Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel vises de statiske sikkerhedsparametre i SAP-systemet, som Microsoft Sentinel-løsningen til SAP-programmer overvåger som en del af den følsomme statiske parameter SAP – (prøveversion) har ændret analysereglen.
Den Microsoft Sentinel løsning til SAP-programmer indeholder opdateringer til dette indhold i henhold til ændringer i bedste praksis i SAP. Tilføj parametre, du vil holde øje med ved at ændre værdier i henhold til organisationens behov, og slå bestemte parametre fra på visningslisten SAPSystemParameters.
I denne artikel beskrives parametrene ikke, og det anbefales ikke at konfigurere parametrene. Kontakt SAP-administratorer for at få konfigurationsovervejelser. Du kan se parameterbeskrivelser i SAP-dokumentationen.
Indholdet i denne artikel er beregnet til dine SAP BASIS-teams .
Forudsætninger
For at den Microsoft Sentinel løsning til SAP-programmer kan overvåge SAP-sikkerhedsparametrene korrekt, skal løsningen overvåge SAP PAHI-tabellen med jævne intervaller. Du kan finde flere oplysninger under Kontrollér, at PAHI-tabellen opdateres med jævne intervaller.
Godkendelsesparametre
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| godkendelse/no_check_in_some_cases | Selvom denne parameter kan forbedre ydeevnen, kan den også udgøre en sikkerhedsrisiko ved at give brugerne tilladelse til at udføre handlinger, de ikke har tilladelse til. |
| godkendelse/object_disabling_active | Kan hjælpe med at forbedre sikkerheden ved at reducere antallet af inaktive konti med unødvendige tilladelser. |
| godkendelse/rfc_authority_check | Høj. Aktivering af denne parameter hjælper med at forhindre uautoriseret adgang til følsomme data og funktioner via RFC'er. |
Gatewayparametre
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| gw/accept_remote_trace_level | Parameteren kan konfigureres til at begrænse det sporingsniveau, der accepteres fra eksterne systemer. Hvis du angiver et lavere sporingsniveau, kan det reducere mængden af oplysninger, som eksterne systemer kan hente om SAP-systemets interne funktioner. |
| gw/acl_mode | Høj. Denne parameter styrer adgangen til gatewayen og hjælper med at forhindre uautoriseret adgang til SAP-systemet. |
| gw/logføring | Høj. Denne parameter kan bruges til at overvåge og registrere mistænkelig aktivitet eller potentielle sikkerhedsbrud. |
| gw/monitor | |
| gw/sim_mode | Aktivering af denne parameter kan være nyttig til testformål og kan hjælpe med at forhindre utilsigtede ændringer af destinationssystemet. |
ICM-parametre (Internet Communication Manager)
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| icm/accept_remote_trace_level | Middel Hvis du tillader ændringer på fjernsporingsniveau, kan det give værdifulde diagnosticeringsoplysninger til hackere og potentielt kompromittere systemsikkerheden. |
Logonparametre
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| login/accept_sso2_ticket | Aktivering af SSO2 kan give en mere strømlinet og praktisk brugeroplevelse, men det medfører også ekstra sikkerhedsrisici. Hvis en hacker får adgang til en gyldig SSO2-billet, kan vedkommende muligvis repræsentere en legitim bruger og få uautoriseret adgang til følsomme data eller udføre skadelige handlinger. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Denne parameter kan hjælpe med at forbedre sikkerheden ved at sikre, at brugerne kun er logget på én session ad gangen. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Høj. Denne parameter hjælper med at forhindre brute-force-angreb på brugerkonti. |
| login/fails_to_user_lock | Hjælper med at forhindre uautoriseret adgang til systemet og hjælper med at beskytte brugerkonti mod at blive kompromitteret. |
| login/min_password_diff | Høj. Hvis der kræves et minimumantal tegnforskelle, kan det forhindre brugerne i at vælge svage adgangskoder, der nemt kan gættes. |
| login/min_password_digits | Høj. Denne parameter øger kompleksiteten af adgangskoder og gør det sværere at gætte eller knække dem. |
| login/min_password_letters | Angiver det mindste antal bogstaver, der skal medtages i en brugers adgangskode. Hvis du angiver en højere værdi, hjælper det med at øge adgangskodens styrke og sikkerhed. |
| login/min_password_lng | Angiver den minimumlængde, som en adgangskode kan være. Hvis du angiver en højere værdi for denne parameter, kan det forbedre sikkerheden ved at sikre, at adgangskoder ikke nemt gættes. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | Aktivering af denne parameter kan hjælpe med at forhindre uautoriseret adgang til SAP-systemer ved at begrænse antallet af samtidige logon for en enkelt bruger. Når denne parameter er angivet til , er det kun tilladt at 0have én logonsession pr. bruger, og andre logonforsøg afvises. Dette kan hjælpe med at forhindre uautoriseret adgang til SAP-systemer, hvis en brugers logonoplysninger kompromitteres eller deles med andre. |
| login/no_automatic_user_sapstar | Høj. Denne parameter hjælper med at forhindre uautoriseret adgang til SAP-systemet via SAP*-standardkontoen. |
| login/password_change_for_SSO | Høj. Gennemtvingelse af adgangskodeændringer kan hjælpe med at forhindre uautoriseret adgang til systemet for hackere, der kan have fået gyldige legitimationsoplysninger via phishing eller på anden måde. |
| login/password_change_waittime | Hvis du angiver en passende værdi for denne parameter, kan det hjælpe med at sikre, at brugerne ændrer deres adgangskoder regelmæssigt nok til at opretholde SIKKERHEDEN i SAP-systemet. Samtidig kan det være kontraproduktivt at angive ventetiden for kort, fordi brugerne kan have større sandsynlighed for at genbruge adgangskoder eller vælge svage adgangskoder, der er nemmere at huske. |
| login/password_compliance_to_current_policy | Høj. Aktivering af denne parameter kan hjælpe med at sikre, at brugerne overholder den aktuelle adgangskodepolitik, når adgangskoder ændres, hvilket reducerer risikoen for uautoriseret adgang til SAP-systemer. Når denne parameter er angivet til 1, bliver brugerne bedt om at overholde den aktuelle adgangskodepolitik, når de ændrer deres adgangskoder. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | Hvis du angiver denne parameter til en lavere værdi, kan det forbedre sikkerheden ved at sikre, at adgangskoder ændres ofte. |
| login/password_history_size | Denne parameter forhindrer brugerne i at bruge de samme adgangskoder gentagne gange, hvilket kan forbedre sikkerheden. |
| login/password_max_idle_initial | Hvis du angiver en lavere værdi for denne parameter, kan det forbedre sikkerheden ved at sikre, at inaktive sessioner ikke efterlades åbne i længere tid. |
| login/ticket_only_by_https | Høj. Brug af HTTPS til overførsel af billetter krypterer dataene under overførslen, hvilket gør dem mere sikre. |
Parametre for fjernafsender
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| rdisp/gui_auto_logout | Høj. Automatisk logning af inaktive brugere kan være med til at forhindre uautoriseret adgang til systemet for personer med ondsindede hensigter, der kan have adgang til en brugers arbejdsstation. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Aktivering af denne parameter kan være nyttig, når du gennemtvinger adgangskodepolitikker og forhindrer uautoriseret adgang til SAP-systemer. Når denne parameter er angivet til 1, afvises RFC-forbindelser, hvis brugerens adgangskode er udløbet, og brugeren bliver bedt om at ændre sin adgangskode, før vedkommende kan oprette forbindelse. Dette hjælper med at sikre, at kun godkendte brugere med gyldige adgangskoder kan få adgang til systemet. |
| rsau/enable | Høj. Denne sikkerhedsovervågningslog kan give værdifulde oplysninger til registrering og undersøgelse af sikkerhedshændelser. |
| rsau/max_diskspace/lokal | Hvis du angiver en passende værdi for denne parameter, hjælper det med at forhindre, at de lokale overvågningslogfiler forbruger for meget diskplads, hvilket kan medføre problemer med systemets ydeevne eller endda denial of service-angreb. På den anden side kan hvis du angiver en værdi, der er for lav, medføre tab af overvågningslogdata, hvilket kan være påkrævet for overholdelse og overvågning. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Angivelse af en passende værdi hjælper med at administrere størrelsen af overvågningsfiler og undgå lagerproblemer. |
| rsau/selection_slots | Hjælper med at sikre, at overvågningsfiler opbevares i en længere periode, hvilket kan være nyttigt i forbindelse med sikkerhedsbrud. |
| rspo/auth/pagelimit | Denne parameter påvirker ikke sikkerheden i SAP-systemet direkte, men kan hjælpe med at forhindre uautoriseret adgang til følsomme godkendelsesdata. Ved at begrænse antallet af poster, der vises pr. side, kan det reducere risikoen for, at uautoriserede personer får vist følsomme godkendelsesoplysninger. |
SNC-parametre (Secure Network Communications)
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| snc/accept_insecure_cpic | Aktivering af denne parameter kan øge risikoen for dataopfangning eller manipulation, fordi den accepterer SNC-beskyttede forbindelser, der ikke opfylder minimumsstandarderne for sikkerhed. Derfor er den anbefalede sikkerhedsværdi for denne parameter at angive den til 0, hvilket betyder, at det kun er SNC-forbindelser, der opfylder minimumskravene til sikkerhed, der accepteres. |
| snc/accept_insecure_gui | Det anbefales at angive værdien for denne parameter til 0 for at sikre, at SNC-forbindelser, der oprettes via SAP GUI, er sikre og for at reducere risikoen for uautoriseret adgang til eller opfangelse af følsomme data. Hvis du tillader usikre SNC-forbindelser, kan det øge risikoen for uautoriseret adgang til følsomme oplysninger eller dataaflytning, og det bør kun gøres, når der er et specifikt behov, og risiciene vurderes korrekt. |
| snc/accept_insecure_r3int_rfc | Aktivering af denne parameter kan øge risikoen for dataopfangning eller manipulation, fordi den accepterer SNC-beskyttede forbindelser, der ikke opfylder minimumsstandarderne for sikkerhed. Derfor er den anbefalede sikkerhedsværdi for denne parameter at angive den til 0, hvilket betyder, at det kun er SNC-forbindelser, der opfylder minimumskravene til sikkerhed, der accepteres. |
| snc/accept_insecure_rfc | Aktivering af denne parameter kan øge risikoen for dataopfangning eller manipulation, fordi den accepterer SNC-beskyttede forbindelser, der ikke opfylder minimumsstandarderne for sikkerhed. Derfor er den anbefalede sikkerhedsværdi for denne parameter at angive den til 0, hvilket betyder, at det kun er SNC-forbindelser, der opfylder minimumskravene til sikkerhed, der accepteres. |
| snc/data_protection/maks. | Hvis du angiver en høj værdi for denne parameter, kan det øge niveauet af databeskyttelse og reducere risikoen for datalytning eller manipulation. Den anbefalede sikkerhedsværdi for denne parameter afhænger af organisationens specifikke sikkerhedskrav og strategi for styring af risici. |
| snc/data_protection/min. | Hvis du angiver en passende værdi for denne parameter, hjælper det med at sikre, at SNC-beskyttede forbindelser giver et minimumsniveau af databeskyttelse. Denne indstilling hjælper med at forhindre følsomme oplysninger i at blive opfanget eller manipuleret af hackere. Værdien af denne parameter skal angives på baggrund af SIKKERHEDskravene i SAP-systemet og følsomheden af de data, der sendes via SNC-beskyttede forbindelser. |
| snc/data_protection/use | |
| snc/enable | Når funktionen er aktiveret, giver SNC et ekstra sikkerhedslag ved at kryptere data, der sendes mellem systemer. |
| snc/extid_login_diag | Aktivering af denne parameter kan være nyttig i forbindelse med fejlfinding af SNC-relaterede problemer, fordi den indeholder ekstra diagnosticeringsoplysninger. Parameteren kan dog også vise følsomme oplysninger om de eksterne sikkerhedsprodukter, der bruges af systemet, hvilket kan være en potentiel sikkerhedsrisiko, hvis disse oplysninger falder i de forkerte hænder. |
| snc/extid_login_rfc |
Web dispatcher-parametre
| Parameter | Sikkerhedsværdi/overvejelser |
|---|---|
| wdisp/ssl_encrypt | Høj. Denne parameter sikrer, at data, der sendes via HTTP, krypteres, hvilket hjælper med at forhindre aflytning og datatampering. |
Relateret indhold
Du kan finde flere oplysninger under: