- 12. April 2013

Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen

Benutzer werden in SAP-Systemen über den Benutzernamen sowie das zugehörige Kennwort authentisiert. Dabei gibt es zahlreiche Parameter, mit denen Sie die Sicherheit Ihrer SAP-Systeme maßgeblich beeinflussen können.

Als verantwortlicher Mitarbeiter der SAP-Basis kennen Sie bestimmt folgende Situationen:

  • Eine interne Revisionsabteilung teilt Ihnen mit, dass auf Grund eines Sicherheitsvorfalls die Kennwortrichtlinien für SAP-Systeme in Ihrem Unternehmen geändert werden sollen.
  • Ein externer Wirtschaftsprüfer hat Ihre SAP-Systeme überprüft und dabei auch Abweichungen zu gesetzlichen Anforderungen festgestellt. Sie haben nun einen Katalog mit den Prüfergebnissen übergeben bekommen und sollen nun die Anforderungen umsetzen.
  • Der Gesetzgeber bzw. die Unternehmensleitung beschließen strengere Anforderungen an die Datensicherheit und den Datenschutz und beauftragen Sie mit der Umsetzung eben dieser.

Trifft eine der oben genannten Situationen auf Sie zu? Oder beschäftigen Sie sich aus einem anderen Grund gerade mit der Kennwortrichtlinie in Ihrem Unternehmen? In jedem Fall finden Sie unten eine Auswahl der wichtigsten Parameter, welche im Zusammenhang mit der Umsetzung von Kennwortrichtlinien eine Rolle spielen. Zu jedem Parameter finden Sie einen Beschreibungstext sowie eine von mir empfohlene Einstellung. Selbstverständlich ist diese Empfehlung nur als Vorschlag zu werten. Auch, wenn die genannten Parameter aus technischer Sicht nicht zwingend angepasst werden müssen, kann es unter Umständen gefährlich sein, die Standardeinstellungen nicht zu ändern.

Einrichtung der erforderlichen Profilparameter

Transaktion: RZ10

Diese unten dargestellten Profilparameter pflegen Sie über die Transaktion RZ10. Wählen Sie dazu das Profil aus, in welchem Sie die Parameter pflegen möchten. Selektieren Sie anschließend die Option „Erweiterte Pflege“ und klicken Sie dann auf die Schaltfläche „Ändern“.

Abbildung 1: Bearbeitung der Profilparameter in der Transaktion RZ10

Profilparameter zur Umsetzung von Kennwortrichtlinien

Die nachfolgend dargestellten Profilparameter sind in drei Kategorien aufgeteilt:

Kennwörter. In diesem Bereich finden Sie Profilparameter, welche den Aufbau und die Gültigkeit von Kennwörtern steuern.

Sperren. In dem Bereich „Sperren“ legen Sie fest, wie das SAP-System mit fehlerhaften Anmeldeversuchen umgehen soll.

Anmeldungen. Hier können Sie steuern, ob das System eine Anmeldung mit dem SAP*-Benutzer auch ohne bestehenden SAP*-Benutzerstammsatz möglich ist. Des Weiteren finden Sie hier die Parameter, welche zur Steuerung von Sitzungen verwendet werden können.

Bitte beachten Sie, dass jegliche Änderungen der Profilparameter stets einen Neustart der Instanz erfordern, bevor die geänderten Einstellungen aktiv sind.

Kennwörter

Parameter
Beschreibung
Standardeinstellung
Empfehlung
Minimale Kennwortlänge

login/min_password_lng

Mit Hilfe dieses Parameters können Sie die minimale Länge der Benutzerkennwörter festlegen.6 ZeichenEmpfehlung: 8Ggf. ist eine Anpassung des Wertes an Ihre Sicherheitsrichtlinie erforderlich.
Mindestanzahl von Ziffern in Kennwörtern

login/min_password_digits

Mit diesem Parameter legen Sie die Mindestanzahl von Ziffern in Kennwörtern fest.0 Ziffern(Zulässig: 0-8)Empfehlung: 1-2Durch die Verwendung möglichst verschiedener Zeichen wird die Kennwortsicherheit erhöht.
Mindestanzahl von Buchstaben in Kennwörtern

login/min_password_letters

Mit diesem Parameter legen Sie die Mindestanzahl von Buchstaben in Kennwörtern fest.0 Buchstaben (Zulässig: 0-8)Empfehlung: 1-2Durch die Verwendung möglichst verschiedener Zeichen wird die Kennwortsicherheit erhöht.
Mindestanzahl von Sonderzeichen in Kennwörtern

login/min_password_specials

Mit diesem Parameter legen Sie die Mindestanzahl von Sonderzeichen in Kennwörtern fest.0 Sonderzeichen (Zulässig: 0-8)Empfehlung: 0Die Verwendung von Sonderzeichen in Kennwörtern kann sich in der Praxis als schwierig erweisen. Je nach Tastaturlayout und Spracheinstellungen hat ein Benutzer evtl. Probleme sein Kennwort korrekt einzugeben.
Kennwortablauffrist

login/password_expiration_time

Die Kennwortablauffrist fordert Benutzer in regelmäßigen Abständen (alle x Tage) auf ihr Kennwort zu ändern.0Empfehlung: 30 – 90Benutzer sollten in regelmäßigen Abständen ihr Kennwort ändern.
Mindestanzahl geänderter Zeichen in neuem Kennwort

login/min_password_diff

Mit diesem Parameter legen Sie die Mindestanzahl der zu ändernden Zeichen in Kennwörtern fest.1 geändertes Zeichen (Zulässig: 0-8)Empfehlung: Die Hälfte der minimalen Kennwortlänge.
Gültigkeit eines Initialkennwortes

login/password_max_new_valid

Achtung: Einsatz erst ab Release 6.40 empfohlen! (siehe Update vom 24.05.2013)

Mit diesem Parameter legen Sie fest, wie lange ein vom Administrator vergebenes Initialkennwort gültig ist. Bitte beachten Sie, dass sich dieser Parameter nicht auf Benutzer des Typs „Service“ auswirkt.0Empfehlung: 3-7Der Wert „0“ bedeutet, dass Initialkennwörter nie ungültig werden. Dieser Wert sollte bewusst niedrig gehalten werden, da ungenutzte Zugänge ein potenzielles Risiko darstellen.

Update vom 24.05.2013: Um die Gültigkeit von Initialkennwörtern zu beschränken, ist im SAP-System der Parameter login/password_max_new_valid vorgesehen. An dieser Stelle danke ich dem Kommentator Bernd für den Hinweis, dass dieser Parameter dazu führen kann, dass auch Anmeldeversuche von RFC-Benutzern verhindert werden. Die Ursache dafür ist, dass in den Releases 4.6B, 4.6C, 4.6D, 6.10 und 6.20 kein Datumsstempel für eine Kennwörtänderung gesetzt wird (siehe auch Hinweis 450452). Ein Lösungsweg wäre dann lediglich das Löschen und die Neuanlage des Benutzers. Seit dem Release 6.40 ist dieser Fehler jedoch behoben.

Sperren

Parameter
Beschreibung
Standardeinstellung
Empfehlung
Benutzersperre nach fehlerhaften Anmeldeversuchen

login/fails_to_user_lock

Dieser Parameter steuert die Anzahl der möglichen fehlerhaften Anmeldeversuche bevor der Benutzerstammsatz gesperrt wird. Ist der Parameter login/failed_user_auto_unlock auf 1 gesetzt, läuft die Sperre automatisch um 24:00Uhr wieder ab.12Empfehlung: 3 – 5Nach 3 bis 5 fehlerhaften Anmeldeversuchen sollte ein Benutzer automatisch gesperrt werden.
Automatische Freigabe gesperrter Benutzer nach Falschanmeldung

login/failed_user_auto_unlock

Dieser Parameter steuert die automatische Freigabe von gesperrten Benutzersammsätzen (auf Grund von Falschanmeldungen). Ist der Parameter auf 1 gesetzt, wird der Stammsatz automatisch um 24:00Uhr entsperrt.1Empfehlung: 0Benutzerkonten sollten nicht automatisiert entsperrt werden, wenn der Grund für die Sperre fehlerhafte Anmeldeversuche sind.

