Webinar "Kontrola nad dokumentami - elastyczny i skalowalny obieg dokumentów"
Zarejestruj się
E-book Vendor Invoice Managment by OpenText
Pobierz
Webinar "Kontrola nad dokumentami - elastyczny i skalowalny obieg dokumentów"
Zarejestruj się
E-book "Bezpieczeństwo SAP S/4 HANA"
Pobierz za darmo
E-book Vendor Invoice Managment by OpenText
Pobierz
Konferencja Lukardi Day już 5 czerwca 2024 r. w Warszawie
Sprawdź
Konferencja Lukardi Day już 5 czerwca 2024 r. w Warszawie
Webinar - Przed migracją do S/4HANA zoptymalizuj licencje, 20 marca 2023 r. godzina 12:30
SPRAWDŹ
Webinar - "USU Optimization for SAP
Jak optymalizować licencje użytkowników SAP?", 12 grudnia 2023 r. godzina 12:00
Zarejestruj się

Czy Security Notes działają zgodnie ze swoją nazwą?

Czas czytania: 3 minut
Tomasz Jurgielewicz

Czy Security Notes działają zgodnie ze swoją nazwą?

 

Każdego miesiąca SAP publikuje nowe Security Notes. Wielu administratorów SAP szybko instaluje te łatki. Pojawia się tylko pytanie – czy wierzyć w bezpieczeństwo, które zapewniają?

W dzisiejszym artykule odpowiemy na pytanie czy w takiej sytuacji luki bezpieczeństwa nadal będą wykorzystywane?

W nocie OSS 1908870 - SACF | Workbench for Switchable Authorization Scenarios, SAP opracował centralne rozwiązanie przełączania weryfikacji autoryzacji. Pozwala to na sprawdzenie uprawnień dla konkretnych funkcji tylko wtedy, kiedy klient je aktywuje. Chodzi o zmniejszenie wpływu na ustalone koncepcje autoryzacji.

Niestety niewielu Klientów wie, że tak zaprojektowana łatka pozostanie nieaktywna po zaimplementowaniu noty OSS. Innymi słowy – wzmocnione kontrole uprawnień (zaprojektowane, by zmniejszyć ryzyko) nie mogą spełniać swojej zamierzonej funkcji. W wyniku tego odpowiednia luka w zabezpieczeniach nadal jest aktywna i można ją wykorzystać.

 

Kompatybilność z programami klienckimi

 

Dzięki transakcjom SUCC Klient może definiować scenariusze niestandardowych programów, z których korzysta. Weryfikacja autoryzacji oparta na scenariuszach umożliwia programistom udoskonalenie standardowego oprogramowania dzięki alternatywnej weryfikacji autoryzacji dla obiektów autoryzacji.

Wykorzystanie przełączania autoryzacji w programach klienckich otwiera drzwi do możliwości rozwijania i aktualizowania programów ABAP i ról autoryzacyjnych w oddzielnych środowiskach.

Nie zapomnij – przełączalne autoryzacje muszą zostać aktywowane!

Transakcja SACF umożliwia aktywację predefiniowanych kontroli uprawnień, które obejmują śledzenie autoryzacji i integrację z SAL.

Ze względów bezpieczeństwa zaleca się wdrożenie wszystkich zdefiniowanych scenariuszy (z wyjątkiem „SACF_DEMO_SCENARIO”) jako scenariusze „live”. Tutaj audytorzy muszą porównywać ilość zdefiniowanych scenariuszy z liczbą scenariuszy „live” i przeprowadzać rygorystyczną ocenę.

Security Notes 1

Security Notes 2

 

 

Po uruchomieniu scenariusza system wykonuje test autoryzacji, który aktywuje większą ochronę.

Pamiętaj: upewnij się, że weryfikacja zarówno „header-” jak i „object-” ustawiłeś na ACTIVE.

W przeciwnym razie system nie przeprowadzi kontroli (lub nie wykona rejestrowania).

Security Notes 3

Wymagane autoryzacje

Aby korzystać z autoryzacji opartych na scenariuszach należy przypisać developerom deweloperom i administratorom odpowiednie uprawnienia (S_TCODE). Rozpocznij od następujących transakcji:

Security Notes 4

Następnie przejdź do obiektu autoryzacji S_DEVELOP i odpowiednich typów obiektów (dostępne czynności: 02 dla zmian, 03 dla trybu wyświetlania i 06 dla usunięcia).

Security Notes 5

Pamiętaj: nie przypisuj czynności „zmiana” lub „usunięcie” do użytkowników na aktywnym systemie!

 

Podsumowanie

Niewątpliwie istotne jest utrzymanie wysokiego poziomu bezpieczeństwa systemu SAP oraz wdrażanie najlepszych praktyk w tym zakresie. Istotą jest zapoznanie się ze szczegółami wgrywanych not, by koniec końców nasz system posiadał odpowiedni poziom zabezpieczenia.

Jeśli masz pytania lub wątpliwości - napisz - chętnie na nie odpowiemy.

 

Autor: Tomasz Jurgielewicz

Zapoznaj się z naszym e-bookiem dotyczącym migracji z SAP ERP na SAP S/4 HANA
Pobierz darmowego e-booka

Jeśli uważasz ten artykuł za wartościowy, podziel się nim proszę.
Pozwoli nam to dotrzeć do nowych osób. Z góry dziękujemy!

Zadbamy o cyfrową transformację Twojego biznesu

Chcesz zabezpieczyć swój biznes przed cyberatakami? A może planujesz cyfrową transformację lub poszukujesz specjalistów IT do projektu? Chętnie pomożemy. Jesteśmy tu dla Ciebie. Porozmawiajmy o profesjonalnych usługach IT dla Twojej firmy.
Skontaktuj się z nami
Darmowy e-book

Wszystko, co musisz wiedzieć
o migracji z SAP ERP na SAP S/4HANA

Nasz zespół ekspertów przygotował dla Ciebie
e-poradnik, dzięki któremu zrobisz to łatwo, bezboleśnie i bez szkody dla bezpieczeństwa
Twojej firmy.

To praktyczna wiedza podana w przystępnym
języku - zupełnie za darmo.
Pobierz darmowego e-booka
Kontakt
kontakt@lukardi.com
+ 48 508 400 203
Dane adresowe
ul. Tęczowa 3 , 60-275 Poznań
NIP: 5213683072
REGON: 360098885
Odwiedź nasze social media:
Dane adresowe
ul. Tęczowa 3 , 60-275 Poznań
NIP: 5213683072
REGON: 360098885
Odwiedź nasze social media:
Lukardi 2024. All Rights Reserved. 
Stworzone z
przez Uxtivity