Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht…

| securityblog

SAST BLOG: SAP Security PoliciesSicher ist Ihnen bekannt, dass Sie in SAP-Systemen ab dem Release 7.40 Sp8 Security Policies verwenden können, um Ihre Sicherheitsparameter, abweichend von den Systemprofilwerten, benutzerabhängig zu definieren. Aber wissen Sie auch, dass Sie hierdurch ungewollt sichere Werte, wie Anmeldebeschränkung und Kennwortkomplexität, abschwächen können? Unser Praxis-Tipp zeigt Ihnen, wie Sie das wirkungsvoll verhindern.

 

Legen Sie die Parameter fest nach

1.      Kennwortkomplexität,
2.      Kennwortänderungsintervall und
3.      Anmeldebeschränkungen

Und die Pflege der Security Policies erfolgt hierbei mittels „SECPOL“-Transaktion, wobei Sie die Möglichkeit haben, beliebig viele zu definieren.

Die Relation „Security Policy Tag“ und Systemprofilwerte für Sie im Überblick:
SAST-Blog_SecurityPolicies_Tabelle_1801

Weisen Sie anschließend mittels Transaktion SU01 die Policies den Benutzern zu:


SAST-Blog_SecurityPolicies_Abb1_1801

Aber Vorsicht: Es gibt eine große Falle!

Security Policies überschreiben nicht einzelne Profilwerte sondern ersetzen ALLE Werte.

Das bedeutet, dass Werte, die Sie in einer Security Policy nicht definieren nicht auf die sicheren Werte (lt. RZ10-Parametern), sondern auf unsichere Kernelwerte im Benutzerkontext gesetzt werden.

Hierdurch können Sie also ungewollt sichere Werte, wie Anmeldebeschränkung und Kennwortkomplexität, abschwächen. Folgendes Beispiel zeigt diese Verhalten auf:
SAST-Blog_SecurityPolicies_Abb2_1801

Unsere Erfahrungen bei Projekten hat gezeigt, dass viele Kunden mit diesem Verhalten nicht rechnen. Die allgemeine Erwartungshaltung ist, dass Parameter abweichend vom Standard gesetzt werden können. Aber das ist nicht der Fall!

Unsere Tipps für Sie:
1.  Nutzen Sie Security Policies nur, wenn Sie ALLE Werte komplett analog den RZ10-Parametern definieren und nur einige wenige Werte abweichend härter oder schwächer ausprägen.
2.  Denken Sie daran, dass Sie alle Security Policies anpassen, wenn Sie korrespondierende RZ10-Systemparameter verschärfen.

Für die Absicherung Ihrer SAP-Systeme bietet Ihnen unsere SAST SUITE speziell für diesen Fall umfangreiche Prüfungen im Kontext der Security Policies und zeigt Ihnen umgehend entsprechende Fehlkonfigurationen, Schwächen sowie Zuweisungen unsicherer Werte an Benutzer auf.

Sprechen Sie uns gerne an: sast@akquinet.de

ralfkempf_akquinet
Ralf Kempf (CTO SAST SOLUTIONS)