Для обеспечения безопасности в системе SAP необходимо отслеживать неудачный вход в систему в среде SAP. Когда кто-то пытается войти в систему, используя неверный пароль, система должна либо заблокировать имя пользователя на некоторое время, либо этот сеанс должен быть прерван после определенного числа попыток.
Для несанкционированных попыток входа можно установить различные параметры безопасности.
- Завершение сеанса
- Блокировка пользователя
- Активация заставок
- Мониторинг неудачных попыток входа
- Запись попыток входа
Давайте теперь обсудим каждый из них в деталях.
Завершение сеанса
Когда для одного идентификатора пользователя сделано несколько неудачных попыток входа в систему, система завершает сеанс для этого пользователя. Это должно быть отправлено с использованием параметра профиля — login / fails_to_session_end.
Чтобы изменить значение параметра, запустите транзакцию RZ10 и выберите профиль, как показано на следующем снимке экрана. Выберите «Расширенное обслуживание» и нажмите « Показать» .
Выберите параметр, который хотите изменить, и нажмите кнопку « Параметр» вверху, как показано ниже.
При нажатии на вкладку «Параметр» вы можете изменить значение параметра в новом окне. Вы также можете создать новый параметр, нажав кнопку « Создать» (F5) .
Чтобы просмотреть подробную информацию об этом параметре, запустите код транзакции: RZ11 и введите имя профиля — login / fails_to_session_end и нажмите кнопку « Показать документ» .
-
Параметр — login / fails_to_session_end
-
Краткий текст — количество недопустимых попыток входа в систему до окончания сеанса.
-
Описание параметра — Количество недопустимых попыток входа в систему, которые могут быть сделаны с основной записью пользователя, пока процедура входа в систему не будет завершена.
-
Область применения — вход в систему
-
Значение по умолчанию — 3
-
Кому разрешено вносить изменения? — Клиент
-
Ограничения операционной системы — нет
-
Системные ограничения базы данных — нет
-
Другие параметры влияют или зависят? — нет
-
Допустимые значения — 1 — 99
Параметр — login / fails_to_session_end
Краткий текст — количество недопустимых попыток входа в систему до окончания сеанса.
Описание параметра — Количество недопустимых попыток входа в систему, которые могут быть сделаны с основной записью пользователя, пока процедура входа в систему не будет завершена.
Область применения — вход в систему
Значение по умолчанию — 3
Кому разрешено вносить изменения? — Клиент
Ограничения операционной системы — нет
Системные ограничения базы данных — нет
Другие параметры влияют или зависят? — нет
Допустимые значения — 1 — 99
На приведенном выше снимке экрана видно, что значение этого параметра равно 3, то есть значение по умолчанию тоже. После 3 неудачных попыток входа в систему сеанс будет прерван для одного пользователя.
Блокировка пользователя
Вы также можете поставить галочку на определенном Идентификаторе пользователя, если установленное количество последовательных неудачных попыток входа в систему превышено по одному Идентификатору пользователя. Установите количество недопустимых попыток входа в систему, которые разрешены в параметре профиля: login / fails_to_user_lock .
-
Можно установить блокировку для определенных идентификаторов пользователя.
-
Блокировки применяются к идентификатору пользователя до полуночи. Однако он также может быть удален вручную в любое время системным администратором.
-
В системе SAP вы также можете установить значение параметра, позволяющее устанавливать блокировку на идентификатор пользователя, пока они не будут удалены вручную. Имя параметра: login / failed_user_auto_unlock .
Можно установить блокировку для определенных идентификаторов пользователя.
Блокировки применяются к идентификатору пользователя до полуночи. Однако он также может быть удален вручную в любое время системным администратором.
В системе SAP вы также можете установить значение параметра, позволяющее устанавливать блокировку на идентификатор пользователя, пока они не будут удалены вручную. Имя параметра: login / failed_user_auto_unlock .
Параметр профиля: login / fails_to_user_lock
Каждый раз, когда вводится неправильный пароль для входа, счетчик неудачных попыток входа для соответствующей основной записи пользователя увеличивается. Попытки входа в систему могут быть зарегистрированы в журнале аудита безопасности. Если предел, указанный в этом параметре, превышен, соответствующий пользователь блокируется. Этот процесс также зарегистрирован в системном журнале.
Блокировка больше не действительна после окончания текущего дня. (Другое условие -login / failed_user_auto_unlock)
Счетчик неудачных входов в систему сбрасывается после входа пользователя с использованием правильного пароля. Вход в систему, не основанный на пароле, не влияет на счетчик неудачных попыток входа. Тем не менее, активные блокировки входа проверяются для каждого входа.
-
Допустимые значения — 1 — 99
Допустимые значения — 1 — 99
Чтобы увидеть текущее значение этого параметра, используйте T-код: RZ11 .
-
Имя параметра — логин / failed_user_auto_unlock
-
Краткий текст — отключите автоматическую разблокировку заблокированного пользователя в полночь.
-
Описание параметров — Управляет разблокировкой пользователей, заблокированных при неправильном входе в систему. Если для параметра установлено значение 1, блокировки, которые были установлены из-за неудачных попыток входа в систему с паролем, применяются только в тот же день (как и блокировка). Если для параметра установлено значение 0, блокировки остаются в силе.
-
Область применения — вход в систему.
-
Значение по умолчанию — 0.
Имя параметра — логин / failed_user_auto_unlock
Краткий текст — отключите автоматическую разблокировку заблокированного пользователя в полночь.
Описание параметров — Управляет разблокировкой пользователей, заблокированных при неправильном входе в систему. Если для параметра установлено значение 1, блокировки, которые были установлены из-за неудачных попыток входа в систему с паролем, применяются только в тот же день (как и блокировка). Если для параметра установлено значение 0, блокировки остаются в силе.
Область применения — вход в систему.
Значение по умолчанию — 0.
Активация заставок
Системные администраторы также могут активировать экранные заставки для защиты экрана веб-интерфейса от несанкционированного доступа. Эти заставки могут быть защищены паролем.
Мониторинг неудачных попыток входа и запись попыток входа
В системе SAP вы можете использовать отчет RSUSR006, чтобы проверить, есть ли пользователи, которые пытались выполнить любые неудачные попытки входа в систему. Этот отчет содержит подробную информацию о количестве неверных попыток входа в систему пользователем и блокировках пользователя, и вы можете запланировать этот отчет в соответствии с вашими требованиями.
Перейдите в ABAP Editor SE38 и введите имя отчета, а затем нажмите « ВЫПОЛНИТЬ» .
В этом отчете у вас есть разные данные, такие как Имя пользователя, Тип, Создано, Создатель, Пароль, Блокировка и Неверные данные для входа.
В системе SAP также возможно использование журнала аудита безопасности (транзакции SM18, SM19 и SM20) для записи всех успешных и неудачных попыток входа в систему. Вы можете анализировать журналы аудита безопасности с помощью транзакции SM20, но в системе должен быть активирован аудит безопасности для мониторинга журналов аудита безопасности.
Выход из режима ожидания
Когда пользователь уже вошел в систему SAP и сеанс неактивен в течение определенного периода, вы также можете настроить его на выход из системы, чтобы избежать несанкционированного доступа.
Чтобы включить этот параметр, вам нужно указать это значение в параметре профиля: rdisp / gui_auto_logout .
-
Описание параметров. Можно определить, что неактивные пользователи графического пользовательского интерфейса SAP автоматически выходят из системы SAP по истечении предварительно определенного периода. Параметр настраивает это время. Автоматический выход из системы в системе SAP по умолчанию деактивирован (значение 0), то есть пользователи не выходят из системы, даже если они не выполняют никаких действий в течение более длительного периода.
-
Допустимые значения — n [единица измерения], где n> = 0 и единица измерения = S | М | H | D
Описание параметров. Можно определить, что неактивные пользователи графического пользовательского интерфейса SAP автоматически выходят из системы SAP по истечении предварительно определенного периода. Параметр настраивает это время. Автоматический выход из системы в системе SAP по умолчанию деактивирован (значение 0), то есть пользователи не выходят из системы, даже если они не выполняют никаких действий в течение более длительного периода.
Допустимые значения — n [единица измерения], где n> = 0 и единица измерения = S | М | H | D
Чтобы увидеть текущее значение параметра, запустите T-Code: RZ11 .
В следующей таблице приведен список ключевых параметров, их значения по умолчанию и разрешенные значения в системе SAP —