Bewaakte SAP-beveiligingsparameters voor het detecteren van verdachte configuratiewijzigingen
In dit artikel worden de beveiligingsparameters in het SAP-systeem beschreven die door de Microsoft Sentinel-oplossing voor SAP-toepassingen® worden bewaakt als onderdeel van de analyseregel 'SAP - (Preview) Sensitive Static Parameter has Changed'.
De Microsoft Sentinel-oplossing voor SAP-toepassingen® biedt updates voor deze inhoud volgens de wijzigingen in de best practice van SAP. U kunt ook parameters toevoegen aan watch voor, waarden wijzigen op basis van de behoeften van uw organisatie en specifieke parameters uitschakelen in de volglijst van SAPSystemParameters.
Notitie
Als u wilt dat de Microsoft Sentinel-oplossing voor SAP-toepassingen® de SAP-beveiligingsparameters met succes kan bewaken, moet de oplossing de SAP PAHI-tabel regelmatig bewaken. Controleer of de oplossing de PAHI-tabel kan bewaken.
Bewaakte statische SAP-beveiligingsparameters
Deze lijst bevat de statische SAP-beveiligingsparameters die door de Microsoft Sentinel-oplossing voor SAP-toepassingen® worden bewaakt om uw SAP-systeem te beveiligen. De lijst is geen aanbeveling voor het configureren van deze parameters. Neem voor configuratieoverwegingen contact op met uw SAP-beheerders.
| Parameter | Beschrijving | Beveiligingswaarde/overwegingen |
|---|---|---|
| gw/accept_remote_trace_level | Hiermee bepaalt u of de subsystemen Central Process Integration (CPI) en Remote Function Call (RFC) het niveau van externe tracering overnemen. Wanneer deze parameter is ingesteld op 1, accepteren en accepteren de CPI- en RFC-subsystemen de externe traceringsniveaus. Als dit is ingesteld op 0, worden externe traceringsniveaus niet geaccepteerd en wordt in plaats daarvan het lokale traceringsniveau gebruikt.Het traceringsniveau is een instelling die het detailniveau bepaalt dat is vastgelegd in het systeemlogboek voor een specifiek programma of proces. Wanneer de subsystemen de traceringsniveaus overnemen, kunt u het traceringsniveau voor een programma of proces instellen vanaf een extern systeem en niet alleen van het lokale systeem. Deze instelling kan handig zijn in situaties waarin externe foutopsporing of probleemoplossing vereist is. |
De parameter kan worden geconfigureerd om het traceringsniveau te beperken dat wordt geaccepteerd van externe systemen. Als u een lager traceringsniveau instelt, kan de hoeveelheid informatie die externe systemen kunnen verkrijgen over de interne werking van het SAP-systeem verminderen. |
| aanmelden/password_change_for_SSO | Hiermee bepaalt u hoe wachtwoordwijzigingen worden afgedwongen in situaties met eenmalige aanmelding. | Hoog, omdat het afdwingen van wachtwoordwijzigingen kan helpen bij het voorkomen van onbevoegde toegang tot het systeem door aanvallers die mogelijk geldige referenties hebben verkregen via phishing of op een andere wijze. |
| icm/accept_remote_trace_level | Bepaalt of ICM (Internet Communication Manager) wijzigingen op het niveau van externe tracering van externe systemen accepteert. | Gemiddeld, omdat het toestaan van wijzigingen op het niveau van externe tracering waardevolle diagnostische informatie kan opleveren voor aanvallers en mogelijk de systeembeveiliging in gevaar kan brengen. |
| rdisp/gui_auto_logout | Hiermee geeft u de maximale inactieve tijd voor SAP GUI-verbindingen voordat de gebruiker automatisch wordt afgelogd. | Hoog, omdat het automatisch afmelden van inactieve gebruikers kan helpen voorkomen dat onbevoegde toegang tot het systeem wordt verkregen door aanvallers die mogelijk toegang hebben verkregen tot het werkstation van een gebruiker. |
| rsau/enable | Hiermee bepaalt u of het beveiligingscontrolelogboek is ingeschakeld. | Hoog, omdat het beveiligingscontrolelogboek waardevolle informatie kan bieden voor het detecteren en onderzoeken van beveiligingsincidenten. |
| aanmelden/min_password_diff | Hiermee geeft u het minimum aantal tekens op dat moet verschillen tussen het oude en nieuwe wachtwoord wanneer gebruikers hun wachtwoord wijzigen. | Hoog, omdat het vereisen van een minimum aantal tekenverschillen kan helpen voorkomen dat gebruikers zwakke wachtwoorden kiezen die gemakkelijk kunnen worden geraden. |
| aanmelden/min_password_digits | Hiermee stelt u het minimale aantal cijfers in dat in een wachtwoord voor een gebruiker is vereist. | Hoog, omdat de parameter de complexiteit van wachtwoorden verhoogt en ze moeilijker te raden of te kraken maakt. |
| aanmelden/ticket_only_by_https | Deze parameter bepaalt of verificatietickets alleen worden verzonden via HTTPS of ook via HTTP kunnen worden verzonden. | Hoog, omdat het gebruik van HTTPS voor het verzenden van tickets de gegevens in transit versleutelt, waardoor deze veiliger zijn. |
| verificatie/rfc_authority_check | Hiermee bepaalt u of autoriteitscontroles worden uitgevoerd voor RFC's. | Hoog, omdat het inschakelen van deze parameter helpt bij het voorkomen van onbevoegde toegang tot gevoelige gegevens en functies via RFC's. |
| gw/acl_mode | Hiermee stelt u de modus in voor het ACL-bestand (Access Control List) dat wordt gebruikt door de SAP-gateway. | Hoog, omdat de parameter de toegang tot de gateway beheert en onbevoegde toegang tot het SAP-systeem helpt voorkomen. |
| gw/logboekregistratie | Hiermee beheert u de instellingen voor logboekregistratie voor de SAP-gateway. | Hoog, omdat deze parameter kan worden gebruikt voor het bewaken en detecteren van verdachte activiteiten of mogelijke beveiligingsschendingen. |
| aanmelden/fails_to_session_end | Hiermee stelt u het aantal ongeldige aanmeldingspogingen in dat is toegestaan voordat de sessie van de gebruiker wordt beëindigd. | Hoog, omdat de parameter helpt bij het voorkomen van beveiligingsaanvallen op gebruikersaccounts. |
| wdisp/ssl_encrypt | Hiermee stelt u de modus in voor het opnieuw versleutelen van SSL van HTTP-aanvragen. | Hoog, omdat deze parameter ervoor zorgt dat gegevens die via HTTP worden verzonden, worden versleuteld, waardoor meeluisteren en knoeien met gegevens wordt voorkomen. |
| aanmelden/no_automatic_user_sapstar | Hiermee bepaalt u de automatische aanmelding van de SAP*-gebruiker. | Hoog, omdat deze parameter helpt onbevoegde toegang tot het SAP-systeem te voorkomen via het standaard SAP*-account. |
| rsau/max_diskspace/local | Definieert de maximale hoeveelheid schijfruimte die kan worden gebruikt voor lokale opslag van auditlogboeken. Deze beveiligingsparameter helpt bij het opvullen van schijfruimte en zorgt ervoor dat auditlogboeken beschikbaar zijn voor onderzoek. | Als u een geschikte waarde instelt voor deze parameter, voorkomt u dat de lokale auditlogboeken te veel schijfruimte verbruiken, wat kan leiden tot problemen met de systeemprestaties of zelfs Denial of Service-aanvallen. Aan de andere kant kan het instellen van een waarde die te laag is, leiden tot het verlies van auditlogboekgegevens, wat mogelijk vereist is voor naleving en controle. |
| snc/extid_login_diag | Hiermee schakelt u de logboekregistratie van externe id in SNC-aanmeldingsfouten (Secure Network Communication) in of uit. Deze beveiligingsparameter kan helpen bij het identificeren van pogingen tot onbevoegde toegang tot het systeem. | Het inschakelen van deze parameter kan handig zijn voor het oplossen van problemen met betrekking tot SNC, omdat deze aanvullende diagnostische informatie biedt. De parameter kan echter ook gevoelige informatie weergeven over de externe beveiligingsproducten die door het systeem worden gebruikt, wat een potentieel beveiligingsrisico kan zijn als die informatie in verkeerde handen valt. |
