Aufheben der Autorisierung des Anmeldeschutzes
Um die Sicherheit in einem SAP-System zu implementieren, muss die nicht erfolgreiche Anmeldung in einer SAP-Umgebung überwacht werden. Wenn jemand versucht, sich mit einem falschen Kennwort bei einem System anzumelden, sollte das System entweder den Benutzernamen für einige Zeit sperren oder diese Sitzung nach einer definierten Anzahl von Versuchen beenden.
Für nicht autorisierte Anmeldeversuche können verschiedene Sicherheitsparameter festgelegt werden -
- Beenden einer Sitzung
- Benutzer sperren
- Bildschirmschoner aktivieren
- Überwachen erfolgloser Anmeldeversuche
- Anmeldeversuche aufzeichnen
Lassen Sie uns nun jeden dieser Punkte im Detail besprechen.
Beenden einer Sitzung
Wenn für eine einzelne Benutzer-ID mehrere erfolglose Anmeldeversuche durchgeführt wurden, beendet das System die Sitzung für diesen Benutzer. Dies sollte mit einem Profilparameter gesendet werden -login/fails_to_session_end.
Führen Sie Transaktion aus, um den Parameterwert zu ändern RZ10und wählen Sie das Profil aus, wie im folgenden Screenshot gezeigt. Wählen Sie Erweiterte Wartung und klicken Sie aufDisplay.
Wählen Sie den Parameter aus, den Sie ändern möchten, und klicken Sie auf Parameter Schaltfläche oben wie unten gezeigt.
Wenn Sie auf die Registerkarte Parameter klicken, können Sie den Wert des Parameters in einem neuen Fenster ändern. Sie können den neuen Parameter auch erstellen, indem Sie auf klickenCreate (F5) Taste.
Führen Sie den Transaktionscode aus, um die Details dieses Parameters anzuzeigen: RZ11 und geben Sie den Profilnamen ein - login/fails_to_session_end und klicken Sie auf Display Document.
Parameter - login / fail_to_session_end
Short text - Anzahl ungültiger Anmeldeversuche bis zum Ende der Sitzung.
Parameter Description - Anzahl ungültiger Anmeldeversuche, die mit einem Benutzerstammsatz durchgeführt werden können, bis der Anmeldevorgang beendet ist.
Application Area - Anmeldung
Default Value - 3
Who is permitted to make changes? - Kunde
Operating System Restrictions - Keine
Database System Restrictions - Keine
Are other parameters affected or dependent? - Keine
Values allowed - 1 - 99
Im obigen Screenshot sehen Sie, dass der Wert dieses Parameters auf 3 gesetzt ist, dh auch auf den Standardwert. Nach 3 erfolglosen Anmeldeversuchen wird die Sitzung für einen einzelnen Benutzer beendet.
Benutzer sperren
Sie können auch eine bestimmte Benutzer-ID überprüfen, wenn eine festgelegte Anzahl aufeinanderfolgender erfolgloser Anmeldeversuche unter einer einzelnen Benutzer-ID überschritten wird. Legen Sie die Anzahl der ungültigen Anmeldeversuche fest, die im Profilparameter zulässig sind:login/fails_to_user_lock.
Es ist möglich, bestimmte Benutzer-IDs zu sperren.
Eine Benutzer-ID wird bis Mitternacht gesperrt. Es kann jedoch jederzeit von einem Systemadministrator manuell entfernt werden.
In einem SAP-System können Sie auch einen Parameterwert festlegen, mit dem die Benutzer-ID gesperrt werden kann, bis sie manuell entfernt wird. Parametername:login/failed_user_auto_unlock.
Profile parameter: login/fails_to_user_lock
Jedes Mal, wenn ein falsches Anmeldekennwort eingegeben wird, wird der Zähler für fehlgeschlagene Anmeldungen für den entsprechenden Benutzerstammsatz erhöht. Die Anmeldeversuche können im Sicherheitsüberwachungsprotokoll protokolliert werden. Wenn der durch diesen Parameter angegebene Grenzwert überschritten wird, wird der betreffende Benutzer gesperrt. Dieser Prozess wird auch in Syslog protokolliert.
Die Sperre ist nach Ablauf des aktuellen Tages nicht mehr gültig. (Andere Bedingung −login / failed_user_auto_unlock)
Der Zähler für fehlgeschlagene Anmeldungen wird zurückgesetzt, sobald sich der Benutzer mit dem richtigen Kennwort anmeldet. Anmeldungen, die nicht kennwortbasiert sind, haben keine Auswirkungen auf den Zähler für fehlgeschlagene Anmeldungen. Aktive Anmeldesperren werden jedoch bei jeder Anmeldung überprüft.
Values allowed - 1 - 99
Verwenden Sie, um den aktuellen Wert dieses Parameters anzuzeigen T-Code: RZ11.
Parameter name - login / failed_user_auto_unlock
Short text - Deaktivieren Sie die automatische Entsperrung des gesperrten Benutzers um Mitternacht.
Parameter Description- Steuert das Entsperren von gesperrten Benutzern durch falsche Anmeldung. Wenn der Parameter auf 1 gesetzt ist, gelten Sperren, die aufgrund fehlgeschlagener Kennwortanmeldeversuche festgelegt wurden, nur am selben Tag (wie das Sperren). Wenn der Parameter auf 0 gesetzt ist, bleiben die Sperren wirksam.
Application Area - Anmeldung.
Default Value - 0.
Bildschirmschoner aktivieren
Systemadministratoren können auch Bildschirmschoner aktivieren, um den Frontend-Bildschirm vor unbefugtem Zugriff zu schützen. Diese Bildschirmschoner können passwortgeschützt sein.
Überwachen erfolgloser Anmeldeversuche und Aufzeichnen von Anmeldeversuchen
In einem SAP-System können Sie den Bericht verwenden RSUSR006um zu überprüfen, ob es Benutzer gibt, die erfolglose Anmeldeversuche im System versucht haben. Dieser Bericht enthält Details zur Anzahl der falschen Anmeldeversuche eines Benutzers und der Benutzersperren. Sie können diesen Bericht gemäß Ihren Anforderungen planen.
Gehe zu ABAP Editor SE38 und geben Sie den Berichtsnamen ein und klicken Sie dann auf EXECUTE.
In diesem Bericht haben Sie verschiedene Details wie Benutzername, Typ, Erstellt am, Ersteller, Kennwort, Sperre und falsche Anmeldedaten.
In einem SAP-System ist es auch möglich, dass Sie das Sicherheitsüberwachungsprotokoll (Transaktionen SM18, SM19 und SM20) verwenden, um alle erfolgreichen und erfolglosen Anmeldeversuche aufzuzeichnen. Sie können die Sicherheitsüberwachungsprotokolle mithilfe der SM20-Transaktion analysieren. Die Sicherheitsüberwachung sollte jedoch im System aktiviert sein, um Sicherheitsüberwachungsprotokolle zu überwachen.
Inaktive Benutzer abmelden
Wenn ein Benutzer bereits bei einem SAP-System angemeldet ist und die Sitzung für einen bestimmten Zeitraum inaktiv ist, können Sie ihn auch auf Abmelden setzen, um unbefugten Zugriff zu vermeiden.
Um diese Einstellung zu aktivieren, müssen Sie diesen Wert im Profilparameter angeben: rdisp/gui_auto_logout.
Parameter Description- Sie können festlegen, dass inaktive SAP-GUI-Benutzer nach einer vordefinierten Zeit automatisch von einem SAP-System abgemeldet werden. Der Parameter konfiguriert diesmal. Die automatische Abmeldung im SAP-System ist standardmäßig deaktiviert (Wert 0), dh die Benutzer werden nicht abgemeldet, auch wenn sie längere Zeit keine Aktionen ausführen.
Values allowed- n [Einheit], wobei n> = 0 und Einheit = S | M | H | D.
Führen Sie T-Code aus, um den aktuellen Wert des Parameters anzuzeigen: RZ11.
Die folgende Tabelle zeigt Ihnen die Liste der Schlüsselparameter, deren Standard und zulässigen Wert in einem SAP-System -
Parameter | Beschreibung | Standard | Zulässiger Wert |
---|---|---|---|
Login / fail_to_session_end | Anzahl ungültiger Anmeldeversuche bis zum Ende der Sitzung | 3 | 1-99 |
Login / fail_to_user_lock | Anzahl ungültiger Anmeldeversuche bis zur Benutzersperre | 12 | 1-99 |
Login / failed_user_auto_unlock | Wenn gesetzt t 1: Sperren gelten an dem Tag, an dem sie gesetzt werden. Sie werden am nächsten Tag entfernt, wenn sich der Benutzer anmeldet | 1 | 0 oder 1 |
rdisp / gui_auto_output | Maximale Leerlaufzeit für einen Benutzer in Sekunden | 0 (keine Begrenzung) | uneingeschränkt |