 

Anmeldungen

Parameter
Beschreibung
Standardeinstellung
Empfehlung
Automatische Anlage des Initialbenutzers SAP*

login/no_automatic_user_sapstar

Dieser Parameter steuert, ob eine Anmeldung mit dem SAP*-Benutzer möglich ist,auch wenn kein Benutzerstammsatz für SAP* vorhanden ist.0(Anmeldung mit SAP*-Benutzer auch ohne Benutzerstammsatz möglich)Empfehlung: 1Der Wert „1“ bedeutet, dass nach dem Löschen des Benutzers „SAP*“ keine Anmeldung mehr mit ihm möglich ist.
Sitzungsende nach fehlgeschlagenen Anmeldeversuchen

login/fails_to_session_end

Mit diesem Parameter steuern Sie die Anzahl der fehlerhaften Anmeldeversuche, bevor eine SAP-GUI-Sitzung geschlossen wird.3Empfehlung: 3Nach 3 fehlgeschlagenen Anmeldeversuchen schließt sich in diesem Fall das SAP-GUI-Fenster. Der Benutzer wird jedoch nicht gesperrt, bis die mit dem Parameter login/fails_to_user_lock festgelegte Anzahl von Anmeldeversuchen erreicht worden ist.
Deaktivierung mehrerer Sitzungen

login/disable_multi_gui_login

Dieser Parameter legt fest, ob Benutzer sich nur einmal oder mehrfach an einem Mandanten anmelden dürfen.0(Mehrfachanmeldung möglich)Empfehlung: 1 (keine Mehrfachanmeldung)

Die Möglichkeit der Mehrfachanmeldung für Benutzer stellt ein Sicherheitsrisiko dar und sollte daher vermieden werden.

Benutzer mit mehreren Sitzungen

login/multi_login_users

Dieser Parameter steuert welche Benutzer sich mehrfach an einem Mandanten anmelden können.Empfehlung: Notfallbenutzer
Automatische Abmeldezeit

rdisp/gui_auto_logout

Angemeldete, jedoch inaktive Benutzer werden nach der mit diesem Parameter festgelegten Zeit (in Sekunden) automatisch abgemeldet.0 (Der Wert „0“ bedeutet, dass die automatische Abmeldung inaktiver Benutzer deaktiviert ist.)Empfehlung: 900 – 1.800 (15 bis 30 Minuten)

 

Ich freue mich, wenn Sie diesen Beitrag in den Kommentaren diskutieren, ergänzen oder korrigieren.

Jetzt das kostenlose E-Book zum Thema SAP Basis herunterladen:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




4 Kommentare zu "Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen"

Bernd - 17. April 2013 | 16:40

Hallo Herr Tenbuss,
mit dem Parameter login/password_max_new_valid
können Sie das System lahm legen!
Denn es wird auch nach den RFC-Usern etc. geschaut.

Diesen Fehler habe ich nur einmal gemacht!
Besser man schreibt ein Programm, das über die Dialoguser mit Ausnahmetabelle geht und die Benutzer bei Initialpassword sperrt!

Gruß
Bernd

Antworten
Andre Tenbuss - 24. Mai 2013 | 12:37

Hallo Bernd,

vielen Dank für Deinen Kommentar! Ich habe den Artikel enstprechend aktualisiert und Deinen Tipp bei den Kennwort-Parametern eingepflegt.
In dem Hinweis 450452 beschreibt die SAP auch den Grund für die Tatsache, dass bei Einsatz von login/password_max_new_valid oder login/password_max_reset_valid in älteren Releases alle Kennwörter auch nach einer Kennwortänderung weiter ungültig sind. Auch hier habe ich den Artikel in dem oben genannten Update weiter aktualisiert.

Viele Grüße
Andre

Antworten
MD - 18. November 2016 | 08:13

Hallo,

hier die Parameterbeschreibung aus einem ECC 600 für: login/disable_multi_gui_login
Parameterbeschreibung :

Ist dieser Parameter auf den Wert 1 gesetzt, werden mehrfache
Dialoganmeldungen (im gleichem Mandanten und unter dem gleichen
Benutzernamen) vom System abgeblockt:
bei Erkennung einer Mehrfachanmeldung bietet das Warnpopup dann
lediglich die Optionen „Beenden der bestehenden Sitzungen“ bzw.
„Beenden dieser Anmeldung“ an.

Ihre Darstellung besagt etwas anderes.

Es sollten die Parameterempfehlung angepasst werden, denn „0“ würde Mehrfachanmeldungen zulassen. Auch die Umschreibungen wären zu ändern.

Gruß

MD

Antworten
Andre Tenbuss - 21. November 2016 | 11:30

Hallo,

vielen Dank für den Hinweis. Ich habe die entsprechenden Stellen im Artikel korrigiert. Sie haben vollkommen Recht damit, dass der Parameter login/disable_multi_gui_login auf den Wert 1 gesetzt werden sollte. Erst die 1 führt dazu, dass Mehrfachanmeldungen verhindert werden.

Viele Grüße
Andre Tenbuß

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.