logo_grc_goldlogo_grc_goldlogo_grc_goldlogo_grc_gold
  • Aktualności
  • Oferta
    • Produkty SAP GRC
    • RSA Archer eGRC
    • smartGRC
    • Zgodność z RODO/GDPR
    • Dedykowane szkolenia
    • 🆕 SAP Security & Authorizations
  • Blog
  • O firmie
  • Kariera
  • Kontakt
  • Kariera
    • Aktualne oferty
    • Aplikuj
polski
  • angielski
✕
  • Home
  • Blog
  • Blog ekspertów
  • Przegląd parametrów bezpieczeństwa SAP

Przegląd parametrów bezpieczeństwa SAP

9 lutego 2023

Przegląd parametrów bezpieczeństwa SAP

 

Infrastruktura w obszarze przedsiębiorstw IT i rosnące zagrożenia cybernetyczne to czynniki, które bezpośrednio wpływają na bezpieczeństwo organizacji. Rosnąca liczba firm przechodzących w ostatnim czasie na pracę w trybie zdalnym lub hybrydowym sprawiła, że coraz większy nacisk kładziony jest na monitorowanie bezpieczeństwa systemów, z których korzystają użytkownicy zlokalizowani w różnych miejscach na świecie. Bezpieczeństwo centralnych systemów ERP, których przykładem jest SAP, powinno być zatem priorytetem dla wszystkich firm korzystających z opcji pracy zdalnej lub hybrydowej. Pełne zrozumienie znaczenia roli jaką odgrywa bezpieczeństwo systemu SAP jest ważne dla optymalizacji oprogramowania i wypełnienia podstawowych zobowiązań dotyczących bezpieczeństwa danych dla każdego z użytkowników.

Powszechnym sposobem na poznanie metodyki bezpieczeństwa SAP jest zapoznanie się z dokumentacją techniczną dostarczoną przez producenta. Jest to jednak często dla wielu osób proces zbyt czasochłonny, zwłaszcza w przypadku bezpośredniej styczności z SAP Security oraz terminologią bezpieczeństwa systemów SAP. Dobrą praktyką dla osób rozpoczynających pracę na systemie SAP jest poznanie najważniejszych aspektów bezpieczeństwa SAP i odpowiedzi na pytania jakie aspekty zapewniają bezpieczeństwo tego rodzaju systemu? Co dokładnie oznacza bezpieczeństwo SAP?

SAP Security & Authorizations to system, który chroni dane i aplikacje SAP przed nieautoryzowanym dostępem i użyciem. W celu zapewnienia ochrony danych, SAP zapewnia szeroki zakres kontroli bezpieczeństwa na wielu poziomach. Systemy SAP przechowują poufne informacje i dane wrażliwe dotyczące klientów oraz samej organizacji. Regularne audyty systemów SAP są niezbędne do zapewnienia integralności i bezpieczeństwa danych. Dotyczy to również procesów i rozdziału obowiązków (ang. Segregation of Duties – SoD).

Jednym z kluczowych elementów SAP Security pozwalających na ocenę aktualnego stanu systemu jest weryfikacja konfiguracji bezpieczeństwa dla obszarów dotyczących szeroko rozumianych parametrów będących składowymi BASIS oraz SAP. Konieczna jest diagnoza poziomu ich bezpieczeństwa oraz identyfikacja i eliminacja ewentualnych niedoskonałości lub wad w konfiguracji systemu. Dzięki wczesnemu wykryciu i wyeliminowaniu wadliwych elementów, każda organizacja jest przygotowana do występujących cyklicznie audytów bezpieczeństwa oraz audytu sprawozdań finansowych mających miejsce w przedsiębiorstwach opartych o system SAP.

 

Wspomniane wcześniej parametry bezpieczeństwa są elementami składowymi Profili systemu SAP, które odpowiedzialne są za określanie lub identyfikację jak uruchomić instancję i skonfigurować różne zmienne, które definiują sposób działania instancji SAP oraz systemu.

 

Wyróżnić można dwa rodzaje Profili SAP:

Profil domyślny – składa się z parametrów globalnych dotyczących wszystkich instancji w SAP.

Profil instancji – składa się z danych profilu specyficznych dla konkretnej instancji.

 

Terminologią oraz problematyką parametrów bezpieczeństwa SAP zajmuje się zespół SAP Security, który publikuje oficjalny dokument SAP o nazwie Security Baseline Template.

Czym tak dokładnie jest Security Baseline? Jest to zbiór dobrych praktyk, określający wymagania wstępne dotyczące bezpieczeństwa, które są zasadniczo wymagane do wszelkiego rodzaju implementacji systemu SAP w organizacji. Dokument ten stanowi punkt odniesienia bezpieczeństwa SAP w organizacji. Termin „Baseline” można zdefiniować jako warunki wstępne, które muszą zostać spełnione przed wdrożeniem systemów SAP. 

Idea stojąca za „Security Baseline” definiuje również wszystkie środki bezpieczeństwa, które są uważane za „niezbędne” bez ich dalszego analizowania wewnątrz przedsiębiorstw.

