Każdego miesiąca SAP publikuje nowe Security Notes. Wielu administratorów SAP szybko instaluje te łatki. Pojawia się tylko pytanie – czy wierzyć w bezpieczeństwo, które zapewniają?
W dzisiejszym artykule odpowiemy na pytanie czy w takiej sytuacji luki bezpieczeństwa nadal będą wykorzystywane?
W nocie OSS 1908870 - SACF | Workbench for Switchable Authorization Scenarios, SAP opracował centralne rozwiązanie przełączania weryfikacji autoryzacji. Pozwala to na sprawdzenie uprawnień dla konkretnych funkcji tylko wtedy, kiedy klient je aktywuje. Chodzi o zmniejszenie wpływu na ustalone koncepcje autoryzacji.
Niestety niewielu Klientów wie, że tak zaprojektowana łatka pozostanie nieaktywna po zaimplementowaniu noty OSS. Innymi słowy – wzmocnione kontrole uprawnień (zaprojektowane, by zmniejszyć ryzyko) nie mogą spełniać swojej zamierzonej funkcji. W wyniku tego odpowiednia luka w zabezpieczeniach nadal jest aktywna i można ją wykorzystać.
Dzięki transakcjom SUCC Klient może definiować scenariusze niestandardowych programów, z których korzysta. Weryfikacja autoryzacji oparta na scenariuszach umożliwia programistom udoskonalenie standardowego oprogramowania dzięki alternatywnej weryfikacji autoryzacji dla obiektów autoryzacji.
Wykorzystanie przełączania autoryzacji w programach klienckich otwiera drzwi do możliwości rozwijania i aktualizowania programów ABAP i ról autoryzacyjnych w oddzielnych środowiskach.
Nie zapomnij – przełączalne autoryzacje muszą zostać aktywowane!
Transakcja SACF umożliwia aktywację predefiniowanych kontroli uprawnień, które obejmują śledzenie autoryzacji i integrację z SAL.
Ze względów bezpieczeństwa zaleca się wdrożenie wszystkich zdefiniowanych scenariuszy (z wyjątkiem „SACF_DEMO_SCENARIO”) jako scenariusze „live”. Tutaj audytorzy muszą porównywać ilość zdefiniowanych scenariuszy z liczbą scenariuszy „live” i przeprowadzać rygorystyczną ocenę.
Po uruchomieniu scenariusza system wykonuje test autoryzacji, który aktywuje większą ochronę.
Pamiętaj: upewnij się, że weryfikacja zarówno „header-” jak i „object-” ustawiłeś na ACTIVE.
W przeciwnym razie system nie przeprowadzi kontroli (lub nie wykona rejestrowania).
Aby korzystać z autoryzacji opartych na scenariuszach należy przypisać developerom deweloperom i administratorom odpowiednie uprawnienia (S_TCODE). Rozpocznij od następujących transakcji:
Następnie przejdź do obiektu autoryzacji S_DEVELOP i odpowiednich typów obiektów (dostępne czynności: 02 dla zmian, 03 dla trybu wyświetlania i 06 dla usunięcia).
Pamiętaj: nie przypisuj czynności „zmiana” lub „usunięcie” do użytkowników na aktywnym systemie!
Niewątpliwie istotne jest utrzymanie wysokiego poziomu bezpieczeństwa systemu SAP oraz wdrażanie najlepszych praktyk w tym zakresie. Istotą jest zapoznanie się ze szczegółami wgrywanych not, by koniec końców nasz system posiadał odpowiedni poziom zabezpieczenia.
Jeśli masz pytania lub wątpliwości - napisz - chętnie na nie odpowiemy.
Autor: Tomasz Jurgielewicz