Gefährlicher Profilparameter auth/object_disabling_active
Autor: Tobias Harmes | 9. September 2014
Nach einer SAP Installation stellt sich oft die Frage welche Profilparameter angepasst werden sollen. Hierzu gehören in der Regel die Profilparameter zur Kennwortsteuerung, aber auch viele andere. Die meisten Profilparameter bleiben allerdings unberührt, da der Defaultwert oftmals ausreichend ist. Im folgenden Beispiel ist der Defaultwert jedoch äußerst sicherheitskritisch zu betrachten. Der Profilparameter auth/object_disabling_active besitzt standardmäßig den Wert Y und ermöglicht dadurch über die Transaktionen SU25 bzw. AUTH_SWITCH_OBJECTS ein globales Deaktivieren von Berechtigungsobjekten. So könnte beispielsweise die Prüfung auf das Berechtigungsobjekt S_TCODE systemweit ausgeschaltet werden.
Transaktion RZ10 zur globalen Deaktivierung
Aus diesem Grund sollte nicht nur darauf geachtet werden, dass die Anwender keinen Zugriff auf die oben genannten Transaktionen haben, sondern auch, dass der Profilparameter über die Transaktion RZ10 auf den Wert N gesetzt wird. Dadurch wird die globale Deaktivierung von Berechtigungsobjekten unterbunden.
SAP Basis Berater - gesamte Projekte oder Berater auf Zeit
Sie suchen Unterstützung durch SAP Basis Berater? Wir bieten mehr als nur einen gewöhnlichen Berater auf Zeit. Informieren Sie sich über Ihre Vorteile!
Welche Erfahrungen haben Sie gemacht?
Welche Profilparameter erachten Sie für besonders sicherheitskritisch? Ich freue mich auf Ihre Kommentare.