Czy Security Notes działają zgodnie ze swoją nazwą?

 

Każdego miesiąca SAP publikuje nowe Security Notes. Wielu administratorów SAP szybko instaluje te łatki. Pojawia się tylko pytanie – czy wierzyć w bezpieczeństwo, które zapewniają?

W dzisiejszym artykule odpowiemy na pytanie czy w takiej sytuacji luki bezpieczeństwa nadal będą wykorzystywane?

W nocie OSS 1908870 – SACF | Workbench for Switchable Authorization Scenarios, SAP opracował centralne rozwiązanie przełączania weryfikacji autoryzacji. Pozwala to na sprawdzenie uprawnień dla konkretnych funkcji tylko wtedy, kiedy klient je aktywuje. Chodzi o zmniejszenie wpływu na ustalone koncepcje autoryzacji.

Niestety niewielu Klientów wie, że tak zaprojektowana łatka pozostanie nieaktywna po zaimplementowaniu noty OSS. Innymi słowy – wzmocnione kontrole uprawnień (zaprojektowane, by zmniejszyć ryzyko) nie mogą spełniać swojej zamierzonej funkcji. W wyniku tego odpowiednia luka w zabezpieczeniach nadal jest aktywna i można ją wykorzystać.

 

Kompatybilność z programami klienckimi

 

Dzięki transakcjom SUCC Klient może definiować scenariusze niestandardowych programów, z których korzysta. Weryfikacja autoryzacji oparta na scenariuszach umożliwia programistom udoskonalenie standardowego oprogramowania dzięki alternatywnej weryfikacji autoryzacji dla obiektów autoryzacji.

Wykorzystanie przełączania autoryzacji w programach klienckich otwiera drzwi do możliwości rozwijania i aktualizowania programów ABAP i ról autoryzacyjnych w oddzielnych środowiskach.

Nie zapomnij – przełączalne autoryzacje muszą zostać aktywowane!

Transakcja SACF umożliwia aktywację predefiniowanych kontroli uprawnień, które obejmują śledzenie autoryzacji i integrację z SAL.

Ze względów bezpieczeństwa zaleca się wdrożenie wszystkich zdefiniowanych scenariuszy (z wyjątkiem „SACF_DEMO_SCENARIO”) jako scenariusze „live”. Tutaj audytorzy muszą porównywać ilość zdefiniowanych scenariuszy z liczbą scenariuszy „live” i przeprowadzać rygorystyczną ocenę.

Security Notes 1

Secirity Notes 2

Po uruchomieniu scenariusza system wykonuje test autoryzacji, który aktywuje większą ochronę.

Pamiętaj: upewnij się, że weryfikacja zarówno „header-” jak i „object-” ustawiłeś na ACTIVE.

W przeciwnym razie system nie przeprowadzi kontroli (lub nie wykona rejestrowania).

Security Notes 3

 

Wymagane autoryzacje

Aby korzystać z autoryzacji opartych na scenariuszach należy przypisać developerom deweloperom i administratorom odpowiednie uprawnienia (S_TCODE). Rozpocznij od następujących transakcji:

Security Notes 4

 

Następnie przejdź do obiektu autoryzacji S_DEVELOP i odpowiednich typów obiektów (dostępne czynności: 02 dla zmian, 03 dla trybu wyświetlania i 06 dla usunięcia).

 

Security Notes 5

 

Pamiętaj: nie przypisuj czynności „zmiana” lub „usunięcie” do użytkowników na aktywnym systemie!

 

Podsumowanie

Niewątpliwie istotne jest utrzymanie wysokiego poziomu bezpieczeństwa systemu SAP oraz wdrażanie najlepszych praktyk w tym zakresie. Istotą jest zapoznanie się ze szczegółami wgrywanych not, by koniec końców nasz system posiadał odpowiedni poziom zabezpieczenia.

Jeśli masz pytania lub wątpliwości – napisz – chętnie na nie odpowiemy.

 

Autor: Tomasz Jurgielewicz