SAP Berechtigungen Konfigurationsvalidierung einsetzen - SAP Basis

Direkt zum Seiteninhalt
Konfigurationsvalidierung einsetzen
Texte in Berechtigungsrollen übersetzen
Das Berechtigungsobjekt S_RFCACL wird durch das Einspielen des SAP-Hinweises 1416085 aus dem Profil SAP_ALL entfernt. Dieser Hinweis ist in allen neueren Support Packages für die Basiskomponente enthalten; dies betrifft also alle Systeme bis herunter zum Basisrelease 4.6C. Grund für diese Änderung ist, dass das Berechtigungsobjekt S_RFCACL und vor allem die Ausprägung Gesamtberechtigung (*) für dessen Felder RFC_SYSID, RFC_CLIENT und RFC_USER als besonders kritisch eingestuft wird. Diese Felder legen fest, aus welchen Systemen und Mandanten bzw. für welche Benutzerkennungen Anmeldungen am Zielsystem erlaubt sein sollen. Die Gesamtberechtigung für diese Felder erlaubt also die Anmeldung aus beliebigen Systemen und Mandanten bzw. für beliebige Benutzer und erzeugt dadurch erhebliche Sicherheitsrisiken.

Sie setzen neben der SAP-Standardsoftware auch kundeneigene ABAP-Programme ein? Erfahren Sie, wie Sie mithilfe des SAP Code Vulnerability Analyzers Ihren Kundencode auf potenzielle Sicherheitslücken scannen und diese gegebenenfalls bereinigen können. Berechtigungskonzepte, Firewalls, Antiviren- und Verschlüsselungsprogramme reichen alleine nicht aus, um Ihre IT-Infrastruktur und IT-Systeme gegen innere und äußere Angriffe und Missbrauch zu schützen. Ein Teil der Gefahren geht von potenziellen Sicherheitslücken im ABAP-Code hervor, die sich meistens nicht durch nachgelagerte Maßnahmen schließen lassen und daher im Code selbst bereinigt werden müssen. Ferner ist zu erwähnen, dass die eingesetzten Berechtigungskonzepte durch ABAP-Code umgangen werden können, was das Gewicht von Sicherheitslücken im ABAP-Code unterstreicht. Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen. Unternehmen unterliegen einer ganzen Reihe von gesetzlichen Vorgaben zum Thema Datenschutz und Datenintegrität, und Sie können diese mithilfe eines neuen Werkzeugs weitestgehend erfüllen. Der SAP Code Vulnerability Analyzer ist im ABAP Test Cockpit (ATC) integriert und somit in allen ABAP-Editoren wie SE80, SE38, SE24 usw. vorhanden. Entwickler können damit während der Programmierung und vor der Freigabe ihrer Aufgaben ihren Code auf Schwachstellen hin scannen und diese bereinigen. Dadurch sinken die Testaufwände und Kosten.
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
SAPCPIC: SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen. Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.

Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.

Möchten Sie die Bewegungsdaten des produktiven Systems in ein Entwicklungssystem übernehmen, sollten Sie zuvor Benutzerstammsätze und die Berechtigungsvorschlagswerte exportieren und die kompletten Änderungsbelege archivieren. Nach dem Import können Sie dann analog zur Mandantenkopie die importieren Änderungsbelege löschen und die originalen Änderungsbelege des Entwicklungssystems wieder zurückladen und indexieren. Für die hier beschriebenen Aktivitäten sind administrative Berechtigungen für die Änderungsbelege (S_SCD0 und S_ARCHIVE) und gegebenenfalls für die Tabellenprotokolle (S_TABU_DIS oder S_TABU_NAM und S_ARCHIVE) notwendig. Diese Berechtigungen sind als kritisch einzustufen, und Sie sollten Sie entsprechend nur an einen kleinen Benutzerkreis vergeben.

Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.

Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.

Die Informationen zur Navigation müssen Sie gegebenenfalls vom Entwickler der Anwendung erfragen.

Unsere Erfahrung aus Kundenprojekten zeigt jedoch, dass nur die wenigsten Berechtigungsadministratoren wissen, wie die Szenarien korrekt zu berechtigen sind.
SAP BASIS
Zurück zum Seiteninhalt