Compartir a través de

用于检测可疑配置更改的受监视的 SAP 安全参数

本文详细介绍了 SAP 系统中适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序作为“SAP -(预览版)敏感静态参数已更改”分析规则一部分监视的安全参数。

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序将根据 SAP 最佳做法更改为此内容提供更新。 你还可以添加要监视的参数、根据组织的需求更改值,以及禁用 SAPSystemParameters 监视列表中的特定参数。

注意

为了成功监视 SAP 安全参数,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案需要定期成功监视 SAP PAHI 表。 验证解决方案是否可以成功监视 PAHI 表

受监视的静态 SAP 安全参数

此列表包含适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序为保护 SAP 系统而监视的静态 SAP 安全参数。 该列表不是配置这些参数的建议。 有关配置注意事项,请咨询 SAP 管理员。

参数 说明 安全值/注意事项
gw/accept_remote_trace_level 控制中心进程集成 (CPI) 和远程函数调用 (RFC) 子系统是否采用远程跟踪级别。 当此参数设置为 1 时,CPI 和 RFC 子系统会接受并采用远程跟踪级别。 设置为 0 时,不接受远程跟踪级别,而是使用本地跟踪级别。

跟踪级别是一种设置,用于确定特定程序或进程的系统日志中记录的详细信息级别。 当子系统采用跟踪级别时,可以从远程系统(而不仅仅是本地系统)为程序或进程设置跟踪级别。 在需要远程调试或故障排除的情况下,此设置非常有用。
可以将该参数配置为限制从外部系统接受的跟踪级别。 设置较低的跟踪级别可能会减少外部系统可以获取的有关 SAP 系统内部工作的信息量。
login/password_change_for_SSO 控制在单一登录情况下如何强制实施密码更改。 高,因为强制执行密码更改有助于防止通过网络钓鱼或其他方式获取有效凭据的攻击者未经授权访问系统。
icm/accept_remote_trace_level 确定 Internet 通信管理器 (ICM) 是否接受来自外部系统的远程跟踪级别更改。 中等,因为允许远程跟踪级别更改可能会向攻击者提供有价值的诊断信息,并可能危及系统安全。
rdisp/gui_auto_logout 指定自动注销用户之前 SAP GUI 连接的最大空闲时间。 高,因为自动注销非活动用户有助于防止可能已获得用户工作站访问权限的攻击者未经授权访问系统。
rsau/enable 控制是否启用安全审核日志。 高,因为安全审核日志可以提供有价值的信息来检测和调查安全事件。
login/min_password_diff 指定当用户更改其密码时新旧密码之间必须不同的最小字符数。 高,因为要求最少数量的字符差异有助于防止用户选择容易猜到的弱密码。
login/min_password_digits 设置用户密码中所需的最小位数。 高,因为该参数会增加密码的复杂性,并使其更难猜测或破解。
login/ticket_only_by_https 此参数控制身份验证票证是仅通过 HTTPS 发送,还是也可以通过 HTTP 发送。 高,因为使用 HTTPS 进行票证传输会加密传输中的数据,使其更安全。
auth/rfc_authority_check 控制是否对 RFC 执行颁发机构检查。 高,因为启用此参数有助于防止通过 RFC 未经授权访问敏感数据和函数。
gw/acl_mode 设置 SAP 网关使用的访问控制列表 (ACL) 文件的模式。 高,因为该参数控制对网关的访问,并有助于防止未经授权访问 SAP 系统。
gw/logging 控制 SAP 网关的日志记录设置。 高,因为此参数可用于监视和检测可疑活动或潜在的安全漏洞。
login/fails_to_session_end 设置终止用户会话之前允许的无效登录尝试次数。 高,因为该参数有助于防止对用户帐户进行暴力攻击。
wdisp/ssl_encrypt 设置 HTTP 请求的 SSL 重新加密模式。 高,因为此参数可确保对通过 HTTP 传输的数据进行加密,这有助于防止窃听和数据篡改。
login/no_automatic_user_sapstar 控制 SAP* 用户的自动登录。 高,因为此参数有助于防止通过默认 SAP* 帐户未经授权访问 SAP 系统。
rsau/max_diskspace/local 定义可用于审核日志本地存储的最大磁盘空间量。 此安全参数有助于防止磁盘空间被填满,并确保审核日志可用于调查。 为此参数设置适当的值有助于防止本地审核日志占用过多磁盘空间,这可能会导致系统性能问题,甚至拒绝服务攻击。 另一方面,设置过低的值可能会导致审核日志数据丢失,这些数据可能是合规性和审核所必需的。
