Überwachte SAP-Sicherheitsparameter zur Erkennung verdächtiger Konfigurationsänderungen
In diesem Artikel werden die statischen Sicherheitsparameter im SAP-System aufgeführt, die von der Microsoft Sentinel-Lösung für SAP-Anwendungen als Teil des SAP - (Preview) Sensitive Static Parameters überwacht werden.
Die Microsoft Sentinel-Lösung für SAP-Anwendungen stellt Updates für diese Inhalte gemäß den BEST Practice-Änderungen von SAP bereit. Fügen Sie Parameter hinzu, auf die Sie achten können, indem Sie Werte entsprechend den Anforderungen Ihrer Organisation ändern und bestimmte Parameter in der SAPSystemParameters-Watchlist deaktivieren.
In diesem Artikel werden die Parameter nicht beschrieben, und es wird nicht empfohlen, die Parameter zu konfigurieren. Für Konfigurationsüberlegungen wenden Sie sich bitte an Ihren SAP-Administrator. Beschreibungen zu Parametern finden Sie in der SAP-Dokumentation.
Die Inhalte in diesem Artikel sind insbesondere für Ihr SAP BASIS-Team vorgesehen.
Voraussetzungen
Damit die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP-Sicherheitsparameter erfolgreich überwachen kann, muss die Lösung die SAP PAHI-Tabelle in regelmäßigen Abständen erfolgreich überwachen. Weitere Informationen finden Sie unter Überprüfen Sie, ob die PAHI-Tabelle regelmäßig aktualisiert wird.
Authentifizierungsparameter
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| auth/no_check_in_some_cases | Dieser Parameter kann zwar die Leistung verbessern, kann aber auch ein Sicherheitsrisiko darstellen, indem Benutzer Aktionen ausführen können, für die sie möglicherweise nicht berechtigt sind. |
| auth/object_disabling_active | Kann zur Verbesserung der Sicherheit beitragen, indem die Anzahl inaktiver Konten mit unnötigen Berechtigungen reduziert wird. |
| auth/rfc_authority_check | Hoch. Wenn Sie diesen Parameter aktivieren, können Sie nicht autorisierten Zugriff auf vertrauliche Daten und Funktionen über RFCs verhindern. |
Gatewayparameter
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| gw/accept_remote_trace_level | Der Parameter kann so konfiguriert werden, dass die von externen Systemen akzeptierte Ablaufverfolgungsebene eingeschränkt wird. Das Festlegen einer niedrigeren Ablaufverfolgungsstufe kann die Menge der Informationen verringern, die externe Systeme über die internen Arbeiten des SAP-Systems erhalten können. |
| gw/acl_mode | Hoch. Dieser Parameter steuert den Zugriff auf das Gateway und verhindert nicht autorisierten Zugriff auf das SAP-System. |
| gw/logging | Hoch. Dieser Parameter kann verwendet werden, um verdächtige Aktivitäten oder potenzielle Sicherheitsverletzungen zu überwachen und zu erkennen. |
| gw/monitor | |
| gw/sim_mode | Das Aktivieren dieses Parameters kann zu Testzwecken nützlich sein und unbeabsichtigte Änderungen am Zielsystem verhindern. |
Parameter für Internet Communication Manager (ICM)
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| icm/accept_remote_trace_level | Medium Das Zulassen von Änderungen auf Remoteablaufverfolgungsebene kann Angreifern wertvolle Diagnoseinformationen bereitstellen und die Systemsicherheit potenziell gefährden. |
Anmeldeparameter
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| login/accept_sso2_ticket | Das Aktivieren von SSO2 kann eine optimierte und komfortablere Benutzererfahrung bieten, führt aber auch zu zusätzlichen Sicherheitsrisiken. Wenn ein Angreifer Zugriff auf ein gültiges SSO2-Ticket erhält, kann er möglicherweise einen legitimen Benutzer imitieren und nicht autorisierten Zugriff auf vertrauliche Daten erlangen oder böswillige Aktionen ausführen. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Dieser Parameter kann dazu beitragen, dass die Sicherheit verbessert wird, indem sichergestellt wird, dass die Benutzer jeweils nur in einer Sitzung angemeldet sind. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Hoch. Dieser Parameter verhindert Brute-Force-Angriffe auf Benutzerkonten. |
| login/fails_to_user_lock | Trägt dazu bei, nicht autorisierten Zugriff auf das System zu verhindern und Benutzerkonten vor Kompromittierung zu schützen. |
| login/min_password_diff | Hoch. Das Erfordern einer minimalen Anzahl von Zeichenunterschieden kann dazu beitragen, dass Benutzer schwache Kennwörter auswählen, die leicht erraten werden können. |
| login/min_password_digits | Hoch. Dieser Parameter erhöht die Komplexität von Kennwörtern und macht sie schwieriger zu erraten oder zu knacken. |
