SAP-Passwortregeln: Profilparameter und Security Policies via SECPOL

Autor: Bernhard Reiter | 26. Februar 2019

3 | 41

Passwortregeln für das SAP werden seit jeher über Profilparameter gesetzt. Ab EHP 6 für das ECC sind die so genannten "Security Policies" verfügbar. Damit können Sicherheitsrichtlinien auch benutzerabhängig umgesetzt werden. Nachfolgend erfahren Sie, wie Sie diese Nutzen und was das für Sie bei der Prüfung der Security-Einstellungen einer SAP-Installation bedeutet.

Profilparameter und Security Policies

Gute Passwörter sind essentiell für einen adäquaten Zugriffsschutz auf Computersysteme. Deshalb können im SAP die Regeln für ein Passwort systemseitig eingestellt werden und sind für den Anwender verpflichtend. Traditionell geschieht das im SAP-Umfeld über die Pflege der Profilparameter zu den Passwortvorgaben und können über die SAP-Transaktion RZ10 eingestellt werden.  Die Profilparameter hinsichtlich der Passwortregeln haben einen entscheidenden Nachteil: sie gelten systemweit bzw. mandantenübergreifend und sind unabhängig von den Berechtigungen eines Benutzers. Somit lassen sich Benutzerkennungen mit weitreichenden Berechtigungen, wie sie beispielsweise in der Systemadministration oder bei Firefighter-Kennungen vergeben werden, nicht verpflichtend mit komplexeren Passwortvorgaben als der Standard belegen. Zum Beispiel, dass das Passwort anstelle von 90 bereits nach 30 Tagen geändert werden muss.  Aus diesem Grund hat SAP eine zusätzliche Möglichkeit geschaffen, einzelnen Benutzern strengere Passwortregeln vorzugeben – die Security Policies.

Die SAP Security Challenge - Stellen Sie sich der Herausforderung

Wir beherrschen die neuesten Sicherheitstechnologien - Security Spezialisten. Nehmen Sie die SAP Security Challenge an und verbessern Sie Ihre Sicherheit!

Sicherheitsrichtlinie in Transaktion SECPOL anlegen

Dazu wird über die Transaktion SECPOL (Alternativ: IMG > SAP NetWeaver > Application Server > Benutzer und Berechtigungen > Sicherheitsrichtlinien > Sicherheitsrichtlinien anlegen) zunächst eine Sicherheitsrichtlinie angelegt und die entsprechenden Passwortvorgaben als Attribute spezifiziert.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Anschließend können die Security Policies über den jeweiligen Benutzerstammsatz Benutzern zugewiesen werden (Transaktion SU01 > Benutzer auswählen > Tab: Logondaten > Feld: Sich.-Richtlinie). Wichtig sind in diesem Zusammenhang zwei Dinge: erstens, die Sicherheitsrichtlinien sind additiv. Das heißt, die Passwort-Profilparamter gelten weiterhin für alle Benutzer. Die strengeren Attribute der Security Policy gelten im Gegensatz dazu nur für Benutzer, bei denen sie über die Security Policy im Stammsatz hinterlegt wurden und sind folglich auch ausschließlich für diese verbindlich. Und zweitens, sie unterscheiden sich marginal in der Bezeichnung gegenüber den entsprechenden Instanzparametern. Unter dem unten angegebenen Link zur SAP-Hilfe finden Sie eine Auflistung der Einstellmöglichkeiten zu den einzelnen Passwortvorgaben nebst einer Referenz auf die entsprechenden Profilparameter.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Passwort-Profilparameter für den jeweiligen Benutzer.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Passwort-Profilparameter für den jeweiligen Benutzer.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Profilparameter für den jeweiligen Benutzer.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Profilparameter für den jeweiligen Benutzer.

Auswirkungen auf die SAP-Security-Einstellungen

Welchen Konsequenzen hat das nun für die Prüfung der SAP-Security-Einstellungen? Der Check der Passwortregeln ausschließlich über die Profilparameter (Standard-Report RSPARAM) kann ab EHP 6 zu falsch-positiven Ergebnissen führen. Denn über den Benutzerstammsatz können die Sicherheitsrichtlinien auf Ebene der Benutzer die zu prüfenden Vorgaben gewährleisten, auch wenn die Instanzparameter ungenügend sind. Sofern Sie kein Audit-Tool im Einsatz haben, sollten Sie zunächst über den IMG prüfen, ob Sicherheitsrichtlinien angelegt wurden und welche Parameter bzw. Attribute jeweils vergeben wurden. Anschließend prüfen Sie über die Tabelle „USR02“ in der Spalte „Security_Policy“, welchen Benutzern Sicherheitsrichtlinien zugewiesen wurde. Im letzten Schritt verifizieren Sie über die Transaktion SECPOL_CHANGES, wann zuletzt Änderungen an den Sicherheitsrichtlinien vorgenommen wurden. Auditoren prüfen so, ob die  Sicherheitsrichtlinien nicht erst kurz vor dem Audit scharf geschaltet wurden.

Über Doppelklick auf "Attribute" in der Sicherheitsrichtlinie werden Ihnen die verfügbaren Passwort-Vorgaben angezeigt und können an dieser Stelle angepasst werden.

Über Doppelklick auf „Attribute“ in der Sicherheitsrichtlinie werden Ihnen die verfügbaren Passwort-Vorgaben angezeigt und können an dieser Stelle angepasst werden.

SAP Help: Security Policy Attributes for Logon and Passwords:  https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-us/e9/c15fb4c06340558898fda99d98cb0d/frameset.htm

SAP-Hilfe: Security Policy bzw. Sicherheitsrichtlinie einrichten:  https://help.sap.com/docs/SAP_NETWEAVER_750/c6e6d078ab99452db94ed7b3b7bbcccf/41019a4dba8d4afcb9e6a12003e40a2a.html

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.

KnowHow: SAP-Installation


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Bernhard Reiter

Autor

Bernhard Reiter

Inhaber, Geschäftsführer, ISPICIO® GmbH

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "SAP-Passwortregeln: Profilparameter und Security Policies via SECPOL"

Hallo,

die Sicherheitsrichtlinien funktionieren leider nicht wie man das erwartet. Wenn z.B. in der Richtlinie nur die Passwortlänge angegeben ist, wird z.B. die Passwortgültigkeit nicht aus den Profilen gezogen, sondern ein anderer Wert. Deshalb muss jeder Parameter zusätzlich in die Sicherheitsrichtlinie übernommen werden. In der Transaktion SECPOL gibt es unter Attribute einen Button „Effektiv“, worüber man prüfen kann welche Paramater gezogen werden. Das sollte man immer prüfen, ob unangenehme Überraschungen zu vermeiden.

Viele Grüße

Leider funktionieren die Links nicht

Danke für den Hinweis! Die Links haben wir ausgetauscht.

Viele Grüße aus der RZ10-Redaktion

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice