Planung und Ausführung Transporte
Administrative Aufgaben
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag. Altlasten des SAP Systems Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann. Tabellenabzug USR02 Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH. Risiken durch schwache Passwort-Hashes Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich. Prüfen Sie, ob auch Ihr System angreifbar ist Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt. Profilparameter login/password_downwards_compatibility.
Sind für die Bearbeitung einer Benutzeranfrage Daten notwendig, die sich Datenbanktuning noch nicht im Hauptspeicher des Applikationsservers befinden, werden diese vom Datenbankserver gelesen. Beim Tuning der Datenbank unterscheidet man drei Bereiche. Zunächst einmal ist dies die richtige Einstellung der Datenbankpuffer und anderer Datenbankparameter. Der zweite Bereich ist die Optimierung des Festplattenlayouts der Datenbank, um die Last möglichst gleichmäßig auf die Festplatten zu verteilen und so Wartesituationen beim Schreiben auf die Festplatte bzw. beim Lesen von der Festplatte zu vermeiden. Der dritte Aspekt beim Datenbanktuning ist die Optimierung langlaufender, »teurer« SQL-Anweisungen.
End-to-End-Workload-Monitor und End-to-End-Laufzeitanalyse im SAP Solution Manager
Diese Zugriffsmethode hängt ausschließlich von den Rechten ab, die dem Nutzer zugewiesen sind. Systemuser: Nutzer dieser Nutzergruppe sind vergleichbar mit SAP*. Sie fungieren im System als Administrator. Daher sollten sie schnellstmöglich deaktiviert / auf inaktiv gesetzt werden, sobald der Systembetrieb sichergestellt ist. Die Behebung dieses Sicherheitsrisikos sollte Ihnen noch aus dem SAP ERP Umfeld bekannt sein. In einem HANA-System gibt es Privilegien statt Berechtigungen. Der Unterschied besteht erst einmal in der Begrifflichkeit. Trotzdem werden die Berechtigungen auch anders zugeordnet (direkt / indirekt) über die Zuordnungen von Rollen. Diese sind somit Ansammlungen von Privilegien. Wie in älteren SAP-Systemen müssen die Systemuser deaktiviert werden und bestimmte Rollen die schon bestehen eingeschränkt werden. Im Vergleich zu einem SAP ERP System werden statt große Anwendungen kleine Apps berechtigt. Hier sollte auf jeden Fall auf eine individuelle Berechtigungsvergabe geachtet werden. Für die Nutzer sollte es selbstverständlich sein, sichere Passwortregeln implementiert zu haben. Einstellungen Eine Absicherung des Systems bringt auch die Absicherung der darunter liegenden Infrastruktur mit sich. Vom Netzwerk bis zum Betriebssystem des Hosts muss alles abgesichert werden. Bei der Betrachtung der Systemlandschaft fällt auf, dass die neue Technologie viele Verbindungen mit bringt, die abzusichern sind. Auch das SAP Gateway, welches für die Verbindung zwischen Backend und Frontend zuständig ist, ist ein Sicherheitsrisiko und muss betrachtet werden. Alle Sicherheitseinstellungen der bisherigen und zukünftigen Komponenten müssen auf HANA Kompatibilität validiert werden. Sichere Kommunikation der Verbindungen erhalten Sie dann, wenn Sie den Zugriff einschränken wo möglich. Verschlüsselung der Daten eines HANA Systems ist standardmäßig deaktiviert. Achten Sie darauf, dass sie sensiblen Daten trotzdem verschlüsseln. Vor allem Daten, die archiviert werden. Wenn ein Angriff auf Ihr System erfolgt, sollten forensische Analysen gefahren werden können, daher sollten Sie das Audit Log aktivieren. Darüber hinaus sollten nur wenig Nutzer Zugriff darauf haben.
Für diese Fälle sollten Sie sich die Transaktion DBACOCKPIT genauer ansehen. Diese Transaktion stellt Ihnen neben vielen weiteren Funktionen zur Verwaltung der Datenbank einen Editor zur Verfügung, mit dem Sie Ihre SQL-Abfragen auf Ihr SAP-System einfach ausführen können. Bei dieser Methode erhalten Sie kurz nach dem Absenden der Abfrage das Ergebnis in der GUI angezeigt. Vorgehensweise zur Ausführung einer SQL Abfrage Um den Editor für die SQL Abfragen im DBACOCKPIT aufrufen zu können, bestehen folgende Voraussetzungen für den Nutzer: Der Nutzer benötigt entsprechende Rechte um die Transaktionen SM49 und SM69 auszuführen. Die Ausprägungen STOR und SMSS müssen im Berechtigungsobjekt S_ADMI_FCD gepflegt sein. Für die SQL-Abfragen muss die Datenbankverbindung aufrechterhalten werden. Den aktuellen Status einer Datenbankverbindung erhalten Sie durch das Anzeigen der DBCONTabelle. Rechte für den Aufruf der abzufragenden Tabelle(n) müssen vergeben sein. Weitere Details hierzu finden Sie im Abschnitt "Weitere Hinweise zum DBACOCKPIT" dieses Blog-Beitrags.
Für Administratoren steht im Bereich der SAP Basis ein nützliches Produkt - "Shortcut for SAP Systems" - zur Verfügung.
SAP-Basis bezieht sich auf die Verwaltung des SAP-Systems, die Aktivitäten wie Installation und Konfiguration, Lastausgleich und Leistung von SAP-Anwendungen, die auf dem Java-Stack und SAP ABAP laufen, umfasst. Dazu gehört auch die Wartung verschiedener Dienste in Bezug auf Datenbank, Betriebssystem, Anwendungs- und Webserver in der SAP-Systemlandschaft sowie das Stoppen und Starten des Systems. Hier finden Sie einige nützliche Informationen zu dem Thema SAP Basis: www.sap-corner.de.
Für die Applikationsanalyse ist dabei primär das Transaktionsprofil von Interesse (siehe Abbildung 3.5).
Das Wort Blockchain fiel erstmalig im Zusammenhang mit Bitcoin als dezentrales Netzwerk für Zahlungen in der gleichnamigen digitalen Währung.