Parâmetros de segurança SAP monitorizados para detetar alterações de configuração suspeitas
Este artigo detalha os parâmetros de segurança no sistema SAP que a solução Microsoft Sentinel para aplicações SAP® monitoriza como parte da regra de análise "SAP - (Pré-visualização) Sensitive Static Parameter has Changed".
A solução do Microsoft Sentinel para aplicações SAP® fornecerá atualizações para este conteúdo de acordo com as alterações de melhores práticas do SAP. Também pode adicionar parâmetros para watch, alterar valores de acordo com as necessidades da sua organização e desativar parâmetros específicos na lista de observação SAPSystemParameters.
Nota
Para que a solução Microsoft Sentinel para aplicações SAP® monitorize com êxito os parâmetros de segurança SAP, a solução tem de monitorizar com êxito a tabela PAHI sap em intervalos regulares. Verifique se a solução consegue monitorizar com êxito a tabela PAHI.
Parâmetros de segurança SAP estáticos monitorizados
Esta lista inclui os parâmetros de segurança SAP estáticos que a solução Do Microsoft Sentinel para aplicações SAP® monitoriza para proteger o seu sistema SAP. A lista não é uma recomendação para configurar estes parâmetros. Para considerações de configuração, consulte os administradores do SAP.
| Parâmetro | Description | Valor/considerações de segurança |
|---|---|---|
| gw/accept_remote_trace_level | Controla se os subsistemas Integração de Processos Centrais (CPI) e Chamada de Função Remota (RFC) adotam o nível de rastreio remoto. Quando este parâmetro está definido como 1, os subsistemas CPI e RFC aceitam e adotam os níveis de rastreio remoto. Quando definido como 0, os níveis de rastreio remoto não são aceites e o nível de rastreio local é utilizado.O nível de rastreio é uma definição que determina o nível de detalhe registado no registo do sistema para um programa ou processo específico. Quando os subsistemas adotam os níveis de rastreio, pode definir o nível de rastreio para um programa ou processo a partir de um sistema remoto e não apenas do sistema local. Esta definição pode ser útil em situações em que é necessária a depuração remota ou a resolução de problemas. |
O parâmetro pode ser configurado para restringir o nível de rastreio aceite a partir de sistemas externos. Definir um nível de rastreio mais baixo pode reduzir a quantidade de informações que os sistemas externos podem obter sobre o funcionamento interno do sistema SAP. |
| início de sessão/password_change_for_SSO | Controla a forma como as alterações de palavra-passe são impostas em situações de início de sessão único. | Elevada, uma vez que a imposição de alterações de palavra-passe pode ajudar a impedir o acesso não autorizado ao sistema por atacantes que possam ter obtido credenciais válidas através de phishing ou outros meios. |
| icm/accept_remote_trace_level | Determina se o Internet Communication Manager (ICM) aceita alterações ao nível do rastreio remoto a partir de sistemas externos. | Médio, porque permitir alterações ao nível do rastreio remoto pode fornecer informações de diagnóstico valiosas aos atacantes e potencialmente comprometer a segurança do sistema. |
| rdisp/gui_auto_logout | Especifica o tempo máximo de inatividade para as ligações GUI do SAP antes de iniciar sessão automaticamente no utilizador. | Elevada, porque terminar sessão automaticamente de utilizadores inativos pode ajudar a impedir o acesso não autorizado ao sistema por atacantes que possam ter obtido acesso à estação de trabalho de um utilizador. |
| rsau/enable | Controla se o registo de Auditoria de Segurança está ativado. | Elevada, porque o registo de Auditoria de Segurança pode fornecer informações valiosas para detetar e investigar incidentes de segurança. |
| início de sessão/min_password_diff | Especifica o número mínimo de carateres que têm de ser diferentes entre a palavra-passe antiga e a nova quando os utilizadores alteram as respetivas palavras-passe. | Elevado, porque exigir um número mínimo de diferenças de carateres pode ajudar a impedir que os utilizadores escolham palavras-passe fracas que podem ser facilmente adivinhadas. |
| início de sessão/min_password_digits | Define o número mínimo de dígitos necessários numa palavra-passe para um utilizador. | Elevado, porque o parâmetro aumenta a complexidade das palavras-passe e torna-as mais difíceis de adivinhar ou decifrar. |