 

Ostatnia zaktualizowana wersja pochodzi z 16 listopada 2021 r. Dokumentacja jest regularnie aktualizowana przez autoryzowany zespół, który w określonych odstępach czasu publikuje nowe wersje.

We wcześniej wspomnianym artykule SAP Security Baseline Template, parametry sklasyfikowane zostały na 3 poziomy standardów bezpieczeństwa:

  • Krytyczne
  • Standardowe
  • Rozszerzone

 

Wszystkie parametry konfiguracyjne zaproponowane w publikacji to zalecenia oparte na najlepszych praktykach, nie będących jednocześnie wiążącymi ustawieniami systemu. W zależności od indywidualnych potrzeb można dowolnie zmieniać, dodawać lub usuwać wymagania dot. parametrów bezpieczeństwa według własnego uznania. Ważnym natomiast jest, aby podejmować świadome decyzje i być uważnym na możliwość wystąpienia ryzyka i poziomu bezpieczeństwa, który może wyniknąć przy własnej interpretacji wersji „Security Baseline”. 

Warto zwrócić uwagę w szczególności na zaproponowane regulacje, które oznaczone są jako „Rozszerzone”. Wymagają one szerszego przeglądu i analizy poprawności. Wykraczają one poza wymagania krytyczne i standardowe oraz rozszerzają standardy bezpieczeństwa na wyższe poziomy ochrony lub dalsze obszary. Z tego względu mogą one nie pasować do każdego środowiska i powinny być dostosowane do wewnętrznych zasad i organizacji, ogólnego krajobrazu IT oraz potrzeb w zakresie bezpieczeństwa.

Najlepszą praktyką rekomendowaną przez zespół SAP Security jest rozpoczęcie od ustalonego, ale ograniczonego zestawu kluczowych wymagań i podnosić poziom bezpieczeństwa SAP sukcesywnie w czasie. Poczynając od wymagań krytycznych i standardowych, natomiast te rozszerzone wdrażać stopniowo w przyszłości.

 

Parametry bezpieczeństwa i ich wartości dotyczą różnych platform lub technologii używanych przy konfiguracji systemów SAP w przedsiębiorstwie. Jednymi z najczęściej występujących są ABAP, Java oraz HANA. Można też wyróżnić takie rozwiązania jak Web Dispatcher czy RFC Gateway.

Poniższe tabele przedstawiają zestawienie większości wspomnianych wcześniej parametrów bezpieczeństwa SAP ujętych w dokumentacji SAP Security Baseline Template (wersji 2.3).

Poszeregowane zostały ze względu na priorytet, zaczynając od krytycznych, następnie standardowych oraz rozszerzonych.

Kolumny opisują kolejno: nazwę parametru, opis parametru, poziom ryzyka, platformę/technologię, wartość domyślną oraz wartość rekomendowaną przez Security Baseline Template (SBT).

 

Tabela 1. Parametry krytyczne

Parametr Opis parametru Poziom ryzyka Platforma lub Technologia Wartość domyślna Wartość rekomendowana SBT
ms/acl_info Plik z listą kontroli dostępu dla SAP Message Server Krytyczne ABAP /usr/sap/GDA/SYS/global/ms_acl_info brak “dummy” wpisów typu: host=*
ms/acl_info Plik z listą kontroli dostępu dla SAP Message Server Krytyczne JAVA /usr/sap/GDA/SYS/global/ms_acl_info brak “dummy” wpisów typu: host=*
listeninterface Parametr sekcji pliku global.ini w systemach z pojedynczym hostem Krytyczne HANA .local .local
listeninterface Parametr sekcji pliku global.ini w systemach rozproszonych Krytyczne HANA .local .internal
indexserver.ini/sqltrace/level Parametr poziomu śledzenia SQL w pliku indexserver.ni Krytyczne HANA – <> ALL_WITH_RESULTS
login/no_automatic_user_sapstar Kontrola automatycznego przywracania użytkownika SAP* Krytyczne ABAP 1 1
login/min_password_lng Minimalna długość hasła Krytyczne ABAP 6 >=8
MIN_PASSWORD_LENGTH Minimalna długość hasła Krytyczne ABAP 6 >=8
login/password_max_idle_initial Maksymalne dni kiedy hasło (ustawione przez administratora) może być nieużywane  Krytyczne ABAP 0 pomiędzy  1 a 14
MAX_PASSWORD_IDLE_INITIAL Maksymalne dni kiedy hasło (ustawione przez administratora) może być nieużywane (bezczynne) Krytyczne ABAP 0 pomiędzy  1 a 14
login/password_expiration_time Daty, do których należy zmienić hasło Krytyczne ABAP 0 365
PASSWORD_CHANGE_INTERVAL Daty, do których należy zmienić hasło Krytyczne ABAP 0 365
login/password_downwards_compatibility Kompatybilność wsteczna hasła (8/40 znaków, rozróżnianie wielkości liter) Krytyczne ABAP 0 0
ume.logon.security_policy.password_min_length Minimalna długość hasła Krytyczne JAVA 1 >=8
minimal_password_length Minimalna długość hasła Krytyczne HANA 8 >=8
maximum_unused_initial_password_lifetime Maksymalne dni kiedy hasło (ustawione przez administratora) może być nieużywane (bezczynne) Krytyczne HANA 14 <=14
secinfo Element listy kontroli dostępu do bramki RFC Krytyczne ABAP $(DIR_DATA)/secinfo ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł
reginfo Element listy kontroli dostępu do RFC Gateway Krytyczne ABAP $(DIR_DATA)/reginfo ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł
gw/sec_info Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway Krytyczne ABAP /usr/sap/GDA/SYS/global/secinfo ustawienie na nazwy plików list kontroli dostępu secinfo
gw/reg_info Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway Krytyczne ABAP /usr/sap/GDA/D30/data/reginfo ustawienie na nazwy plików list kontroli dostępu reginfo
gw/reg_no_conn_info Opcje zabezpieczeń Krytyczne ABAP 1 przynajmniej bity 1,2,3 i 4 muszą być ustawione (bit 1 od jądra 7.40); musi zawierać jedną z wartości 15,31,47,63,79,95,111,127,143,159,175,191,207,223,239,255 (odpowiednio 1, 65, 129, 193 od Kernela 7.40)
gw/acl_mode Tryb dla nieistniejącego pliku ACL Krytyczne ABAP 1 1
gw/monitor Włącza lub wyłącza polecenia monitora Krytyczne ABAP 1 1
gw/sim_mode
Uruchamianie trybu symulacji dla reg_info i sec_info
Krytyczne ABAP 0 0
secinfo Element listy kontroli dostępu do RFC Gateway Krytyczne JAVA $(DIR_DATA)/secinfo ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł
reginfo Element listy kontroli dostępu do RFC Gateway Krytyczne JAVA $(DIR_DATA)/reginfo ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł
gw/sec_info Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway Krytyczne JAVA /usr/sap/GDA/SYS/global/secinfo ustawienie na nazwy plików list kontroli dostępu secinfo
gw/reg_info Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway Krytyczne JAVA /usr/sap/GDA/D30/data/reginfo ustawienie na nazwy plików list kontroli dostępu reginfo
gw/reg_no_conn_info Opcje zabezpieczeń Krytyczne JAVA 1 przynajmniej bity 1,2,3 i 4 muszą być ustawione (bit 1 od jądra 7.40); musi zawierać jedną z wartości 15,31,47,63,79,95,111,127,143,159,175,191,207,223,239,255 (odpowiednio 1, 65, 129, 193 od Kernela 7.40)
gw/acl_mode Tryb dla nieistniejącego pliku ACL Krytyczne JAVA 1 1
gw/monitor Włącza lub wyłącza polecenia monitora Krytyczne JAVA 1 1
gw/sim_mode
Uruchamianie trybu symulacji dla reg_info i sec_info
Krytyczne JAVA 0 0
secinfo Element listy kontroli dostępu do RFC Gateway Krytyczne RFC Gateway $(DIR_DATA)/secinfo ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł
reginfo Element listy kontroli dostępu do RFC Gateway Krytyczne RFC Gateway $(DIR_DATA)/reginfo ograniczyć dostęp do serwerów RFC do tylko oczekiwanych źródeł
gw/sec_info Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway Krytyczne RFC Gateway /usr/sap/GDA/SYS/global/secinfo ustawienie na nazwy plików list kontroli dostępu secinfo
gw/reg_info Zewnętrzna nazwa pliku zabezpieczeń dla RFC Gateway Krytyczne RFC Gateway /usr/sap/GDA/D30/data/reginfo ustawienie na nazwy plików list kontroli dostępu reginfo
gw/reg_no_conn_info Opcje zabezpieczeń Krytyczne RFC Gateway 1 przynajmniej bity 1,2,3 i 4 muszą być ustawione (bit 1 od jądra 7.40); musi zawierać jedną z wartości 15,31,47,63,79,95,111,127,143,159,175,191,207,223,239,255 (odpowiednio 1, 65, 129, 193 od Kernela 7.40)
gw/acl_mode Tryb dla nieistniejącego pliku ACL Krytyczne RFC Gateway 1 1
gw/monitor Włącza lub wyłącza polecenia monitora Krytyczne RFC Gateway 1 1
gw/sim_mode
Uruchamianie trybu symulacji dla reg_info i sec_info
Krytyczne RFC Gateway 0 0
global_auditing_state Element ścieżki audytu HANA Krytyczne HANA TRUE TRUE

 

Tabela 2. Parametry standardowe

Parametr Opis parametru Poziom ryzyka Platforma lub Technologia Wartość domyślna Wartość rekomendowana SBT
rec/client Aktywacja parametru profilu, aby utworzyć dostosowywane logi tabeli Standardowe ABAP OFF <> OFF
TLOGOCHECK Aktywacja parametru transportów, aby zweryfikować zawartość plików transportowych Standardowe ABAP TRUE TRUE
login/show_detailed_errors Pokazywanie szczegółowych komunikatów o błędach logowania Standardowe ABAP 1 0
is/HTTP/show_server_header Czy nagłówek HTTP powinien zawierać wpis serwera Standardowe ABAP FALSE FALSE
is/HTTP/show_detailed_errors
Menadżer (ICM) form stron błędów HTTP (krótka lub szczegółowa)
Standardowe ABAP FALSE FALSE
icm/SMTP/show_server_header Zabrania ujawniania informacji przez nagłówek serwera Internet Communication Manager (ICM). Standardowe ABAP FALSE FALSE
is/HTTP/show_server_header Czy nagłówek HTTP powinien zawierać wpis serwera Standardowe Web Dispatcher FALSE FALSE
is/HTTP/show_detailed_errors
Menadżer (ICM) form stron błędów HTTP (krótka lub szczegółowa)
Standardowe Web Dispatcher FALSE FALSE
icm/SMTP/show_server_header Zabrania ujawniania informacji przez nagłówek serwera Internet Communication Manager (ICM). Standardowe Web Dispatcher FALSE FALSE
wdisp/permission_table Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) Standardowe Web Dispatcher – D /sap/public/icman/*
wdisp/permission_table Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) Standardowe Web Dispatcher – D /sap/public/ping
wdisp/permission_table Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) Standardowe Web Dispatcher – D /sap/public/icf_info/*
wdisp/permission_table Plik tekstowy opisujący tabelę uprawnień URI (SAP Web Dispatcher) Standardowe Web Dispatcher – D /sap/wdisp/information
icm/HTTP/admin_<num>
Konfiguracja internetowego interfejsu administracyjnego
Standardowe Web Dispatcher icm(HTTP/admin_0 = PREFIX=/sap/admin, DOCROOT=$(DIR_ICMAN_ROOT)/admin, AUTHFILE=$(icm/authfile) Zawiera

