你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
用于检测可疑配置更改的受监视的 SAP 安全参数
本文列出了 SAP 系统中适用于 SAP 的 Microsoft Sentinel 解决方案应用程序作为“SAP - (预览版)敏感静态参数已更改”分析规则一部分监视的静态安全参数。
适用于 SAP 的 Microsoft Sentinel 解决方案应用程序会根据 SAP 最佳做法更改为此内容提供更新。 根据组织的需求更改值来添加要监视的参数,并关闭 SAPSystemParameters 监视列表中的特定参数。
本文不对这些参数进行描述,也不对这些参数的配置提出建议。 有关配置注意事项,请咨询 SAP 管理员。 有关参数描述,请参阅 SAP 文档。
本文的内容适用于 SAP BASIS 团队。
先决条件
为了成功监视 SAP 安全参数,适用于 SAP 的 Microsoft Sentinel 解决方案应用程序需要定期成功监视 SAP PAHI 表。 有关更多信息,请参阅“验证 PAHI 表是否定期更新”。
身份验证参数
| 参数 | 安全值/注意事项 |
|---|---|
| auth/no_check_in_some_cases | 虽然此参数可以提高性能,但它也可能通过允许用户执行他们可能没有权限的操作来带来安全风险。 |
| auth/object_disabling_active | 可以通过减少具有不必要权限的非活动帐户数来帮助提高安全性。 |
| auth/rfc_authority_check | 高。 启用此参数有助于防止通过 RFC 未经授权访问敏感数据和函数。 |
网关参数
| 参数 | 安全值/注意事项 |
|---|---|
| gw/accept_remote_trace_level | 可以将该参数配置为限制从外部系统接受的跟踪级别。 设置较低的跟踪级别可能会减少外部系统可以获取的有关 SAP 系统内部工作的信息量。 |
| gw/acl_mode | 高。 此参数控制对网关的访问,并有助于防止未经授权访问 SAP 系统。 |
| gw/logging | 高。 此参数可用于监视和检测可疑活动或潜在的安全漏洞。 |
| gw/monitor | |
| gw/sim_mode | 启用此参数可用于测试目的,并有助于防止对目标系统进行任何意外更改。 |
Internet 通信管理器 (ICM) 参数
| 参数 | 安全值/注意事项 |
|---|---|
| icm/accept_remote_trace_level | 中型 允许远程跟踪级别更改可能会向攻击者提供有价值的诊断信息,并可能危及系统安全。 |
登录参数
| 参数 | 安全值/注意事项 |
|---|---|
| login/accept_sso2_ticket | 启用 SSO2 可以提供更简化、更方便的用户体验,但也会带来额外安全风险。 如果攻击者获得了对有效 SSO2 票证的访问权限,他们或许能够模拟合法用户,并获得未经授权访问敏感数据的权限或执行恶意操作。 |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | 此参数可确保用户一次只登录到一个会话,从而提高安全性。 |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | 高。 此参数有助于防止对用户帐户进行暴力攻击。 |
| login/fails_to_user_lock | 有助于防止未经授权访问系统,并且有助于防止用户帐户遭到入侵。 |
| login/min_password_diff | 高。 要求最少数量的字符差异有助于防止用户选择容易猜到的弱密码。 |
| login/min_password_digits | 高。 此参数会增加密码的复杂性,并使其更难猜测或破解。 |
| login/min_password_letters | 指定用户密码中必须包含的最小字母数。 设置较高的值有助于提高密码强度和安全性。 |
| login/min_password_lng | 指定密码的最小长度。 为此参数设置更高的值可确保密码不容易被猜出,从而提高安全性。 |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | 启用此参数后会限制单个用户的并发登录数,有助于防止未经授权访问 SAP 系统。 当此参数设置为 0 时,每个用户只允许一个登录会话,其他登录尝试会被拒绝。 这有助于防止未经授权访问 SAP 系统,以防用户的登录凭据泄露或与他人共享。 |
| login/no_automatic_user_sapstar | 高。 此参数有助于防止通过默认 SAP* 帐户未经授权访问 SAP 系统。 |
| login/password_change_for_SSO | 高。 强制实施密码更改有助于防止通过网络钓鱼或其他方式获取有效凭据的攻击者未经授权访问系统。 |
| login/password_change_waittime | 为此参数设置适当的值有助于确保用户定期更改其密码,以确保 SAP 系统安全。 同时,将等待时间设置得太短可能会适得其反,因为用户可能更可能重复使用密码或选择更容易记住的弱密码。 |
| login/password_compliance_to_current_policy | 高。 启用此参数有助于确保用户在更改密码时遵守当前密码策略,从而降低未经授权访问 SAP 系统的风险。 当此参数设置为 1 时,在用户更改其密码时,系统会提示用户遵守当前密码策略。 |
| login/password_downwards_compatibility | |
| login/password_expiration_time | 将此参数设置为较低的值可以确保密码频繁更改,从而提高安全性。 |
| login/password_history_size | 此参数可防止用户重复使用相同的密码,从而提高安全性。 |
| login/password_max_idle_initial | 为此参数设置较低的值可以确保空闲会话不会长时间保持打开状态,从而提高安全性。 |
| login/ticket_only_by_https | 高。 使用 HTTPS 进行票证传输会加密传输中的数据,使其更安全。 |
远程调度程序参数
| 参数 | 安全值/注意事项 |
|---|---|
| rdisp/gui_auto_logout | 高。 自动注销非活动用户有助于防止可能已获得用户工作站访问权限的攻击者未经授权访问系统。 |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | 在强制实施密码策略和防止未经授权访问 SAP 系统时,启用此参数非常有用。 如果将此参数设置为 1,则当用户的密码已过期时,RFC 连接将被拒绝,并且系统会提示用户更改其密码,然后才能进行连接。 这有助于确保只有具有有效密码的授权用户才能访问系统。 |
| rsau/enable | 高。 此安全审核日志可以提供有价值的信息来检测和调查安全事件。 |
| rsau/max_diskspace/local | 为此参数设置适当的值有助于防止本地审核日志占用过多磁盘空间,这可能会导致系统性能问题,甚至拒绝服务攻击。 另一方面,设置过低的值可能会导致审核日志数据丢失,这些数据可能是合规性和审核所必需的。 |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | 设置适当的值有助于管理审核文件的大小并避免存储问题。 |
| rsau/selection_slots | 有助于确保审核文件保留更长时间,这在安全漏洞中非常有用。 |
| rspo/auth/pagelimit | 此参数不会直接影响 SAP 系统的安全性,但有助于防止未经授权访问敏感授权数据。 通过限制每页显示的条目数,可以降低未经授权的个人查看敏感授权信息的风险。 |
安全网络通信 (SNC) 参数
| 参数 | 安全值/注意事项 |
|---|---|
| snc/accept_insecure_cpic | 启用此参数可能会增加数据截获或操纵的风险,因为它接受不满足最低安全标准的受 SNC 保护的连接。 因此,此参数的建议安全值是将其设置为 0,这意味着仅接受满足最低安全要求的 SNC 连接。 |
| snc/accept_insecure_gui | 建议将此参数的值设置为 0,以确保通过 SAP GUI 建立的 SNC 连接是安全的,并降低未经授权访问或截获敏感数据的风险。 允许不安全的 SNC 连接可能会增加未经授权访问敏感信息或数据截获的风险,仅当存在特定需求且风险正确评估时才应这样做。 |
| snc/accept_insecure_r3int_rfc | 启用此参数可能会增加数据截获或操纵的风险,因为它接受不满足最低安全标准的受 SNC 保护的连接。 因此,此参数的建议安全值是将其设置为 0,这意味着仅接受满足最低安全要求的 SNC 连接。 |
| snc/accept_insecure_rfc | 启用此参数可能会增加数据截获或操纵的风险,因为它接受不满足最低安全标准的受 SNC 保护的连接。 因此,此参数的建议安全值是将其设置为 0,这意味着仅接受满足最低安全要求的 SNC 连接。 |
| snc/data_protection/max | 为此参数设置较高的值可以提高数据保护级别,并降低数据截获或操纵的风险。 此参数的建议安全值取决于组织的特定安全要求和风险管理策略。 |
| snc/data_protection/min | 为此参数设置适当的值有助于确保受 SNC 保护的连接提供最低级别的数据保护。 此设置有助于防止敏感信息被攻击者截获或操纵。 此参数的值应根据 SAP 系统的安全要求和通过受 SNC 保护的连接传输的数据的敏感性进行设置。 |
| snc/data_protection/use | |
| snc/enable | 启用后,SNC 通过加密系统之间传输的数据来提供额外的安全层。 |
| snc/extid_login_diag | 启用此参数有助于排查与 SNC 相关的问题,因为它提供了额外诊断信息。 但是,该参数也可能公开有关系统使用的外部安全产品的敏感信息,如果这些信息落入坏人手中,则可能是潜在的安全风险。 |
| snc/extid_login_rfc |
Web 调度程序参数
| 参数 | 安全值/注意事项 |
|---|---|
| wdisp/ssl_encrypt | 高。 此参数可确保对通过 HTTP 传输的数据进行加密,这有助于防止窃听和数据篡改。 |
相关内容
有关详细信息,请参阅: