Hoy nos vamos a dedicar a auditar/revisar los parametros del sistema de un sistema SAP R/3.
La mayoría de empresas se gastan un pastizal en implantar SAP (cosa que me parece perfecto) pero el problema viene cuando luego no se gastan un duro en personal adecuado para administrar este tipo de sistemas, no es que estos sean precisamente sencillos de administrar debido a su tamaño y complejidad, por eso creo que siempre se necesita gente especializada.
Los parametros del sistema (RSPARAM) se utilizan para mantener una configuración segura del sistema, estos parametros se pueden definir a nivel de instancia de SAP, de servidor o incluso de todo el sistema. La mayoría de estos parametros nos aseguran que hay una cierta seguridad en el sistema. Para acceder a los parámetros del sistema solo tenemos que utilizar la transacción SA38 y acceder a través del programa RSPARAM como vemos en el ejemplo
Una vez que tenemos acceso a esta transacción y a RSPARAM accederemos a una tabla parecida a esta
En esta tabla podemos ver el campo "Parameter Name" el cual pertenece al nombre del parametro definido, "User-Defined value" el cual pertenece al valor definido por el usuario al parametro y "System Default Value" el cual pertenece al valor por defecto que pone el sistema al parámetro.
Esta tabla contiene cientos de parámetros de configuración de hardware, sistema operativo y base de datos pero en lo que nos vamos a centrar hoy va a ser en los parámetros de seguridad del sistema.
Parametros de Seguridad
- login/password_expiration_time: define el tiempo de expiración de las contraseñas de los usuarios, podriamos considerar como un valor correcto el valor 60.
- login/min_password_lng: define la longitud mínima de la contraseña del usuario, siendo el mínimo 3 caracteres y el máximo 8. Un valor correcto correspondería a 6
- login/failed_user_auto_unlock: desbloquea el usuario que ha sido bloqueado por un número de intentos incorrecto. Este valor viene por defecto a 1, su valor correcto debería de ser 0 (el usuario se mantiene bloqueado hasta que el administrador lo desbloquea a mano)
- login/fails_to_user_lock: define el número accesos erroneos antes de que un usuario se bloquee, el valor por defecto es 12, este valor debería ponerse a 3
- login/fails_to_session_end: define el número de accesos erroneos antes de que el sistema cierre el acceso al sistema. Por defecto este valor es 3
- login/no_automatic_user_sapstar: por defecto el sistema se instala con el usuario master SAP*. Este usuario tiene el perfil SAP_ALL con acceso a todas las transacciones y programas de SAP. Aun borrado este usuario del maestro, el sistema crea las propiedades y asigna por defecto el usuario SAP* con la contraseña "PASS" y perfil "SAP_ALL", siendo un "backdoor" al sistema bastante peligroso. El parametro por defecto está a 0, la configuración óptima y segura sería a
- rec/client: este parametro define el registro automático de las tablas a nivel de sistema, por defecto viene a OFF y lo correcto sería ON
- rdisp/gui_auto_logout: maximo tiempo permitido entre la entrada de datos en el GUI antes de que la sesión se bloquee. Por defecto este valor es 0 y habría que asignarle un valor de 3600.
Estos son los parámetros mas importantes a la hora de definir la seguridad de un sistema SAP. Otro día entraremos en transacciones con las cuales hay que tener cuidado a la hora de definirlas a los usuarios.
Un saludo
0 comentarios:
Publicar un comentario en la entrada