństwa SAP i odpowiedzi na pytania jakie aspekty zapewniają bezpieczeństwo tego rodzaju systemu? Co dokładnie oznacza bezpieczeństwo SAP?
SAP Security & Authorizations to system, który chroni dane i aplikacje SAP przed nieautoryzowanym dostępem i użyciem. W celu zapewnienia ochrony danych, SAP zapewnia szeroki zakres kontroli bezpieczeństwa na wielu poziomach. Systemy SAP przechowują poufne informacje i dane wrażliwe dotyczące klientów oraz samej organizacji. Regularne audyty systemów SAP są niezbędne do zapewnienia integralności i bezpieczeństwa danych. Dotyczy to również procesów i rozdziału obowiązków (ang. Segregation of Duties – SoD).
Jednym z kluczowych elementów SAP Security pozwalających na ocenę aktualnego stanu systemu jest weryfikacja konfiguracji bezpieczeństwa dla obszarów dotyczących szeroko rozumianych parametrów będących składowymi BASIS oraz SAP. Konieczna jest diagnoza poziomu ich bezpieczeństwa oraz identyfikacja i eliminacja ewentualnych niedoskonałości lub wad w konfiguracji systemu. Dzięki wczesnemu wykryciu i wyeliminowaniu wadliwych elementów, każda organizacja jest przygotowana do występujących cyklicznie audytów bezpieczeństwa oraz audytu sprawozdań finansowych mających miejsce w przedsiębiorstwach opartych o system SAP.
Wspomniane wcześniej parametry bezpieczeństwa są elementami składowymi Profili systemu SAP, które odpowiedzialne są za określanie lub identyfikację jak uruchomić instancję i skonfigurować różne zmienne, które definiują sposób działania instancji SAP oraz systemu.
Wyróżnić można dwa rodzaje Profili SAP:
Profil domyślny – składa się z parametrów globalnych dotyczących wszystkich instancji w SAP.
Profil instancji – składa się z danych profilu specyficznych dla konkretnej instancji.
Terminologią oraz problematyką parametrów bezpieczeństwa SAP zajmuje się zespół SAP Security, który publikuje oficjalny dokument SAP o nazwie Security Baseline Template.
Czym tak dokładnie jest Security Baseline? Jest to zbiór dobrych praktyk, określający wymagania wstępne dotyczące bezpieczeństwa, które są zasadniczo wymagane do wszelkiego rodzaju implementacji systemu SAP w organizacji. Dokument ten stanowi punkt odniesienia bezpieczeństwa SAP w organizacji. Termin „Baseline” można zdefiniować jako warunki wstępne, które muszą zostać spełnione przed wdrożeniem systemów SAP.
Idea stojąca za „Security Baseline” definiuje również wszystkie środki bezpieczeństwa, które są uważane za „niezbędne” bez ich dalszego analizowania wewnątrz przedsiębiorstw.
Ostatnia zaktualizowana wersja pochodzi z 16 listopada 2021 r. Dokumentacja jest regularnie aktualizowana przez autoryzowany zespół, który w określonych odstępach czasu publikuje nowe wersje.
We wcześniej wspomnianym artykule SAP Security Baseline Template, parametry sklasyfikowane zostały na 3 poziomy standardów bezpieczeństwa:
- Krytyczne
- Standardowe
- Rozszerzone
Wszystkie parametry konfiguracyjne zaproponowane w publikacji to zalecenia oparte na najlepszych praktykach, nie będących jednocześnie wiążącymi ustawieniami systemu. W zależności od indywidualnych potrzeb można dowolnie zmieniać, dodawać lub usuwać wymagania dot. parametrów bezpieczeństwa według własnego uznania. Ważnym natomiast jest, aby podejmować świadome decyzje i być uważnym na możliwość wystąpienia ryzyka i poziomu bezpieczeństwa, który może wyniknąć przy własnej interpretacji wersji „Security Baseline”.
Warto zwrócić uwagę w szczególności na zaproponowane regulacje, które oznaczone są jako „Rozszerzone”. Wymagają one szerszego przeglądu i analizy poprawności. Wykraczają one poza wymagania krytyczne i standardowe oraz rozszerzają standardy bezpieczeństwa na wyższe poziomy ochrony lub dalsze obszary. Z tego względu mogą one nie pasować do każdego środowiska i powinny być dostosowane do wewnętrznych zasad i organizacji, ogólnego krajobrazu IT oraz potrzeb w zakresie bezpieczeństwa.
Najlepszą praktyką rekomendowaną przez zespół SAP Security jest rozpoczęcie od ustalonego, ale ograniczonego zestawu kluczowych wymagań i podnosić poziom bezpieczeństwa SAP sukcesywnie w czasie. Poczynając od wymagań krytycznych i standardowych, natomiast te rozszerzone wdrażać stopniowo w przyszłości.
