Proteções de desautorização de logons

Para implementar a segurança em um sistema SAP, é necessário monitorar o login malsucedido em um ambiente SAP. Quando alguém tenta fazer o login em um sistema usando uma senha incorreta, o sistema deve bloquear o nome de usuário por algum tempo ou a sessão deve ser encerrada após um número definido de tentativas.

Vários parâmetros de segurança podem ser definidos para tentativas de logon não autorizadas -

  • Encerrando uma Sessão
  • Bloqueando o usuário
  • Ativando protetores de tela
  • Monitoramento de tentativas de logon malsucedidas
  • Gravando tentativas de logon

Vamos agora discutir cada um deles em detalhes.

Encerrando uma Sessão

Quando houver um número múltiplo de tentativas de login malsucedidas em um único ID de usuário, o sistema encerrará a sessão para esse usuário. Deve ser enviado usando um parâmetro de Perfil -login/fails_to_session_end.

Para alterar o valor do parâmetro, execute a transação RZ10e selecione o Perfil como mostrado na imagem a seguir. Selecione Manutenção Estendida e clique emDisplay.

Selecione o parâmetro que deseja alterar e clique no Parameter botão na parte superior como mostrado abaixo.

Ao clicar na guia Parâmetro, você pode alterar o valor do parâmetro em uma nova janela. Você também pode criar o novo parâmetro clicando noCreate (F5) botão.

Para ver os detalhes desse parâmetro, execute o Código de transação: RZ11 e digite o nome do perfil - login/fails_to_session_end e o clique em Display Document.

  • Parameter - login / fail_to_session_end

  • Short text - Número de tentativas de login inválidas até o final da sessão.

  • Parameter Description - Número de tentativas de login inválidas que podem ser feitas com um registro mestre do usuário até que o procedimento de login seja encerrado.

  • Application Area - Logon

  • Default Value - 3

  • Who is permitted to make changes? - Cliente

  • Operating System Restrictions - nenhum

  • Database System Restrictions - nenhum

  • Are other parameters affected or dependent? - nenhum

  • Values allowed - 1 - 99

Na imagem acima, você pode ver que o valor deste parâmetro está definido como 3, ou seja, o valor padrão também. Após 3 tentativas de login malsucedidas, a sessão será encerrada para um único usuário.

Bloqueando o usuário

Você também pode verificar uma ID de usuário específica, se um número definido de tentativas consecutivas sem sucesso de logon for excedido em uma única ID de usuário. Defina o número de tentativas de logon inválidas permitidas no parâmetro de perfil:login/fails_to_user_lock.

  • É possível definir um bloqueio em IDs de usuário específicos.

  • Os bloqueios são aplicados em um ID de usuário até meia-noite. No entanto, ele também pode ser removido manualmente a qualquer momento por um administrador do sistema.

  • Em um sistema SAP, você também pode definir um valor de parâmetro que permite que o bloqueio seja colocado na ID do usuário até que sejam removidos manualmente. Nome do parâmetro:login/failed_user_auto_unlock.

Profile parameter: login/fails_to_user_lock

Cada vez que uma senha de logon incorreta é inserida, o contador de logon com falha para o registro mestre de usuário relevante é aumentado. As tentativas de logon podem ser registradas no Log de auditoria de segurança. Se o limite especificado por este parâmetro for excedido, o usuário relevante é bloqueado. Este processo também é registrado no Syslog.

O bloqueio não é mais válido após o término do dia atual. (Outra condição −login / failed_user_auto_unlock)

O contador de logon com falha é redefinido assim que o usuário faz logon usando a senha correta. Logons que não são baseados em senha não têm nenhum efeito no contador de logon com falha. No entanto, os bloqueios de logon ativo são verificados para cada logon.

  • Values allowed - 1 - 99

Para ver o valor atual deste parâmetro, use T-Code: RZ11.

  • Parameter name - login / failed_user_auto_unlock

  • Short text - Desative o desbloqueio automático do usuário bloqueado à meia-noite.

  • Parameter Description- Controla o desbloqueio de usuários bloqueados por login incorreto. Se o parâmetro for definido como 1, os bloqueios que foram definidos devido a tentativas de logon com senha com falha se aplicam apenas no mesmo dia (como o bloqueio). Se o parâmetro for definido como 0, os bloqueios permanecem em vigor.

  • Application Area - Logon.

  • Default Value - 0.

Ativando protetores de tela

Os administradores do sistema também podem habilitar protetores de tela para proteger a tela do front-end de qualquer acesso não autorizado. Esses protetores de tela podem ser protegidos por senha.

Monitoramento de tentativas de logon malsucedidas e registro de tentativas de logon

Em um sistema SAP, você pode usar o relatório RSUSR006para verificar se há usuários que tentaram alguma tentativa malsucedida de logon no sistema. Este relatório contém detalhes sobre o número de tentativas de login incorretas por um usuário e os bloqueios do usuário e você pode agendar este relatório de acordo com sua necessidade.

Vamos para ABAP Editor SE38 e digite o nome do relatório e clique em EXECUTE.

Neste relatório, você tem detalhes diferentes como nome de usuário, tipo, criado em, criador, senha, bloqueio e detalhes de login incorretos.

Em um sistema SAP, também é possível usar o Log de auditoria de segurança (transações SM18, SM19 e SM20) para registrar todas as tentativas de logon bem ou malsucedidas. Você pode analisar os logs de auditoria de segurança usando a transação SM20, mas a auditoria de segurança deve ser ativada no sistema para monitorar os logs de auditoria de segurança.

Desconectando usuários ociosos

Quando um usuário já está conectado a um sistema SAP e a sessão está inativa por um período específico, você também pode configurá-lo para fazer logoff para evitar qualquer acesso não autorizado.

Para ativar essa configuração, você precisa especificar este valor no parâmetro do perfil: rdisp/gui_auto_logout.

  • Parameter Description- Você pode definir que os usuários SAP GUI inativos sejam desconectados automaticamente de um sistema SAP após um período predefinido. O parâmetro configura desta vez. O logoff automático no sistema SAP é desativado por padrão (valor 0), ou seja, os usuários não são desconectados mesmo que não executem nenhuma ação por um período maior.

  • Values allowed- n [unidade], onde n> = 0 e Unidade = S | M | H | D

Para ver o valor atual do parâmetro, execute o T-Code: RZ11.

A tabela a seguir mostra a lista de parâmetros-chave, seus valores padrão e permitidos em um sistema SAP -

Parâmetro Descrição Padrão Valor Permitido
Login / fail_to_session_end Número de tentativas de login inválidas até o final da sessão 3 1-99
Login / fail_to_user_lock Número de tentativas de login inválidas até o bloqueio do usuário 12 1-99
Login / failed_user_auto_unlock Quando conjuntos t 1: os bloqueios são aplicados no dia em que são definidos. Eles são removidos no dia seguinte quando o usuário faz logon 1 0 ou 1
rdisp / gui_auto_output Tempo máximo de inatividade para um usuário em segundos 0 (sem limite) irrestrito