SAP Basis Sehr gute Kenntnisse im Bereich sicherheitsrelevanter Themen des IT-Systembetriebs - SAP Basis

Direkt zum Seiteninhalt
Sehr gute Kenntnisse im Bereich sicherheitsrelevanter Themen des IT-Systembetriebs
OPERATOR (OP)
Mandantenübergreifende Tabellen können geändert werden. Das Kontrollsystem eines anderen, produktiven Mandanten kann damit ausgehebelt und unterlaufen werden. Ganz schön viel Macht! Wussten Sie zudem, dass das SAP-System eine Funktion bereitstellt, die Tabellenänderungsprotokolle (Tabelle DBTA BLOG) löscht und diese mandantenübergreifend wirksam ist? Wenn die Tabellenänderungsprotokolle nicht zusätzlich über das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist eine Nachvollziehbarkeit nicht mehr gegeben. Genau so lässt sich jede kriminelle Tat innerhalb Ihres Unternehmens wunderbar vertuschen. Ähnliches ermöglicht der Vollzugriff auf die Batch-Verwaltung mit der Berechtigung alle Hintergrundjobs in allen Mandanten zu verwalten. So können alte Hintergrundjobs gelöscht werden, die unbefugt gelaufen sind. Einige Punkte gibt es auch bei der Verwaltung von Druckaufträgen zu bedenken. In der Regel sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckaufträgen zu aktivieren: S_SPO_DEV (Spooler-Geräteberechtigungen) S_SPO_ACT (Spooler-Aktionen). Warum? Vertrauliche Informationen in Druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche Druckaufträge können unbefugt gelesen oder auf fremde Drucker umgeleitet und ausgedruckt werden. Druckaufträge sind ungeschützt, sofern keine zusätzlichen SAPZugriffsberechtigungen für den Schutz der Druckausgaben aktiviert sind. Die Druckaufträge sind mandantenübergreifend, das heißt, die Berechtigungsvergabe sollte an der Stelle ebenfalls gut durchgedacht werden.

Nehmen Sie zu jeder ABAP-Eigenentwicklung einen SQL-Trace vor, und zwar entweder auf dem Produktivsystem oder einem System mit einem repräsentativen Testdatenbestand. Erstellen Sie aus der Trace-Grundliste heraus eine verdichtete Zusammenfassung, um die SQL-Anweisungen mit den längsten Laufzeiten zu ermitteln: Traceliste > Trace nach SQL-Anweisungen verdichten Erstellen Sie eine Liste identischer Zugriffe, um SQL-Anweisungen zu ermitteln, die mehrfach identisch ausgeführt werden: Traceliste > Identische Selects anzeigen Entscheiden Sie anhand dieser Listen, ob das Programm abgenommen werden kann oder ob es vom zuständigen ABAP-Entwickler nachgebessert werden muss. Sichern Sie diese Daten zusammen mit der Programmdokumentation. Sollte sich später die Performance des Programms verschlechtern (sei es aufgrund einer Modifikation oder aufgrund des wachsenden Datenbestands), können Sie durch einen erneuten SQL-Trace die Ursachen für die Performanceverschlechterung aufspüren. Nehmen Sie diese Performanceüberwachung nach jeder größeren Modifikation des Programms vor.
Zeitpuffer für Jobketten führen zu langen Laufzeiten
Beachten Sie, dass auch betriebssystemspezifische Beschränkungen (z. B. die maximale Größe des allokierbaren Shared Memorys bzw. der maximale Adressraum) die Größe des allokierbaren Speichers limitieren. Wenn Sie die Speicherkonfiguration ändern, müssen Sie daher überwachen, ob die SAPInstanz mit den neuen Parametern fehlerfrei startet.

Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.

Um die ABAP-/Dynro-Generierung zu beinflussen, wählen Sie im Einstiegsbild der SPAM Zusätze. Funktion Menüpfad Generierung ein- bzw. ausschalten Einstellungen Generierungsfehler während des Einspielens ignorieren Gen-Fehler ignorieren Fehler in SPAM-Schritten Wenn ein Fehler in einem Schritt erkannt wird, unterbricht die Transaktion SPAM die Verarbeitung bis der Fehler behoben ist. Sie können sich stets mit Status darüber informieren, in welchem Schritt und aus welchem Grund abgebrochen wurde. Arten von Fehlern Es gibt die folgenden Arten von Fehlermeldungen: Sicherheitsüberprüfungen der Transaktion SPAM Ein typisches Beispiel hierfür ist der Schritt OBJECTS_LOCKED_? Die Transaktion SPAM unterbricht die Verarbeitung, wenn Objekte noch in Aufträgen gesperrt sind, die von der Queue überschrieben werden sollen. Fehlermeldungen der Programme tp und R3trans Die Fehlerursache ist immer im entsprechenden Transportprotokoll zu finden. Ein typisches Beispiel hierfür ist der Schritt TEST_IMPORT. Hier wird überprüft, ob es unbestätigte Reparaturen an Objekten gibt, die von der Queue überschrieben werden. Die betroffenen Objekte sind im Testimport-Protokoll aufgelistet. Mangelhafte Einrichtung des Change and Transport System Häufige Fehler sind hier das Fehlen entsprechender Rechte auf den Dateien des Change and Transport System oder die Verwendung alter Programmversionen von tp oder R3trans. Überprüfen Sie die korrekte Funktion der Transporttools mit Hilfsmittel Transport Tool prüfen. Ein typisches Beispiel hierfür ist der Schritt DISASSEMBLE. Wenn adm keine Schreibrechte für das Verzeichnis /usr/sap/trans/data (UNIX) hat, dann bricht SPAM beim Schritt DISASSEMBLE mit CANNOT_DISASSEMBLE_R_DATA_FILE ab. Die Transaktion SPAM setzt voraus, daß das Change and Transport System [Extern] korrekt eingerichtet ist. Weitere Informationen zu bekannten Problemen finden Sie in den Hinweisen 97630 und 97620.

Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.

Ebenso müssen die Dienstleistungen, die durch den externen Partner erbracht werden, regelmäßig überwacht und deren Qualität geprüft werden.

Bei der Bewertung der Datenbankantwortzeiten ist zu berücksichtigen, dass die Zeitmessung der SQL-Anweisungen auf dem Applikationsserver durchgeführt wird.

Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden in Ordnern und Seiten organisiert.
SAP BASIS
Zurück zum Seiteninhalt