SAP NetWeaver Application Server Add-on für Code Vulnerability
SWPC Workflows fortsetzen nach Systemabsturz
Die Identifikation kritischer SAP Berechtigungen für den Einsatz eines SAP Systems muss daher auf jeden Fall durchgeführt werden. Neben Berechtigungen lassen sich auch kritische Profile und Rollen identifizieren, die bereits im Auslieferungszustand enthalten sind.
Physische Lesezugriffe - Anzahl der Lesezugriffe auf die Festplatte. Diese Zahl gibt an, wie viele Blöcke bzw. Pages von der Festplatte geladen werden mussten, um die Anfragen der Anwender (also der SAP-Workprozesse) zu befriedigen.
Beratung bei Hardware, Datenbank, Betriebssystem, Installationsart (physikalisch oder virtuell)
Der Parameter login/disable_multi_gui_login begrenzt die Möglichkeit, sich mehrfach am SAP-System anzumelden. Dieser Parameter ist wirksam bei SAP-GUI-Anmeldungen. Systemanmeldungen über den Internet Transaction Server (ITS) oder RFC werden durch diesen Parameter nicht beeinflusst. Mit dem Parameter login/multi_login_users können Sie eine Liste von Namen von Benutzern definieren, die sich mehrfach am System anmelden dürfen. Die Benutzernamen sind (ohne Angabe des Mandanten) durch Komma getrennt aufzulisten.
Mandantenübergreifende Tabellen können geändert werden. Das Kontrollsystem eines anderen, produktiven Mandanten kann damit ausgehebelt und unterlaufen werden. Ganz schön viel Macht! Wussten Sie zudem, dass das SAP-System eine Funktion bereitstellt, die Tabellenänderungsprotokolle (Tabelle DBTA BLOG) löscht und diese mandantenübergreifend wirksam ist? Wenn die Tabellenänderungsprotokolle nicht zusätzlich über das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist eine Nachvollziehbarkeit nicht mehr gegeben. Genau so lässt sich jede kriminelle Tat innerhalb Ihres Unternehmens wunderbar vertuschen. Ähnliches ermöglicht der Vollzugriff auf die Batch-Verwaltung mit der Berechtigung alle Hintergrundjobs in allen Mandanten zu verwalten. So können alte Hintergrundjobs gelöscht werden, die unbefugt gelaufen sind. Einige Punkte gibt es auch bei der Verwaltung von Druckaufträgen zu bedenken. In der Regel sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckaufträgen zu aktivieren: S_SPO_DEV (Spooler-Geräteberechtigungen) S_SPO_ACT (Spooler-Aktionen). Warum? Vertrauliche Informationen in Druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche Druckaufträge können unbefugt gelesen oder auf fremde Drucker umgeleitet und ausgedruckt werden. Druckaufträge sind ungeschützt, sofern keine zusätzlichen SAPZugriffsberechtigungen für den Schutz der Druckausgaben aktiviert sind. Die Druckaufträge sind mandantenübergreifend, das heißt, die Berechtigungsvergabe sollte an der Stelle ebenfalls gut durchgedacht werden.
Das Tool "Shortcut for SAP Systems" eignet sich sehr gut, um viele Aufgaben in der SAP Basis einfacher und schneller zu erledigen.
Um den Anschluss nicht zu verlieren, ist eine kontinuierliche Weiterbildung in diesem Bereich ratsam.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Mit dem Parameter rdisp/gui_auto_logout können Sie erzwingen, dass ein Benutzer abgemeldet wird, wenn er längere Zeit keine Eingabe tätigt.