SAP Security Automation
Customizing
Im Rahmen der Einführung eines Security-Patch-Prozesses werden Sie, abhängig von Ihrem Release- und Support-Package-Stand, viele Sicherheitshinweise auswerten müssen. In diesem Fall können Sie mithilfe des Reports RSECNOTE bzw. mithilfe des EarlyWatch Alerts auswerten, welche Sicherheitshinweise durch den SAP Active Global Support als besonders kritisch eingestuft wurden. Der Report RSECNOTE wird seit März 2013 nur noch sehr eingeschränkt gepflegt und enthält daher nur wenige neue Sicherheitshinweise. Trotzdem bietet er gute Anhaltspunkte für die initiale Bereinigung von Sicherheitslücken.
Berechtigungsobjekte, die im Berechtigungstrace sichtbar waren, sind rasch in Rollen eingefügt. Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen. Wir möchten Ihnen in diesem Tipp einige Beispiele für kritische Berechtigungen geben. Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen. Sie müssen sich außerdem die Frage stellen, ob die Vergabe dieser Berechtigungen Risiken birgt.
Manueller Benutzerabgleich über die Transaktion PFUD
Entwickler- und Customizing-Berechtigungen stellen in produktiven SAP-Systemen ein großes Gefahrenpotential dar. Hier sind die Berechtigungen sehr restriktiv zu vergeben, z.B. nur an Notfallbenutzer. Dasselbe betrifft auch RFC-Verbindungen von einem Entwicklungssystem zu produktiven Systemen. Solche Verbindungen sind nur in sehr eingeschränkten Umfang zu nutzen.
Die Anpassung von Geschäftsprozessen an rechtliche Vorgaben erfordert die Kontrolle von Benutzern und Berechtigungen. Managen Sie Ihre Compliance Control dauerhaft ohne Risiken. Verwalten Sie Benutzer und deren Berechtigungen in sämtlichen SAP-Systemen zentral und effizient mit unsere Lösung für Ihr SAP Berechtigungsmanagement: Generieren Sie automatisch Berechtigungsrollen für Benutzer und ordnen diese zu.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Es bietet sich an, das Objekt genau wie die dazugehörige Tabelle zu benennen.
Die Funktion weist den Rollen den Abmischmodus zu, was Schritt 2c aus der Transaktion SU25 entspricht (siehe Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).