Werden die Security Notes ihrem Namen gerecht?

Teilen Sie
  • Sicherheit

Jeden Monat veröffentlicht SAP neue Sicherheitshinweise. Viele SAP-Administratoren sind schnell dabei, diese Patches zu installieren. Die einzige Frage, die sich stellt, ist, ob Sie an die Sicherheit glauben, die sie bieten.

In unserem heutigen Artikel beantworten wir die Frage: Werden Sicherheitslücken in einer solchen Situation weiterhin ausgenutzt?

Mit dem OSS-Hinweis 1908870 - SACF | Workbench für schaltbare Berechtigungsszenarien hat SAP eine zentrale Lösung für die schaltbare Berechtigungsprüfung entwickelt. Damit können Berechtigungen für bestimmte Funktionen erst dann geprüft werden, wenn der Kunde sie aktiviert. Die Idee ist, die Auswirkungen auf etablierte Berechtigungskonzepte zu reduzieren.

Leider wissen nur wenige Kunden, dass ein auf diese Weise konzipierter Patch nach der Implementierung des OSS-Hinweises inaktiv bleiben wird. Mit anderen Worten: Die erweiterten Berechtigungsprüfungen (die das Risiko verringern sollen) können ihre beabsichtigte Funktion nicht erfüllen. Infolgedessen ist die betreffende Sicherheitslücke weiterhin aktiv und kann ausgenutzt werden.

Kompatibilität mit Kundenprogrammen

Mit SUCC-Transaktionen kann der Kunde Szenarien für die von ihm verwendete Individualsoftware definieren. Die szenariobasierte Berechtigungsprüfung ermöglicht es Entwicklern, Standardsoftware um eine alternative Berechtigungsprüfung für Berechtigungsobjekte zu erweitern.

Die Verwendung der Berechtigungsumschaltung in Client-Programmen eröffnet die Möglichkeit, ABAP-Programme und Berechtigungsrollen in getrennten Umgebungen zu entwickeln und zu aktualisieren.

Nicht vergessen - schaltbare Berechtigungen müssen aktiviert werden!

Die SACF-Transaktion ermöglicht die Aktivierung vordefinierter Genehmigungskontrollen, die die Verfolgung von Genehmigungen und die Integration von SAL umfassen.

Aus Sicherheitsgründen wird empfohlen, alle definierten Szenarien (außer „SACF_DEMO_SCENARIO”) als „Live”-Szenarien zu implementieren. Hier müssen die Auditoren die Anzahl der definierten Szenarien mit der Anzahl der „Live”-Szenarien vergleichen und eine strenge Bewertung vornehmen.

 

Wenn das Szenario ausgelöst wird, führt das System eine Berechtigungsprüfung durch, wodurch ein höherer Schutz aktiviert wird.

Denken Sie daran: Stellen Sie sicher, dass Sie die Überprüfung von „header-” und „object-” auf AKTIV setzen.

Andernfalls wird das System die Prüfung nicht durchführen (oder die Protokollierung nicht vornehmen).

 

Erforderliche Genehmigungen

Um szenariobasierte Berechtigungen zu verwenden, müssen Entwickler und Administratoren mit den entsprechenden Rechten ausgestattet sein (S_TCODE). Beginnen Sie mit den folgenden Transaktionen:

Navigieren Sie dann zu dem Berechtigungsobjekt S_DEVELOP und den entsprechenden Objekttypen (verfügbare Aktionen: 02 für Änderung, 03 für Anzeigemodus und 06 für Löschen).

Denken Sie daran: Weisen Sie Benutzern in einem aktiven System keine „Änderungs-” oder „Lösch”-Aktionen zu!

Zusammenfassung

Es ist zweifellos wichtig, ein hohes Sicherheitsniveau im SAP-System aufrechtzuerhalten und bewährte Verfahren in diesem Bereich anzuwenden. Es ist unabdingbar, mit den Details der hochzuladenden Notizen vertraut zu sein, damit unser System am Ende des Tages das richtige Maß an Sicherheit aufweist.

Wenn Sie Fragen oder Bedenken haben, schreiben Sie uns bitte - wir werden sie gerne beantworten.

Werden die Security Notes ihrem Namen gerecht?

Tomasz Jurgielewicz

Leiter der Sicherheitsabteilung bei Lukardi. Er leitet seit 10 Jahren ein Team von SAP-Sicherheitsspezialisten und bietet umfassende Dienstleistungen und Tools zur Sicherung von SAP-Systemen und zur Optimierung von Lizenzen. Erfahrung in den Bereichen: - Identifizierung von Berechtigungskonflikten und Reorganisation von Berechtigungen, - Identifizierung von SAP-Schwachstellen, - Integration von SIEM-Lösungen mit SAP, - Optimierung von SAP-Lizenzen.