| login/min_password_letters | Gibt die Mindestanzahl von Buchstaben an, die im Kennwort eines Benutzers enthalten sein müssen. Ein höherer Wert erhöht die Stärke und Sicherheit des Kennworts. |
| login/min_password_lng | Gibt die Mindestlänge an, die ein Kennwort haben darf. Die Einstellung eines höheren Wertes für diesen Parameter kann die Sicherheit erhöhen, indem sichergestellt wird, dass Kennwörter nicht leicht zu erraten sind. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | Das Aktivieren dieses Parameters kann dazu beitragen, nicht autorisierten Zugriff auf SAP-Systeme zu verhindern, indem die Anzahl gleichzeitiger Anmeldungen für einen einzelnen Benutzer begrenzt wird. Wenn dieser Parameter auf " 0Festgelegt" festgelegt ist, ist pro Benutzer nur eine Anmeldesitzung zulässig, und andere Anmeldeversuche werden abgelehnt. Dies kann dazu beitragen, nicht autorisierten Zugriff auf SAP-Systeme zu verhindern, falls die Anmeldeinformationen eines Benutzers kompromittiert oder für andere freigegeben werden. |
| login/no_automatic_user_sapstar | Hoch. Dieser Parameter verhindert nicht autorisierten Zugriff auf das SAP-System über das SAP*-Standardkonto. |
| login/password_change_for_SSO | Hoch. Das Erzwingen von Kennwortänderungen kann dazu beitragen, nicht autorisierten Zugriff auf das System durch Angreifer zu verhindern, die möglicherweise gültige Anmeldeinformationen über Phishing oder andere Mittel erhalten haben. |
| login/password_change_waittime | Das Festlegen eines geeigneten Werts für diesen Parameter kann dazu beitragen, dass Benutzer ihre Kennwörter regelmäßig genug ändern, um die Sicherheit des SAP-Systems zu gewährleisten. Gleichzeitig kann das Festlegen der Wartezeit zu kurz kontraproduktiv sein, da Benutzer möglicherweise wahrscheinlicher Kennwörter wiederverwenden oder schwache Kennwörter auswählen, die einfacher zu merken sind. |
| login/password_compliance_to_current_policy | Hoch. Die Aktivierung dieses Parameters kann dazu beitragen, dass Benutzer beim Ändern von Kennwörtern die aktuellen Kennwortrichtlinien einhalten, wodurch das Risiko eines unberechtigten Zugriffs auf SAP-Systeme verringert wird. Wenn dieser Parameter auf 1festgelegt ist, werden Benutzer beim Ändern ihrer Kennwörter aufgefordert, die aktuelle Kennwortrichtlinie einzuhalten. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | Wenn Sie diesen Parameter auf einen niedrigeren Wert festlegen, können Sie die Sicherheit verbessern, indem Sie sicherstellen, dass Kennwörter häufig geändert werden. |
| login/password_history_size | Dieser Parameter verhindert, dass Benutzer wiederholt dieselben Kennwörter verwenden, was die Sicherheit verbessern kann. |
| login/password_max_idle_initial | Die Festlegung eines niedrigeren Wertes für diesen Parameter kann die Sicherheit verbessern, indem sichergestellt wird, dass inaktive Sitzungen nicht über längere Zeiträume offen bleiben. |
| login/ticket_only_by_https | Hoch. Die Verwendung von HTTPS für die Ticketübertragung verschlüsselt die Daten während der Übertragung und macht sie sicherer. |
Parameter für remote dispatcher
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| rdisp/gui_auto_logout | Hoch. Das automatische Abmelden inaktiver Benutzer kann dazu beitragen, nicht autorisierten Zugriff auf das System durch Angreifer zu verhindern, die möglicherweise Zugriff auf die Arbeitsstation eines Benutzers haben. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Die Aktivierung dieses Parameters kann bei der Durchsetzung von Kennwortrichtlinien und der Verhinderung von unberechtigtem Zugriff auf SAP-Systeme hilfreich sein. Wenn dieser Parameter auf 1 festgelegt ist, werden RFC-Verbindungen abgelehnt, wenn das Kennwort des Benutzers abgelaufen ist, und der Benutzer wird aufgefordert, sein Kennwort zu ändern, bevor er eine Verbindung herstellen kann. So können Sie sicherstellen, dass nur autorisierte Benutzer mit gültigen Kennwörtern auf das System zugreifen können. |
| rsau/enable | Hoch. Dieses Sicherheitsüberwachungsprotokoll kann wertvolle Informationen zum Erkennen und Untersuchen von Sicherheitsvorfällen bereitstellen. |
| rsau/max_diskspace/local | Wenn Sie einen geeigneten Wert für diesen Parameter festlegen, wird verhindert, dass die lokalen Überwachungsprotokolle zu viel Speicherplatz belegen, was zu Systemleistungsproblemen oder sogar zu Denial-of-Service-Angriffen führen kann. Andererseits kann das Festlegen eines zu niedrigen Werts zu einem Verlust von Überwachungsprotokolldaten führen, was möglicherweise für Compliance und Überwachung erforderlich ist. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Durch Festlegen eines geeigneten Werts können Sie die Größe von Überwachungsdateien verwalten und Speicherprobleme vermeiden. |
| rsau/selection_slots | Hilft, sicherzustellen, dass Überwachungsdateien für einen längeren Zeitraum aufbewahrt werden, was bei einer Sicherheitsverletzung nützlich sein kann. |
| rspo/auth/pagelimit | Dieser Parameter wirkt sich nicht direkt auf die Sicherheit des SAP-Systems aus, kann jedoch dazu beitragen, nicht autorisierten Zugriff auf vertrauliche Autorisierungsdaten zu verhindern. Durch die Begrenzung der Anzahl der angezeigten Einträge pro Seite kann das Risiko verringert werden, dass Unbefugte sensible Autorisierungsinformationen einsehen. |
Parameter für sichere Netzwerkkommunikation (Secure Network Communications, SNC)
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| snc/accept_insecure_cpic | Die Aktivierung dieses Parameters kann das Risiko des Abfangens oder der Manipulation von Daten erhöhen, weil er SNC-geschützte Verbindungen zulässt, die nicht den Mindestsicherheitsstandards entsprechen. Daher wird der empfohlene Sicherheitswert für diesen Parameter auf 0 festgelegt, was bedeutet, dass nur SNC-Verbindungen akzeptiert werden, die die Mindestsicherheitsanforderungen erfüllen. |
| snc/accept_insecure_gui | Das Festlegen des Werts dieses Parameters auf 0 wird empfohlen, um sicherzustellen, dass SNC-Verbindungen, die über die SAP GUI hergestellt werden, sicher sind, und um das Risiko eines nicht autorisierten Zugriffs oder Abfangens vertraulicher Daten zu verringern. Das Zulassen unsicherer SNC-Verbindungen kann das Risiko eines nicht autorisierten Zugriffs auf vertrauliche Informationen oder Abfangen von Daten erhöhen und sollte nur durchgeführt werden, wenn eine bestimmte Notwendigkeit besteht und die Risiken ordnungsgemäß bewertet werden. |
| snc/accept_insecure_r3int_rfc | Die Aktivierung dieses Parameters kann das Risiko des Abfangens oder der Manipulation von Daten erhöhen, weil er SNC-geschützte Verbindungen zulässt, die nicht den Mindestsicherheitsstandards entsprechen. Daher wird der empfohlene Sicherheitswert für diesen Parameter auf 0 festgelegt, was bedeutet, dass nur SNC-Verbindungen akzeptiert werden, die die Mindestsicherheitsanforderungen erfüllen. |
| snc/accept_insecure_rfc | Die Aktivierung dieses Parameters kann das Risiko des Abfangens oder der Manipulation von Daten erhöhen, weil er SNC-geschützte Verbindungen zulässt, die nicht den Mindestsicherheitsstandards entsprechen. Daher wird der empfohlene Sicherheitswert für diesen Parameter auf 0 festgelegt, was bedeutet, dass nur SNC-Verbindungen akzeptiert werden, die die Mindestsicherheitsanforderungen erfüllen. |
| snc/data_protection/max | Die Einstellung eines hohen Wertes für diesen Parameter kann das Niveau des Datenschutzes erhöhen und das Risiko des Abfangens oder der Manipulation von Daten verringern. Der empfohlene Sicherheitswert für diesen Parameter hängt von den spezifischen Sicherheitsanforderungen und der Risikomanagementstrategie der Organisation ab. |
| snc/data_protection/min | Das Festlegen eines angemessenen Wertes für diesen Parameter trägt dazu bei, dass SNC-geschützte Verbindungen ein Mindestmaß an Datensicherheit bieten. Diese Einstellung verhindert, dass vertrauliche Informationen von Angreifern abgefangen oder manipuliert werden. Der Wert dieses Parameters sollte basierend auf den Sicherheitsanforderungen des SAP-Systems und der Vertraulichkeit der Daten festgelegt werden, die über SNC-geschützte Verbindungen übertragen werden. |
| snc/data_protection/use | |
| snc/enable | Wenn dies aktiviert ist, bietet SNC eine zusätzliche Sicherheitsebene, indem daten verschlüsselt wird, die zwischen Systemen übertragen werden. |
| snc/extid_login_diag | Das Aktivieren dieses Parameters kann hilfreich sein, um SNC-bezogene Probleme zu beheben, da er zusätzliche Diagnoseinformationen bereitstellt. Der Parameter kann jedoch auch vertrauliche Informationen zu den vom System verwendeten externen Sicherheitsprodukten verfügbar machen, was ein potenzielles Sicherheitsrisiko sein könnte, wenn diese Informationen in die falschen Hände fallen. |
| snc/extid_login_rfc |
Web-Dispatcher-Parameter
| Parameter | Sicherheitswert/Überlegungen |
|---|---|
| wdisp/ssl_encrypt | Hoch. Dieser Parameter stellt sicher, dass daten, die über HTTP übertragen werden, verschlüsselt sind, wodurch Lauschangriffe und Datenmanipulation verhindert werden. |
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: