Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca i parametri di sicurezza statici nel sistema SAP monitorati dalla soluzione Microsoft Sentinel per le applicazioni SAP nell'ambito della regola Di analisi modificata del parametro statico sensibile di SAP - (anteprima).
La soluzione Microsoft Sentinel per le applicazioni SAP fornisce aggiornamenti per questo contenuto in base alle modifiche delle procedure consigliate sap. Aggiungere parametri da controllare modificando i valori in base alle esigenze dell'organizzazione e disattivando parametri specifici nell'elenco di controllo SAPSystemParameters.
Questo articolo non descrive i parametri e non è consigliabile configurare i parametri. Per considerazioni sulla configurazione, consultare gli amministratori SAP. Per le descrizioni dei parametri, vedere la documentazione sap.
Il contenuto di questo articolo è destinato ai team SAP BASIS .
Prerequisiti
Affinché la soluzione Microsoft Sentinel per le applicazioni SAP monitori correttamente i parametri di sicurezza SAP, la soluzione deve monitorare correttamente la tabella SAP PAHI a intervalli regolari. Per altre informazioni, vedere Verificare che la tabella PAHI venga aggiornata a intervalli regolari.
Parametri di autenticazione
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| autenticazione/no_check_in_some_cases | Anche se questo parametro può migliorare le prestazioni, può anche rappresentare un rischio per la sicurezza consentendo agli utenti di eseguire azioni per cui potrebbero non disporre dell'autorizzazione. |
| autenticazione/object_disabling_active | Può contribuire a migliorare la sicurezza riducendo il numero di account inattivi con autorizzazioni non necessarie. |
| autenticazione/rfc_authority_check | Alto. L'abilitazione di questo parametro consente di impedire l'accesso non autorizzato a dati e funzioni sensibili tramite rfc. |
Parametri del gateway
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| gw/accept_remote_trace_level | Il parametro può essere configurato per limitare il livello di traccia accettato dai sistemi esterni. L'impostazione di un livello di traccia inferiore potrebbe ridurre la quantità di informazioni che i sistemi esterni possono ottenere sul funzionamento interno del sistema SAP. |
| gw/acl_mode | Alto. Questo parametro controlla l'accesso al gateway e consente di impedire l'accesso non autorizzato al sistema SAP. |
| gw/logging | Alto. Questo parametro può essere usato per monitorare e rilevare attività sospette o potenziali violazioni della sicurezza. |
| gw/monitor | |
| gw/sim_mode | L'abilitazione di questo parametro può essere utile a scopo di test e può aiutare a evitare modifiche impreviste al sistema di destinazione. |
Parametri di Internet Communication Manager (ICM)
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| icm/accept_remote_trace_level | Medio Consentire modifiche al livello di traccia remota può fornire informazioni diagnostiche preziose agli utenti malintenzionati e potenzialmente compromettere la sicurezza del sistema. |
Parametri di accesso
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| login/accept_sso2_ticket | L'abilitazione di SSO2 può offrire un'esperienza utente più semplificata e pratica, ma introduce anche rischi aggiuntivi per la sicurezza. Se un utente malintenzionato ottiene l'accesso a un ticket SSO2 valido, potrebbe essere in grado di rappresentare un utente legittimo e ottenere l'accesso non autorizzato ai dati sensibili o eseguire azioni dannose. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Questo parametro consente di migliorare la sicurezza garantendo che gli utenti siano connessi a una sola sessione alla volta. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Alto. Questo parametro consente di evitare attacchi di forza bruta sugli account utente. |
| login/fails_to_user_lock | Consente di impedire l'accesso non autorizzato al sistema e di proteggere gli account utente dalla compromissione. |
| login/min_password_diff | Alto. La richiesta di un numero minimo di differenze di caratteri può impedire agli utenti di scegliere password deboli facilmente individuabili. |
| login/min_password_digits | Alto. Questo parametro aumenta la complessità delle password e le rende più difficili da indovinare o decifrare. |
| login/min_password_letters | Specifica il numero minimo di lettere che devono essere incluse nella password di un utente. L'impostazione di un valore più elevato consente di aumentare la sicurezza e la forza delle password. |
| login/min_password_lng | Specifica la lunghezza minima che può essere una password. L'impostazione di un valore superiore per questo parametro può migliorare la sicurezza garantendo che le password non siano facilmente individuabili. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | L'abilitazione di questo parametro può impedire l'accesso non autorizzato ai sistemi SAP limitando il numero di account di accesso simultanei per un singolo utente. Quando questo parametro è impostato su 0, è consentita una sola sessione di accesso per utente e altri tentativi di accesso vengono rifiutati. Ciò consente di impedire l'accesso non autorizzato ai sistemi SAP nel caso in cui le credenziali di accesso di un utente vengano compromesse o condivise con altri utenti. |
| login/no_automatic_user_sapstar | Alto. Questo parametro consente di impedire l'accesso non autorizzato al sistema SAP tramite l'account SAP* predefinito. |
| login/password_change_for_SSO | Alto. L'applicazione delle modifiche delle password può impedire l'accesso non autorizzato al sistema da parte di utenti malintenzionati che potrebbero aver ottenuto credenziali valide tramite phishing o altri mezzi. |
| login/password_change_waittime | L'impostazione di un valore appropriato per questo parametro consente di garantire che gli utenti modifi cano le password regolarmente per mantenere la sicurezza del sistema SAP. Allo stesso tempo, l'impostazione del tempo di attesa troppo breve può essere controproduttivo perché gli utenti potrebbero essere più propensi a riutilizzare le password o a scegliere password deboli più facili da ricordare. |
| login/password_compliance_to_current_policy | Alto. L'abilitazione di questo parametro consente di garantire che gli utenti siano conformi ai criteri delle password correnti durante la modifica delle password, riducendo così il rischio di accesso non autorizzato ai sistemi SAP. Quando questo parametro è impostato su 1, agli utenti viene richiesto di rispettare i criteri password correnti quando modificano le password. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | L'impostazione di questo parametro su un valore inferiore può migliorare la sicurezza garantendo che le password vengano modificate di frequente. |
| login/password_history_size | Questo parametro impedisce agli utenti di usare ripetutamente le stesse password, il che può migliorare la sicurezza. |
| login/password_max_idle_initial | L'impostazione di un valore inferiore per questo parametro può migliorare la sicurezza garantendo che le sessioni inattive non vengano lasciate aperte per periodi di tempo prolungati. |
| login/ticket_only_by_https | Alto. L'uso di HTTPS per la trasmissione dei ticket crittografa i dati in transito, rendendoli più sicuri. |
Parametri del dispatcher remoto
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| rdisp/gui_auto_logout | Alto. la disconnessione automatica degli utenti inattivi consente di impedire l'accesso non autorizzato al sistema da parte di utenti malintenzionati che potrebbero avere accesso alla workstation di un utente. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | L'abilitazione di questo parametro può essere utile quando si applicano criteri password e si impedisce l'accesso non autorizzato ai sistemi SAP. Quando questo parametro è impostato su 1, le connessioni RFC vengono rifiutate se la password dell'utente è scaduta e all'utente viene richiesto di modificare la password prima che possa connettersi. Ciò consente di garantire che solo gli utenti autorizzati con password valide possano accedere al sistema. |
| rsau/enable | Alto. Questo log di controllo della sicurezza può fornire informazioni preziose per il rilevamento e l'analisi degli eventi imprevisti di sicurezza. |
| rsau/max_diskspace/local | L'impostazione di un valore appropriato per questo parametro consente di impedire ai log di controllo locali di consumare troppo spazio su disco, il che potrebbe causare problemi di prestazioni del sistema o anche attacchi Denial of Service. D'altra parte, l'impostazione di un valore troppo basso potrebbe comportare la perdita di dati del log di controllo, che potrebbero essere necessari per la conformità e il controllo. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | L'impostazione di un valore appropriato consente di gestire le dimensioni dei file di controllo ed evitare problemi di archiviazione. |
| rsau/selection_slots | Consente di garantire che i file di controllo vengano conservati per un periodo di tempo più lungo, che può essere utile in una violazione della sicurezza. |
| rspo/auth/pagelimit | Questo parametro non influisce direttamente sulla sicurezza del sistema SAP, ma può contribuire a impedire l'accesso non autorizzato ai dati di autorizzazione sensibili. Limitando il numero di voci visualizzate per pagina, può ridurre il rischio di utenti non autorizzati che visualizzano informazioni di autorizzazione riservate. |
Parametri SNC (Secure Network Communications)
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| snc/accept_insecure_cpic | L'abilitazione di questo parametro può aumentare il rischio di intercettazione o manipolazione dei dati, perché accetta connessioni protette da SNC che non soddisfano gli standard di sicurezza minimi. Pertanto, il valore di sicurezza consigliato per questo parametro consiste nell'impostarlo 0su , il che significa che vengono accettate solo le connessioni SNC che soddisfano i requisiti di sicurezza minimi. |
| snc/accept_insecure_gui | L'impostazione del valore di questo parametro 0 su è consigliata per garantire che le connessioni SNC effettuate tramite l'interfaccia utente grafica SAP siano sicure e per ridurre il rischio di accesso non autorizzato o di intercettazione di dati sensibili. Consentire connessioni SNC non sicure potrebbe aumentare il rischio di accesso non autorizzato a informazioni sensibili o intercettazioni dei dati e deve essere eseguito solo quando è presente una necessità specifica e i rischi vengono valutati correttamente. |
| snc/accept_insecure_r3int_rfc | L'abilitazione di questo parametro può aumentare il rischio di intercettazione o manipolazione dei dati, perché accetta connessioni protette da SNC che non soddisfano gli standard di sicurezza minimi. Pertanto, il valore di sicurezza consigliato per questo parametro consiste nell'impostarlo 0su , il che significa che vengono accettate solo le connessioni SNC che soddisfano i requisiti di sicurezza minimi. |
| snc/accept_insecure_rfc | L'abilitazione di questo parametro può aumentare il rischio di intercettazione o manipolazione dei dati, perché accetta connessioni protette da SNC che non soddisfano gli standard di sicurezza minimi. Pertanto, il valore di sicurezza consigliato per questo parametro consiste nell'impostarlo 0su , il che significa che vengono accettate solo le connessioni SNC che soddisfano i requisiti di sicurezza minimi. |
| snc/data_protection/max | L'impostazione di un valore elevato per questo parametro può aumentare il livello di protezione dei dati e ridurre il rischio di intercettazione o manipolazione dei dati. Il valore di sicurezza consigliato per questo parametro dipende dai requisiti di sicurezza specifici dell'organizzazione e dalla strategia di gestione dei rischi. |
| snc/data_protection/min | L'impostazione di un valore appropriato per questo parametro consente di garantire che le connessioni protette da SNC forniscano un livello minimo di protezione dei dati. Questa impostazione consente di evitare che le informazioni sensibili vengano intercettate o manipolate dagli utenti malintenzionati. Il valore di questo parametro deve essere impostato in base ai requisiti di sicurezza del sistema SAP e alla riservatezza dei dati trasmessi tramite connessioni protette da SNC. |
| snc/data_protection/use | |
| snc/enable | Se abilitata, SNC offre un ulteriore livello di sicurezza crittografando i dati trasmessi tra i sistemi. |
| snc/extid_login_diag | L'abilitazione di questo parametro può essere utile per la risoluzione dei problemi correlati a SNC, perché fornisce informazioni di diagnostica aggiuntive. Tuttavia, il parametro potrebbe anche esporre informazioni riservate sui prodotti di sicurezza esterni usati dal sistema, che potrebbero costituire un potenziale rischio per la sicurezza se tali informazioni cadono nelle mani sbagliate. |
| snc/extid_login_rfc |
Parametri del dispatcher Web
| Parametro | Considerazioni/valore di sicurezza |
|---|---|
| wdisp/ssl_encrypt | Alto. Questo parametro garantisce che i dati trasmessi tramite HTTP siano crittografati, evitando intercettazioni e manomissioni dei dati. |
Contenuto correlato
Per altre informazioni, vedere: