Parâmetros de segurança SAP monitorados para detetar alterações de configuração suspeitas
Este artigo lista os parâmetros de segurança estáticos no sistema SAP que a solução Microsoft Sentinel para aplicativos SAP monitora como parte da regra de análise SAP - (Preview) Sensitive Static Parameter has Changed.
A solução Microsoft Sentinel para aplicativos SAP fornece atualizações para esse conteúdo de acordo com as alterações de práticas recomendadas da SAP. Adicione parâmetros a observar alterando os valores de acordo com as necessidades da sua organização e desative parâmetros específicos na lista de observação SAPSystemParameters.
Este artigo não descreve os parâmetros e não é uma recomendação para configurar os parâmetros. Para obter considerações sobre configuração, consulte os administradores do SAP. Para obter descrições de parâmetros, consulte a documentação do SAP.
O conteúdo deste artigo destina-se às suas equipas SAP BASIS .
Pré-requisitos
Para que a solução Microsoft Sentinel para aplicativos SAP monitore com êxito os parâmetros de segurança SAP, a solução precisa monitorar com êxito a tabela SAP PAHI em intervalos regulares. Para obter mais informações, consulte Verificar se a tabela PAHI é atualizada em intervalos regulares.
Parâmetros de autenticação
| Parâmetro | Valor/considerações de segurança |
|---|---|
| AUTH/no_check_in_some_cases | Embora esse parâmetro possa melhorar o desempenho, ele também pode representar um risco de segurança ao permitir que os usuários executem ações para as quais talvez não tenham permissão. |
| auth/object_disabling_ative | Pode ajudar a melhorar a segurança reduzindo o número de contas inativas com permissões desnecessárias. |
| auth/rfc_authority_check | Elevada. Habilitar esse parâmetro ajuda a impedir o acesso não autorizado a dados e funções confidenciais por meio de RFCs. |
Parâmetros do gateway
| Parâmetro | Valor/considerações de segurança |
|---|---|
| GW/accept_remote_trace_level | O parâmetro pode ser configurado para restringir o nível de rastreamento aceito de sistemas externos. Definir um nível de rastreamento mais baixo pode reduzir a quantidade de informações que os sistemas externos podem obter sobre o funcionamento interno do sistema SAP. |
| GW/acl_mode | Elevada. Este parâmetro controla o acesso ao gateway e ajuda a impedir o acesso não autorizado ao sistema SAP. |
| GW/Registo | Elevada. Este parâmetro pode ser usado para monitorar e detetar atividades suspeitas ou possíveis violações de segurança. |
| GW/Monitor | |
| GW/sim_mode | Habilitar esse parâmetro pode ser útil para fins de teste e pode ajudar a evitar alterações não intencionais no sistema de destino. |
Parâmetros do Internet Communication Manager (ICM)
| Parâmetro | Valor/considerações de segurança |
|---|---|
| ICM/accept_remote_trace_level | Média Permitir alterações no nível de rastreamento remoto pode fornecer informações de diagnóstico valiosas para invasores e potencialmente comprometer a segurança do sistema. |
Parâmetros de início de sessão
| Parâmetro | Valor/considerações de segurança |
|---|---|
| login/accept_sso2_ticket | Habilitar o SSO2 pode fornecer uma experiência de usuário mais simplificada e conveniente, mas também introduz riscos de segurança extras. Se um invasor obtiver acesso a um tíquete SSO2 válido, ele poderá se passar por um usuário legítimo e obter acesso não autorizado a dados confidenciais ou executar ações maliciosas. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Esse parâmetro pode ajudar a melhorar a segurança, garantindo que os usuários estejam conectados apenas a uma sessão de cada vez. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Elevada. Esse parâmetro ajuda a evitar ataques de força bruta às contas de usuário. |
| login/fails_to_user_lock | Ajuda a impedir o acesso não autorizado ao sistema e ajuda a proteger as contas de utilizador de serem comprometidas. |
| login/min_password_diff | Elevada. Exigir um número mínimo de diferenças de caracteres pode ajudar a evitar que os usuários escolham senhas fracas que podem ser facilmente adivinhadas. |
| login/min_password_digits | Elevada. Este parâmetro aumenta a complexidade das palavras-passe e torna-as mais difíceis de adivinhar ou decifrar. |
| login/min_password_letters | Especifica o número mínimo de letras que devem ser incluídas na senha de um usuário. Definir um valor mais alto ajuda a aumentar a força e a segurança da senha. |
| login/min_password_lng | Especifica o comprimento mínimo que uma senha pode ter. Definir um valor mais alto para esse parâmetro pode melhorar a segurança, garantindo que as senhas não sejam facilmente adivinhadas. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | A ativação desse parâmetro pode ajudar a impedir o acesso não autorizado aos sistemas SAP, limitando o número de logins simultâneos para um único usuário. Quando esse parâmetro é definido como 0, apenas uma sessão de login é permitida por usuário e outras tentativas de login são rejeitadas. Isso pode ajudar a impedir o acesso não autorizado aos sistemas SAP caso as credenciais de login de um usuário sejam comprometidas ou compartilhadas com outras pessoas. |
| login/no_automatic_user_sapstar | Elevada. Este parâmetro ajuda a impedir o acesso não autorizado ao sistema SAP através da conta SAP* padrão. |
| login/password_change_for_SSO | Elevada. A imposição de alterações de senha pode ajudar a impedir o acesso não autorizado ao sistema por invasores que possam ter obtido credenciais válidas por meio de phishing ou outros meios. |
| login/password_change_waittime | Definir um valor apropriado para esse parâmetro pode ajudar a garantir que os usuários alterem suas senhas regularmente o suficiente para manter a segurança do sistema SAP. Ao mesmo tempo, definir o tempo de espera muito curto pode ser contraproducente porque os usuários podem ser mais propensos a reutilizar senhas ou escolher senhas fracas que são mais fáceis de lembrar. |
| login/password_compliance_to_current_policy | Elevada. Habilitar esse parâmetro pode ajudar a garantir que os usuários cumpram a política de senha atual ao alterar senhas, o que reduz o risco de acesso não autorizado aos sistemas SAP. Quando esse parâmetro é definido como 1, os usuários são solicitados a cumprir a política de senha atual ao alterar suas senhas. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | Definir esse parâmetro para um valor mais baixo pode melhorar a segurança, garantindo que as senhas sejam alteradas com frequência. |
| login/password_history_size | Esse parâmetro impede que os usuários usem repetidamente as mesmas senhas, o que pode melhorar a segurança. |
| login/password_max_idle_initial | Definir um valor mais baixo para esse parâmetro pode melhorar a segurança, garantindo que as sessões ociosas não sejam deixadas abertas por longos períodos de tempo. |
| login/ticket_only_by_https | Elevada. O uso de HTTPS para transmissão de tíquetes criptografa os dados em trânsito, tornando-os mais seguros. |
Parâmetros do dispatcher remoto
| Parâmetro | Valor/considerações de segurança |
|---|---|
| Rdisp/gui_auto_logout | Elevada. Fazer logout automático de usuários inativos pode ajudar a impedir o acesso não autorizado ao sistema por invasores que possam ter acesso à estação de trabalho de um usuário. |
| RFC/ext_debugging | |
| RFC/reject_expired_passwd | Habilitar esse parâmetro pode ser útil ao aplicar políticas de senha e impedir o acesso não autorizado aos sistemas SAP. Quando esse parâmetro é definido como 1, as conexões RFC são rejeitadas se a senha do usuário expirou e o usuário é solicitado a alterar sua senha antes de poder se conectar. Isso ajuda a garantir que apenas usuários autorizados com senhas válidas possam acessar o sistema. |
| RSAU/ATIVAR | Elevada. Este registo de Auditoria de Segurança pode fornecer informações valiosas para detetar e investigar incidentes de segurança. |
| rsau/max_diskspace/local | Definir um valor apropriado para esse parâmetro ajuda a evitar que os logs de auditoria locais consumam muito espaço em disco, o que pode levar a problemas de desempenho do sistema ou até mesmo ataques de negação de serviço. Por outro lado, definir um valor muito baixo pode resultar na perda de dados de log de auditoria, que podem ser necessários para conformidade e auditoria. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Definir um valor apropriado ajuda a gerenciar o tamanho dos arquivos de auditoria e evitar problemas de armazenamento. |
| RSAU/selection_slots | Ajuda a garantir que os arquivos de auditoria sejam retidos por um longo período de tempo, o que pode ser útil em uma violação de segurança. |
| rspo/auth/pagelimit | Esse parâmetro não afeta diretamente a segurança do sistema SAP, mas pode ajudar a impedir o acesso não autorizado a dados confidenciais de autorização. Ao limitar o número de entradas exibidas por página, pode reduzir o risco de indivíduos não autorizados visualizarem informações confidenciais de autorização. |
Parâmetros de comunicações de rede seguras (SNC)
| Parâmetro | Valor/considerações de segurança |
|---|---|
| SNC/accept_insecure_cpic | Habilitar esse parâmetro pode aumentar o risco de intercetação ou manipulação de dados, pois aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como , o 0que significa que apenas conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| SNC/accept_insecure_gui | Recomenda-se definir o valor desse parâmetro como 0 para garantir que as conexões SNC feitas por meio da GUI do SAP sejam seguras e para reduzir o risco de acesso não autorizado ou intercetação de dados confidenciais. Permitir conexões SNC inseguras pode aumentar o risco de acesso não autorizado a informações confidenciais ou intercetação de dados, e só deve ser feito quando há uma necessidade específica e os riscos são devidamente avaliados. |
| SNC/accept_insecure_r3int_rfc | Habilitar esse parâmetro pode aumentar o risco de intercetação ou manipulação de dados, pois aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como , o 0que significa que apenas conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| SNC/accept_insecure_rfc | Habilitar esse parâmetro pode aumentar o risco de intercetação ou manipulação de dados, pois aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como , o 0que significa que apenas conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| SNC/data_protection/Max | A fixação de um valor elevado para este parâmetro pode aumentar o nível de proteção de dados e reduzir o risco de interceção ou manipulação de dados. O valor de segurança recomendado para esse parâmetro depende dos requisitos de segurança específicos da organização e da estratégia de gerenciamento de riscos. |
| SNC/data_protection/min | A definição de um valor apropriado para esse parâmetro ajuda a garantir que as conexões protegidas por SNC forneçam um nível mínimo de proteção de dados. Essa configuração ajuda a impedir que informações confidenciais sejam intercetadas ou manipuladas por invasores. O valor deste parâmetro deve ser definido com base nos requisitos de segurança do sistema SAP e na sensibilidade dos dados transmitidos através de ligações protegidas por SNC. |
| SNC/data_protection/UTILIZAÇÃO | |
| SNC/Ativar | Quando ativado, o SNC fornece uma camada extra de segurança criptografando os dados transmitidos entre sistemas. |
| SNC/extid_login_diag | Habilitar esse parâmetro pode ser útil para solucionar problemas relacionados ao SNC, pois ele fornece informações adicionais de diagnóstico. No entanto, o parâmetro também pode expor informações confidenciais sobre os produtos de segurança externos usados pelo sistema, o que pode ser um risco potencial de segurança se essas informações caírem nas mãos erradas. |
| SNC/extid_login_rfc |
Parâmetros do despachante da Web
| Parâmetro | Valor/considerações de segurança |
|---|---|
| WDISP/ssl_encrypt | Elevada. Esse parâmetro garante que os dados transmitidos por HTTP sejam criptografados, o que ajuda a evitar escutas e adulterações de dados. |
Conteúdos relacionados
Para obter mais informações, consulte: