SAP-Passwortregeln: Profilparameter und Security Policies via SECPOL
Autor: Bernhard Reiter | 26. Februar 2019
Passwortregeln für das SAP werden seit jeher über Profilparameter gesetzt. Ab EHP 6 für das ECC sind die so genannten "Security Policies" verfügbar. Damit können Sicherheitsrichtlinien auch benutzerabhängig umgesetzt werden. Nachfolgend erfahren Sie, wie Sie diese Nutzen und was das für Sie bei der Prüfung der Security-Einstellungen einer SAP-Installation bedeutet.
Profilparameter und Security Policies
Gute Passwörter sind essentiell für einen adäquaten Zugriffsschutz auf Computersysteme. Deshalb können im SAP die Regeln für ein Passwort systemseitig eingestellt werden und sind für den Anwender verpflichtend. Traditionell geschieht das im SAP-Umfeld über die Pflege der Profilparameter zu den Passwortvorgaben und können über die SAP-Transaktion RZ10 eingestellt werden. Die Profilparameter hinsichtlich der Passwortregeln haben einen entscheidenden Nachteil: sie gelten systemweit bzw. mandantenübergreifend und sind unabhängig von den Berechtigungen eines Benutzers. Somit lassen sich Benutzerkennungen mit weitreichenden Berechtigungen, wie sie beispielsweise in der Systemadministration oder bei Firefighter-Kennungen vergeben werden, nicht verpflichtend mit komplexeren Passwortvorgaben als der Standard belegen. Zum Beispiel, dass das Passwort anstelle von 90 bereits nach 30 Tagen geändert werden muss. Aus diesem Grund hat SAP eine zusätzliche Möglichkeit geschaffen, einzelnen Benutzern strengere Passwortregeln vorzugeben – die Security Policies.
Die SAP Security Challenge - Stellen Sie sich der Herausforderung
Wir beherrschen die neuesten Sicherheitstechnologien - Security Spezialisten. Nehmen Sie die SAP Security Challenge an und verbessern Sie Ihre Sicherheit!
Sicherheitsrichtlinie in Transaktion SECPOL anlegen
Dazu wird über die Transaktion SECPOL (Alternativ: IMG > SAP NetWeaver > Application Server > Benutzer und Berechtigungen > Sicherheitsrichtlinien > Sicherheitsrichtlinien anlegen) zunächst eine Sicherheitsrichtlinie angelegt und die entsprechenden Passwortvorgaben als Attribute spezifiziert.
Anschließend können die Security Policies über den jeweiligen Benutzerstammsatz Benutzern zugewiesen werden (Transaktion SU01 > Benutzer auswählen > Tab: Logondaten > Feld: Sich.-Richtlinie). Wichtig sind in diesem Zusammenhang zwei Dinge: erstens, die Sicherheitsrichtlinien sind additiv. Das heißt, die Passwort-Profilparamter gelten weiterhin für alle Benutzer. Die strengeren Attribute der Security Policy gelten im Gegensatz dazu nur für Benutzer, bei denen sie über die Security Policy im Stammsatz hinterlegt wurden und sind folglich auch ausschließlich für diese verbindlich. Und zweitens, sie unterscheiden sich marginal in der Bezeichnung gegenüber den entsprechenden Instanzparametern. Unter dem unten angegebenen Link zur SAP-Hilfe finden Sie eine Auflistung der Einstellmöglichkeiten zu den einzelnen Passwortvorgaben nebst einer Referenz auf die entsprechenden Profilparameter.
Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Passwort-Profilparameter für den jeweiligen Benutzer.
Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Profilparameter für den jeweiligen Benutzer.
Auswirkungen auf die SAP-Security-Einstellungen
Welchen Konsequenzen hat das nun für die Prüfung der SAP-Security-Einstellungen? Der Check der Passwortregeln ausschließlich über die Profilparameter (Standard-Report RSPARAM) kann ab EHP 6 zu falsch-positiven Ergebnissen führen. Denn über den Benutzerstammsatz können die Sicherheitsrichtlinien auf Ebene der Benutzer die zu prüfenden Vorgaben gewährleisten, auch wenn die Instanzparameter ungenügend sind. Sofern Sie kein Audit-Tool im Einsatz haben, sollten Sie zunächst über den IMG prüfen, ob Sicherheitsrichtlinien angelegt wurden und welche Parameter bzw. Attribute jeweils vergeben wurden. Anschließend prüfen Sie über die Tabelle “USR02” in der Spalte “Security_Policy”, welchen Benutzern Sicherheitsrichtlinien zugewiesen wurde. Im letzten Schritt verifizieren Sie über die Transaktion SECPOL_CHANGES, wann zuletzt Änderungen an den Sicherheitsrichtlinien vorgenommen wurden. Auditoren prüfen so, ob die Sicherheitsrichtlinien nicht erst kurz vor dem Audit scharf geschaltet wurden.
Über Doppelklick auf “Attribute” in der Sicherheitsrichtlinie werden Ihnen die verfügbaren Passwort-Vorgaben angezeigt und können an dieser Stelle angepasst werden.
Weiterführende Links
SAP Help: Security Policy Attributes for Logon and Passwords: https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-us/e9/c15fb4c06340558898fda99d98cb0d/frameset.htm
SAP-Hilfe: Security Policy bzw. Sicherheitsrichtlinie einrichten: https://help.sap.com/docs/SAP_NETWEAVER_750/c6e6d078ab99452db94ed7b3b7bbcccf/41019a4dba8d4afcb9e6a12003e40a2a.html
3 Kommentare zu "SAP-Passwortregeln: Profilparameter und Security Policies via SECPOL"
Hallo,
die Sicherheitsrichtlinien funktionieren leider nicht wie man das erwartet. Wenn z.B. in der Richtlinie nur die Passwortlänge angegeben ist, wird z.B. die Passwortgültigkeit nicht aus den Profilen gezogen, sondern ein anderer Wert. Deshalb muss jeder Parameter zusätzlich in die Sicherheitsrichtlinie übernommen werden. In der Transaktion SECPOL gibt es unter Attribute einen Button “Effektiv”, worüber man prüfen kann welche Paramater gezogen werden. Das sollte man immer prüfen, ob unangenehme Überraschungen zu vermeiden.
Viele Grüße
Leider funktionieren die Links nicht
Danke für den Hinweis! Die Links haben wir ausgetauscht.
Viele Grüße aus der RZ10-Redaktion