Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen

Autor: Andre Tenbuss | 12. April 2013

12 | 12 | #Profilparameter
SAP Basis

Benutzer werden in SAP-Systemen über den Benutzernamen sowie das zugehörige Kennwort authentisiert. Dabei gibt es zahlreiche Profilparameter, mit denen Sie die Sicherheit Ihrer SAP-Systeme maßgeblich beeinflussen können.

Als verantwortlicher Mitarbeiter der SAP-Basis kennen Sie bestimmt folgende Situationen:

  • Eine interne Revisionsabteilung teilt Ihnen mit, dass auf Grund eines Sicherheitsvorfalls die Kennwortrichtlinien für SAP-Systeme in Ihrem Unternehmen geändert werden sollen.
  • Ein externer Wirtschaftsprüfer hat Ihre SAP-Systeme überprüft und dabei auch Abweichungen zu gesetzlichen Anforderungen festgestellt. Sie haben nun einen Katalog mit den Prüfergebnissen übergeben bekommen und sollen nun die Anforderungen umsetzen.
  • Der Gesetzgeber bzw. die Unternehmensleitung beschließen strengere Anforderungen an die Datensicherheit und den Datenschutz und beauftragen Sie mit der Umsetzung eben dieser.

E-Book SAP Basis

Mehr als 100 ausgewählte SAP Basis Fachartikel von rz10.de seit 2011! Auf über 800 Seiten Tipps, Tricks und Tutorials mit Screenshots aus echten SAP-Systemen.

Trifft eine der oben genannten Situationen auf Sie zu? Oder beschäftigen Sie sich aus einem anderen Grund gerade mit der Kennwortrichtlinie in Ihrem Unternehmen? In jedem Fall finden Sie unten eine Auswahl der wichtigsten Parameter, welche im Zusammenhang mit der Umsetzung von Kennwortrichtlinien eine Rolle spielen. Zu jedem Parameter finden Sie einen Beschreibungstext sowie eine von mir empfohlene Einstellung. Selbstverständlich ist diese Empfehlung nur als Vorschlag zu werten. Auch, wenn die genannten Parameter aus technischer Sicht nicht zwingend angepasst werden müssen, kann es unter Umständen gefährlich sein, die Standardeinstellungen nicht zu ändern.

Einrichtung der erforderlichen Profilparameter

Transaktion: RZ10

Diese unten dargestellten Profilparameter pflegen Sie über die Transaktion RZ10. Wählen Sie dazu das Profil aus, in welchem Sie die Parameter pflegen möchten. Selektieren Sie anschließend die Option “Erweiterte Pflege” und klicken Sie dann auf die Schaltfläche “Ändern”.

profilparameter

Abbildung 1: Bearbeitung der Profilparameter in der Transaktion RZ10

Profilparameter zur Umsetzung von Kennwortrichtlinien

Die nachfolgend dargestellten Profilparameter sind in drei Kategorien aufgeteilt:

Kennwörter. In diesem Bereich finden Sie Profilparameter, welche den Aufbau und die Gültigkeit von Kennwörtern steuern.

Sperren. In dem Bereich “Sperren” legen Sie fest, wie das SAP-System mit fehlerhaften Anmeldeversuchen umgehen soll.

Anmeldungen. Hier können Sie steuern, ob das System eine Anmeldung mit dem SAP*-Benutzer auch ohne bestehenden SAP*-Benutzerstammsatz möglich ist. Des Weiteren finden Sie hier die Parameter, welche zur Steuerung von Sitzungen verwendet werden können.

Bitte beachten Sie, dass jegliche Änderungen der Profilparameter stets einen Neustart der Instanz erfordern, bevor die geänderten Einstellungen aktiv sind.

In diesem Webinar erfahren Sie alles zum Einstieg in das Security Monitoring mit dem SAP Solution Manager und zur Nutzung der Configuration Validation.

Kennwörter

Sollte in Ihrem  Browser die Spalte “Empfehlung” in den nachfolgenden Tabellen nicht sichtbar sein, scrollen Sie bitte die Tabelle seitlich.

Parameter
Beschreibung
Standard-einstellung
Empfehlung
Minimale Kennwortlänge

 

login/min_password_lng

Mit Hilfe dieses Parameters können Sie die minimale Länge der Benutzerkennwörter festlegen. 6 Zeichen 8. Ggf. ist eine Anpassung des Wertes an Ihre Sicherheits-richtlinie erforderlich.
Mindestanzahl von Ziffern in Kennwörtern

login/min_password_digits

Mit diesem Parameter legen Sie die Mindestanzahl von Ziffern in Kennwörtern fest. 0 Ziffern (Zulässig: 0-8) Empfehlung:
1-2. Durch die Verwendung möglichst verschiedener Zeichen wird die Kennwort-sicherheit erhöht.
Mindestanzahl von Buchstaben in Kennwörtern

login/min_password_letters

Mit diesem Parameter legen Sie die Mindestanzahl von Buchstaben in Kennwörtern fest. 0 Buchstaben
(Zulässig: 0-8)
Empfehlung:
1-2. Durch die Verwendung möglichst verschiedener Zeichen wird die Kennwort-sicherheit erhöht.
Mindestanzahl von Sonderzeichen in Kennwörtern

login/min_password_specials

Mit diesem Parameter legen Sie die Mindestanzahl von Sonderzeichen in Kennwörtern fest. 0 Sonderzeichen
(Zulässig: 0-8)
Empfehlung: 0. Die Verwendung von Sonderzeichen in Kennwörtern kann sich in der Praxis als schwierig erweisen. Je nach Tastaturlayout und Sprach-einstellungen hat ein Benutzer evtl. Probleme sein Kennwort korrekt einzugeben.
Kennwortablauffrist

login/password_expiration_time

Die Kennwortablauffrist fordert Benutzer in regelmäßigen Abständen (alle x Tage) auf ihr Kennwort zu ändern. 0 Empfehlung: 30 – 90. Benutzer sollten in regelmäßigen Abständen ihr Kennwort ändern.
Mindestanzahl geänderter Zeichen in neuem Kennwort

login/min_password_diff

Mit diesem Parameter legen Sie die Mindestanzahl der zu ändernden Zeichen in Kennwörtern fest. 1 geändertes Zeichen
(Zulässig: 0-8)
Empfehlung: Die Hälfte der minimalen Kennwortlänge
Gültigkeit eines Initialkennwortes

login/password_max_new_valid

Achtung: Einsatz erst ab Release 6.40 empfohlen! (siehe Update vom 24.05.2013)

Mit diesem Parameter legen Sie fest, wie lange ein vom Administrator vergebenes Initialkennwort gültig ist. Bitte beachten Sie, dass sich dieser Parameter nicht auf Benutzer des Typs “Service” auswirkt. 0 Empfehlung: 3-7. Der Wert “0” bedeutet, dass Initial-kennwörter nie ungültig werden. Dieser Wert sollte bewusst niedrig gehalten werden, da ungenutzte Zugänge ein potenzielles Risiko darstellen.

Update vom 24.05.2013: Um die Gültigkeit von Initialkennwörtern zu beschränken, ist im SAP-System der Parameter login/password_max_new_valid vorgesehen. An dieser Stelle danke ich dem Kommentator Bernd für den Hinweis, dass dieser Parameter dazu führen kann, dass auch Anmeldeversuche von RFC-Benutzern verhindert werden. Die Ursache dafür ist, dass in den Releases 4.6B, 4.6C, 4.6D, 6.10 und 6.20 kein Datumsstempel für eine Kennwörtänderung gesetzt wird (siehe auch Hinweis 450452). Ein Lösungsweg wäre dann lediglich das Löschen und die Neuanlage des Benutzers. Seit dem Release 6.40 ist dieser Fehler jedoch behoben.

Sperren

Sollte in Ihrem  Browser die Spalte “Empfehlung” in den nachfolgenden Tabellen nicht sichtbar sein, scrollen Sie bitte die Tabelle seitlich.

