Die Transaktionen SU22 und SU24 richtig verwenden
Eine Benutzergruppe als Pflichtfeld im Benutzerstamm definieren
Der Einstieg in die Rollenpflege erfordert zusätzlich zur Änderungsberechtigung (Berechtigungsobjekt S_USER_AGR, ACTVT = 02) die Transportberechtigung (Berechtigungsobjekt S_USER_AGR, ACTVT = 21). Falls die Rollenaufzeichnung das Anlegen neuer Transportaufträge oder Aufgaben verlangt, benötigen Sie Berechtigungen zu den Objekten des Transportwesens (z. B. S_TRANSPRT mit TTYPE = CUST oder TASK und ACTVT = 02).
Im Prüfungsergebnis werden die Sicherheitslücken nach Prioritäten sortiert aufgelistet, wobei eine hohe Priorität mit einer hohen Treffersicherheit einer Fundstelle und eine niedrige Priorität mit einer niedrigen Treffersicherheit einhergehen. Zudem sind zu jeder Fundstelle weitergehende Informationen innerhalb des ABAP-Editors verfügbar. Mithilfe dieses Prioritätsindikators können Sie leichter erkennen, ob es sich um ein False Positive oder um ein tatsächliches Sicherheitsproblem handelt. Bei den Prioritäten 1 und 2 handelt es sich mit großer Wahrscheinlichkeit um eine echte Fundstelle. Das Tool gibt Empfehlungen, wie der Quelltext geändert werden kann, um die Schwachstellen zu beseitigen. Neben den individuellen Checks für einzelne Entwickler bietet das Werkzeug auch Massenchecks an, etwa um eine gesamte Anwendung in einem Schritt auf Schwachstellen zu prüfen.
Customizing der Benutzer- und Berechtigungsverwaltung einstellen
Es besteht jedoch die Möglichkeit, innerhalb jedes Auftrags dieselbe Rolle in mehrere Aufgaben unterschiedlicher Bearbeiter aufzunehmen. Dies erhöht die Transparenz für Sie, da alle Beteiligten sofort erkennen können, durch welche Benutzer die jeweilige Rolle bearbeitet wird. Bevor Sie die Verwendung der Einstellung aus der Transaktion SCC4 für die Rollenpflege aktivieren, sollten Sie bestehende Rollentransporte freigeben, um Aufzeichnungskonflikte zu vermeiden. In der Regel wählen Sie die Einstellung nicht in Abhängigkeit von Ihren Rollenpflegeprozessen; Sie müssen sich also gut überlegen, wie sich die Aktivierung auswirkt.
Sicherheitswarnungen des Security Audit Logs können Sie außerdem über das Alert-Monitoring Ihres Computing Center Management Systems (CCMS) überwachen. Die erzeugten Sicherheitswarnungen entsprechen dabei den Auditklassen der Ereignisse, die im Security Audit Log definiert sind. Viele Unternehmen haben zusätzlich die Anforderung, die Ereignisse des Security Audit Logs auch in anderen Anwendungen darzustellen. Hierzu ist eine Auswertung durch externe Programme erforderlich, die über die XMI-BAPIs (XML Metadata Interchange) erfolgen kann. Für eine entsprechende Konfiguration müssen Sie der Dokumentation zur XMI-Schnittstelle folgen. Außerdem können Sie das Beispielprogramm RSAU_READ_AUDITLOG_ EXTERNAL als Vorlage nutzen. Eine Beschreibung zu diesem Programm finden Sie im SAP-Hinweis 539404.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Nach Gebrauch ist er sofort wieder administrativ zu sperren.
Zuvor müssen allerdings alle Indexeinträge gelöscht werden; es kann also wieder zu einer langen Laufzeit des Reports kommen.