要在SAP系统中实施安全性,需要监控SAP环境中的失败登录.当有人尝试使用不正确的密码登录系统时,系统应该锁定用户名一段时间,或者在定义的尝试次数后终止会话.
各种安全参数可以设置为未经授权的登录尝试去;
终止会话
锁定用户
激活屏幕保护程序
监控登录尝试失败
记录登录尝试
现在让我们详细讨论每一个.
当有多个时对单个用户标识进行的登录尝试失败次数,系统结束该用户的会话.这应该使用Profile参数发送; 登录/failed_to_session_end.
要更改参数值,请运行事务 RZ10 并选择配置文件,如以下屏幕截图所示.选择扩展维护,然后单击显示.
选择要更改的参数,然后单击顶部的参数按钮,如下所示.
单击"参数"选项卡时,可以在新窗口中更改参数的值.您也可以通过单击创建(F5)按钮来创建新参数.
要查看此参数的详细信息,请运行事务代码: RZ11 并输入个人资料名称 - 登录/failed_to_session_end 并点击显示文档.
参数 login/failed_to_session_end
短文会话结束前无效登录尝试次数.
参数说明在登录过程终止之前,可以使用用户主记录进行的无效登录尝试次数.
应用程序区域登录
默认值 3
谁可以进行更改?客户
操作系统限制无
数据库系统限制无
其他参数是否受到影响或依赖?无
允许的值 1 - 99
在上面的屏幕截图中,您可以看到此参数的值设置为3,即默认值.在3次登录尝试失败后,将终止单个用户的会话.
您还可以检查特定的用户ID ,如果在单个用户ID下超过了一定数量的连续不成功登录尝试.设置配置文件参数中允许的无效登录尝试次数:登录/failed_to_user_lock .
可以设置特定用户ID的锁定.
锁定会在用户ID上应用到午夜.但是,它也可以由系统管理员随时手动删除.
在SAP系统中,您还可以设置允许锁定的参数值放在用户ID上,直到手动删除.参数名称:登录/failed_user_auto_unlock .
配置文件参数:login/failed_to_user_lock
每次输入错误的登录密码时,相关用户主记录的失败登录计数器都会增加.登录尝试可以记录在安全审核日志中.如果超出此参数指定的限制,则锁定相关用户.此过程也记录在Syslog中.
当天结束后锁定不再有效. (其他条件; login/failed_user_auto_unlock)
用户使用正确的密码登录后,将重置失败的登录计数器.非基于密码的登录对失败的登录计数器没有任何影响.但是,每次登录都会检查活动登录锁.
允许的值 1 - 99
要查看此参数的当前值,请使用 T-Code:RZ11 .
参数名称 login/failed_user_auto_unlock
短文禁用在午夜自动解锁锁定的用户.
参数说明通过错误登录来控制锁定用户的解锁.如果参数设置为1,则由于密码登录尝试失败而设置的锁仅在同一天应用(如锁定).如果参数设置为0,则锁定仍然有效.
应用区域登录.
默认值 0.
系统管理员还可以启用屏幕保护程序来保护前端任何未经授权的访问屏幕.这些屏幕保护程序可以受密码保护.
在SAP系统中,您可以使用报告 RSUSR006 检查是否有用户在系统中尝试过任何不成功的登录尝试.此报告包含有关用户错误登录尝试次数和用户锁定的详细信息,您可以根据自己的要求安排此报告.
转到 ABAP编辑器SE38 并输入报告名称,然后单击执行.
在此报告中,您有不同的详细信息,如用户名,类型,创建时间,创建者,密码,锁定和不正确的登录详细信息.
在SAP系统中,您也可以使用安全审核日志(事务SM18,SM19和SM20)来记录所有成功和失败的登录尝试.您可以使用SM20事务分析安全审核日志,但应在系统中激活安全审核以监控安全审核日志.
当用户已登录SAP系统且会话在特定时间段内处于非活动状态时,您也可以将它们设置为注销以避免任何未经授权的访问.
要启用此设置,您需要在配置文件参数中指定此值: rdisp/gui_auto_logout .
参数说明您可以定义在预定义的时间段后从SAP系统自动注销非活动SAP GUI用户.该参数配置此时间.默认情况下,SAP系统中的自动注销被禁用(值0),即即使用户长时间不执行任何操作,也不会注销用户.
允许的值 n [unit],其中n> = 0且Unit = S | M | H | D
要查看参数的当前值,请运行T-Code: RZ11 .
下表显示了关键参数列表,SAP系统中的默认值和允许值
参数 | 描述 | 默认 | 允许值 |
---|---|---|---|
登录/failed_to_session_end | 会话结束前的无效登录尝试次数 | 3 | 1-99 |
Login/failed_to_user_lock | 用户锁定之前的无效登录尝试次数 | 12 | 1-99 |
登录/failed_user_auto_unlock | 何时设置t 1:锁定在他们设置的那天适用.他们在用户登录的第二天被删除 | 1 | 0或1 |
rdisp/gui_auto_output | 用户的最大空闲时间,以秒为单位 | 0(无限制) | unrestricted |