Abfrage der Daten aus dem Active Directory
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
So können Sie nach der Auswertung alle SAP-Hinweise mit dem Status zu implementieren selektieren und direkt in den Note Assistant (Transaktion SNOTE) des angeschlossenen Systems laden. Dies ist nur für ein Entwicklungssystem möglich und wenn der SAP Solution Manager eine entsprechende RFC-Verbindung zum angeschlossenen System nutzen kann. Auch sollten Sie die Sicherheitshinweise berücksichtigen, die Anwendungen betreffen, die zwar auf Ihrem System installiert sind, die Sie aber nicht produktiv nutzen. Denn auch diese Sicherheitslücken können für einen Angriff genutzt werden.
Unsere Services im Bereich SAP-Berechtigungen
Die Favoritenlisten von Benutzern geben Ihnen wertvolle Auskunft über die von ihnen genutzten Transaktionen. Mit der Kenntnis der Favoriten können Sie daher Lücken in Ihrem Berechtigungskonzept vermeiden. Im SAP-System gibt es für jeden Benutzer die Möglichkeit, häufig genutzte Funktionen als eigene Favoriten zu speichern. In der Praxis haben wir festgestellt, dass diese Funktion sehr häufig von den Anwendern genutzt wird. Erstellen Sie ein neues Berechtigungskonzept, ist es sinnvoll, die Favoriten in die Betrachtung einzubeziehen. Denn in den Favoriten werden nicht nur immer wieder gebrauchte Transaktionen abgelegt, sondern auch Transaktionen, die die Anwender nur gelegentlich verwenden. Diese nur gelegentlich verwendeten Transaktionen könnten bei der Neukonzeption eines Berechtigungskonzepts schnell vergessen werden. Daher empfehlen wir Ihnen immer den Abgleich der von Ihnen berücksichtigten Transaktionen mit den in Ihrem System gespeicherten Favoriten.
Steuerliches Meldewesen: Das steuerliche Meldewesen in SAP basiert auf dem Buchungskreis. Das Profit-Center ist hier nicht als meldende Einheit vorgesehen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Mit der Kenntnis der Favoriten können Sie daher Lücken in Ihrem Berechtigungskonzept vermeiden.
Darüber hinaus sollten kritische Befehle von vornherein verboten werden.