Perché non devi disattivare i security settings della SAP GUI?
Esistono diversi tutorial in rete su come disattivare il fastidioso controllo che ogni volta appare quando stiamo tentando di scaricare o caricare dei file da SAP.
Perché deve essere lasciato attivo?
SAP GUI cosa è?
Iniziamo dalle basi, la SAP GUI è un programma che permette di accedere all'applicativo SAP.
Permette di inserire diversi riferimenti ai vari sistemi SAP disponibili in azienda. Esistono due modalità di utilizzo di questa applicazione:
- Modalità completa
- Modalità limitata
Quest'ultima viene chiamata SAP Logon Pad. Questa versione permette infatti, agli amministratori, di limitare le funzionalità rilasciate. Impedendo così agli utenti di commettere errori durante le fasi di logon a SAP.
È utile ricordare che non esiste solo la SAP GUI per accedere ai sistemi SAP, dipende da quale sistema SAP si sta tendando di accedere. Sono molte infatti le tecnologie disponibili, ad esempio:
- SAP GUI
- Via browser (HTML o web oriented like)
- SAP NWBC NetWeaver Business Client
Probabilmente l'accesso più diffuso è quello tramite SAP GUI.
Ma torniamo agli aspetti di security!
Cosa sono i security settings della SAP GUI?
Dalla release 7.20 della SAP GUI sono state introdotte una serie di regole per evitare o limitare la propagazione di eventuali attacchi dal server verso i client (SAP GUI) o viceversa.
Questa nuova configurazione permette di avvisare l'utente ogni volta che la SAP GUI tenta di accedere ai file dell'utente (ad esempio upload e download di file). Vedi anche OSS note 2185432 - How to disable security popup
È possibile vedere le regole attive nei security settings della SAP GUI. Entrando nelle opzioni:
e, successivamente, identificando il ramo dei Security Settings.
Sono previste tre tipologie di stato (Status):
- Disabilitato (Disabled)
- Nessun controllo viene fatto, questa opzione viene sconsigliata.
- Personalizzato (Customized)
- Questa è la configurazione di default. In questo caso ogni volta che viene effettuata una azione sono controllate le regole definite nella SAP GUI. Le regole sono processate in maniera sequenziale dalla prima all'ultima. Nel caso non ci sia una applicazione della regola, viene richiesta una azione da parte dell'utente, di default "Ask" ovvero viene richiesto all'utente di accettare o negare l'accesso.
- Tutto Negato (Strict Deny)
- In questo caso, opposto rispetto al primo, tutto viene negato.
Ogni regola ha una origine (Origin)
- SAP
- Administrator
- User
Esistono inoltre delle regole basate sul contesto Context Dependent Rule legate all'azione dell'utente.
Ovvero la regola è Deny se si è nel sistema HR ma Allow negli altri sistemi.
Leggi qui su come creare delle ulteriori regole di protezione della SAP GUI, 2433485 - How to create SAP GUI Security Rule
Ma quale potrebbe essere il rischio?
Il rischio potrebbe essere quello di scaricare dei file contenenti virus, oppure nel caso in cui un sistema SAP sia stato compromesso, eseguire delle azioni da SAP verso il proprio PC (a propria insaputa).
Ad esempio il download di un programma malevolo o l'esecuzione di una certa azione nel proprio PC, ad esempio, la modifica di alcune configurazioni. Questo permetterebbe all'attaccante, ad esempio dopo aver compromesso un sistema SAP di minore interesse (es. Sistema di quality o test) di riuscire a raggiungere altri sistemi.
Devi controllare i tuoi sistemi? Stai facendo un audit security SAP? Ricordati anche della SAP GUI!