Parameter
Beschreibung
Standard-einstellung
Empfehlung
Benutzersperre nach fehlerhaften Anmeldeversuchen

login/fails_to_user_lock

Dieser Parameter steuert die Anzahl der möglichen fehlerhaften Anmeldeversuche bevor der Benutzerstammsatz gesperrt wird. Ist der Parameter login/failed_user_auto_unlock auf 1 gesetzt, läuft die Sperre automatisch um 24:00Uhr wieder ab. 12 Empfehlung: 3-5. Nach 3 bis 5 fehlerhaften Anmelde-versuchen sollte ein Benutzer automatisch gesperrt werden.
Automatische Freigabe gesperrter Benutzer nach Falschanmeldung

login/failed_user_auto_unlock

Dieser Parameter steuert die automatische Freigabe von gesperrten Benutzersammsätzen (auf Grund von Falschanmeldungen). Ist der Parameter auf 1 gesetzt, wird der Stammsatz automatisch um 24:00Uhr entsperrt. 1 Empfehlung: 0. Benutzer-konten sollten nicht automa-tisiert entsperrt werden, wenn der Grund für die Sperre fehlerhafte Anmelde-versuche sind.

Anmeldungen

Sollte in Ihrem  Browser die Spalte “Empfehlung” in den nachfolgenden Tabellen nicht sichtbar sein, scrollen Sie bitte die Tabelle seitlich.

Parameter
Beschreibung
Standard-einstellung
Empfehlung
Automatische Anlage des Initialbenutzers SAP*

login/no_automatic_user_sapstar

Dieser Parameter steuert, ob eine Anmeldung mit dem SAP*-Benutzer möglich ist,auch wenn kein Benutzer-stammsatz für SAP* vorhanden ist. 0. (Anmeldung mit SAP*-Benutzer auch ohne Benutzer-stammsatz möglich) Empfehlung: 1. Der Wert “1” bedeutet, dass nach dem Löschen des Benutzers “SAP*” keine Anmeldung mehr mit ihm möglich ist.
Sitzungsende nach fehlgeschlagenen Anmeldeversuchen

login/fails_to_session_end

Mit diesem Parameter steuern Sie die Anzahl der fehlerhaften Anmelde-
versuche, bevor eine SAP-GUI-Sitzung geschlossen wird.
3 Empfehlung: 3. Nach 3 fehlgeschlagenen Anmeldeversuchen schließt sich in diesem Fall das SAP-GUI-Fenster. Der Benutzer wird jedoch nicht gesperrt, bis die mit dem Parameter login/fails_to_user_lock festgelegte Anzahl von Anmeldeversuchen erreicht worden ist.
Deaktivierung mehrerer Sitzungen

login/disable_multi_gui_login

Dieser Parameter legt fest, ob Benutzer sich nur einmal oder mehrfach an einem Mandanten anmelden dürfen. 0 (Mehrfach-anmeldung möglich) Empfehlung: 1 (keine Mehrfachanmeldung). Die Möglichkeit der Mehrfachanmeldung für Benutzer stellt ein Sicherheitsrisiko dar und sollte daher vermieden werden.
Benutzer mit mehreren Sitzungen

login/multi_login_users

Dieser Parameter steuert welche Benutzer sich mehrfach an einem Mandanten anmelden können. Empfehlung: Notfallbenutzer
Automatische Abmeldezeit

rdisp/gui_auto_logout

Angemeldete jedoch inaktive Benutzer werden nach der mit diesem Parameter festgelegten Zeit (in Sekunden) automatisch abgemeldet. 0 (Der Wert “0” bedeutet, dass die automatische Abmeldung inaktiver Benutzer deaktiviert ist.) Empfehlung: 900 – 1.800 (15 bis 30 Minuten)

 

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Andre Tenbuss ist Berater für dieses Thema. Fragen Sie ihn an über dasRZ10.de Partnerprodukt Berater für SAP BasisSAP Kennwörter absichern

Ihr Feedback zu Profilparametern

Ich freue mich, wenn Sie diesen Beitrag in den Kommentaren diskutieren, ergänzen oder korrigieren.

Behebung von Revisionsfeststellungen im SAP

Wir unterstützen unsere Kunden bei der Behebung von Security-Problemen, Revisionsfeststellungen (Findings) und Compliance Mängeln in SAP-Systemen.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Andre Tenbuss

Autor

Andre Tenbuss

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

12 Kommentare zu "Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen"

Hallo Herr Tenbuss,
mit dem Parameter login/password_max_new_valid
können Sie das System lahm legen!
Denn es wird auch nach den RFC-Usern etc. geschaut.

Diesen Fehler habe ich nur einmal gemacht!
Besser man schreibt ein Programm, das über die Dialoguser mit Ausnahmetabelle geht und die Benutzer bei Initialpassword sperrt!

Gruß
Bernd

Hallo Bernd,

vielen Dank für Deinen Kommentar! Ich habe den Artikel enstprechend aktualisiert und Deinen Tipp bei den Kennwort-Parametern eingepflegt.
In dem Hinweis 450452 beschreibt die SAP auch den Grund für die Tatsache, dass bei Einsatz von login/password_max_new_valid oder login/password_max_reset_valid in älteren Releases alle Kennwörter auch nach einer Kennwortänderung weiter ungültig sind. Auch hier habe ich den Artikel in dem oben genannten Update weiter aktualisiert.

Viele Grüße
Andre

Hallo,

hier die Parameterbeschreibung aus einem ECC 600 für: login/disable_multi_gui_login
Parameterbeschreibung :

Ist dieser Parameter auf den Wert 1 gesetzt, werden mehrfache
Dialoganmeldungen (im gleichem Mandanten und unter dem gleichen
Benutzernamen) vom System abgeblockt:
bei Erkennung einer Mehrfachanmeldung bietet das Warnpopup dann
lediglich die Optionen “Beenden der bestehenden Sitzungen” bzw.
“Beenden dieser Anmeldung” an.

Ihre Darstellung besagt etwas anderes.

Es sollten die Parameterempfehlung angepasst werden, denn “0” würde Mehrfachanmeldungen zulassen. Auch die Umschreibungen wären zu ändern.

Gruß

MD

Hallo,

vielen Dank für den Hinweis. Ich habe die entsprechenden Stellen im Artikel korrigiert. Sie haben vollkommen Recht damit, dass der Parameter login/disable_multi_gui_login auf den Wert 1 gesetzt werden sollte. Erst die 1 führt dazu, dass Mehrfachanmeldungen verhindert werden.

Viele Grüße
Andre Tenbuß

Guten Tag Herr Tenbuss,

gibt es denn Empfehlungen oder Richtlinien, wie die Parameter zu setzen sind bzw. auch die Tabelle USR40 zu befüllen ist?

Viele Grüsse
Korinna

Hallo.
Die Pflege der USR40 kann über die SM30 inkl. Transport erfolgen. Für Profilparameter kann die Transaktion RZ10 verwendet werde. Bei mehreren parallelen Änderung bietet es sich auch an, über die Profil-Dateien im /usr/sap//SYS/-Verzeichnis zu gehen. Das erfordert allerdings wie auch die Änderung über die RZ10 ein Neustart. Und anschließend in der RZ10 nicht vergessen, das Profil neu einzulesen.
Kontrolle der aktuellen Werte geht am Besten über den Report RSPARAM.

Viele Grüße
Tobias Harmes

Hallo, ziehen die Kennwortrichtlinien auch für Systemuser (IFC)?

Hallo Michael.

Wenn der Benutzertyp SYSTEM oder SERVICE ausgewählt ist, dann werden keine Kennwortrichtlinien beachtet. Das gilt nicht für den Benutzertyp KOMMUNIKATION. Das ist auch ein typischer Fehler bei der Konfiguration von RFC-Schnittstellen. Optimalerweise sollten alle RFC-Schnittstellen mit SYSTEM-Benutzern genutzt werden.
Siehe dazu auch: https://rz10.de/sap-basis/sap-benutzertypen-richtig-verwenden/

Viele Grüße
Tobias Harmes

Hallo,

mit welchem Parameter ändere ich die länge des generierten SAP Kennwortes in der SU01?

Danke und Grüße

Hallo,

uns ist tatsächlich kein Parameter bekannt mit dem die Länge der generierten Initialpasswörter gesteuert werden kann.
Parameter für die Steuerung der allgemeinen Passwortlänge und vieler anderer Faktoren bei den “normalen” Passwörtern gibt es natürlich. Bei Initialpasswörtern gibt es allerdings in erster Linie nur Parameter bezogen auf die Gültigkeit.

Viele Grüße

Hallo, ich habe das hier gefunden. Ist das evtl. hilfreich?

https://help.sap.com/doc/saphelp_nw74/7.4.16/de-DE/cc/4a0ff78271bb4399c80e659466f828/frameset.htm

Hallo,

das ist auf jeden Fall ein sehr guter Hinweis.
Wir haben es direkt erfolgreich testen können. Vielen Dank!

Viele Grüße

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support