CLIENTHOST

icm/HTTP/error_templ_path
Katalog, w którym można znaleźć szablony błędów
Standardowe Web Dispatcher /usr/sap/GDA/D30/data/icmandir/error_templ /usr/sap/<SID>/<Instance>/data/icmerror
rdisp/TRACE_HIDE_SEC_DATA
Ustawianie trybu ukrywania dla śledzenia programisty
Standardowe Web Dispatcher ON ON
icm/trace_secured_data Pokazywanie zaszyfrowanych danych w pliku śledzenia ICM dev_icm Standardowe Web Dispatcher FALSE FALSE
icm/accept_forwarded_cert_via_http Akceptacja certyfikatu klienta X.509 przekazanego przez HTTP Standardowe Web Dispatcher FALSE FALSE
icm/trusted_reverse_proxy_<num>
Konfigurowanie wielu zaufanych odwrotnych serwerów proxy
Standardowe Web Dispatcher – brak symboli wieloznacznych dla SUBJECT lub ISSUER
abap/path_normalization Parametr profilu ABAP Standardowe ABAP OFF <> OFF
rdisp/msserv_internal
Wewnętrzny port do komunikacji z serwerem
Standardowe ABAP 3931 >0000; Ten port musi być blokowany przez wszystkie zapory między siecią serwera a siecią klienta, aby żaden klient nie mógł połączyć się z tym wewnętrznym portem serwera wiadomości.
ms/monitor
Włącz/wyłącz monitor zewnętrzny
Standardowe ABAP 0 0
ms/admin_port Port administracyjny dla klientów zewnętrznych Standardowe ABAP – 0
rdisp/msserv_internal
Wewnętrzny port do komunikacji z serwerem
Standardowe JAVA 3931 This port must be blocked by all firewalls between the server network and the client network so that no client can connect to this internal Message Server port.
ms/monitor
Włącz/wyłącz monitor zewnętrzny
Standardowe JAVA 0 0
ms/admin_port Port administracyjny dla klientów zewnętrznych Standardowe JAVA 0 0
auth/rfc_authority_check
Opcja wykonania sprawdzania uprawnień RFC
Standardowe ABAP 1 1 lub 6
rfc/callback_security_method
Odrzucenie wywołania zwrotnego RFC za pomocą białej listy
Standardowe ABAP 1 3
rfc/selftrust Zaufane połączenie RFC Standardowe ABAP 1 0
/sap/bc/bsp/sap/bsp_veri/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/certmap/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/gui/sap/its/CERTMAP/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/certreq/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/gui/sap/its/CERTREQ/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/echo/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/error/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/FormToRfc/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/icf/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/srt/Idoc/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/idoc_xml/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/report/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/soap/rfc/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/webrfc/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/xrfc/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/xrfc_test/ Serwisy ICF jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/bsp_model/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/htmlb_samples/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/it00/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/it01/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/it02/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/it03/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/it04/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/it05/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/itmvc2/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/itsm/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/sbspext_htmlb/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/sbspext_phtmlb/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/sbspext_table/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/sbspext_xhtmlb/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/system_private/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
/sap/bc/bsp/sap/system_public/ Serwisy krytyczne jako elementy Strony Serwera Biznesowego (BSP) Standardowe ABAP – wyłączone, jeśli istnieją w aktualnej wersji (i nie są używane w scenariuszach biznesowych)
ixml/dtd_restriction
Ograniczenie przetwarzania DTD dla iXML
Standardowe ABAP Expansion Expansion lub prohibited
login/disable_cpic Wyłączenie przychodzącej komunikacji CPIC Standardowe ABAP 0 1
wdisp/add_xforwardedfor_header
Uwzględnienie adresu IP w polu nagłówka x-forwarded-for
Standardowe ABAP FALSE TRUE
HttpOnly/SystemCookiesDataProtection Właściwość usługi HTTP Standardowe Java FALSE TRUE
SystemCookiesHTTPSProtection  Właściwość usługi HTTP Standardowe Java TRUE TRUE
dynp/checkskip1screen
Aktywuj/dezaktywuj transakcję rozpoczęcia sprawdzania z opcją „pomiń pierwszy ekran”
Standardowe ABAP OFF ALL
dynp/confirmskip1screen Aktywuj/dezaktywuj potwierdzenie użytkownika do rozpoczęcia transakcji za pomocą „pomiń pierwszy ekran” Standardowe ABAP OFF ALL
auth/check/calltransaction Zachowanie kontroli uprawnień podczas transakcji wywołania Standardowe ABAP 2 2 lub 3
auth/no_check_in_some_cases Aktywacja Generatora Profili Standardowe ABAP Y Y
auth/object_disabling_active
Wartość 'N’ zabrania wyłączania obiektów autoryzacji
Standardowe ABAP Y N
rdisp/gui_auto_logout Maksymalny czas bezczynności dla połączeń SAP GUI Standardowe ABAP 0 <=2 godziny
rdisp/vbdelete Usuwanie starych żądań aktualizacji Standardowe ABAP 50 500
ume.logon.selfreg Samodzielna rejestracja portalu Standardowe JAVA FALSE FALSE
snc/enable
Włącz moduł SNC (bezpieczna komunikacja sieciowa)
Standardowe ABAP 1 1
snc/data_protection/min
Minimalne wymagania ochrony danych dla połączeń przychodzących
Standardowe ABAP 3 3
snc/data_protection/max Limit ochrony danych Secure Network Comm. Standardowe ABAP 3 3
snc/data_protection/use
Poziom ochrony danych dla połączeń inicjowanych R/3
Standardowe ABAP 3 3 or 9
icm/server_port_<num> Usługa lub port, który ma być używany przez protokół Standardowe Web Dispatcher – PROT=HTTPS
icm/HTTP/admin_<num>
Konfiguracja internetowego interfejsu administracyjnego
Standardowe Web Dispatcher icm(HTTP/admin_0 = PREFIX=/sap/admin, DOCROOT=$(DIR_ICMAN_ROOT)/admin, AUTHFILE=$(icm/authfile) PORT=HTTPS_PORT
login/password_compliance_to_current_policy Aktualne hasło musi być zgodne z aktualną polityką dotyczącą haseł Standardowe ABAP 0 1
PASSWORD_COMPLIANCE_TO_CURRENT_POLICY Aktualne hasło musi być zgodne z aktualną polityką dotyczącą haseł Standardowe ABAP 0 1
icf/reject_expired_passwd Unikanie logowania za pomocą początkowych lub wygasłych kont użytkowników Standardowe ABAP 0 1
rfc/reject_expired_passwd Zapobiega logowaniu za pomocą początkowego lub wygasłego hasła przez RFC Standardowe ABAP 0 1
force_first_password_change Wymuś zmianę hasła przy pierwszym logowaniu Standardowe HANA TRUE TRUE
login/ticket_only_by_https Wygeneruj wniosek, który zostanie wysłany tylko przez https Standardowe ABAP 0 1
login/ticket_only_to_host Wniosek zostanie odesłany tylko do hosta tworzącego Standardowe ABAP 0 1
icf/set_HTTPonly_flag_on_cookies Ustawianie tylko flagi HTTP dla plików cookie Standardowe ABAP 3 <> 1 lub 3
rsau/enable Włącz audyt bezpieczeństwa Standardowe ABAP 0 1
rsau/integrity Włącz format pliku integralności Standardowe ABAP 0 1
rsau/log_peer_address Loguj adres równorzędny zamiast terminala Standardowe ABAP 0 1
rsau/selection_slots Liczba miejsc wyboru dla audytu bezpieczeństwa Standardowe ABAP 2 >=10
rsau/user_selection Definiuje metodę wyboru użytkownika używaną w funkcjach kernel Standardowe ABAP 0 1
icm/HTTP/logging_0 Specyfikacja rejestrowania HTTP Standardowe ABAP – PREFIX=/,LOGFILE=http_%y_%m.log,MAXFILES=2,MAXSIZEKB=50000,SWITCHTF
=month, LOGFORMAT=%t %a %u1 \”%r\” %s %b %Lms %{Host}i %w1 %w2
icm/HTTP/logging_client_0 Kontrola logowania HTTP w ICM (lub dyspozytorze sieciowym), jeśli ICM działa jako serwer Standardowe ABAP – PREFIX=/,LOGFILE=http_client_%y_%m.log,MAXFILES=2,MAXSIZEKB=50000,S
WITCHTF=month, LOGFORMAT=%t %a %u1 \”%r\” %s %b %Lms %{Host}i
icm/security_log Konfiguracja dziennika bezpieczeństwa ICM Standardowe ABAP LOGFILE=dev_icm_sec,MAXSIZEKB=10000 LOGFILE=dev_icm_sec_%y_%m,LEVEL=3,MAXFILES=2,MAXSIZEKB=50000,SWITCH
TF=month
ms/HTTP/logging_0 Określenie rejestrowania HTTP na serwerze wiadomości Standardowe ABAP PREFIX=/, LOGFILE=dev_ms_logging, LOGFORMAT=SAPMSG PREFIX=/,LOGFILE=$(DIR_LOGGING)/ms-http-%y-%m-%d.log%o,MAXFILES=7,MAXSIZEKB=10000,SWITCHTF=day,LOGFORM
AT=%t %a %u %r %s %b %{Host}i
ms/http_logging Dynamiczne zmiany rejestrowania HTTP Standardowe ABAP 0 1