snc/extid_login_diag 启用或禁用在安全网络通信 (SNC) 登录错误中记录外部 ID。 此安全参数可帮助识别未经授权访问系统的尝试。 启用此参数有助于排查与 SNC 相关的问题,因为它提供了其他诊断信息。 但是,该参数也可能公开有关系统使用的外部安全产品的敏感信息,如果这些信息落入坏人手中,则可能是潜在的安全风险。
login/password_change_waittime 定义用户在再次更改其密码之前必须等待的天数。 此安全参数有助于强制实施密码策略,并确保用户定期更改其密码。 为此参数设置适当的值有助于确保用户定期更改其密码,以确保 SAP 系统安全。 同时,将等待时间设置得太短可能会适得其反,因为用户可能更可能重复使用密码或选择更容易记住的弱密码。
snc/accept_insecure_cpic 确定系统是否使用 CPIC 协议接受不安全的 SNC 连接。 此安全参数控制 SNC 连接的安全级别。 启用此参数可能会增加数据截获或操纵的风险,因为它接受不满足最低安全标准的受 SNC 保护的连接。 因此,此参数的建议安全值是将其设置为 0,这意味着仅接受满足最低安全要求的 SNC 连接。
snc/accept_insecure_r3int_rfc 确定系统是否接受 R/3 和 RFC 协议的不安全 SNC 连接。 此安全参数控制 SNC 连接的安全级别。 启用此参数可能会增加数据截获或操纵的风险,因为它接受不满足最低安全标准的受 SNC 保护的连接。 因此,此参数的建议安全值是将其设置为 0,这意味着仅接受满足最低安全要求的 SNC 连接。
snc/accept_insecure_rfc 确定系统是否接受使用 RFC 协议的不安全 SNC 连接。 此安全参数控制 SNC 连接的安全级别。 启用此参数可能会增加数据截获或操纵的风险,因为它接受不满足最低安全标准的受 SNC 保护的连接。 因此,此参数的建议安全值是将其设置为 0,这意味着仅接受满足最低安全要求的 SNC 连接。
snc/data_protection/max 定义 SNC 连接的最大数据保护级别。 此安全参数控制用于 SNC 连接的加密级别。 为此参数设置较高的值可以提高数据保护级别,并降低数据截获或操纵的风险。 此参数的建议安全值取决于组织的特定安全要求和风险管理策略。
rspo/auth/pagelimit 定义用户一次可以显示或删除的最大后台打印请求数。 此安全参数有助于防止后台打印系统上的拒绝服务攻击。 此参数不会直接影响 SAP 系统的安全性,但有助于防止未经授权访问敏感授权数据。 通过限制每页显示的条目数,可以降低未经授权的个人查看敏感授权信息的风险。
snc/accept_insecure_gui 确定系统是否使用 GUI 接受不安全的 SNC 连接。 此安全参数控制 SNC 连接的安全级别。 建议将此参数的值设置为 0,以确保通过 SAP GUI 建立的 SNC 连接是安全的,并降低未经授权访问或截获敏感数据的风险。 允许不安全的 SNC 连接可能会增加未经授权访问敏感信息或数据截获的风险,仅当存在特定需求且风险已正确评估时才应这样做。
login/accept_sso2_ticket 启用或禁用登录时接受 SSO2 票证。 此安全参数控制登录系统的安全级别。 启用 SSO2 可以提供更简化、更方便的用户体验,但也会带来额外的安全风险。 如果攻击者获得了对有效 SSO2 票证的访问权限,他们或许能够模拟合法用户,并获得未经授权访问敏感数据的权限或执行恶意操作。
login/multi_login_users 定义是否允许同一用户使用多个登录会话。 此安全参数控制用户会话的安全级别,并帮助防止未经授权的访问。 启用此参数后会限制单个用户的并发登录数,有助于防止未经授权访问 SAP 系统。 当此参数设置为 0 时,每个用户只允许一个登录会话,其他登录尝试会被拒绝。 这有助于防止未经授权访问 SAP 系统,以防用户的登录凭据泄露或与他人共享。
login/password_expiration_time 指定密码有效的最大时间间隔(以天为单位)。 此时间过后,系统会提示用户更改其密码。 将此参数设置为较低的值可以确保密码频繁更改,从而提高安全性。
login/password_max_idle_initial 指定用户可在不执行任何活动的情况下保持登录状态的最大时间间隔(以分钟为单位)。 经过此时间后,用户会自动注销。 为此参数设置较低的值可以确保空闲会话不会长时间保持打开状态,从而提高安全性。
login/password_history_size 指定不允许用户重复使用的以前密码的数量。 此参数可防止用户重复使用相同的密码,从而提高安全性。
