Partager via


Analyse des paramètres de sécurité SAP pour détecter des modifications de configuration suspectes

Cet article répertorie les paramètres de sécurité statiques dans le système SAP que la solution Microsoft Sentinel pour les applications SAP surveille dans le cadre du paramètre statique sensible SAP ( préversion) a modifié la règle d’analyse.

La solution Microsoft Sentinel pour les applications SAP fournit des mises à jour pour ce contenu en fonction des modifications des meilleures pratiques SAP. Ajoutez des paramètres à surveiller en modifiant les valeurs en fonction des besoins de votre organisation et désactivez des paramètres spécifiques dans la liste de surveillance SAPSystemParameters.

Cet article ne décrit pas les paramètres et n’est pas une recommandation pour configurer les paramètres. Pour plus d’informations sur la configuration, consultez vos administrateurs SAP. Pour obtenir des descriptions de paramètres, consultez la documentation SAP.

Le contenu de cet article est destiné à vos équipes SAP BASIS.

Prérequis

Pour que la solution Microsoft Sentinel pour les applications SAP surveille correctement les paramètres de sécurité SAP, la solution doit surveiller correctement la table SAP PAHI à intervalles réguliers. Pour plus d'informations, voir Vérifier que la table PAHI est mise à jour à intervalles réguliers.

Paramètres d’authentification

Paramètre Valeur de sécurité/considérations
auth/no_check_in_some_cases Bien que ce paramètre puisse améliorer les performances, il peut également présenter un risque de sécurité en permettant aux utilisateurs d’effectuer des actions pour lesquelles ils n’ont pas l’autorisation.
auth/object_disabling_active Permet d’améliorer la sécurité en réduisant le nombre de comptes inactifs disposant d’autorisations inutiles.
auth/rfc_authority_check Élevé. L’activation de ce paramètre permet d’empêcher l’accès non autorisé aux données sensibles et aux fonctions via les RFC.

Paramètres de passerelle

Paramètre Valeur de sécurité/considérations
gw/accept_remote_trace_level Le paramètre peut être configuré pour restreindre le niveau de trace accepté des systèmes externes. La définition d’un niveau de trace inférieur peut réduire la quantité d’informations que les systèmes externes peuvent obtenir sur les fonctionnements internes du système SAP.
gw/acl_mode Élevé. Ce paramètre contrôle l’accès à la passerelle et empêche l’accès non autorisé au système SAP.
gw/logging Élevé. Ce paramètre peut être utilisé pour surveiller et détecter les activités suspectes ou les violations de sécurité potentielles.
gw/monitor
gw/sim_mode L’activation de ce paramètre peut être utile à des fins de test et permet d’empêcher toute modification involontaire du système cible.

Paramètres ICM (Internet Communication Manager)

Paramètre Valeur de sécurité/considérations
icm/accept_remote_trace_level Moyen

L’autorisation des modifications de niveau de suivi à distance peut fournir des informations de diagnostic précieuses aux attaquants et compromettre potentiellement la sécurité du système.

Paramètres de connexion

Paramètre Valeur de sécurité/considérations
login/accept_sso2_ticket L’activation de l’authentification unique2 peut offrir une expérience utilisateur plus rationalisée et pratique, mais présente également des risques de sécurité supplémentaires. Si un attaquant accède à un ticket SSO2 valide, il peut emprunter l’identité d’un utilisateur légitime et obtenir un accès non autorisé aux données sensibles ou effectuer des actions malveillantes.
login/create_sso2_ticket
login/disable_multi_gui_login Ce paramètre permet d’améliorer la sécurité en garantissant que les utilisateurs ne sont connectés qu’à une session à la fois.
login/failed_user_auto_unlock
login/fails_to_session_end Élevé. Ce paramètre permet d’empêcher les attaques par force brute sur les comptes d’utilisateur.
login/fails_to_user_lock Permet d’empêcher un accès non autorisé au système et de protéger les comptes d’utilisateur de toute compromission.
login/min_password_diff Élevé. Exiger un nombre minimal de différences de caractères peut aider les utilisateurs à choisir des mots de passe faibles qui peuvent facilement être deviner.
login/min_password_digits Élevé. Ce paramètre augmente la complexité des mots de passe et les rend plus difficiles à deviner ou à craquer.
login/min_password_letters Indique le nombre minimal de lettres qui doivent être incluses dans le mot de passe d’un utilisateur. La définition d’une valeur plus élevée permet d’augmenter la force et la sécurité du mot de passe.
login/min_password_lng Spécifie la longueur minimale d’un mot de passe. La définition de ce paramètre à une valeur plus élevée peut améliorer la sécurité en garantissant que les mots de passe ne soient pas facilement devinés.
login/min_password_lowercase
login/min_password_specials
login/min_password_uppercase
login/multi_login_users L’activation de ce paramètre permet d’empêcher un accès non autorisé aux systèmes SAP en limitant le nombre de connexions simultanées d’un seul utilisateur. Lorsque ce paramètre est défini 0sur , une seule session de connexion est autorisée par utilisateur et d’autres tentatives de connexion sont rejetées. Cela permet d’empêcher un accès non autorisé aux systèmes SAP au cas où les informations d’identification de connexion d’un utilisateur sont compromises ou partagées avec d’autres personnes.
login/no_automatic_user_sapstar Élevé. Ce paramètre permet d’empêcher l’accès non autorisé au système SAP via le compte SAP* par défaut.
login/password_change_for_SSO Élevé. L’application des modifications de mot de passe peut aider à empêcher l’accès non autorisé au système par des attaquants susceptibles d’avoir obtenu des informations d’identification valides via le hameçonnage ou d’autres moyens.
login/password_change_waittime La définition d’une valeur appropriée pour ce paramètre permet de garantir que les utilisateurs modifient leurs mots de passe suffisamment régulièrement pour maintenir la sécurité du système SAP. En même temps, la définition du délai d’attente trop court peut être contre-productive, car les utilisateurs peuvent être plus susceptibles de réutiliser des mots de passe ou de choisir des mots de passe faibles qui sont plus faciles à mémoriser.
login/password_compliance_to_current_policy Élevée. L’activation de ce paramètre permet de garantir que les utilisateurs se conforment à la stratégie de mot de passe actuelle lors de la modification des mots de passe, ce qui réduit le risque d’un accès non autorisé aux systèmes SAP. Lorsque ce paramètre est défini sur 1, les utilisateurs sont invités à se conformer à la stratégie de mot de passe actuelle lors de la modification de leurs mots de passe.
login/password_downwards_compatibility
login/password_expiration_time La définition de ce paramètre à une valeur plus faible peut améliorer la sécurité en garantissant que les mots de passe sont fréquemment modifiés.
login/password_history_size Ce paramètre empêche les utilisateurs d’utiliser à plusieurs reprises les mêmes mots de passe, ce qui peut améliorer la sécurité.
login/password_max_idle_initial La définition de ce paramètre à une valeur plus faible peut améliorer la sécurité en garantissant que des sessions inactives ne sont pas laissées ouvertes pendant de longues périodes.
login/ticket_only_by_https Élevé. L’utilisation du protocole HTTPS pour la transmission de tickets chiffre les données en transit, ce qui le rend plus sécurisé.

Paramètres du répartiteur distant

Paramètre Valeur de sécurité/considérations
rdisp/gui_auto_logout Élevé. la déconnexion automatique des utilisateurs inactifs peut aider à empêcher l’accès non autorisé au système par des attaquants susceptibles d’avoir accès à la station de travail d’un utilisateur.
rfc/ext_debugging
rfc/reject_expired_passwd L’activation de ce paramètre peut être utile pour appliquer des stratégies de mot de passe et empêcher un accès non autorisé aux systèmes SAP. Lorsque ce paramètre est défini 1sur , les connexions RFC sont rejetées si le mot de passe de l’utilisateur a expiré et que l’utilisateur est invité à modifier son mot de passe avant de pouvoir se connecter. Cela permet de garantir que seuls des utilisateurs autorisés disposant de mots de passe valides peuvent accéder au système.
rsau/enable Élevé. Ce journal d’audit de sécurité peut fournir des informations précieuses pour détecter et examiner les incidents de sécurité.
rsau/max_diskspace/local La définition d’une valeur appropriée pour ce paramètre permet d’empêcher les journaux d’audit locaux de consommer trop d’espace disque, ce qui pourrait entraîner des problèmes de performances du système ou des attaques par déni de service. En revanche, la définition d’une valeur trop faible peut entraîner la perte de données du journal d’audit, qui peuvent être requises pour la conformité et l’audit.
rsau/max_diskspace/per_day
rsau/max_diskspace/per_file La définition d’une valeur appropriée permet de gérer la taille des fichiers d’audit et d’éviter des problèmes de stockage.
rsau/selection_slots Permet de s’assurer que les fichiers d’audit sont conservés pendant une période plus longue, ce qui peut être utile en cas de violation de la sécurité.
rspo/auth/pagelimit Ce paramètre n’affecte pas directement la sécurité du système SAP, mais permet d’empêcher un accès non autorisé à des données d’autorisation sensibles. La limitation du nombre d’entrées affichées par page peut réduire le risque que des personnes non autorisées affichent des informations d’autorisation sensibles.

Paramètres SNC (Secure Network Communications)

Paramètre Valeur de sécurité/considérations
snc/accept_insecure_cpic L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées.
snc/accept_insecure_gui Il est recommandé de définir la valeur de ce paramètre sur 0 pour garantir que les connexions SNC effectuées via l’interface graphique utilisateur SAP sont sécurisées et pour réduire le risque d’un accès non autorisé à des données sensibles ou leur interception. L’autorisation de connexions SNC non sécurisées peut augmenter le risque d’accès non autorisé aux informations sensibles ou à l’interception des données, et ne doit être effectuée que lorsqu’il existe un besoin spécifique et que les risques sont correctement évalués.
snc/accept_insecure_r3int_rfc L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées.
snc/accept_insecure_rfc L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées.
snc/data_protection/max La définition d’une valeur élevée pour ce paramètre peut augmenter le niveau de protection des données et réduire le risque d’interception ou de manipulation des données. La valeur de sécurité recommandée pour ce paramètre dépend des exigences de sécurité et de la stratégie de gestion des risques spécifiques à l’organisation.
snc/data_protection/min La définition de ce paramètre à une valeur appropriée permet de garantir que les connexions protégées par SNC fournissent un niveau minimal de protection des données. Ce paramètre permet d’empêcher l’interception ou la manipulation d’informations sensibles par des attaquants. La valeur de ce paramètre doit être définie en fonction des exigences de sécurité du système SAP et de la sensibilité des données transmises via des connexions protégées par SNC.
snc/data_protection/use
snc/enable Lorsque cette option est activée, SNC fournit une couche de sécurité supplémentaire en chiffrant les données transmises entre des systèmes.
snc/extid_login_diag L’activation de ce paramètre peut être utile pour résoudre les problèmes liés à SNC, car il fournit des informations de diagnostic supplémentaires. Toutefois, le paramètre peut également exposer des informations sensibles sur les produits de sécurité externes utilisés par le système, ce qui peut constituer un risque de sécurité potentiel si ces informations tombent entre les mauvaises mains.
snc/extid_login_rfc

Paramètres du répartiteur web

Paramètre Valeur de sécurité/considérations
wdisp/ssl_encrypt Élevé. Ce paramètre garantit que les données transmises via HTTP sont chiffrées, ce qui permet d’empêcher l’écoute et la falsification des données.

Pour plus d’informations, consultez l’article suivant :