Parametry bezpieczeństwa i ich wartości dotyczą różnych platform lub technologii używanych przy konfiguracji systemów SAP w przedsiębiorstwie. Jednymi z najczęściej występujących są ABAP, Java oraz HANA. Można też wyróżnić takie rozwiązania jak Web Dispatcher czy RFC Gateway.
Poniższe tabele przedstawiają zestawienie większości wspomnianych wcześniej parametrów bezpieczeństwa SAP ujętych w dokumentacji SAP Security Baseline Template (wersji 2.3).
Poszeregowane zostały ze względu na priorytet, zaczynając od krytycznych, następnie standardowych oraz rozszerzonych.
Kolumny opisują kolejno: nazwę parametru, opis parametru, poziom ryzyka, platformę/technologię, wartość domyślną oraz wartość rekomendowaną przez Security Baseline Template (SBT).
Tabela 1. Parametry krytyczne
| Parametr | Opis parametru | Poziom ryzyka | Platforma lub Technologia | Wartość domyślna | Wartość rekomendowana SBT |
| ms/acl_info | Plik z listą kontroli dostępu dla SAP Message Server | Krytyczne | ABAP | /usr/sap/GDA/SYS/global/ms_acl_info | brak “dummy” wpisów typu: host=* |
| ms/acl_info | Plik z listą kontroli dostępu dla SAP Message Server | Krytyczne | JAVA | /usr/sap/GDA/SYS/global/ms_acl_info | brak “dummy” wpisów typu: host=* |
| listeninterface | Parametr sekcji pliku global.ini w systemach z pojedynczym hostem | Krytyczne | HANA | .local | .local |
| listeninterface | Parametr sekcji pliku global.ini w systemach rozproszonych | Krytyczne | HANA | .local | .internal |
| indexserver.ini/sqltrace/level | Parametr poziomu śledzenia SQL w pliku indexserver.ni | Krytyczne | HANA | – | <> ALL_WITH_RESULTS |
| login/no_automatic_user_sapstar | Kontrola automatycznego przywracania użytkownika SAP* | Krytyczne | ABAP | 1 | 1 |
| login/min_password_lng | Minimalna długość hasła | Krytyczne | ABAP | 6 | >=8 |
| MIN_PASSWORD_LENGTH | Minimalna długość hasła | Krytyczne | ABAP | 6 | >=8 |
| login/password_max_idle_initial | Maksymalne dni kiedy hasło (ustawione przez administratora) może być nieużywane | Krytyczne | ABAP | 0 | pomiędzy 1 a 14 |
| MAX_PASSWORD_IDLE_INITIAL | Maksymalne dni kiedy hasło (ustawione przez administratora) może być nieużywane (bezczynne) | Krytyczne | ABAP | 0 | pomiędzy 1 a 14 |
| login/password_expiration_time | Daty, do których należy zmienić hasło | Krytyczne | ABAP | 0 | 365 |
| PASSWORD_CHANGE_INTERVAL | Daty, do których należy zmienić hasło | Krytyczne | ABAP | 0 | 365 |
| login/password_downwards_compatibility | Kompatybilność wsteczna hasła (8/40 znaków, rozróżnianie wielkości liter) | Krytyczne | ABAP | 0 | 0 |
| ume.logon.security_policy.password_min_length | Minimalna długość hasła | Krytyczne | JAVA | 1 | >=8 |
| minimal_password_length | Minimalna długość hasła | Krytyczne | HANA | 8 | >=8 |
| maximum_unused_initial_password_lifetime | Maksymalne dni kiedy hasło (ustawione przez administratora) może być nieużywane (bezczynne) | Krytyczne | HANA | 14 | <=14 |
| secinfo | Element listy kontroli dostępu do bramki RFC | Krytyczne | ABAP | $(DIR_DATA)/secinfo | ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł |
| reginfo | Element listy kontroli dostępu do RFC Gateway | Krytyczne | ABAP | $(DIR_DATA)/reginfo | ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł |
| gw/sec_info | Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway | Krytyczne | ABAP | /usr/sap/GDA/SYS/global/secinfo | ustawienie na nazwy plików list kontroli dostępu secinfo |
| gw/reg_info | Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway | Krytyczne | ABAP | /usr/sap/GDA/D30/data/reginfo | ustawienie na nazwy plików list kontroli dostępu reginfo |
| gw/reg_no_conn_info | Opcje zabezpieczeń | Krytyczne | ABAP | 1 | przynajmniej bity 1,2,3 i 4 muszą być ustawione (bit 1 od jądra 7.40); musi zawierać jedną z wartości 15,31,47,63,79,95,111,127,143,159,175,191,207,223,239,255 (odpowiednio 1, 65, 129, 193 od Kernela 7.40) |
| gw/acl_mode | Tryb dla nieistniejącego pliku ACL | Krytyczne | ABAP | 1 | 1 |
| gw/monitor | Włącza lub wyłącza polecenia monitora | Krytyczne | ABAP | 1 | 1 |
| gw/sim_mode | Uruchamianie trybu symulacji dla reg_info i sec_info |
Krytyczne | ABAP | 0 | 0 |
| secinfo | Element listy kontroli dostępu do RFC Gateway | Krytyczne | JAVA | $(DIR_DATA)/secinfo | ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł |
| reginfo | Element listy kontroli dostępu do RFC Gateway | Krytyczne | JAVA | $(DIR_DATA)/reginfo | ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł |
| gw/sec_info | Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway | Krytyczne | JAVA | /usr/sap/GDA/SYS/global/secinfo | ustawienie na nazwy plików list kontroli dostępu secinfo |
| gw/reg_info | Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway | Krytyczne | JAVA | /usr/sap/GDA/D30/data/reginfo | ustawienie na nazwy plików list kontroli dostępu reginfo |
| gw/reg_no_conn_info | Opcje zabezpieczeń | Krytyczne | JAVA | 1 | przynajmniej bity 1,2,3 i 4 muszą być ustawione (bit 1 od jądra 7.40); musi zawierać jedną z wartości 15,31,47,63,79,95,111,127,143,159,175,191,207,223,239,255 (odpowiednio 1, 65, 129, 193 od Kernela 7.40) |
| gw/acl_mode | Tryb dla nieistniejącego pliku ACL | Krytyczne | JAVA | 1 | 1 |
| gw/monitor | Włącza lub wyłącza polecenia monitora | Krytyczne | JAVA | 1 | 1 |
| gw/sim_mode | Uruchamianie trybu symulacji dla reg_info i sec_info |
Krytyczne | JAVA | 0 | 0 |
| secinfo | Element listy kontroli dostępu do RFC Gateway | Krytyczne | RFC Gateway | $(DIR_DATA)/secinfo | ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł |
| reginfo | Element listy kontroli dostępu do RFC Gateway | Krytyczne | RFC Gateway | $(DIR_DATA)/reginfo | ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł |
| gw/sec_info | Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway | Krytyczne | RFC Gateway | /usr/sap/GDA/SYS/global/secinfo | ustawienie na nazwy plików list kontroli dostępu secinfo |
| gw/reg_info | Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway | Krytyczne | RFC Gateway | /usr/sap/GDA/D30/data/reginfo | ustawienie na nazwy plików list kontroli dostępu reginfo |
| gw/reg_no_conn_info | Opcje zabezpieczeń | Krytyczne | RFC Gateway | 1 | przynajmniej bity 1,2,3 i 4 muszą być ustawione (bit 1 od jądra 7.40); musi zawierać jedną z wartości 15,31,47,63,79,95,111,127,143,159,175,191,207,223,239,255 (odpowiednio 1, 65, 129, 193 od Kernela 7.40) |
| gw/acl_mode | Tryb dla nieistniejącego pliku ACL | Krytyczne | RFC Gateway | 1 | 1 |
| gw/monitor | Włącza lub wyłącza polecenia monitora | Krytyczne | RFC Gateway | 1 | 1 |
| gw/sim_mode | Uruchamianie trybu symulacji dla reg_info i sec_info |
Krytyczne | RFC Gateway | 0 | 0 |
| global_auditing_state | Element ścieżki audytu HANA | Krytyczne | HANA | TRUE | TRUE |
Tabela 2. Parametry standardowe
| Parametr | Opis parametru | Poziom ryzyka | Platforma lub Technologia | Wartość domyślna | Wartość rekomendowana SBT |
| rec/client | Aktywacja parametru profilu, aby utworzyć dostosowywane logi tabeli | Standardowe | ABAP | OFF | <> OFF |
| TLOGOCHECK | Aktywacja parametru transportów, aby zweryfikować zawartość plików transportowych | Standardowe | ABAP | TRUE | TRUE |
| login/show_detailed_errors | Pokazywanie szczegółowych komunikatów o błędach logowania | Standardowe | ABAP | 1 | 0 |
| is/HTTP/show_server_header | Czy nagłówek HTTP powinien zawierać wpis serwera | Standardowe | ABAP | FALSE | FALSE |
| is/HTTP/show_detailed_errors | Menadżer (ICM) form stron błędów HTTP (krótka lub szczegółowa) |
Standardowe | ABAP | FALSE | FALSE |
| icm/SMTP/show_server_header | Zabrania ujawniania informacji przez nagłówek serwera Internet Communication Manager (ICM). | Standardowe | ABAP | FALSE | FALSE |
| is/HTTP/show_server_header | Czy nagłówek HTTP powinien zawierać wpis serwera | Standardowe | Web Dispatcher | FALSE | FALSE |
| is/HTTP/show_detailed_errors | Menadżer (ICM) form stron błędów HTTP (krótka lub szczegółowa) |
Standardowe | Web Dispatcher | FALSE | FALSE |
| icm/SMTP/show_server_header | Zabrania ujawniania informacji przez nagłówek serwera Internet Communication Manager (ICM). | Standardowe | Web Dispatcher | FALSE | FALSE |
| wdisp/permission_table | Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) | Standardowe | Web Dispatcher | – | D /sap/public/icman/* |
| wdisp/permission_table | Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) | Standardowe | Web Dispatcher | – | D /sap/public/ping |
| wdisp/permission_table | Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) | Standardowe | Web Dispatcher | – | D /sap/public/icf_info/* |
| wdisp/permission_table | Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) | Standardowe | Web Dispatcher | – | D /sap/wdisp/information |
| icm/HTTP/admin_<num> | Konfiguracja internetowego interfejsu administracyjnego |
Standardowe | Web Dispatcher | icm(HTTP/admin_0 = PREFIX=/sap/admin, DOCROOT=$(DIR_ICMAN_ROOT)/admin, AUTHFILE=$(icm/authfile) | Zawiera
CLIENTHOST |
| icm/HTTP/error_templ_path | Katalog, w którym można znaleźć szablony błędów |
Standardowe | Web Dispatcher | /usr/sap/GDA/D30/data/icmandir/error_templ | /usr/sap/<SID>/<Instance>/data/icmerror |
| rdisp/TRACE_HIDE_SEC_DATA | Ustawianie trybu ukrywania dla śledzenia programisty |
Standardowe | Web Dispatcher | ON | ON |
| icm/trace_secured_data | Pokazywanie zaszyfrowanych danych w pliku śledzenia ICM dev_icm | Standardowe | Web Dispatcher | FALSE | FALSE |
| icm/accept_forwarded_cert_via_http | Akceptacja certyfikatu klienta X.509 przekazanego przez HTTP | Standardowe | Web Dispatcher | FALSE | FALSE |
| icm/trusted_reverse_proxy_<num> | Konfigurowanie wielu zaufanych odwrotnych serwerów proxy |
Standardowe | Web Dispatcher | – | brak symboli wieloznacznych dla SUBJECT lub ISSUER |
| abap/path_normalization | Parametr profilu ABAP | Standardowe | ABAP | OFF | <> OFF |
| rdisp/msserv_internal | Wewnętrzny port do komunikacji z serwerem |
Standardowe | ABAP | 3931 | >0000; Ten port musi być blokowany przez wszystkie zapory między siecią serwera a siecią klienta, aby żaden klient nie mógł połączyć się z tym wewnętrznym portem serwera wiadomości. |
| ms/monitor | Włącz/wyłącz monitor zewnętrzny |
Standardowe | ABAP | 0 | 0 |
| ms/admin_port | Port administracyjny dla klientów zewnętrznych | Standardowe | ABAP | – | 0 |
| rdisp/msserv_internal | Wewnętrzny port do komunikacji z serwerem |
Standardowe | JAVA | 3931 | This port must be blocked by all firewalls between the server network and the client network so that no client can connect to this internal Message Server port. |
| ms/monitor | Włącz/wyłącz monitor zewnętrzny |
Standardowe | JAVA | 0 | 0 |
| ms/admin_port | Port administracyjny dla klientów zewnętrznych | Standardowe | JAVA | 0 | 0 |
| auth/rfc_authority_check | Opcja wykonania sprawdzania uprawnień RFC |
Standardowe | ABAP | 1 | 1 lub 6 |
| rfc/callback_security_method | Odrzucenie wywołania zwrotnego RFC za pomocą białej listy |
Standardowe | ABAP | 1 | 3 |
| rfc/selftrust | Zaufane połączenie RFC | Standardowe | ABAP | 1 | 0 |
| /sap/bc/bsp/sap/bsp_veri/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/certmap/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/gui/sap/its/CERTMAP/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/certreq/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/gui/sap/its/CERTREQ/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/echo/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/error/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/FormToRfc/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/icf/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/srt/Idoc/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/idoc_xml/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/report/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/soap/rfc/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/webrfc/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/xrfc/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/xrfc_test/ | Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/bsp_model/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/htmlb_samples/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/it00/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/it01/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/it02/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/it03/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/it04/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/it05/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/itmvc2/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/itsm/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/sbspext_htmlb/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/sbspext_phtmlb/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/sbspext_table/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/sbspext_xhtmlb/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/system_private/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| /sap/bc/bsp/sap/system_public/ | Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) | Standardowe | ABAP | – | wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych) |
| ixml/dtd_restriction | Ograniczenie przetwarzania DTD dla iXML |
Standardowe | ABAP | Expansion | Expansion lub prohibited |
| login/disable_cpic | Wyłączenie przychodzącej komunikacji CPIC | Standardowe | ABAP | 0 | 1 |
| wdisp/add_xforwardedfor_header | Uwzględnienie adresu IP w polu nagłówka x-forwarded-for |
Standardowe | ABAP | FALSE | TRUE |
| HttpOnly/SystemCookiesDataProtection | Właściwość usługi HTTP | Standardowe | Java | FALSE | TRUE |
| SystemCookiesHTTPSProtection | Właściwość usługi HTTP | Standardowe | Java | TRUE | TRUE |
| dynp/checkskip1screen | Aktywuj/dezaktywuj transakcję rozpoczęcia sprawdzania z opcją „pomiń pierwszy ekran” |
Standardowe | ABAP | OFF | ALL |
| dynp/confirmskip1screen | Aktywuj/dezaktywuj potwierdzenie użytkownika do rozpoczęcia transakcji za pomocą „pomiń pierwszy ekran” | Standardowe | ABAP | OFF | ALL |
| auth/check/calltransaction | Zachowanie kontroli uprawnień podczas transakcji wywołania | Standardowe | ABAP | 2 | 2 lub 3 |
| auth/no_check_in_some_cases | Aktywacja Generatora Profili | Standardowe | ABAP | Y | Y |
| auth/object_disabling_active | Wartość 'N’ zabrania wyłączania obiektów autoryzacji |
Standardowe | ABAP | Y | N |
| rdisp/gui_auto_logout | Maksymalny czas bezczynności dla połączeń SAP GUI | Standardowe | ABAP | 0 | <=2 godziny |
| rdisp/vbdelete | Usuwanie starych żądań aktualizacji | Standardowe | ABAP | 50 | 500 |
| ume.logon.selfreg | Samodzielna rejestracja portalu | Standardowe | JAVA | FALSE | FALSE |
| snc/enable | Włącz moduł SNC (bezpieczna komunikacja sieciowa) |
Standardowe | ABAP | 1 | 1 |
| snc/data_protection/min | Minimalne wymagania ochrony danych dla połączeń przychodzących |
Standardowe | ABAP | 3 | 3 |
| snc/data_protection/max | Limit ochrony danych Secure Network Comm. | Standardowe | ABAP | 3 | 3 |
| snc/data_protection/use | Poziom ochrony danych dla połączeń inicjowanych R/3 |
Standardowe | ABAP | 3 | 3 or 9 |
| icm/server_port_<num> | Usługa lub port, który ma być używany przez protokół | Standardowe | Web Dispatcher | – | PROT=HTTPS |
| icm/HTTP/admin_<num> | Konfiguracja internetowego interfejsu administracyjnego |
Standardowe | Web Dispatcher | icm(HTTP/admin_0 = PREFIX=/sap/admin, DOCROOT=$(DIR_ICMAN_ROOT)/admin, AUTHFILE=$(icm/authfile) | PORT=HTTPS_PORT |
| login/password_compliance_to_current_policy | Aktualne hasło musi być zgodne z aktualną polityką dotyczącą haseł | Standardowe | ABAP | 0 | 1 |
| PASSWORD_COMPLIANCE_TO_CURRENT_POLICY | Aktualne hasło musi być zgodne z aktualną polityką dotyczącą haseł | Standardowe | ABAP | 0 | 1 |
| icf/reject_expired_passwd | Unikanie logowania za pomocą początkowych lub wygasłych kont użytkowników | Standardowe | ABAP | 0 | 1 |
| rfc/reject_expired_passwd | Zapobiega logowaniu za pomocą początkowego lub wygasłego hasła przez RFC | Standardowe | ABAP | 0 | 1 |
| force_first_password_change | Wymuś zmianę hasła przy pierwszym logowaniu | Standardowe | HANA | TRUE | TRUE |
| login/ticket_only_by_https | Wygeneruj wniosek, który zostanie wysłany tylko przez https | Standardowe | ABAP | 0 | 1 |
| login/ticket_only_to_host | Wniosek zostanie odesłany tylko do hosta tworzącego | Standardowe | ABAP | 0 | 1 |
| icf/set_HTTPonly_flag_on_cookies | Ustawianie tylko flagi HTTP dla plików cookie | Standardowe | ABAP | 3 | <> 1 lub 3 |
| rsau/enable | Włącz audyt bezpieczeństwa | Standardowe | ABAP | 0 | 1 |
| rsau/integrity | Włącz format pliku integralności | Standardowe | ABAP | 0 | 1 |
| rsau/log_peer_address | Loguj adres równorzędny zamiast terminala | Standardowe | ABAP | 0 | 1 |
| rsau/selection_slots | Liczba miejsc wyboru dla audytu bezpieczeństwa | Standardowe | ABAP | 2 | >=10 |
| rsau/user_selection | Definiuje metodę wyboru użytkownika używaną w funkcjach kernel | Standardowe | ABAP | 0 | 1 |
| icm/HTTP/logging_0 | Specyfikacja rejestrowania HTTP | Standardowe | ABAP | – | PREFIX=/,LOGFILE=http_%y_%m.log,MAXFILES=2,MAXSIZEKB=50000,SWITCHTF =month, LOGFORMAT=%t %a %u1 \”%r\” %s %b %Lms %{Host}i %w1 %w2 |
| icm/HTTP/logging_client_0 | Kontrola logowania HTTP w ICM (lub dyspozytorze sieciowym), jeśli ICM działa jako serwer | Standardowe | ABAP | – | PREFIX=/,LOGFILE=http_client_%y_%m.log,MAXFILES=2,MAXSIZEKB=50000,S WITCHTF=month, LOGFORMAT=%t %a %u1 \”%r\” %s %b %Lms %{Host}i |
| icm/security_log | Konfiguracja dziennika bezpieczeństwa ICM | Standardowe | ABAP | LOGFILE=dev_icm_sec,MAXSIZEKB=10000 | LOGFILE=dev_icm_sec_%y_%m,LEVEL=3,MAXFILES=2,MAXSIZEKB=50000,SWITCH TF=month |
| ms/HTTP/logging_0 | Określenie rejestrowania HTTP na serwerze wiadomości | Standardowe | ABAP | PREFIX=/, LOGFILE=dev_ms_logging, LOGFORMAT=SAPMSG | PREFIX=/,LOGFILE=$(DIR_LOGGING)/ms-http-%y-%m-%d.log%o,MAXFILES=7,MAXSIZEKB=10000,SWITCHTF=day,LOGFORM AT=%t %a %u %r %s %b %{Host}i |
| ms/http_logging | Dynamiczne zmiany rejestrowania HTTP | Standardowe | ABAP | 0 | 1 |
Tabela 3. Parametry rozszerzone
| Parametr | Opis parametru | Poziom ryzyka | Platforma lub Technologia | Wartość domyślna | Wartość rekomendowana SBT |
| RECCLIENT | Parametr w profilu transportowym (używany przez R3trans) | Rozszerzone | ABAP | OFF | Zdefiniowany I nie ustawiony jako OFF |
| VERS_AT_EXP | Parametr transportu do tworzenia wersji obiektów repozytorium w ramach transportów | Rozszerzone | ABAP | TRUE | NO_T odpowiednio TRUE, YES, ON lub 1 dla systemów deweloperskich |
| VERS_AT_IMP | Parametr transportu dla importu obiektów, które są przenoszone bez ponownego przypisania ich do nowego pakietu | Rozszerzone | ABAP | NEVER | Always (dla systemów produkcyjnych) |
| TP_RELEASE | Element parametrów transportu | Rozszerzone | ABAP | – | >= 380.44.90 |
| TP_VERSION | Element parametrów transportu | Rozszerzone | ABAP | 0 | >= 380 |
| sapgui/nwbc_scripting | Włączanie skryptów tylko do odczytu dla nwbc. | Rozszerzone | ABAP | FALSE | FALSE |
| sapgui/user_scripting | Włącz lub wyłącz skrypty użytkownika w interfejsie użytkownika. | Rozszerzone | ABAP | FALSE | FALSE |
| sapgui/user_scripting_disable_recording | Wyłączanie możliwości nagrywania w SAP GUI Scripting | Rozszerzone | ABAP | FALSE | TRUE |
| sapgui/user_scripting_force_notification | Uniemożliwiaj użytkownikom wyłączanie powiadomień SAP GUI Scripting. | Rozszerzone | ABAP | FALSE | TRUE |
| sapgui/user_scripting_per_user | Sprawdzanie uprawnienia użytkownika, aby określić, czy skrypty użytkownika powinny być włączone. | Rozszerzone | ABAP | FALSE | TRUE |
| sapgui/user_scripting_set_readonly | Włącz lub wyłącz wersję tylko do odczytu skryptów GUI SAP. | Rozszerzone | ABAP | FALSE | TRUE |
| snc/accept_insecure_gui | Akceptuj niezabezpieczone loginy SAPGUI do serwera obsługującego SNC | Rozszerzone | ABAP | 1 | U (lub 0) |
| snc/accept_insecure_rfc | Akceptuj niezabezpieczone połączenia RFC z serwerem obsługującym SNC | Rozszerzone | ABAP | 1 | U (lub 0) |
| snc/only_encrypted_gui | Wymuszaj szyfrowane połączenia SAPGUI | Rozszerzone | ABAP | 0 | 1 |
| snc/only_encrypted_rfc | Wymuszaj szyfrowane połączenia RFC | Rozszerzone | ABAP | 0 | 1 |
| snc/log_unencrypted_rfc | Rejestrowanie Audytu Bezpieczeństwa dla niezaszyfrowanych połączeń RFC | Rozszerzone | ABAP | 0 | 2 |
| system/secure_communication | Konfiguracja SSL dla komunikacji wewnętrznej systemu | Rozszerzone | ABAP | ON | ON |
| ssl/ciphersuites | Domyślne zestawy szyfrów serwera SSL/TLS (i flagi) | Rozszerzone | ABAP | 135:PFS:HIGH::EC_P256:EC_HIGH | 135:PFS:HIGH::EC_P256:EC_HIGH |
| ssl/client_ciphersuites | Domyślne zestawy szyfrów klienta SSL/TLS (i flagi) | Rozszerzone | ABAP | 150:PFS:HIGH::EC_P256:EC_HIGH | 150:PFS:HIGH::EC_P256:EC_HIGH |
| login/min_password_digits | Minimalna liczba cyfr w hasłach | Rozszerzone | ABAP | 0 | >=1 |
| MIN_PASSWORD_DIGITS | Minimalna liczba cyfr w hasłach | Rozszerzone | ABAP | 1 | >=1 |
| login/min_password_letters | Minimalna liczba liter w hasłach | Rozszerzone | ABAP | 0 | >=1 |
| MIN_PASSWORD_LETTERS | Minimalna liczba liter w hasłach | Rozszerzone | ABAP | 1 | >=1 |
| login/min_password_lowercase | Minimalna liczba małych liter w hasłach | Rozszerzone | ABAP | 0 | >=1 |
| MIN_PASSWORD_LOWERCASE | Minimalna liczba małych liter w hasłach | Rozszerzone | ABAP | 1 | >=1 |
| login/min_password_uppercase | Minimalna liczba dużych liter w hasłach | Rozszerzone | ABAP | 0 | >=1 |
| MIN_PASSWORD_UPPERCASE | Minimalna liczba dużych liter w hasłach | Rozszerzone | ABAP | 1 | >=1 |
| login/min_password_specials | Minimalna liczba znaków specjalnych w hasłach | Rozszerzone | ABAP | 0 | 1 |
| MIN_PASSWORD_SPECIALS | Minimalna liczba znaków specjalnych w hasłach | Rozszerzone | ABAP | 0 | 1 |
| login/min_password_diff | Minimalna liczba znaków, które różnią się między starym a nowym hasłem | Rozszerzone | ABAP | 1 | >=3 |
| MIN_PASSWORD_DIFFERENCE | Minimalna liczba znaków, które różnią się między starym a nowym hasłem | Rozszerzone | ABAP | 1 | >=3 |
| login/disable_password_logon | Dezaktywuj logowanie oparte na haśle | Rozszerzone | ABAP | 0 | Nie pusty |
| DISABLE_PASSWORD_LOGON | Dezaktywuj logowanie oparte na haśle | Rozszerzone | ABAP | 0 | Nie pusty |
| DISABLE_TICKET_LOGON | Atrybut zasad bezpieczeństwa dotyczący logowania do wniosków | Rozszerzone | ABAP | 0 | Nie pusty |
| login/fails_to_user_lock | Liczba nieudanych prób logowania do momentu zablokowania użytkownika | Rozszerzone | ABAP | 5 | <=5 |
| MAX_FAILED_PASSWORD_LOGON_ATTEMPTS | Liczba nieudanych prób logowania do momentu zablokowania użytkownika | Rozszerzone | ABAP | 5 | <=5 |
| login/failed_user_auto_unlock | Włącz automatyczne odblokowanie zablokowanego użytkownika o północy | Rozszerzone | ABAP | 0 | 0 |
| PASSWORD_LOCK_EXPIRATION | Włącz automatyczne odblokowanie zablokowanego użytkownika o północy | Rozszerzone | ABAP | 0 | 0 |
| login/password_max_idle_productive | Maksymalna ilość dni kiedy hasło (ustawione przez użytkownika) może być nieużywane (bezczynne) | Rozszerzone | ABAP | 0 | >=1 oraz <=180 |
| MAX_PASSWORD_IDLE_PRODUCTIVE | Maksymalna ilość dni kiedy hasło (ustawione przez użytkownika) może być nieużywane (bezczynne) | Rozszerzone | ABAP | #N/D! | >=1 oraz <=180 |
| login/password_change_waittime | Zmiana hasła możliwa po X dniach (od ostatniej zmiany) | Rozszerzone | ABAP | 1 | Nie pusty |
| MIN_PASSWORD_CHANGE_WAITTIME | Zmiana hasła możliwa po X dniach (od ostatniej zmiany) | Rozszerzone | ABAP | 1 | Nie pusty |
| login/password_change_for_SSO | Obsługa wymuszeń zmiany hasła w sytuacjach jednokrotnego logowania | Rozszerzone | ABAP | 1 | 3 |
| PASSWORD_CHANGE_FOR_SSO | Obsługa wymuszeń zmiany hasła w sytuacjach jednokrotnego logowania | Rozszerzone | ABAP | 1 | 1 |
| login/password_history_size | Liczba rekordów, które mają być przechowywane w historii haseł | Rozszerzone | ABAP | 5 | >=5 |
| PASSWORD_HISTORY_SIZE | Liczba rekordów, które mają być przechowywane w historii haseł | Rozszerzone | ABAP | 15 | >=5 |
| login/password_hash_algorithm | Algorytm kodowania i mieszania używany dla nowych haseł | Rozszerzone | ABAP | encoding=RFC2307, algorithm=iSSHA-1, iterations=1024, saltsi | encoding=RFC2307, algorithm=iSSHA – 512, iterations=15000, saltsize=256 |
| ume.logon.security_policy.userid_in_password_allowed | Minimalna liczba cyfr w identyfikatorze logowania użytkownika | Rozszerzone | JAVA | FALSE | FALSE |
| ume.logon.security_policy.oldpass_in_newpass_allowed | Określa, czy stare hasło może być częścią nowego hasła | Rozszerzone | JAVA | FALSE | FALSE |
| ume.logon.security_policy.password_alpha_numeric_required | Minimalna liczba znaków alfabetycznych i numerycznych w hasłach | Rozszerzone | JAVA | 1 | Indywidualne definiowanie zasad |
| ume.logon.security_policy.password_mix_case_required | Minimalna liczba wielkich i małych liter w hasłach | Rozszerzone | JAVA | 0 | Indywidualne definiowanie zasad |
| ume.logon.security_policy.password_special_char_required | Minimalna liczba znaków specjalnych w hasłach | Rozszerzone | JAVA | 0 | Indywidualne definiowanie zasad |
| gw/rem_start | Parametr obszaru bramki do określenia uruchomienia zdalnego programu CPIC | Rozszerzone | ABAP | REMOTE_SHELL | DISABLED lub SSH_SHELL |
| gw/rem_start | Parametr obszaru bramki do określenia uruchomienia zdalnego programu CPIC
|
Rozszerzone | JAVA | REMOTE_SHELL | DISABLED lub SSH_SHELL |
| gw/rem_start | Parametr obszaru bramki do określenia uruchomienia zdalnego programu CPIC | Rozszerzone | RFC Gateway | REMOTE_SHELL | DISABLED lub SSH_SHELL |
| ume.logon.security.enforce_secure_cookie | Bezpieczna właściwość zarządzania użytkownikami plików cookie | Rozszerzone | JAVA | TRUE | TRUE |
| ume.logon.httponlycookie | Parametr cookie przeglądarki, który uniemożliwia skryptom po stronie klienta dostęp do danych | Rozszerzone | JAVA | FALSE | TRUE |
| login.ticket_lifetime | Okres ważności wniosków logowania | Rozszerzone | JAVA | 8 | <=8 |
| enable.xml.hardener | Włączanie XML Hardener dla Application Server Java | Rozszerzone | JAVA | TRUE | TRUE |
Należy pamiętać, że szeroko rozumianych parametrów w środowisku SAPa jest zdecydowanie dużo więcej i wykraczają one poza zakres omawianego materiału Security Baseline. W tym artykule skupiliśmy się głównie na tych odpowiedzialnych za szeroko rozumiane spectrum dotyczące „security” systemu.
Podsumowując, ogólna świadomość terminologii parametrów bezpieczeństwa SAP i związanych z nią podstawowych informacji jest ważnym warunkiem osiągnięcia oczekiwanego poziomu bezpieczeństwa systemu. Oczywiście, nie każdy musi być ekspertem ds. bezpieczeństwa i posiadać niezbędą z tego zakresu wiedzę, ale warto zaangażować się w procesy i śledzić na bieżąco tematy związane z SAP Security. Pozwoli to na identyfikację zagrożeń oraz ocenę, kiedy pomoc ekspertów przy weryfikacji ustawień bezpieczeństwa może być niezbędna. Ignorowanie, unikanie czy nawet próby obejścia mechanizmów bezpieczeństwa może stanowić zagrożenie dla całego środowiska SAP. Przejrzystość oraz prostota są kluczem do pomyślnego wdrożenia parametrów bezpieczeństwa.
Warto również pamiętać, że bezpieczeństwo SAP nie jest jednorazowym podejściem, a ciągłym procesem doskonalenia.
Firma SAP dostarcza również dedykowane narzędzia, które pozwalają monitorować parametry bezpieczeństwa takie jak SAP Focused Run, Enterprise Threat Detection, czy SAP Access Control. Jeżeli jesteście Państwo zainteresowani ich działaniem zapraszamy na naszą stronę www.grcadvisory.com oraz do śledzenia naszego bloga grc.ninja
