Innovaciones relevantes para la seguridad en NetWeaver

Un nuevo Registro de Auditoría de Seguridad (SAL) fue entregado con NetWeaver 7.50, SP3. La nota SAP 2191612 describe las nuevas funciones del registro de auditoría.

El registro de auditoría anterior tiene muchos puntos débiles, como el número limitado de filtros, la falta de detección de manipulaciones, la falta de opciones de archivado y las opciones insuficientes para especificar los usuarios que se van a supervisar.

El nuevo registro de auditoría de seguridad (transacciones RSAU_*) ofrece ahora varias funcionalidades nuevas:

• Los protocolos pueden almacenarse y gestionarse parcial o totalmente en la base de datos.
• El número máximo de filtros por perfil ha pasado de 10 a 90.
• También se pueden especificar grupos de usuarios para el registro o excluirlos explícitamente.
• Se puede implementar una protección de integridad para detectar la manipulación de los archivos de registro.
• Las configuraciones de los registros de auditoría pueden exportarse e importarse para compartirlas entre distintos sistemas.

Las antiguas funciones (transacciones SM18, SM19, SM20, SM20N) dejarán de desarrollarse. Durante un periodo transitorio, seguirán estando disponibles con el alcance de funciones anterior. No obstante, SAP recomienda cambiar al nuevo registro de auditoría.

Otra nueva funcionalidad proporciona protección contra la manipulación de roles en sistemas productivos. Hasta ahora, el mantenimiento de roles se restringía al no asignarle las autorizaciones correspondientes.

Utilizando el conmutador CLIENT_SET_FOR_ROLES en la tabla PRGN_CUST, el mantenimiento de roles puede ahora vincularse al bloqueo de personalización que puede establecerse para clientes individuales mediante la tabla T000 (Nota SAP 1723881).

El mantenimiento de las asignaciones de usuarios sigue siendo posible, pero el mantenimiento de los valores de autorización ya no lo es. También hay algunas novedades para la actualización de roles. Las modificaciones en masa son posibles con la transacción PFCGMASSVAL o el informe PFCG_MASS_VAL (nota 2177996).

Esto incluye la modificación de los niveles de organización, así como de los valores de campo de un objeto de autorización o de un campo de autorización (para objetos diferentes).

También está disponible una traza a largo plazo para determinar las autorizaciones necesarias (nota 2220030: transacción STUSERTRACE). A diferencia de la traza de autorización convencional, los registros están condensados, es decir, una comprobación de autorización registrada una vez no se registra una segunda vez para el usuario en cuestión.

Esta grabación también es adecuada para registrar las comprobaciones de autorización de los usuarios de interfaz y de fondo. Estos pueden registrarse durante un periodo de tiempo más largo y luego transferirse automáticamente a una función con PFCG transaccional.

Una novedad de NetWeaver 7.50, SP3, es la posibilidad de bloquear transacciones en función del cliente (nota 2234192). Hasta ahora, los bloqueos de transacciones siempre eran válidos para todo el sistema. Con la transacción SM01_CUS, ahora también se pueden bloquear transacciones para clientes individuales. También se implementan regularmente nuevas comprobaciones de autorización.

Z. Por ejemplo, las autorizaciones en el sistema de transporte también pueden asignarse en función del sistema (objetos de autorización S_CTS_SADM y S_SYS_RWBO). Para las denominadas autorizaciones críticas para la ley, deben observarse los objetos de autorización S_RFCRAIAR (autorización para el módulo de funciones RFC_ABAP_INSTALL_AND_RUN) y S_SCD0_OBJ (autorización para objetos de documento de modificación).

Los ejemplos muestran la necesidad de integrar las respectivas innovaciones de NetWeaver en los conceptos de seguridad existentes. Además, deben observarse los parches de seguridad publicados cada segundo martes de mes en el marco del SAP Security Patchday (support.sap.com/securitynotes). Las notas de seguridad para componentes en uso productivo deben aplicarse con prontitud.