| início de sessão/ticket_only_by_https | Este parâmetro controla se os pedidos de autenticação só são enviados através de HTTPS ou podem ser enviados através de HTTP. | Elevada, porque a utilização de HTTPS para transmissão de pedidos de suporte encripta os dados em trânsito, tornando-os mais seguros. |
| autenticação/rfc_authority_check | Controla se as verificações de autoridade são efetuadas para RFCs. | Elevada, porque ativar este parâmetro ajuda a impedir o acesso não autorizado a dados e funções confidenciais através de RFCs. |
| gw/acl_mode | Define o modo para o ficheiro de lista de controlo de acesso (ACL) utilizado pelo gateway SAP. | Elevado, porque o parâmetro controla o acesso ao gateway e ajuda a impedir o acesso não autorizado ao sistema SAP. |
| gw/registo | Controla as definições de registo do gateway SAP. | Elevado, porque este parâmetro pode ser utilizado para monitorizar e detetar atividades suspeitas ou potenciais falhas de segurança. |
| início de sessão/fails_to_session_end | Define o número de tentativas de início de sessão inválidas permitidas antes de a sessão do utilizador ser terminada. | Elevado, porque o parâmetro ajuda a evitar ataques de força bruta em contas de utilizador. |
| wdisp/ssl_encrypt | Define o modo para a reencriptização SSL de pedidos HTTP. | Elevado, porque este parâmetro garante que os dados transmitidos através de HTTP são encriptados, o que ajuda a evitar escutas e adulteração de dados. |
| início de sessão/no_automatic_user_sapstar | Controla o início de sessão automático do utilizador SAP*. | Elevado, porque este parâmetro ajuda a impedir o acesso não autorizado ao sistema SAP através da conta SAP* predefinida. |
| rsau/max_diskspace/local | Define a quantidade máxima de espaço em disco que pode ser utilizada para o armazenamento local de registos de auditoria. Este parâmetro de segurança ajuda a impedir o preenchimento do espaço em disco e garante que os registos de auditoria estão disponíveis para investigação. | Definir um valor adequado para este parâmetro ajuda a impedir que os registos de auditoria locais consumam demasiado espaço em disco, o que pode levar a problemas de desempenho do sistema ou mesmo ataques denial of service. Por outro lado, definir um valor demasiado baixo pode resultar na perda de dados de registo de auditoria, que podem ser necessários para a conformidade e auditoria. |
| snc/extid_login_diag | Ativa ou desativa o registo de ID externo em erros de início de sessão de Comunicação de Rede Segura (SNC). Este parâmetro de segurança pode ajudar a identificar tentativas de acesso não autorizado ao sistema. | A ativação deste parâmetro pode ser útil para resolver problemas relacionados com o SNC, uma vez que fornece informações de diagnóstico adicionais. No entanto, o parâmetro também pode expor informações confidenciais sobre os produtos de segurança externos utilizados pelo sistema, o que pode ser um potencial risco de segurança se essas informações forem colocadas em mãos erradas. |
| início de sessão/password_change_waittime | Define o número de dias que um utilizador tem de aguardar antes de alterar novamente a palavra-passe. Este parâmetro de segurança ajuda a impor políticas de palavra-passe e a garantir que os utilizadores alteram as palavras-passe periodicamente. | Definir um valor adequado para este parâmetro pode ajudar a garantir que os utilizadores alteram as palavras-passe regularmente o suficiente para manter a segurança do sistema SAP. Ao mesmo tempo, definir o tempo de espera demasiado curto pode ser contraproducente porque os utilizadores podem ter mais probabilidades de reutilizar palavras-passe ou escolher palavras-passe fracas que sejam mais fáceis de memorizar. |
| snc/accept_insecure_cpic | Determina se o sistema aceita ou não ligações SNC inseguras com o protocolo CPIC. Este parâmetro de segurança controla o nível de segurança das ligações SNC. | Ativar este parâmetro pode aumentar o risco de intercepção ou manipulação de dados, uma vez que aceita ligações protegidas por SNC que não cumprem as normas de segurança mínimas. Por conseguinte, o valor de segurança recomendado para este parâmetro é defini-lo como 0, o que significa que apenas são aceites ligações SNC que cumpram os requisitos mínimos de segurança. |
| snc/accept_insecure_r3int_rfc | Determina se o sistema aceita ou não ligações SNC inseguras para protocolos R/3 e RFC. Este parâmetro de segurança controla o nível de segurança das ligações SNC. | Ativar este parâmetro pode aumentar o risco de intercepção ou manipulação de dados, uma vez que aceita ligações protegidas por SNC que não cumprem as normas de segurança mínimas. Por conseguinte, o valor de segurança recomendado para este parâmetro é defini-lo como 0, o que significa que apenas são aceites ligações SNC que cumpram os requisitos mínimos de segurança. |
| snc/accept_insecure_rfc | Determina se o sistema aceita ou não ligações SNC inseguras através de protocolos RFC. Este parâmetro de segurança controla o nível de segurança das ligações SNC. | Ativar este parâmetro pode aumentar o risco de intercepção ou manipulação de dados, uma vez que aceita ligações protegidas por SNC que não cumprem as normas de segurança mínimas. Por conseguinte, o valor de segurança recomendado para este parâmetro é defini-lo como 0, o que significa que apenas são aceites ligações SNC que cumpram os requisitos mínimos de segurança. |
| snc/data_protection/max | Define o nível máximo de proteção de dados para ligações SNC. Este parâmetro de segurança controla o nível de encriptação utilizado para ligações SNC. | Definir um valor elevado para este parâmetro pode aumentar o nível de proteção de dados e reduzir o risco de intercepção ou manipulação de dados. O valor de segurança recomendado para este parâmetro depende dos requisitos de segurança específicos da organização e da estratégia de gestão de riscos. |
| rspo/auth/pagelimit | Define o número máximo de pedidos de spool que um utilizador pode apresentar ou eliminar ao mesmo tempo. Este parâmetro de segurança ajuda a evitar ataques denial-of-service no sistema de spool. | Este parâmetro não afeta diretamente a segurança do sistema SAP, mas pode ajudar a impedir o acesso não autorizado a dados de autorização confidenciais. Ao limitar o número de entradas apresentadas por página, pode reduzir o risco de pessoas não autorizadas visualizarem informações de autorização confidenciais. |
| snc/accept_insecure_gui | Determina se o sistema aceita ou não ligações SNC inseguras com a GUI. Este parâmetro de segurança controla o nível de segurança das ligações SNC. | A definição do valor deste parâmetro como 0 é recomendada para garantir que as ligações SNC efetuadas através da GUI do SAP são seguras e para reduzir o risco de acesso não autorizado ou de intercepção de dados confidenciais. Permitir ligações SNC inseguras pode aumentar o risco de acesso não autorizado a informações confidenciais ou intercepção de dados, e só deve ser feito quando existe uma necessidade específica e os riscos foram devidamente avaliados. |
| início de sessão/accept_sso2_ticket | Ativa ou desativa a aceitação de pedidos SSO2 para início de sessão. Este parâmetro de segurança controla o nível de segurança do início de sessão no sistema. | Ativar o SSO2 pode proporcionar uma experiência de utilizador mais simplificada e conveniente, mas também apresenta riscos de segurança adicionais. Se um atacante obtiver acesso a um pedido SSO2 válido, poderá ser capaz de representar um utilizador legítimo e obter acesso não autorizado a dados confidenciais ou realizar ações maliciosas. |
| início de sessão/multi_login_users | Define se são ou não permitidas múltiplas sessões de início de sessão para o mesmo utilizador. Este parâmetro de segurança controla o nível de segurança das sessões de utilizador e ajuda a impedir o acesso não autorizado. | Ativar este parâmetro pode ajudar a impedir o acesso não autorizado aos sistemas SAP ao limitar o número de inícios de sessão simultâneos para um único utilizador. Quando este parâmetro está definido como 0, só é permitida uma sessão de início de sessão por utilizador e as tentativas de início de sessão adicionais são rejeitadas. Isto pode ajudar a impedir o acesso não autorizado a sistemas SAP caso as credenciais de início de sessão de um utilizador sejam comprometidas ou partilhadas com outras pessoas. |
| início de sessão/password_expiration_time | Especifica o intervalo de tempo máximo em dias para o qual uma palavra-passe é válida. Quando esta hora terminar, é pedido ao utilizador que altere a palavra-passe. | Definir este parâmetro para um valor mais baixo pode melhorar a segurança ao garantir que as palavras-passe são alteradas frequentemente. |
| início de sessão/password_max_idle_initial | Especifica o intervalo de tempo máximo em minutos para o qual um utilizador pode permanecer com sessão iniciada sem efetuar qualquer atividade. Após este período de tempo, o utilizador é automaticamente desativado. | Definir um valor mais baixo para este parâmetro pode melhorar a segurança ao garantir que as sessões inativas não ficam abertas por longos períodos de tempo. |
| início de sessão/password_history_size | Especifica o número de palavras-passe anteriores que um utilizador não tem permissão para reutilizar. | Este parâmetro impede que os utilizadores utilizem repetidamente as mesmas palavras-passe, o que pode melhorar a segurança. |
| snc/data_protection/use | Permite a utilização da proteção de dados do SNC. Quando ativado, o SNC garante que todos os dados transmitidos entre sistemas SAP são encriptados e protegidos. | |
| rsau/max_diskspace/per_day | Especifica a quantidade máxima de espaço em disco em MB que pode ser utilizada para registos de auditoria por dia. Definir um valor mais baixo para este parâmetro pode ajudar a garantir que os registos de auditoria não consomem muito espaço em disco e podem ser geridos de forma eficaz. | |
| snc/enable | Ativa o SNC para comunicação entre sistemas SAP. | Quando ativado, o SNC fornece uma camada adicional de segurança ao encriptar os dados transmitidos entre sistemas. |
| autenticação/no_check_in_some_cases | Desativa as verificações de autorização em determinados casos. | Embora este parâmetro possa melhorar o desempenho, também pode representar um risco de segurança ao permitir que os utilizadores executem ações para as quais podem não ter permissão. |
| autenticação/object_disabling_active | Desativa objetos de autorização específicos para contas de utilizador que tenham estado inativas durante um determinado período de tempo. | Pode ajudar a melhorar a segurança ao reduzir o número de contas inativas com permissões desnecessárias. |
| início de sessão/disable_multi_gui_login | Impede que um utilizador inicie sessão em várias sessões de GUI em simultâneo. | Este parâmetro pode ajudar a melhorar a segurança ao garantir que os utilizadores só têm sessão iniciada numa sessão de cada vez. |
| início de sessão/min_password_lng | Especifica o comprimento mínimo que uma palavra-passe pode ter. | Definir um valor mais elevado para este parâmetro pode melhorar a segurança ao garantir que as palavras-passe não são facilmente adivinhadas. |
| rfc/reject_expired_passwd | Impede a execução de RFCs quando a palavra-passe do utilizador tiver expirado. | Ativar este parâmetro pode ser útil ao impor políticas de palavra-passe e impedir o acesso não autorizado aos sistemas SAP. Quando este parâmetro está definido como 1, as ligações RFC são rejeitadas se a palavra-passe do utilizador tiver expirado e é pedido ao utilizador que altere a palavra-passe antes de se poder ligar. Isto ajuda a garantir que apenas os utilizadores autorizados com palavras-passe válidas podem aceder ao sistema. |
| rsau/max_diskspace/per_file | Define o tamanho máximo de um ficheiro de auditoria que a auditoria do sistema SAP pode criar. Definir um valor mais baixo ajuda a evitar o crescimento excessivo dos ficheiros de auditoria e, por conseguinte, ajuda a garantir espaço em disco adequado. | Definir um valor adequado ajuda a gerir o tamanho dos ficheiros de auditoria e a evitar problemas de armazenamento. |
| início de sessão/min_password_letters | Especifica o número mínimo de letras que têm de ser incluídas na palavra-passe de um utilizador. Definir um valor mais elevado ajuda a aumentar a segurança e a força da palavra-passe. | Definir um valor adequado ajuda a impor políticas de palavra-passe e a melhorar a segurança de palavras-passe. |
| rsau/selection_slots | Define o número de blocos de seleção que podem ser utilizados para ficheiros de auditoria. Definir um valor mais alto pode ajudar a evitar a substituição de ficheiros de auditoria mais antigos. | Ajuda a garantir que os ficheiros de auditoria são retidos por um período de tempo mais longo, o que pode ser útil numa falha de segurança. |
