Analyse des paramètres de sécurité SAP pour détecter des modifications de configuration suspectes
Cet article détaille les paramètres de sécurité du système SAP que la solution Microsoft Sentinel pour les applications SAP® analyse dans le cadre de la règle d’analyse « SAP - (préversion) Le paramètre statique sensible a changé ».
La solution Microsoft Sentinel pour les applications SAP® fournit des mises à jour de ce contenu en fonction des modifications apportées aux meilleures pratiques SAP. Vous pouvez également ajouter des paramètres à surveiller, modifier des valeurs en fonction des besoins de votre organisation et désactiver des paramètres spécifiques dans la Watchlist SAPSystemParameters.
Notes
Pour que la solution Microsoft Sentinel pour les applications SAP® supervise correctement les paramètres de sécurité SAP, elle doit superviser correctement la table SAP PAHI à intervalles réguliers. Vérifiez que la solution peut superviser correctement la table PAHI.
Analyse des paramètres de sécurité SAP statiques
Cette liste inclut les paramètres de sécurité SAP statiques que la solution Microsoft Sentinel pour les applications SAP® analyse afin de protéger votre système SAP. La liste n’est pas une recommandation de configuration de ces paramètres. Pour plus d’informations sur la configuration, consultez vos administrateurs SAP.
| Paramètre | Description | Valeur de sécurité/considérations |
|---|---|---|
| gw/accept_remote_trace_level | Contrôle si les sous-systèmes CPI (Central Process Integration) et RFC (Remote Function Call) adoptent ou non le niveau de trace à distance. Lorsque ce paramètre est défini sur 1, les sous-systèmes CPI et RFC acceptent et adoptent les niveaux de trace à distance. Lorsqu’il est défini sur 0, les niveaux de trace à distance ne sont pas acceptés et le niveau de trace local est utilisé.Le niveau de trace est un paramètre qui détermine le niveau de détail d’un programme ou processus spécifique enregistré dans le journal système. Lorsque les sous-systèmes adoptent les niveaux de trace, vous pouvez définir le niveau de trace d’un programme ou processus à partir d’un système à distance et pas uniquement du système local. Ce paramètre peut être utile dans des situations où un débogage ou une résolution des problèmes à distance est nécessaire. |
Le paramètre peut être configuré pour restreindre le niveau de trace accepté des systèmes externes. La définition d’un niveau de trace plus faible peut réduire la quantité d’informations que les systèmes externes peuvent obtenir sur le fonctionnement interne du système SAP. |
| login/password_change_for_SSO | Contrôle la façon dont les modifications de mot de passe sont appliquées dans des situations d’authentification unique. | Élevé, car l’application des modifications de mot de passe permet d’empêcher un accès non autorisé au système par des attaquants qui peuvent avoir obtenu des informations d’identification valides par hameçonnage ou d’autres moyens. |
| icm/accept_remote_trace_level | Détermine si Internet Communication Manager (ICM) accepte des modifications à distance du niveau de trace à partir de systèmes externes. | Moyen, car l’autorisation de modifier le niveau de trace à distance peut fournir des informations de diagnostic précieuses à des attaquants et compromettre potentiellement la sécurité du système. |
| rdisp/gui_auto_logout | Spécifie le temps d’inactivité maximale des connexions de l’interface graphique utilisateur SAP avant de déconnecter automatiquement l’utilisateur. | Élevé, car la déconnexion automatique des utilisateurs inactifs permet d’empêcher un accès non autorisé au système par des attaquants qui ont peuvent avoir obtenu l’accès à la station de travail d’un utilisateur. |
| rsau/enable | Contrôle si le journal d’audit de sécurité est activé. | Élevé, car le journal d’audit de sécurité peut fournir des informations précieuses de détection et d’examen des incidents de sécurité. |
| login/min_password_diff | Indique le nombre minimal de caractères qui doivent différer entre l’ancien et le nouveau mot de passe lorsque les utilisateurs modifient leurs mots de passe. | Élevé, car l’exigence d’un nombre minimal de différences de caractères permet d’empêcher les utilisateurs de choisir des mots de passe faibles qui peuvent facilement être devinés. |
| login/min_password_digits | Définit le nombre minimal de chiffres requis dans le mot de passe d’un utilisateur. | Élevé, car le paramètre augmente la complexité des mots de passe et les rend plus difficiles à deviner ou à déchiffrer. |
| login/ticket_only_by_https | Ce paramètre contrôle si les tickets d’authentification sont envoyés uniquement via HTTPS ou s’ils peuvent également être envoyés via HTTP. | Élevé, car la transmission de ticket par HTTPS chiffre les données en transit ; elles sont ainsi plus sécurisées. |
| auth/rfc_authority_check | Contrôle si des vérifications d’autorité des RFC sont effectuées. | Élevé, car l’activation de ce paramètre permet d’empêcher un accès non autorisé à des données et fonctions sensibles via les RFC. |
| gw/acl_mode | Définit le mode du fichier de liste de contrôle d’accès (ACL) utilisé par la passerelle SAP. | Élevé, car le paramètre contrôle l’accès à la passerelle et permet d’empêcher un accès non autorisé au système SAP. |
| gw/logging | Contrôle les paramètres d’enregistrement de la passerelle SAP. | Élevé, car ce paramètre peut être utilisé pour analyser et détecter une activité suspecte ou des violations potentielles de sécurité. |
| login/fails_to_session_end | Définit le nombre de tentatives de connexion non valides autorisées avant l’arrêt de la session de l’utilisateur. | Élevé, car le paramètre permet d’empêcher les attaques par force brute sur des comptes d’utilisateur. |
| wdisp/ssl_encrypt | Définit le mode de re-chiffrement SSL des requêtes HTTP. | Élevé, car ce paramètre garantit que les données transmises via HTTP sont chiffrées, ce qui permet d’empêcher les écoutes clandestines et la falsification des données. |
| login/no_automatic_user_sapstar | Contrôle la connexion automatique de l’utilisateur SAP*. | Élevé, car ce paramètre permet d’empêcher un accès non autorisé au système SAP via le compte SAP* par défaut. |
| rsau/max_diskspace/local | Définit la quantité maximale d’espace disque qui peut être utilisée pour le stockage local des journaux d’audit. Ce paramètre de sécurité permet d’empêcher le remplissage de l’espace disque et garantit que les journaux d’audit sont disponibles pour investigation. | La définition d’une valeur appropriée pour ce paramètre permet d’empêcher les journaux d’audit locaux de consommer trop d’espace disque, ce qui pourrait entraîner des problèmes de performances du système ou des attaques par déni de service. D’autre part, la définition d’une valeur trop faible pourrait entraîner la perte des données du journal d’audit, qui peuvent être nécessaires à la conformité et à l’audit. |
| snc/extid_login_diag | Active ou désactive la journalisation de l’ID externe des erreurs d’ouverture de session SNC (Secure Network Communication). Ce paramètre de sécurité permet d’identifier les tentatives d’accès non autorisé au système. | L’activation de ce paramètre peut être utile pour résoudre les problèmes SNC, car il fournit des informations supplémentaires de diagnostic. Toutefois, le paramètre peut également exposer des informations sensibles sur les produits de sécurité externes utilisés par le système, ce qui pourrait constituer un risque de sécurité potentiel si ces informations tombent entre de mauvaises mains. |
| login/password_change_waittime | Définit le nombre de jours pendant lesquels un utilisateur doit attendre avant de modifier à nouveau son mot de passe. Ce paramètre de sécurité permet d’appliquer des stratégies de mot de passe et garantit que les utilisateurs modifient régulièrement leurs mots de passe. | La définition d’une valeur appropriée pour ce paramètre permet de garantir que les utilisateurs modifient leurs mots de passe suffisamment régulièrement pour maintenir la sécurité du système SAP. En même temps, définir un temps d’attente trop court peut être contre-productif, car les utilisateurs peuvent être plus susceptibles de réutiliser des mots de passe ou de choisir des mots de passe faibles plus faciles à mémoriser. |
| snc/accept_insecure_cpic | Détermine si le système accepte ou non des connexions SNC non sécurisées à l’aide du protocole CPIC. Ce paramètre de sécurité contrôle le niveau de sécurité des connexions SNC. | L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées. |
| snc/accept_insecure_r3int_rfc | Détermine si le système accepte ou non les connexions SNC non sécurisées des protocoles R/3 et RFC. Ce paramètre de sécurité contrôle le niveau de sécurité des connexions SNC. | L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées. |
| snc/accept_insecure_rfc | Détermine si le système accepte ou non des connexions SNC non sécurisées à l’aide de protocoles RFC. Ce paramètre de sécurité contrôle le niveau de sécurité des connexions SNC. | L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées. |
| snc/data_protection/max | Définit le niveau maximal de protection des données des connexions SNC. Ce paramètre de sécurité contrôle le niveau de chiffrement des connexions SNC. | La définition d’une valeur élevée pour ce paramètre peut augmenter le niveau de protection des données et réduire le risque d’interception ou de manipulation des données. La valeur de sécurité recommandée pour ce paramètre dépend des exigences de sécurité et de la stratégie de gestion des risques spécifiques à l’organisation. |
| rspo/auth/pagelimit | Définit le nombre maximal de requêtes de spouler qu’un utilisateur peut afficher ou supprimer à la fois. Ce paramètre de sécurité permet d’empêcher des attaques par déni de service du système de spouleur. | Ce paramètre n’affecte pas directement la sécurité du système SAP, mais permet d’empêcher un accès non autorisé à des données d’autorisation sensibles. La limitation du nombre d’entrées affichées par page peut réduire le risque que des personnes non autorisées affichent des informations d’autorisation sensibles. |
| snc/accept_insecure_gui | Détermine si le système accepte ou non les connexions SNC non sécurisées à l’aide du protocole GUI. Ce paramètre de sécurité contrôle le niveau de sécurité des connexions SNC. | Il est recommandé de définir la valeur de ce paramètre sur 0 pour garantir que les connexions SNC effectuées via l’interface graphique utilisateur SAP sont sécurisées et pour réduire le risque d’un accès non autorisé à des données sensibles ou leur interception. L’autorisation de connexions SNC non sécurisées peut augmenter le risque d’un accès non autorisé à des informations sensibles ou d’une interception de données, et ne doit être effectuée qu’en cas de besoin spécifique et si les risques ont été correctement évalués. |
| login/accept_sso2_ticket | Active ou désactive l’acceptation de tickets SSO2 à l’ouverture de session. Ce paramètre de sécurité contrôle le niveau de sécurité d’une ouverture de session de session sur le système. | L’activation de SSO2 peut offrir une expérience utilisateur plus simple et pratique, mais elle présente également des risques de sécurité supplémentaires. Si un attaquant obtient un accès à un ticket SSO2 valide, il peut emprunter l’identité d’un utilisateur légitime et obtenir un accès non autorisé à des données sensibles ou effectuer des actions malveillantes. |
| login/multi_login_users | Définit si plusieurs sessions ouvertes sont autorisées ou non pour le même utilisateur. Ce paramètre de sécurité contrôle le niveau de sécurité des sessions utilisateur et permet d’empêcher tout accès non autorisé. | L’activation de ce paramètre permet d’empêcher un accès non autorisé aux systèmes SAP en limitant le nombre de connexions simultanées d’un seul utilisateur. Lorsque ce paramètre est défini sur 0, une seule session de connexion est autorisée par utilisateur, et les tentatives de connexion supplémentaires sont rejetées. Cela permet d’empêcher un accès non autorisé aux systèmes SAP au cas où les informations d’identification de connexion d’un utilisateur sont compromises ou partagées avec d’autres personnes. |
| login/password_expiration_time | Spécifie l’intervalle de temps maximal en jours pendant lequel un mot de passe est valide. Lorsque ce délai est écoulé, l’utilisateur est invité à modifier son mot de passe. | La définition de ce paramètre à une valeur plus faible peut améliorer la sécurité en garantissant que les mots de passe sont fréquemment modifiés. |
| login/password_max_idle_initial | Spécifie l’intervalle de temps maximal en minutes pendant lequel un utilisateur peut rester connecté sans effectuer d’activité. Une fois ce délai écoulé, l’utilisateur est automatiquement déconnecté. | La définition de ce paramètre à une valeur plus faible peut améliorer la sécurité en garantissant que des sessions inactives ne sont pas laissées ouvertes pendant de longues périodes. |
| login/password_history_size | Spécifie le nombre de mots de passe précédents qu’un utilisateur n’est pas autorisé à réutiliser. | Ce paramètre empêche les utilisateurs d’utiliser à plusieurs reprises les mêmes mots de passe, ce qui peut améliorer la sécurité. |
| snc/data_protection/use | Active l’utilisation de la protection des données SNC. Lorsque cette option est activée, SNC garantit que toutes les données transmises entre des systèmes SAP sont chiffrées et sécurisées. | |
| rsau/max_diskspace/per_day | Spécifie la quantité maximale d’espace disque en Mo qui peut être utilisée pour les journaux d’audit par jour. La définition de ce paramètre à une valeur plus faible permet de garantir que les journaux d’audit ne consomment pas trop d’espace disque et peuvent être managés efficacement. | |
| snc/enable | Active SNC dans la communication entre les systèmes SAP. | Lorsque cette option est activée, SNC fournit une couche de sécurité supplémentaire en chiffrant les données transmises entre des systèmes. |
| auth/no_check_in_some_cases | Désactive les vérifications d’autorisation dans certains cas. | Bien que ce paramètre puisse améliorer les performances, il peut également présenter un risque de sécurité en autorisant les utilisateurs à effectuer des actions pour lesquelles ils peuvent ne pas avoir d’autorisation. |
| auth/object_disabling_active | Désactive des objets d’autorisation spécifiques pour des comptes d’utilisateur inactifs pendant une période spécifiée. | Permet d’améliorer la sécurité en réduisant le nombre de comptes inactifs disposant d’autorisations inutiles. |
| login/disable_multi_gui_login | Empêche un utilisateur d’être connecté à plusieurs sessions d’interface graphique utilisateur simultanément. | Ce paramètre permet d’améliorer la sécurité en garantissant que les utilisateurs ne sont connectés qu’à une session à la fois. |
| login/min_password_lng | Spécifie la longueur minimale d’un mot de passe. | La définition de ce paramètre à une valeur plus élevée peut améliorer la sécurité en garantissant que les mots de passe ne soient pas facilement devinés. |
| rfc/reject_expired_passwd | Empêche l’exécution des RFC lorsque le mot de passe de l’utilisateur a expiré. | L’activation de ce paramètre peut être utile pour appliquer des stratégies de mot de passe et empêcher un accès non autorisé aux systèmes SAP. Lorsque ce paramètre est défini sur 1, les connexions RFC sont rejetées si le mot de passe de l’utilisateur a expiré ; il est invité à modifier son mot de passe avant de pouvoir se connecter. Cela permet de garantir que seuls des utilisateurs autorisés disposant de mots de passe valides peuvent accéder au système. |
| rsau/max_diskspace/per_file | Définit la taille maximale d’un fichier d’audit que l’audit du système SAP peut créer. La définition d’une valeur plus faible permet d’empêcher une croissance excessive des fichiers d’audit et de garantir ainsi un espace disque adéquat. | La définition d’une valeur appropriée permet de gérer la taille des fichiers d’audit et d’éviter des problèmes de stockage. |
| login/min_password_letters | Indique le nombre minimal de lettres qui doivent être incluses dans le mot de passe d’un utilisateur. La définition d’une valeur plus élevée permet d’augmenter la force et la sécurité du mot de passe. | La définition d’une valeur appropriée permet d’appliquer des stratégies de mot de passe et d’améliorer la sécurité des mots de passe. |
| rsau/selection_slots | Définit le nombre d’emplacements de sélection qui peuvent être utilisés pour les fichiers d’audit. La définition d’une valeur plus élevée permet d’éviter l’écrasement de fichiers d’audit plus anciens. | Permet de s’assurer que les fichiers d’audit sont conservés pendant une période plus longue, ce qui peut être utile en cas de violation de la sécurité. |
| gw/sim_mode | Ce paramètre définit le mode de simulation de la passerelle. Lorsque cette option est activée, la passerelle simule uniquement la communication avec le système cible, et aucune communication réelle n’a lieu. | L’activation de ce paramètre peut être utile à des fins de test et permet d’empêcher toute modification involontaire du système cible. |
| login/fails_to_user_lock | Définit le nombre de tentatives de connexion ayant échoué après lesquelles le compte d’utilisateur est verrouillé. La définition d’une valeur moins élevée permet d’éviter les attaques par force brute. | Permet d’empêcher un accès non autorisé au système et de protéger les comptes d’utilisateur de toute compromission. |
| login/password_compliance_to_current_policy | Applique la conformité des nouveaux mots de passe selon la stratégie de mot de passe actuelle du système. Sa valeur doit être définie sur 1 pour activer cette fonctionnalité. |
Élevée. L’activation de ce paramètre permet de garantir que les utilisateurs se conforment à la stratégie de mot de passe actuelle lors de la modification des mots de passe, ce qui réduit le risque d’un accès non autorisé aux systèmes SAP. Lorsque ce paramètre est défini sur 1, les utilisateurs sont invités à se conformer à la stratégie de mot de passe actuelle lors de la modification de leurs mots de passe. |
| rfc/ext_debugging | Active le mode de débogage RFC des appels RFC externes. Sa valeur doit être définie sur 0 pour désactiver cette fonctionnalité. |
|
| gw/monitor | Active la surveillance des connexions de passerelle. Sa valeur doit être définie sur 1 pour activer cette fonctionnalité. |
|
| login/create_sso2_ticket | Permet la création de tickets SSO2 pour des utilisateurs. Sa valeur doit être définie sur 1 pour activer cette fonctionnalité. |
|
| login/failed_user_auto_unlock | Active le déverrouillage automatique des comptes d’utilisateur après une tentative de connexion ayant échoué. Sa valeur doit être définie sur 1 pour activer cette fonctionnalité. |
|
| login/min_password_uppercase | Définit le nombre minimal de lettres majuscules requises dans les nouveaux mots de passe. Sa valeur doit être définie sur un entier positif. | |
| login/min_password_specials | Définit le nombre minimal de caractères spéciaux requis dans les nouveaux mots de passe. Sa valeur doit être définie sur un entier positif. | |
| snc/extid_login_rfc | Permet l’utilisation de SNC pour des appels RFC externes. Sa valeur doit être définie sur 1 pour activer cette fonctionnalité. |
|
| login/min_password_lowercase | Définit le nombre minimal de lettres minuscules requises dans les nouveaux mots de passe. Sa valeur doit être définie sur un entier positif. | |
| login/password_downwards_compatibility | Permet de définir des mots de passe à l’aide d’anciens algorithmes de hachage pour une compatibilité descendante avec des systèmes plus anciens. Sa valeur doit être définie sur 0 pour désactiver cette fonctionnalité. |
|
| snc/data_protection/min | Définit le niveau minimal de protection des données qui doit être utilisé dans les connexions protégées par SNC. Sa valeur doit être définie sur un entier positif. | La définition de ce paramètre à une valeur appropriée permet de garantir que les connexions protégées par SNC fournissent un niveau minimal de protection des données. Ce paramètre permet d’empêcher l’interception ou la manipulation d’informations sensibles par des attaquants. La valeur de ce paramètre doit être définie en fonction des exigences de sécurité du système SAP et de la sensibilité des données transmises via des connexions protégées par SNC. |
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Contenu de sécurité de la solution SAP
- Référence des journaux des applications Solution Microsoft Sentinel pour SAP®
- Surveiller l’intégrité de votre système SAP
- Déployer le connecteur de données des applications Microsoft Sentinel solution for SAP® avec SNC
- Informations de référence sur le fichier de configuration
- Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
- Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®