Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen
Autor: Andre Tenbuss | 12. April 2013
Benutzer werden in SAP-Systemen über den Benutzernamen sowie das zugehörige Kennwort authentisiert. Dabei gibt es zahlreiche Profilparameter, mit denen Sie die Sicherheit Ihrer SAP-Systeme maßgeblich beeinflussen können.
Als verantwortlicher Mitarbeiter der SAP-Basis kennen Sie bestimmt folgende Situationen:
- Eine interne Revisionsabteilung teilt Ihnen mit, dass auf Grund eines Sicherheitsvorfalls die Kennwortrichtlinien für SAP-Systeme in Ihrem Unternehmen geändert werden sollen.
- Ein externer Wirtschaftsprüfer hat Ihre SAP-Systeme überprüft und dabei auch Abweichungen zu gesetzlichen Anforderungen festgestellt. Sie haben nun einen Katalog mit den Prüfergebnissen übergeben bekommen und sollen nun die Anforderungen umsetzen.
- Der Gesetzgeber bzw. die Unternehmensleitung beschließen strengere Anforderungen an die Datensicherheit und den Datenschutz und beauftragen Sie mit der Umsetzung eben dieser.
Trifft eine der oben genannten Situationen auf Sie zu? Oder beschäftigen Sie sich aus einem anderen Grund gerade mit der Kennwortrichtlinie in Ihrem Unternehmen? In jedem Fall finden Sie unten eine Auswahl der wichtigsten Parameter, welche im Zusammenhang mit der Umsetzung von Kennwortrichtlinien eine Rolle spielen. Zu jedem Parameter finden Sie einen Beschreibungstext sowie eine von mir empfohlene Einstellung. Selbstverständlich ist diese Empfehlung nur als Vorschlag zu werten. Auch, wenn die genannten Parameter aus technischer Sicht nicht zwingend angepasst werden müssen, kann es unter Umständen gefährlich sein, die Standardeinstellungen nicht zu ändern.
Einrichtung der erforderlichen Profilparameter
Transaktion: RZ10
Diese unten dargestellten Profilparameter pflegen Sie über die Transaktion RZ10. Wählen Sie dazu das Profil aus, in welchem Sie die Parameter pflegen möchten. Selektieren Sie anschließend die Option „Erweiterte Pflege“ und klicken Sie dann auf die Schaltfläche „Ändern“.
Abbildung 1: Bearbeitung der Profilparameter in der Transaktion RZ10
Profilparameter zur Umsetzung von Kennwortrichtlinien
Die nachfolgend dargestellten Profilparameter sind in drei Kategorien aufgeteilt:
Kennwörter. In diesem Bereich finden Sie Profilparameter, welche den Aufbau und die Gültigkeit von Kennwörtern steuern.
Sperren. In dem Bereich „Sperren“ legen Sie fest, wie das SAP-System mit fehlerhaften Anmeldeversuchen umgehen soll.
Anmeldungen. Hier können Sie steuern, ob das System eine Anmeldung mit dem SAP*-Benutzer auch ohne bestehenden SAP*-Benutzerstammsatz möglich ist. Des Weiteren finden Sie hier die Parameter, welche zur Steuerung von Sitzungen verwendet werden können.
Bitte beachten Sie, dass jegliche Änderungen der Profilparameter stets einen Neustart der Instanz erfordern, bevor die geänderten Einstellungen aktiv sind.
Kennwörter
Sollte in Ihrem Browser die Spalte „Empfehlung“ in den nachfolgenden Tabellen nicht sichtbar sein, scrollen Sie bitte die Tabelle seitlich.
Parameter |
Beschreibung |
Standard-einstellung |
Empfehlung |
---|---|---|---|
Minimale Kennwortlänge
login/min_password_lng |
Mit Hilfe dieses Parameters können Sie die minimale Länge der Benutzerkennwörter festlegen. | 6 Zeichen | 8. Ggf. ist eine Anpassung des Wertes an Ihre Sicherheits-richtlinie erforderlich. |
Mindestanzahl von Ziffern in Kennwörternlogin/min_password_digits |
Mit diesem Parameter legen Sie die Mindestanzahl von Ziffern in Kennwörtern fest. | 0 Ziffern (Zulässig: 0-8) | Empfehlung: 1-2. Durch die Verwendung möglichst verschiedener Zeichen wird die Kennwort-sicherheit erhöht. |
Mindestanzahl von Buchstaben in Kennwörternlogin/min_password_letters |
Mit diesem Parameter legen Sie die Mindestanzahl von Buchstaben in Kennwörtern fest. | 0 Buchstaben (Zulässig: 0-8) |
Empfehlung: 1-2. Durch die Verwendung möglichst verschiedener Zeichen wird die Kennwort-sicherheit erhöht. |
Mindestanzahl von Sonderzeichen in Kennwörternlogin/min_password_specials |
Mit diesem Parameter legen Sie die Mindestanzahl von Sonderzeichen in Kennwörtern fest. | 0 Sonderzeichen (Zulässig: 0-8) |
Empfehlung: 0. Die Verwendung von Sonderzeichen in Kennwörtern kann sich in der Praxis als schwierig erweisen. Je nach Tastaturlayout und Sprach-einstellungen hat ein Benutzer evtl. Probleme sein Kennwort korrekt einzugeben. |
Kennwortablauffristlogin/password_expiration_time |
Die Kennwortablauffrist fordert Benutzer in regelmäßigen Abständen (alle x Tage) auf ihr Kennwort zu ändern. | 0 | Empfehlung: 30 – 90. Benutzer sollten in regelmäßigen Abständen ihr Kennwort ändern. |
Mindestanzahl geänderter Zeichen in neuem Kennwortlogin/min_password_diff |
Mit diesem Parameter legen Sie die Mindestanzahl der zu ändernden Zeichen in Kennwörtern fest. | 1 geändertes Zeichen (Zulässig: 0-8) |
Empfehlung: Die Hälfte der minimalen Kennwortlänge |
Gültigkeit eines Initialkennworteslogin/password_max_new_valid Achtung: Einsatz erst ab Release 6.40 empfohlen! (siehe Update vom 24.05.2013) |
Mit diesem Parameter legen Sie fest, wie lange ein vom Administrator vergebenes Initialkennwort gültig ist. Bitte beachten Sie, dass sich dieser Parameter nicht auf Benutzer des Typs „Service“ auswirkt. | 0 | Empfehlung: 3-7. Der Wert „0“ bedeutet, dass Initial-kennwörter nie ungültig werden. Dieser Wert sollte bewusst niedrig gehalten werden, da ungenutzte Zugänge ein potenzielles Risiko darstellen. |
Update vom 24.05.2013: Um die Gültigkeit von Initialkennwörtern zu beschränken, ist im SAP-System der Parameter login/password_max_new_valid vorgesehen. An dieser Stelle danke ich dem Kommentator Bernd für den Hinweis, dass dieser Parameter dazu führen kann, dass auch Anmeldeversuche von RFC-Benutzern verhindert werden. Die Ursache dafür ist, dass in den Releases 4.6B, 4.6C, 4.6D, 6.10 und 6.20 kein Datumsstempel für eine Kennwörtänderung gesetzt wird (siehe auch Hinweis 450452). Ein Lösungsweg wäre dann lediglich das Löschen und die Neuanlage des Benutzers. Seit dem Release 6.40 ist dieser Fehler jedoch behoben.
Sperren
Sollte in Ihrem Browser die Spalte „Empfehlung“ in den nachfolgenden Tabellen nicht sichtbar sein, scrollen Sie bitte die Tabelle seitlich.
Parameter |
Beschreibung |
Standard-einstellung |
Empfehlung |
---|---|---|---|
Benutzersperre nach fehlerhaften Anmeldeversuchenlogin/fails_to_user_lock |
Dieser Parameter steuert die Anzahl der möglichen fehlerhaften Anmeldeversuche bevor der Benutzerstammsatz gesperrt wird. Ist der Parameter login/failed_user_auto_unlock auf 1 gesetzt, läuft die Sperre automatisch um 24:00Uhr wieder ab. | 12 | Empfehlung: 3-5. Nach 3 bis 5 fehlerhaften Anmelde-versuchen sollte ein Benutzer automatisch gesperrt werden. |
Automatische Freigabe gesperrter Benutzer nach Falschanmeldunglogin/failed_user_auto_unlock |
Dieser Parameter steuert die automatische Freigabe von gesperrten Benutzersammsätzen (auf Grund von Falschanmeldungen). Ist der Parameter auf 1 gesetzt, wird der Stammsatz automatisch um 24:00Uhr entsperrt. | 1 | Empfehlung: 0. Benutzer-konten sollten nicht automa-tisiert entsperrt werden, wenn der Grund für die Sperre fehlerhafte Anmelde-versuche sind. |
Anmeldungen
Sollte in Ihrem Browser die Spalte „Empfehlung“ in den nachfolgenden Tabellen nicht sichtbar sein, scrollen Sie bitte die Tabelle seitlich.
Parameter |
Beschreibung |
Standard-einstellung |
Empfehlung |
---|---|---|---|
Automatische Anlage des Initialbenutzers SAP*login/no_automatic_user_sapstar |
Dieser Parameter steuert, ob eine Anmeldung mit dem SAP*-Benutzer möglich ist,auch wenn kein Benutzer-stammsatz für SAP* vorhanden ist. | 0. (Anmeldung mit SAP*-Benutzer auch ohne Benutzer-stammsatz möglich) | Empfehlung: 1. Der Wert „1“ bedeutet, dass nach dem Löschen des Benutzers „SAP*“ keine Anmeldung mehr mit ihm möglich ist. |
Sitzungsende nach fehlgeschlagenen Anmeldeversuchenlogin/fails_to_session_end |
Mit diesem Parameter steuern Sie die Anzahl der fehlerhaften Anmelde- versuche, bevor eine SAP-GUI-Sitzung geschlossen wird. |
3 | Empfehlung: 3. Nach 3 fehlgeschlagenen Anmeldeversuchen schließt sich in diesem Fall das SAP-GUI-Fenster. Der Benutzer wird jedoch nicht gesperrt, bis die mit dem Parameter login/fails_to_user_lock festgelegte Anzahl von Anmeldeversuchen erreicht worden ist. |
Deaktivierung mehrerer Sitzungenlogin/disable_multi_gui_login |
Dieser Parameter legt fest, ob Benutzer sich nur einmal oder mehrfach an einem Mandanten anmelden dürfen. | 0 (Mehrfach-anmeldung möglich) | Empfehlung: 1 (keine Mehrfachanmeldung). Die Möglichkeit der Mehrfachanmeldung für Benutzer stellt ein Sicherheitsrisiko dar und sollte daher vermieden werden. |
Benutzer mit mehreren Sitzungenlogin/multi_login_users |
Dieser Parameter steuert welche Benutzer sich mehrfach an einem Mandanten anmelden können. | – | Empfehlung: Notfallbenutzer |
Automatische Abmeldezeitrdisp/gui_auto_logout |
Angemeldete jedoch inaktive Benutzer werden nach der mit diesem Parameter festgelegten Zeit (in Sekunden) automatisch abgemeldet. | 0 (Der Wert „0“ bedeutet, dass die automatische Abmeldung inaktiver Benutzer deaktiviert ist.) | Empfehlung: 900 – 1.800 (15 bis 30 Minuten) |
Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Andre Tenbuss ist Berater für dieses Thema. Fragen Sie ihn an können Sie hier stellen: Berater für SAP Basis
12 Kommentare zu "Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen"
Hallo Herr Tenbuss,
mit dem Parameter login/password_max_new_valid
können Sie das System lahm legen!
Denn es wird auch nach den RFC-Usern etc. geschaut.
Diesen Fehler habe ich nur einmal gemacht!
Besser man schreibt ein Programm, das über die Dialoguser mit Ausnahmetabelle geht und die Benutzer bei Initialpassword sperrt!
Gruß
Bernd
Hallo Bernd,
vielen Dank für Deinen Kommentar! Ich habe den Artikel enstprechend aktualisiert und Deinen Tipp bei den Kennwort-Parametern eingepflegt.
In dem Hinweis 450452 beschreibt die SAP auch den Grund für die Tatsache, dass bei Einsatz von login/password_max_new_valid oder login/password_max_reset_valid in älteren Releases alle Kennwörter auch nach einer Kennwortänderung weiter ungültig sind. Auch hier habe ich den Artikel in dem oben genannten Update weiter aktualisiert.
Viele Grüße
Andre
Hallo,
hier die Parameterbeschreibung aus einem ECC 600 für: login/disable_multi_gui_login
Parameterbeschreibung :
Ist dieser Parameter auf den Wert 1 gesetzt, werden mehrfache
Dialoganmeldungen (im gleichem Mandanten und unter dem gleichen
Benutzernamen) vom System abgeblockt:
bei Erkennung einer Mehrfachanmeldung bietet das Warnpopup dann
lediglich die Optionen „Beenden der bestehenden Sitzungen“ bzw.
„Beenden dieser Anmeldung“ an.
Ihre Darstellung besagt etwas anderes.
Es sollten die Parameterempfehlung angepasst werden, denn „0“ würde Mehrfachanmeldungen zulassen. Auch die Umschreibungen wären zu ändern.
Gruß
MD
Hallo,
vielen Dank für den Hinweis. Ich habe die entsprechenden Stellen im Artikel korrigiert. Sie haben vollkommen Recht damit, dass der Parameter login/disable_multi_gui_login auf den Wert 1 gesetzt werden sollte. Erst die 1 führt dazu, dass Mehrfachanmeldungen verhindert werden.
Viele Grüße
Andre Tenbuß
Guten Tag Herr Tenbuss,
gibt es denn Empfehlungen oder Richtlinien, wie die Parameter zu setzen sind bzw. auch die Tabelle USR40 zu befüllen ist?
Viele Grüsse
Korinna
Hallo./SYS/-Verzeichnis zu gehen. Das erfordert allerdings wie auch die Änderung über die RZ10 ein Neustart. Und anschließend in der RZ10 nicht vergessen, das Profil neu einzulesen.
Die Pflege der USR40 kann über die SM30 inkl. Transport erfolgen. Für Profilparameter kann die Transaktion RZ10 verwendet werde. Bei mehreren parallelen Änderung bietet es sich auch an, über die Profil-Dateien im /usr/sap/
Kontrolle der aktuellen Werte geht am Besten über den Report RSPARAM.
Viele Grüße
Tobias Harmes
Hallo, ziehen die Kennwortrichtlinien auch für Systemuser (IFC)?
Hallo Michael.
Wenn der Benutzertyp SYSTEM oder SERVICE ausgewählt ist, dann werden keine Kennwortrichtlinien beachtet. Das gilt nicht für den Benutzertyp KOMMUNIKATION. Das ist auch ein typischer Fehler bei der Konfiguration von RFC-Schnittstellen. Optimalerweise sollten alle RFC-Schnittstellen mit SYSTEM-Benutzern genutzt werden.
Siehe dazu auch: https://rz10.de/sap-basis/sap-benutzertypen-richtig-verwenden/
Viele Grüße
Tobias Harmes
Hallo,
mit welchem Parameter ändere ich die länge des generierten SAP Kennwortes in der SU01?
Danke und Grüße
Hallo,
uns ist tatsächlich kein Parameter bekannt mit dem die Länge der generierten Initialpasswörter gesteuert werden kann.
Parameter für die Steuerung der allgemeinen Passwortlänge und vieler anderer Faktoren bei den „normalen“ Passwörtern gibt es natürlich. Bei Initialpasswörtern gibt es allerdings in erster Linie nur Parameter bezogen auf die Gültigkeit.
Viele Grüße
Hallo, ich habe das hier gefunden. Ist das evtl. hilfreich?
https://help.sap.com/doc/saphelp_nw74/7.4.16/de-DE/cc/4a0ff78271bb4399c80e659466f828/frameset.htm
Hallo,
das ist auf jeden Fall ein sehr guter Hinweis.
Wir haben es direkt erfolgreich testen können. Vielen Dank!
Viele Grüße