 

 Tabela 3. Parametry rozszerzone

Parametr Opis parametru Poziom ryzyka Platforma lub Technologia Wartość domyślna Wartość rekomendowana SBT
RECCLIENT Parametr w profilu transportowym (używany przez R3trans) Rozszerzone ABAP OFF Zdefiniowany I nie ustawiony jako OFF
VERS_AT_EXP Parametr transportu do tworzenia wersji obiektów repozytorium w ramach transportów Rozszerzone ABAP TRUE NO_T odpowiednio TRUE, YES, ON lub 1 dla systemów deweloperskich
VERS_AT_IMP Parametr transportu dla importu obiektów, które są przenoszone bez ponownego przypisania ich do nowego pakietu Rozszerzone ABAP NEVER Always (dla systemów produkcyjnych)
TP_RELEASE Element parametrów transportu Rozszerzone ABAP – >= 380.44.90
TP_VERSION Element parametrów transportu Rozszerzone ABAP 0 >= 380
sapgui/nwbc_scripting Włączanie skryptów tylko do odczytu dla nwbc. Rozszerzone ABAP FALSE FALSE
sapgui/user_scripting Włącz lub wyłącz skrypty użytkownika w interfejsie użytkownika. Rozszerzone ABAP FALSE FALSE
sapgui/user_scripting_disable_recording Wyłączanie możliwości nagrywania w SAP GUI Scripting Rozszerzone ABAP FALSE TRUE
sapgui/user_scripting_force_notification Uniemożliwiaj użytkownikom wyłączanie powiadomień SAP GUI Scripting. Rozszerzone ABAP FALSE TRUE
sapgui/user_scripting_per_user Sprawdzanie uprawnienia użytkownika, aby określić, czy skrypty użytkownika powinny być włączone. Rozszerzone ABAP FALSE TRUE
sapgui/user_scripting_set_readonly Włącz lub wyłącz wersję tylko do odczytu skryptów GUI SAP. Rozszerzone ABAP FALSE TRUE
snc/accept_insecure_gui Akceptuj niezabezpieczone loginy SAPGUI do serwera obsługującego SNC Rozszerzone ABAP 1 U (lub 0)
snc/accept_insecure_rfc Akceptuj niezabezpieczone połączenia RFC z serwerem obsługującym SNC Rozszerzone ABAP 1 U (lub 0)
snc/only_encrypted_gui Wymuszaj szyfrowane połączenia SAPGUI Rozszerzone ABAP 0 1
snc/only_encrypted_rfc Wymuszaj szyfrowane połączenia RFC Rozszerzone ABAP 0 1
snc/log_unencrypted_rfc Rejestrowanie Audytu Bezpieczeństwa dla niezaszyfrowanych połączeń RFC Rozszerzone ABAP 0 2
system/secure_communication Konfiguracja SSL dla komunikacji wewnętrznej systemu Rozszerzone ABAP ON ON
ssl/ciphersuites Domyślne zestawy szyfrów serwera SSL/TLS (i flagi) Rozszerzone ABAP 135:PFS:HIGH::EC_P256:EC_HIGH 135:PFS:HIGH::EC_P256:EC_HIGH
ssl/client_ciphersuites Domyślne zestawy szyfrów klienta SSL/TLS (i flagi) Rozszerzone ABAP 150:PFS:HIGH::EC_P256:EC_HIGH 150:PFS:HIGH::EC_P256:EC_HIGH
login/min_password_digits Minimalna liczba cyfr w hasłach Rozszerzone ABAP 0 >=1
MIN_PASSWORD_DIGITS Minimalna liczba cyfr w hasłach Rozszerzone ABAP 1 >=1
login/min_password_letters Minimalna liczba liter w hasłach Rozszerzone ABAP 0 >=1
MIN_PASSWORD_LETTERS Minimalna liczba liter w hasłach Rozszerzone ABAP 1 >=1
login/min_password_lowercase Minimalna liczba małych liter w hasłach Rozszerzone ABAP 0 >=1
MIN_PASSWORD_LOWERCASE Minimalna liczba małych liter w hasłach Rozszerzone ABAP 1 >=1
login/min_password_uppercase Minimalna liczba dużych liter w hasłach Rozszerzone ABAP 0 >=1
MIN_PASSWORD_UPPERCASE Minimalna liczba dużych liter w hasłach Rozszerzone ABAP 1 >=1
login/min_password_specials Minimalna liczba znaków specjalnych w hasłach Rozszerzone ABAP 0 1
MIN_PASSWORD_SPECIALS Minimalna liczba znaków specjalnych w hasłach Rozszerzone ABAP 0 1
login/min_password_diff Minimalna liczba znaków, które różnią się między starym a nowym hasłem Rozszerzone ABAP 1 >=3
MIN_PASSWORD_DIFFERENCE Minimalna liczba znaków, które różnią się między starym a nowym hasłem Rozszerzone ABAP 1 >=3
login/disable_password_logon Dezaktywuj logowanie oparte na haśle Rozszerzone ABAP 0 Nie pusty
DISABLE_PASSWORD_LOGON Dezaktywuj logowanie oparte na haśle Rozszerzone ABAP 0 Nie pusty
DISABLE_TICKET_LOGON Atrybut zasad bezpieczeństwa dotyczący logowania do wniosków Rozszerzone ABAP 0 Nie pusty
login/fails_to_user_lock Liczba nieudanych prób logowania do momentu zablokowania użytkownika Rozszerzone ABAP 5 <=5
MAX_FAILED_PASSWORD_LOGON_ATTEMPTS Liczba nieudanych prób logowania do momentu zablokowania użytkownika Rozszerzone ABAP 5 <=5
login/failed_user_auto_unlock Włącz automatyczne odblokowanie zablokowanego użytkownika o północy Rozszerzone ABAP 0 0
PASSWORD_LOCK_EXPIRATION Włącz automatyczne odblokowanie zablokowanego użytkownika o północy Rozszerzone ABAP 0 0
login/password_max_idle_productive Maksymalna ilość dni kiedy hasło (ustawione przez użytkownika) może być nieużywane (bezczynne) Rozszerzone ABAP 0 >=1 oraz <=180
MAX_PASSWORD_IDLE_PRODUCTIVE Maksymalna ilość dni kiedy hasło (ustawione przez użytkownika) może być nieużywane (bezczynne) Rozszerzone ABAP #N/D! >=1 oraz <=180
login/password_change_waittime Zmiana hasła możliwa po X dniach (od ostatniej zmiany) Rozszerzone ABAP 1 Nie pusty
MIN_PASSWORD_CHANGE_WAITTIME Zmiana hasła możliwa po X dniach (od ostatniej zmiany) Rozszerzone ABAP 1 Nie pusty
login/password_change_for_SSO Obsługa wymuszeń zmiany hasła w sytuacjach jednokrotnego logowania Rozszerzone ABAP 1 3
PASSWORD_CHANGE_FOR_SSO Obsługa wymuszeń zmiany hasła w sytuacjach jednokrotnego logowania Rozszerzone ABAP 1 1
login/password_history_size Liczba rekordów, które mają być przechowywane w historii haseł Rozszerzone ABAP 5 >=5
PASSWORD_HISTORY_SIZE Liczba rekordów, które mają być przechowywane w historii haseł Rozszerzone ABAP 15 >=5
login/password_hash_algorithm Algorytm kodowania i mieszania używany dla nowych haseł Rozszerzone ABAP encoding=RFC2307, algorithm=iSSHA-1, iterations=1024, saltsi encoding=RFC2307, algorithm=iSSHA – 512, iterations=15000, saltsize=256
ume.logon.security_policy.userid_in_password_allowed Minimalna liczba cyfr w identyfikatorze logowania użytkownika Rozszerzone JAVA FALSE FALSE
ume.logon.security_policy.oldpass_in_newpass_allowed Określa, czy stare hasło może być częścią nowego hasła Rozszerzone JAVA FALSE FALSE
ume.logon.security_policy.password_alpha_numeric_required Minimalna liczba znaków alfabetycznych i numerycznych w hasłach Rozszerzone JAVA 1 Indywidualne definiowanie zasad 
ume.logon.security_policy.password_mix_case_required Minimalna liczba wielkich i małych liter w hasłach Rozszerzone JAVA 0 Indywidualne definiowanie zasad 
ume.logon.security_policy.password_special_char_required Minimalna liczba znaków specjalnych w hasłach Rozszerzone JAVA 0 Indywidualne definiowanie zasad 
gw/rem_start Parametr obszaru bramki do określenia uruchomienia zdalnego programu CPIC Rozszerzone ABAP REMOTE_SHELL DISABLED lub SSH_SHELL
gw/rem_start Parametr obszaru bramki do określenia uruchomienia zdalnego programu CPIC

 

Rozszerzone JAVA REMOTE_SHELL DISABLED lub SSH_SHELL
gw/rem_start Parametr obszaru bramki do określenia uruchomienia zdalnego programu CPIC Rozszerzone RFC Gateway REMOTE_SHELL DISABLED lub SSH_SHELL
ume.logon.security.enforce_secure_cookie Bezpieczna właściwość zarządzania użytkownikami plików cookie Rozszerzone JAVA TRUE TRUE
ume.logon.httponlycookie Parametr cookie przeglądarki, który uniemożliwia skryptom po stronie klienta dostęp do danych Rozszerzone JAVA FALSE TRUE
login.ticket_lifetime Okres ważności wniosków logowania Rozszerzone JAVA 8 <=8
enable.xml.hardener Włączanie XML Hardener dla Application Server Java Rozszerzone JAVA TRUE TRUE

 

Należy pamiętać, że szeroko rozumianych parametrów w środowisku SAPa jest zdecydowanie dużo więcej i wykraczają one poza zakres omawianego materiału Security Baseline. W tym artykule skupiliśmy się głównie na tych odpowiedzialnych za szeroko rozumiane spectrum dotyczące „security” systemu.

