SM19 Security-Audit
Statistik erstellen
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Der Internet Communication Manager (ICM) vermittelt die Kommunikation zwischen Webbrowser und den SAP-Workprozessen der SAP-Java- Instanz oder der SAP-ABAP-Instanz, er verarbeitet weder Business-Logik, noch generiert er die Webseiten, d. h., die Last, die er bewältigen muss, ist im Vergleich zu den Workprozessen eher gering. Gegenüber dem Betriebssystem ist der ICM ein Prozess (icman.exe), intern ist der ICM skalierbar ausgelegt, d. h., er verfügt über mehrere Threads.
ORGANISATION IM WANDEL
Es liegt ein RFC-Fehler vor. CANNOT_ADD_PATCH_TO_BUFFER: Ein Support Package konnte nicht in den Transportpuffer aufgenommen werden. Weitere Informationen finden Sie in der SLOGProtokolldatei im Verzeichnis /usr/sap/trans/log (UNIX). CANNOT_MODIFY_BUFFER: Hier wurde versucht, den Transportpuffer ohne Erfolg zu modifizieren. TEST_IMPORT In diesem Schritt wird geprüft, ob es noch Objekte gibt, die sich in noch nicht freigegebenen Aufgaben befinden und während des Einspielens überschrieben werden. Im Protokoll des Testimports finden Sie die Fehlerursache. Weitere Informationen finden Sie im Hinweis 42379. IMPORT_OBJECT_LIST In diesem Schritt werden die Objektlisten für die Support Packages in der Queue in das System eingespielt.
Um eine optimale Performance zu erreichen, sollte das Kopieren der Daten beim Kontextwechsel auf ein Minimum beschränkt bleiben, mit anderen Worten, es soll möglichst wenig SAP Roll Memory benutzt werden. Daher wird für alle Betriebssysteme empfohlen, ztta/roll_first = 1 zu setzen. Was passiert nun, wenn der SAP Extended Memory voll belegt ist? In diesem Fall sind zwei Szenarien möglich, die beide nicht performanceoptimal sind: Da der SAP Extended Memory voll belegt ist, werden Benutzerkontexte bis zu einer Größe von ztta/roll_area im lokalen Roll-Bereich abgelegt. Bei jedem Kontextwechsel müssen damit unter Umständen mehrmals Daten in der Größe von mehreren Megabyte kopiert (gerollt) werden; dies führt typischerweise zu Wartesituationen in der Roll-Verwaltung, insbesondere wenn der Roll-Puffer voll ist und Daten in die Roll-Datei geschrieben werden müssen. Erfahrungen zeigen, dass bei großen Applikationsservern mit mehr als 100 Benutzern die Performance in diesen Fällen schlagartig und drastisch einbricht. Um in dieser Situation Abhilfe zu schaffen, kann man den lokalen RollBereich (ztta/roll_area) reduzieren. Wenn der SAP Extended Memory voll belegt ist, wird nur noch wenig Roll Memory verwendet, und die Menge der beim Kontextwechsel zu kopierenden Daten reduziert sich. Stattdessen werden die Kontextdaten im SAP Heap Memory abgelegt – dies hat zur Folge, dass die Workprozesse gar nicht mehr rollen, sondern in den PRIV-Modus gehen, d. h. einem Benutzer zwischen den Transaktionsschritten exklusiv zugeordnet bleiben. Befinden sich zu viele Workprozesse gleichzeitig im PRIV-Modus, stehen dem Dispatcher nicht genügend freie Workprozesse zur Verfügung. Es kann daher zu hohen Dispatcher-Wartezeiten und damit ebenfalls zum Einbruch der Performance kommen.
Einige fehlende SAP Basis Funktionen im Standard werden durch die PC-Anwendung "Shortcut for SAP Systems" nachgeliefert.
Sie begleitet Wartungsarbeiten und greift bei besonderen Situationen, wie zum Beispiel schlechter Performance, ein.
Stellen Sie fest, ob Sie die Information Verbuchung ist deaktiviert finden.