| gw/sim_mode | Este parâmetro define o modo de simulação do gateway. Quando ativado, o gateway simula apenas a comunicação com o sistema de destino e não ocorre nenhuma comunicação real. | A ativação deste parâmetro pode ser útil para fins de teste e pode ajudar a impedir alterações não intencionais ao sistema de destino. |
| início de sessão/fails_to_user_lock | Define o número de tentativas de início de sessão falhadas após o qual a conta de utilizador é bloqueada. Definir um valor mais baixo ajuda a evitar ataques de força bruta. | Ajuda a impedir o acesso não autorizado ao sistema e ajuda a proteger as contas de utilizador de serem comprometidas. |
| início de sessão/password_compliance_to_current_policy | Impõe a conformidade de novas palavras-passe com a política de palavras-passe atual do sistema. O respetivo valor deve ser definido como para 1 ativar esta funcionalidade. |
Elevada. Ativar este parâmetro pode ajudar a garantir que os utilizadores estão em conformidade com a política de palavras-passe atual ao alterar palavras-passe, o que reduz o risco de acesso não autorizado a sistemas SAP. Quando este parâmetro está definido como 1, é pedido aos utilizadores que cumpram a política de palavras-passe atual ao alterarem as respetivas palavras-passe. |
| rfc/ext_debugging | Ativa o modo de depuração RFC para chamadas RFC externas. O respetivo valor deve ser definido como para 0 desativar esta funcionalidade. |
|
| gw/monitor | Ativa a monitorização de ligações de gateway. O respetivo valor deve ser definido como para 1 ativar esta funcionalidade. |
|
| início de sessão/create_sso2_ticket | Permite a criação de pedidos de suporte SSO2 para utilizadores. O respetivo valor deve ser definido como para 1 ativar esta funcionalidade. |
|
| início de sessão/failed_user_auto_unlock | Ativa o desbloqueio automático de contas de utilizador após uma tentativa de início de sessão falhada. O respetivo valor deve ser definido como para 1 ativar esta funcionalidade. |
|
| início de sessão/min_password_uppercase | Define o número mínimo de letras maiúsculas necessárias em novas palavras-passe. O respetivo valor deve ser definido como um número inteiro positivo. | |
| início de sessão/min_password_specials | Define o número mínimo de carateres especiais necessários em novas palavras-passe. O respetivo valor deve ser definido como um número inteiro positivo. | |
| snc/extid_login_rfc | Permite a utilização do SNC para chamadas RFC externas. O respetivo valor deve ser definido para 1 ativar esta funcionalidade. |
|
| início de sessão/min_password_lowercase | Define o número mínimo de letras minúsculas necessárias em novas palavras-passe. O respetivo valor deve ser definido como um número inteiro positivo. | |
| início de sessão/password_downwards_compatibility | Permite que as palavras-passe sejam definidas com algoritmos de hash antigo para retrocompatibilidade com sistemas mais antigos. O respetivo valor deve ser definido para 0 desativar esta funcionalidade. |
|
| snc/data_protection/min | Define o nível mínimo de proteção de dados que tem de ser utilizado para ligações protegidas por SNC. O respetivo valor deve ser definido como um número inteiro positivo. | Definir um valor adequado para este parâmetro ajuda a garantir que as ligações protegidas por SNC fornecem um nível mínimo de proteção de dados. Esta definição ajuda a impedir que informações confidenciais sejam interceptadas ou manipuladas por atacantes. O valor deste parâmetro deve ser definido com base nos requisitos de segurança do sistema SAP e na sensibilidade dos dados transmitidos através de ligações protegidas por SNC. |
Passos seguintes
Para obter mais informações, consulte:
- Implementar a solução do Microsoft Sentinel para aplicações SAP®
- Conteúdo de segurança da solução SAP
- Referência de registos de soluções do Microsoft Sentinel para aplicações SAP®
- Monitorizar o estado de funcionamento do seu sistema SAP
- Implementar a solução do Microsoft Sentinel para o conector de dados de aplicações SAP® com o SNC
- Referência do ficheiro de configuração
- Pré-requisitos para implementar a solução do Microsoft Sentinel para aplicações SAP®
- Resolver problemas com a sua solução do Microsoft Sentinel para a implementação de aplicações SAP®