| aanmelden/password_change_waittime | Hiermee definieert u het aantal dagen dat een gebruiker moet wachten voordat het wachtwoord opnieuw wordt gewijzigd. Met deze beveiligingsparameter kunt u wachtwoordbeleid afdwingen en ervoor zorgen dat gebruikers hun wachtwoorden regelmatig wijzigen. | Het instellen van een juiste waarde voor deze parameter kan ervoor zorgen dat gebruikers hun wachtwoorden regelmatig genoeg wijzigen om de beveiliging van het SAP-systeem te behouden. Tegelijkertijd kan het te kort instellen van de wachttijd averechts werken omdat gebruikers waarschijnlijk wachtwoorden opnieuw gebruiken of zwakke wachtwoorden kiezen die gemakkelijker te onthouden zijn. |
| snc/accept_insecure_cpic | Bepaalt of het systeem onveilige SNC-verbindingen accepteert met behulp van het CPIC-protocol. Deze beveiligingsparameter bepaalt het beveiligingsniveau voor SNC-verbindingen. | Als u deze parameter inschakelt, kan het risico op gegevensonderschepping of -manipulatie toenemen, omdat deze verbindingen met SNC-beveiliging accepteert die niet voldoen aan de minimale beveiligingsnormen. Daarom is de aanbevolen beveiligingswaarde voor deze parameter om deze in te stellen op 0, wat betekent dat alleen SNC-verbindingen worden geaccepteerd die voldoen aan de minimale beveiligingsvereisten. |
| snc/accept_insecure_r3int_rfc | Bepaalt of het systeem onveilige SNC-verbindingen accepteert voor R/3- en RFC-protocollen. Deze beveiligingsparameter bepaalt het beveiligingsniveau voor SNC-verbindingen. | Als u deze parameter inschakelt, kan het risico op gegevensonderschepping of -manipulatie toenemen, omdat deze verbindingen met SNC-beveiliging accepteert die niet voldoen aan de minimale beveiligingsnormen. Daarom is de aanbevolen beveiligingswaarde voor deze parameter om deze in te stellen op 0, wat betekent dat alleen SNC-verbindingen worden geaccepteerd die voldoen aan de minimale beveiligingsvereisten. |
| snc/accept_insecure_rfc | Bepaalt of het systeem onveilige SNC-verbindingen accepteert met behulp van RFC-protocollen. Deze beveiligingsparameter bepaalt het beveiligingsniveau voor SNC-verbindingen. | Als u deze parameter inschakelt, kan het risico op gegevensonderschepping of -manipulatie toenemen, omdat deze verbindingen met SNC-beveiliging accepteert die niet voldoen aan de minimale beveiligingsnormen. Daarom is de aanbevolen beveiligingswaarde voor deze parameter om deze in te stellen op 0, wat betekent dat alleen SNC-verbindingen worden geaccepteerd die voldoen aan de minimale beveiligingsvereisten. |
| snc/data_protection/max | Definieert het maximale niveau van gegevensbeveiliging voor SNC-verbindingen. Deze beveiligingsparameter bepaalt het versleutelingsniveau dat wordt gebruikt voor SNC-verbindingen. | Het instellen van een hoge waarde voor deze parameter kan het niveau van gegevensbeveiliging verhogen en het risico op gegevensonderschepping of -manipulatie verminderen. De aanbevolen beveiligingswaarde voor deze parameter is afhankelijk van de specifieke beveiligingsvereisten en strategie voor risicobeheer van de organisatie. |
| rspo/auth/pagelimit | Hiermee definieert u het maximum aantal spoolaanvragen dat een gebruiker in één keer kan weergeven of verwijderen. Deze beveiligingsparameter helpt denial-of-service-aanvallen op het spoolsysteem te voorkomen. | Deze parameter heeft geen directe invloed op de beveiliging van het SAP-systeem, maar kan helpen om onbevoegde toegang tot gevoelige autorisatiegegevens te voorkomen. Door het aantal vermeldingen per pagina te beperken, kan het risico worden verkleind dat onbevoegde personen gevoelige autorisatiegegevens bekijken. |
| snc/accept_insecure_gui | Bepaalt of het systeem onveilige SNC-verbindingen accepteert met behulp van de GUI. Deze beveiligingsparameter bepaalt het beveiligingsniveau voor SNC-verbindingen. | Het instellen van de waarde van deze parameter 0 wordt aanbevolen om ervoor te zorgen dat SNC-verbindingen die via de SAP-GUI worden gemaakt, veilig zijn en om het risico op onbevoegde toegang of onderschepping van gevoelige gegevens te verminderen. Het toestaan van onveilige SNC-verbindingen kan het risico van onbevoegde toegang tot gevoelige informatie of het onderscheppen van gegevens vergroten. Dit moet alleen gebeuren wanneer er een specifieke behoefte is en de risico's naar behoren zijn beoordeeld. |
| aanmelden/accept_sso2_ticket | Hiermee schakelt u de acceptatie van SSO2-tickets voor aanmelding in of uit. Deze beveiligingsparameter bepaalt het beveiligingsniveau voor aanmelding bij het systeem. | Het inschakelen van SSO2 kan een meer gestroomlijnde en handige gebruikerservaring bieden, maar brengt ook extra beveiligingsrisico's met zich mee. Als een aanvaller toegang krijgt tot een geldig SSO2-ticket, kan deze mogelijk een legitieme gebruiker imiteren en onbevoegde toegang krijgen tot gevoelige gegevens of schadelijke acties uitvoeren. |
| aanmelden/multi_login_users | Hiermee bepaalt u of meerdere aanmeldingssessies zijn toegestaan voor dezelfde gebruiker. Deze beveiligingsparameter bepaalt het beveiligingsniveau voor gebruikerssessies en helpt onbevoegde toegang te voorkomen. | Als u deze parameter inschakelt, kunt u onbevoegde toegang tot SAP-systemen voorkomen door het aantal gelijktijdige aanmeldingen voor één gebruiker te beperken. Wanneer deze parameter is ingesteld op 0, is slechts één aanmeldingssessie per gebruiker toegestaan en worden extra aanmeldingspogingen geweigerd. Dit kan helpen voorkomen dat onbevoegde toegang tot SAP-systemen wordt gebruikt voor het geval de aanmeldingsreferenties van een gebruiker worden aangetast of met anderen worden gedeeld. |
| aanmelden/password_expiration_time | Hiermee geeft u het maximale tijdsinterval in dagen waarvoor een wachtwoord geldig is. Wanneer deze tijd is verstreken, wordt de gebruiker gevraagd het wachtwoord te wijzigen. | Als u deze parameter instelt op een lagere waarde, kunt u de beveiliging verbeteren door ervoor te zorgen dat wachtwoorden regelmatig worden gewijzigd. |
| aanmelden/password_max_idle_initial | Hiermee geeft u het maximale tijdsinterval in minuten op waarvoor een gebruiker aangemeld kan blijven zonder activiteiten uit te voeren. Nadat deze tijd is verstreken, wordt de gebruiker automatisch afgemeld. | Het instellen van een lagere waarde voor deze parameter kan de beveiliging verbeteren door ervoor te zorgen dat niet-actieve sessies niet gedurende langere tijd geopend blijven. |
| aanmelden/password_history_size | Hiermee geeft u het aantal eerdere wachtwoorden op dat een gebruiker niet opnieuw mag gebruiken. | Deze parameter voorkomt dat gebruikers herhaaldelijk dezelfde wachtwoorden gebruiken, wat de beveiliging kan verbeteren. |
| snc/data_protection/use | Hiermee schakelt u het gebruik van SNC-gegevensbeveiliging in. Wanneer dit is ingeschakeld, zorgt SNC ervoor dat alle gegevens die tussen SAP-systemen worden verzonden, worden versleuteld en beveiligd. | |
| rsau/max_diskspace/per_day | Hiermee geeft u de maximale hoeveelheid schijfruimte in MB op die per dag kan worden gebruikt voor auditlogboeken. Als u een lagere waarde instelt voor deze parameter, kunt u ervoor zorgen dat auditlogboeken niet te veel schijfruimte in beslag nemen en effectief kunnen worden beheerd. | |
| snc/inschakelen | Maakt SNC mogelijk voor communicatie tussen SAP-systemen. | Indien ingeschakeld, biedt SNC een extra beveiligingslaag door gegevens te versleutelen die tussen systemen worden verzonden. |
| verificatie/no_check_in_some_cases | In bepaalde gevallen worden autorisatiecontroles uitgeschakeld. | Hoewel deze parameter de prestaties kan verbeteren, kan deze ook een beveiligingsrisico vormen door gebruikers toe te staan acties uit te voeren waarvoor ze mogelijk geen toestemming hebben. |
| verificatie/object_disabling_active | Hiermee worden specifieke autorisatieobjecten uitgeschakeld voor gebruikersaccounts die gedurende een opgegeven periode inactief zijn geweest. | Kan helpen de beveiliging te verbeteren door het aantal inactieve accounts met onnodige machtigingen te verminderen. |
| aanmelden/disable_multi_gui_login | Hiermee voorkomt u dat een gebruiker wordt aangemeld bij meerdere GUI-sessies tegelijk. | Deze parameter kan helpen de beveiliging te verbeteren door ervoor te zorgen dat gebruikers slechts bij één sessie tegelijk worden aangemeld. |
| aanmelden/min_password_lng | Hiermee geeft u de minimale lengte van een wachtwoord. | Het instellen van een hogere waarde voor deze parameter kan de beveiliging verbeteren door ervoor te zorgen dat wachtwoorden niet gemakkelijk worden geraden. |
| rfc/reject_expired_passwd | Hiermee voorkomt u de uitvoering van RFC's wanneer het wachtwoord van de gebruiker is verlopen. | Het inschakelen van deze parameter kan handig zijn bij het afdwingen van wachtwoordbeleid en het voorkomen van onbevoegde toegang tot SAP-systemen. Wanneer deze parameter is ingesteld op 1, worden RFC-verbindingen geweigerd als het wachtwoord van de gebruiker is verlopen en de gebruiker wordt gevraagd om zijn wachtwoord te wijzigen voordat deze verbinding kan maken. Dit zorgt ervoor dat alleen geautoriseerde gebruikers met geldige wachtwoorden toegang hebben tot het systeem. |
| rsau/max_diskspace/per_file | Hiermee stelt u de maximale grootte van een controlebestand in dat door SAP-systeemcontrole kan worden gemaakt. Als u een lagere waarde instelt, voorkomt u overmatige groei van controlebestanden en zorgt u zo voor voldoende schijfruimte. | Als u een geschikte waarde instelt, kunt u de grootte van auditbestanden beheren en opslagproblemen voorkomen. |
| aanmelden/min_password_letters | Hiermee geeft u het minimale aantal letters op dat moet worden opgenomen in het wachtwoord van een gebruiker. Als u een hogere waarde instelt, wordt de wachtwoordsterkte en -beveiliging verhoogd. | Als u een juiste waarde instelt, kunt u wachtwoordbeleid afdwingen en de wachtwoordbeveiliging verbeteren. |
| rsau/selection_slots | Hiermee stelt u het aantal selectiesites in dat kan worden gebruikt voor controlebestanden. Als u een hogere waarde instelt, kunt u voorkomen dat oudere controlebestanden worden overschreven. | Helpt ervoor te zorgen dat controlebestanden gedurende een langere periode worden bewaard, wat handig kan zijn bij een beveiligingsschending. |
| gw/sim_mode | Met deze parameter stelt u de simulatiemodus van de gateway in. Wanneer deze optie is ingeschakeld, simuleert de gateway alleen communicatie met het doelsysteem en vindt er geen daadwerkelijke communicatie plaats. | Het inschakelen van deze parameter kan handig zijn voor testdoeleinden en kan helpen bij het voorkomen van onbedoelde wijzigingen in het doelsysteem. |
| aanmelden/fails_to_user_lock | Hiermee stelt u het aantal mislukte aanmeldingspogingen in waarna het gebruikersaccount wordt vergrendeld. Als u een lagere waarde instelt, voorkomt u beveiligingsaanvallen. | Helpt onbevoegde toegang tot het systeem te voorkomen en helpt gebruikersaccounts te beschermen tegen inbreuk. |
| aanmelden/password_compliance_to_current_policy | Dwingt de naleving van nieuwe wachtwoorden af met het huidige wachtwoordbeleid van het systeem. De waarde moet worden ingesteld op om deze functie in te 1 schakelen. |
Hoog. Het inschakelen van deze parameter kan ervoor zorgen dat gebruikers voldoen aan het huidige wachtwoordbeleid bij het wijzigen van wachtwoorden, waardoor het risico van onbevoegde toegang tot SAP-systemen wordt verminderd. Wanneer deze parameter is ingesteld op 1, wordt gebruikers gevraagd om te voldoen aan het huidige wachtwoordbeleid bij het wijzigen van hun wachtwoorden. |
| rfc/ext_debugging | Hiermee schakelt u de RFC-foutopsporingsmodus in voor externe RFC-aanroepen. De waarde moet worden ingesteld op om 0 deze functie uit te schakelen. |
|
| gw/monitor | Hiermee schakelt u bewaking van gatewayverbindingen in. De waarde moet worden ingesteld op om deze functie in te 1 schakelen. |
|
| aanmelden/create_sso2_ticket | Hiermee wordt het maken van SSO2-tickets voor gebruikers ingeschakeld. De waarde moet worden ingesteld op om deze functie in te 1 schakelen. |
|
| aanmelden/failed_user_auto_unlock | Hiermee schakelt u automatische ontgrendeling van gebruikersaccounts in na een mislukte aanmeldingspoging. De waarde moet worden ingesteld op om deze functie in te 1 schakelen. |
|
| aanmelden/min_password_uppercase | Hiermee stelt u het minimale aantal hoofdletters in dat is vereist voor nieuwe wachtwoorden. De waarde moet worden ingesteld op een positief geheel getal. | |
| aanmelden/min_password_specials | Hiermee stelt u het minimale aantal speciale tekens in dat is vereist voor nieuwe wachtwoorden. De waarde moet worden ingesteld op een positief geheel getal. | |
| snc/extid_login_rfc | Hiermee schakelt u het gebruik van SNC in voor externe RFC-aanroepen. De waarde moet worden ingesteld op om deze functie in te 1 schakelen. |
|
| aanmelden/min_password_lowercase | Hiermee stelt u het minimum aantal kleine letters in dat in nieuwe wachtwoorden is vereist. De waarde moet worden ingesteld op een positief geheel getal. | |
| aanmelden/password_downwards_compatibility | Hiermee kunnen wachtwoorden worden ingesteld met behulp van oude hashing-algoritmen voor achterwaartse compatibiliteit met oudere systemen. De waarde moet worden ingesteld op om 0 deze functie uit te schakelen. |
|
| snc/data_protection/min | Hiermee stelt u het minimale niveau van gegevensbeveiliging in dat moet worden gebruikt voor met SNC beveiligde verbindingen. De waarde moet worden ingesteld op een positief geheel getal. | Het instellen van een juiste waarde voor deze parameter helpt ervoor te zorgen dat met SNC beveiligde verbindingen een minimaal niveau van gegevensbeveiliging bieden. Met deze instelling voorkomt u dat gevoelige informatie wordt onderschept of gemanipuleerd door aanvallers. De waarde van deze parameter moet worden ingesteld op basis van de beveiligingsvereisten van het SAP-systeem en de gevoeligheid van de gegevens die via SNC-beveiligde verbindingen worden verzonden. |
Volgende stappen
Zie voor meer informatie:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Beveiligingsinhoud van SAP-oplossing
- Naslaginformatie over logboeken van Microsoft Sentinel-oplossing voor SAP-toepassingen®
- De status van uw SAP-systeem bewaken
- De Microsoft Sentinel-oplossing voor gegevensconnector voor SAP-toepassingen® implementeren met SNC
- Naslaginformatie over configuratiebestanden
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
- Problemen met uw Microsoft Sentinel-oplossing voor de implementatie van SAP-toepassingen® oplossen