PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

SEGURANA DA INFORMAO

NO SISTEMA SAP

26 DE FEVEREIRO DE 2002

PAULO SERGIO E. DE A. MORAES

asug@asug.com.br assunto [BASIS]

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

O que Segurana da Informao?

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

O que Segurana da Informao?

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

Vulnerabilidades gerais

1. Instalaes de sistemas operacionais e aplicativos no modo padro

2. Contas sem senhas ou com senhas fracas

3. Backups inexistentes ou incompletos

4. Usurios com m f (40%)

5. Equipamentos com acesso habilitado na ausncia do usurio

6. Falta de criptografia no trnsito de dados

Vulnerabilidades

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

RSUSR003 exibe os parmetros que formam a Poltica de Seguranado Sistema e checa as senhas atuais dos Super Usurios SAP*, DDIC,EARLYWATCH E SAPCPIC.

(RSPARAM todos os parmetros)

Poltica de Segurana no SAP

System policy

login/disable_cpic "0"System access with external securitylogin/ext_security "N"Enable automatic unlock off locked user at midnightlogin/failed_user_auto_unlock "1"Number of invalid login attempts until session endlogin/fails_to_session_end "3"Number of invalid login attempts until user locklogin/fails_to_user_lock "12"login/load_spa_gpa "N"Minimum Password Lengthlogin/min_password_lng "3"Control of the automatic login user SAP*login/no_automatic_user_sapstar "0"Dates until password must be changedlogin/password_expiration_time "0"System default clientlogin/system_client "120"

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

H tentativas de invaso?

RSUSR006 lista as tentativas frustradas de login

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

Classe AutorizaesCamposObjetos Usurio

MM

FI

CO

SD

A

B

C

D

E

F

G

H

I

J

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

Q

R

VALORES

Perfis

A=1,B=*,E=933

R=2,3,4OU 5

G=*,,H=*,P=*

A=2,B=1,E=*

SAP - Autorizaes

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

CHECK DE PROGRAMA ABAP

...

.

AUTHORITY CHECK

OBJECT L_LFA1_BUK

ID BUKRS FIELD 1000.

ID ACTVT FIELD 01.

IF SY-SUBRC NE 0.

.

ENDIF.

.

USURIO

OK?

OK?

SIM OU NO

SU53 exibe o erro

SU56 exibe as autorizaes

SAP - Autorizaes

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

Bloqueio de Transaes

SM01

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

Audit Information System (AIS)

INSTALAO DO AIS

- NOTA 100609

- DOCUMENTAO ON LINE DO SAP

- OSS / SAPNET

- GERA MASSA DE DADOS

- NECESSITA PLANEJAMENTO

PAULO SERGIO E. DE A. MORAES SIEMENS VDO AUTOMOTIVE SEGURANA DA INFORMAO NO SISTEMA SAP REUNIO DA ASUG 26/02/2002

SEGURANA DA INFORMAO NO SISTEMA SAP

Sites teis

www.modulo.com.br

www.securitymagazine.com.br

www.sap.com