Management
Ein neues SAP-System entsteht…
Sowohl auf dem Datenbankserver als auch auf den Applikationsservern muss überprüft werden, ob ausreichend Hardware (CPU und Hauptspeicher) zur Verfügung steht, um die anstehende Last zu bewältigen. Darüber hinaus muss sichergestellt werden, dass die Betriebssystem- und Netzwerkparameter optimal eingestellt sind, um eine gute Hardwareperformance zu erreichen. Zu diesem Punkt möchten wir Sie auch auf die Werkzeuge und die Literatur der Hardwarehersteller verweisen.
Das Mandantenkonzept von SAP ermöglicht es, ein SAP-System in mehrere logische Subsysteme - Mandanten - zu unterteilen. Diese Subsysteme können wie eigene Systeme betriebswirtschaftlich voneinander unabhängig und isoliert genutzt werden. Aber wie sind mandantenunabhängige Transaktionen zu behandeln? Wie können Sie verhindern, dass ein Mandant auf den anderen zugreifen kann und warum sollten Sie das verhindern wollen? In diesem Blog-Beitrag werde ich Ihnen diese Fragen beantworten und dabei einige Negativ-Beispiele diskutieren. Warum ist es wichtig mandantenunabhängige Transaktionen gesondert zu betrachten? Stellen Sie sich vor, dass jeder Ihrer Mitarbeiter einen Mandanten im Produktivsystem anlegen oder ändern darf, oder noch schlimmer - beides. Das Anlegen und Ändern eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert – Sie fragen sich, was dabei schon schiefgehen könnte? Das Risiko in diesem Fall ist ein Verlust der Integrität von System und Daten, der Verlust der Vertraulichkeit: Mit jedem neu angelegten Mandanten lebt der Superuser SAP* mit seinen umfassenden, auch mandantenübergreifenden Rechten und dem vergebenen Standardpasswort auf.
Was ist SAP Basis?
Benutzerkontextdaten werden von Dialog-Workprozessen in folgender Reihenfolge abgelegt: Beim Start einer Transaktion wird der Benutzerkontext bis zu einer Größe von ztta/roll_first im lokalen Roll-Bereich des Workprozesses gespeichert. ztta/roll_first soll auf 1 (Byte) gesetzt werden. Dies bedeutet, dass zunächst überhaupt kein SAP Roll Memory belegt werden soll. Aus technischen Gründen werden allerdings immer administrative Daten in der Größenordnung von bis zu 100 kB im lokalen Roll-Bereich des Workprozesses abgelegt, auch wenn ztta/roll_first = 1 ist. Wächst die Größe des Benutzerkontextes über den Wert ztta/roll_first hinaus, werden die Daten im SAP Extended Memory abgelegt. Ist der SAP Extended Memory erschöpft oder erreicht der Benutzerkontext die Quote von ztta/roll_extension*, wird der verbleibende Rest des lokalen Roll-Bereichs bis zu einer Größe von ztta/roll_area genutzt. Wächst der Kontext weiter an und übersteigt der Speicherbedarf auch diesen Wert, allokiert der Workprozess SAP Heap Memory nach Bedarf. Die Verwendung von SAP Heap Memory hat den Nachteil, dass dieser Speicher lokal ist und auch nicht mehr – wie beim SAP Roll Memory – in einen globalen Speicherbereich kopiert (gerollt) werden kann. Wenn ein Prozess SAP Heap Memory allokiert, kann der Kontext nicht mehr zu einem anderen Workprozess übertragen werden. Der Workprozess bleibt einem Benutzer exklusiv zugeordnet. Diesen Zustand bezeichnet man als PRIV-Modus (Private Mode). In der Workprozess-Übersicht wird dieser Zustand in den Spalten Status und Grund durch die Werte hält bzw. PRIV dokumentiert.
Schwache Passwort-Hashes aus dem System entfernen: Lediglich den Profilparameter zu aktualisieren bringt Ihnen noch nicht die nötige Sicherheit. In Ihrer Datenbank befinden sich immer noch zahlreiche schwache Hashwerte, die zum Angriff auf Ihr System verwendet werden können. Diese müssen vollständig aus der Datenbank entfernt werden. Dazu verwenden Sie den Report CLEANUP_PASSWORD_HASH_VALUES. Rufen Sie dazu die Transaktion SA38 auf und geben den Namen des Reports in das Eingabefeld ein. Durch den Ausführen-Button oder F8 wird das Programm ausgeführt und Ihre Datenbank bereinigt Report CLEANUP_PASSWORD_HASH_VALUES Dieses Programm entfernt Mandanten-übergreifend die veralteten Hashwerte. Haben Sie bereits Erfahrungen mit dieser Angriffsmethode gemacht oder weitere Anmerkungen zu diesem Thema? Teilen Sie uns Ihre Erfahrungen in Form eines Kommentars unter diesem Artikel mit.
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Hierzu wurden verschiedene Unternehmen eingeladen und deren Bereitschaft zur aktiven Mitarbeit im Rahmen einer DSAG-Umfrage abgefragt.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Mit dem Security Audit Log (SAL) haben Sie die Möglichkeit, jegliche Änderungen bspw bei Benutzern, Benutzerstammsätzen, aber auch Rollen und Gruppen zu protokollieren.