 

Podsumowując, ogólna świadomość terminologii parametrów bezpieczeństwa SAP i związanych z nią podstawowych informacji jest ważnym warunkiem osiągnięcia oczekiwanego poziomu bezpieczeństwa systemu. Oczywiście, nie każdy musi być ekspertem ds. bezpieczeństwa i posiadać niezbędą z tego zakresu wiedzę, ale warto zaangażować się w procesy i śledzić na bieżąco tematy związane z SAP Security. Pozwoli to na identyfikację zagrożeń oraz ocenę, kiedy pomoc ekspertów przy weryfikacji ustawień bezpieczeństwa może być niezbędna. Ignorowanie, unikanie czy nawet próby obejścia mechanizmów bezpieczeństwa może stanowić zagrożenie dla całego środowiska SAP. Przejrzystość oraz prostota są kluczem do pomyślnego wdrożenia parametrów bezpieczeństwa.

Warto również pamiętać, że bezpieczeństwo SAP nie jest jednorazowym podejściem, a ciągłym procesem doskonalenia.

Firma SAP dostarcza również dedykowane narzędzia, które pozwalają monitorować parametry bezpieczeństwa takie jak SAP Focused Run, Enterprise Threat Detection, czy SAP Access Control. Jeżeli jesteście Państwo zainteresowani ich działaniem zapraszamy na naszą stronę www.grcadvisory.com oraz do śledzenia naszego bloga grc.ninja

 

Related posts

26 stycznia 2023

Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP? Cześć #2/5 – Kiedy warto tworzyć, a kiedy należy unikać kontroli mitygujących?


Read more
26 listopada 2022

Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP? Część #1/5 – Wyzwanie dla kontroli mitygujących.


Read more
Kontrole mitygujące
24 października 2022

Kontrole mitygujące – czy to lek na „całe zło” w ryzykach nadmiarowych uprawnień w SAP?


Read more

SZUKAJ NA BLOGU

✕

OSTATNIE POSTY

  • 0
    GRC Advisory oraz OpenBIZ Sp. z o.o. łączą siły nad wspólnym projektem.
    22 marca 2023
  • 0
    GRC Advisory na konferencji naukowo-technicznej – Efektywne zarządzanie cyberryzykiem w organizacji. 22-23.03.2023, Spała
    22 marca 2023
  • 0
    Przegląd parametrów bezpieczeństwa SAP
    9 lutego 2023
  • 0
    Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP? Cześć #2/5 – Kiedy warto tworzyć, a kiedy należy unikać kontroli mitygujących?
    26 stycznia 2023

FACEBOOK

GRC Advisory

GRC ADVISORY

Siedziba firmy:
GRC Advisory Sp. z o.o.

ul. Strzegomska 138
54-429 Wrocław
Oddział:
ul. Sołtysa Dytmara 3/25
30-126 Kraków


 kontakt@grcadvisory.com
 +48 12 352 11 35
 +48 71 726 24 87

Siedziba firmy:
GRC Solutions Sp. z o.o.

ul. Strzegomska 138
54-429 Wrocław

_
_


 kontakt@grcsolutions.pl
 +48 12 352 11 35
 +48 71 726 24 87

FIRMA

  • Aktualności
  • Oferta
  • Kariera
  • Prywatność
  • Kontakt

NA SKRÓTY

10lat Bezpieczeństwo SAP Certyfikacja cyberbezpieczeńśtwo cybersrcurity finanse. GRC GRCAdvisory GRCSolutions KOnflikty SoD kontrole Matryca SoD Permissions in SAP polityki Przegląd okresowy RODO RSA RSA Archer ryzyka ryzyka SoD SAP SAP Access Control 12.0 SAP GRC SAP HANA SAP S4/HANA SAP Security Segregation of Duties Separation of duties SoD UAR Uprawnienia w SAP Zarządzanie Zarządzanie ryzykiem

BLOG

  • 0
    GRC Advisory oraz OpenBIZ Sp. z o.o. łączą siły nad wspólnym projektem.
    22 marca 2023
  • 0
    GRC Advisory na konferencji naukowo-technicznej – Efektywne zarządzanie cyberryzykiem w organizacji. 22-23.03.2023, Spała
    22 marca 2023
  • 0
    Przegląd parametrów bezpieczeństwa SAP
    9 lutego 2023
Copyright © GRC Advisory 2010 - . All rights reserved
polski
  • polski
  • angielski