Polityki bezpieczeństwa w SAP

Czy polityki bezpieczeństwa w SAP zapewniają  większy poziom bezpieczeństwa?

Nie zawsze…

Zapewne wiesz, iż od wersji 7.40 SP8 możesz tworzyć polityki bezpieczeństwa SAP w celu definiowania parametrów bezpieczeństwa specjalnie dla użytkowników, wbrew przyjętym parametrom profili systemu. Ale czy wiedziałeś, że w rezultacie możesz nieumyślnie osłabić bezpieczeństwo przez takie parametry jak na przykład ograniczenia logowania czy złożoność haseł?

Poniżej przedstawiamy nasze wskazówki dotyczące skutecznego zapobiegania osłabiania polityki bezpieczeństwa.

Możesz ustawić parametry swojej polityki bezpieczeństwa dla:

  • złożoności haseł,
  • interwału zmiany haseł,
  • ograniczenia logowania.

Używając transakcji SECPOL masz możliwość zarządzania politykami bezpieczeństwa. Poniżej przedstawiamy zależność pomiędzy atrybutami polityki bezpieczeństwa, a odpowiednimi parametrami profili systemowych:

Transakcja SU01 jest używana m. in. do przypisywania użytkowników do polityk bezpieczeństwa:

Ale uważaj – jest pewien poważny haczyk!

Polityki bezpieczeństwa nie nadpisują wartości parametrów profili, ale zastępują je wszystkie.

To oznacza, że wartości, których nie zdefiniujesz w polityce bezpieczeństwa, nie są ustawione jako wartości bezpieczne (w odniesieniu do parametrów RZ10), ale ustawiane są jako wartości pochodzące z kernela (które to mogą być niebezpieczne).

W ten sposób można nieumyślnie osłabić poziom bezpieczeństwa przez wartości takie jak ograniczenie logowania czy złożoność haseł. Poniższy przykład obrazuje takie zachowanie:

Nasze doświadczenie projektowe pokazuje, że wielu Klientów nie jest świadomych takiego zachowania aplikacji. Oczekiwanie jest takie, że parametr ustawiony będzie na wartość domyślną. Jednak nie w tym przypadku.

Nasze wskazówki dla Ciebie:

  • Używaj polityk bezpieczeństwa definiując WSZYSTKIE wartości adekwatnie do parametrów RZ10,
  • Pamiętaj o dostosowaniu wszystkich polityk bezpieczeństwa, jeśli „wzmacniasz” parametry RZ10.

Aby zabezpieczyć systemy SAP, narzędzia SAST dostarczają obszernego zestawu testów w kontekście polityk bezpieczeństwa, ze specjalnym uwzględnieniem takich przypadków, jak powyższy. Klient otrzymuje ważne informacje o osłabieniu poziomu bezpieczeństwa w związku z przypisaniem niebezpiecznych wartości do użytkowników.

Zostaw komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.