snc/data_protection/use 启用 SNC 数据保护。 启用后,SNC 可确保 SAP 系统之间传输的所有数据都已加密且安全。
rsau/max_diskspace/per_day 指定每天可用于审核日志的最大磁盘空间量(以 MB 为单位)。 为此参数设置较低的值有助于确保审核日志不会占用过多磁盘空间,并且可以有效地进行管理。
snc/enable 为 SAP 系统之间的通信启用 SNC。 启用后,SNC 通过加密系统之间传输的数据来提供额外的安全层。
auth/no_check_in_some_cases 在某些情况下禁用授权检查。 虽然此参数可以提高性能,但它也可能通过允许用户执行他们可能没有权限的操作来带来安全风险。
auth/object_disabling_active 为在指定时间段内处于非活动状态的用户帐户禁用特定授权对象。 可以通过减少具有不必要权限的非活动帐户数来帮助提高安全性。
login/disable_multi_gui_login 防止用户同时登录到多个 GUI 会话。 此参数可确保用户一次只登录到一个会话,从而提高安全性。
login/min_password_lng 指定密码的最小长度。 为此参数设置更高的值可确保密码不容易被猜出,从而提高安全性。
rfc/reject_expired_passwd 防止在用户密码过期时执行 RFC。 在强制实施密码策略和防止未经授权访问 SAP 系统时,启用此参数非常有用。 如果将此参数设置为 1,则当用户的密码已过期时,RFC 连接将被拒绝,并且系统会提示用户更改其密码,然后才能进行连接。 这有助于确保只有具有有效密码的授权用户才能访问系统。
rsau/max_diskspace/per_file 设置 SAP 系统审核可以创建的审核文件的最大大小。 设置较低的值有助于防止审核文件过度增长,从而有助于确保磁盘空间充足。 设置适当的值有助于管理审核文件的大小并避免存储问题。
login/min_password_letters 指定用户密码中必须包含的最小字母数。 设置较高的值有助于提高密码强度和安全性。 设置适当的值有助于强制实施密码策略并提高密码安全性。
rsau/selection_slots 设置可用于审核文件的选择槽数。 设置较高的值有助于避免覆盖较旧的审核文件。 有助于确保审核文件保留更长时间,这在安全漏洞中非常有用。
gw/sim_mode 此参数设置网关的模拟模式。 启用后,网关仅模拟与目标系统的通信,不会发生实际通信。 启用此参数可用于测试目的,并有助于防止对目标系统进行任何意外更改。
login/fails_to_user_lock 设置用户帐户锁定后失败的登录尝试次数。 设置较低的值有助于防止暴力攻击。 有助于防止未经授权访问系统,并且有助于防止用户帐户遭到入侵。
login/password_compliance_to_current_policy 强制新密码符合系统的当前密码策略。 其值应设置为 1 以启用此功能。 高。 启用此参数有助于确保用户在更改密码时遵守当前密码策略,从而降低未经授权访问 SAP 系统的风险。 当此参数设置为 1 时,在用户更改其密码时,系统会提示用户遵守当前密码策略。
rfc/ext_debugging 为外部 RFC 调用启用 RFC 调试模式。 其值应设置为 0 以禁用此功能。
gw/monitor 启用网关连接监视。 其值应设置为 1 以启用此功能。
login/create_sso2_ticket 启用为用户创建 SSO2 票证。 其值应设置为 1 以启用此功能。
login/failed_user_auto_unlock 在登录尝试失败后启用用户帐户自动解锁。 其值应设置为 1 以启用此功能。
login/min_password_uppercase 设置新密码中所需的最小大写字母数。 其值应设置为正整数。
login/min_password_specials 设置新密码中所需的最小特殊字符数。 其值应设置为正整数。
snc/extid_login_rfc 允许将 SNC 用于外部 RFC 调用。 其值应设置为 1 以启用此功能。
login/min_password_lowercase 设置新密码中所需的最小小写字母数。 其值应设置为正整数。
login/password_downwards_compatibility 允许使用旧的哈希算法设置密码,以便与旧系统向后兼容。 其值应设置为 0 以禁用此功能。
snc/data_protection/min 设置必须用于受 SNC 保护的连接的最低数据保护级别。 其值应设置为正整数。 为此参数设置适当的值有助于确保受 SNC 保护的连接提供最低级别的数据保护。 此设置有助于防止敏感信息被攻击者截获或操纵。 此参数的值应根据 SAP 系统的安全要求和通过受 SNC 保护的连接传输的数据的敏感性进行设置。

后续步骤

有关详细信息,请参阅: