Perché non devi disattivare i security settings della SAP GUI?
Esistono diversi tutorial in rete su come disattivare il fastidioso controllo che ogni volta appare quando stiamo tentando di scaricare o caricare dei file da SAP.
Perché deve essere lasciato attivo?
Iniziamo dalle basi, la SAP GUI è un programma che permette di accedere all'applicativo SAP.
Permette di inserire diversi riferimenti ai vari sistemi SAP disponibili in azienda. Esistono due modalità di utilizzo di questa applicazione:
Quest'ultima viene chiamata SAP Logon Pad. Questa versione permette infatti, agli amministratori, di limitare le funzionalità rilasciate. Impedendo così agli utenti di commettere errori durante le fasi di logon a SAP.
È utile ricordare che non esiste solo la SAP GUI per accedere ai sistemi SAP, dipende da quale sistema SAP si sta tendando di accedere. Sono molte infatti le tecnologie disponibili, ad esempio:
Probabilmente l'accesso più diffuso è quello tramite SAP GUI.
Ma torniamo agli aspetti di security!
Dalla release 7.20 della SAP GUI sono state introdotte una serie di regole per evitare o limitare la propagazione di eventuali attacchi dal server verso i client (SAP GUI) o viceversa.
Questa nuova configurazione permette di avvisare l'utente ogni volta che la SAP GUI tenta di accedere ai file dell'utente (ad esempio upload e download di file). Vedi anche OSS note 2185432 - How to disable security popup
È possibile vedere le regole attive nei security settings della SAP GUI. Entrando nelle opzioni:
e, successivamente, identificando il ramo dei Security Settings.
Sono previste tre tipologie di stato (Status):
Ogni regola ha una origine (Origin)
Esistono inoltre delle regole basate sul contesto Context Dependent Rule legate all'azione dell'utente.
Ovvero la regola è Deny se si è nel sistema HR ma Allow negli altri sistemi.
Leggi qui su come creare delle ulteriori regole di protezione della SAP GUI, 2433485 - How to create SAP GUI Security Rule
Il rischio potrebbe essere quello di scaricare dei file contenenti virus, oppure nel caso in cui un sistema SAP sia stato compromesso, eseguire delle azioni da SAP verso il proprio PC (a propria insaputa).
Ad esempio il download di un programma malevolo o l'esecuzione di una certa azione nel proprio PC, ad esempio, la modifica di alcune configurazioni. Questo permetterebbe all'attaccante, ad esempio dopo aver compromesso un sistema SAP di minore interesse (es. Sistema di quality o test) di riuscire a raggiungere altri sistemi.
Devi controllare i tuoi sistemi? Stai facendo un audit security SAP? Ricordati anche della SAP GUI!