Sicherheit der Oracle E-Business Suite: Passwortrichtlinie

Von:

29. Juni 2017

Bereits in der dritten Woche stellen wir IhnenBest Practiceszur Absicherung Ihrer Oracle E-Business Suite-Implementierung vor. Heute widmen wir uns einem viel diskutierten Thema: der Passwortsicherheit. Wenn es um Passwortrichtlinien geht, denkt man wahrscheinlich als Erstes an ein sicheres Passwort. Deshalb ist es neben allen Netzwerksicherheitsschichten sehr wichtig, über eine angemessene Passwortrichtlinie sowie eine Benutzerliste und Gruppen zu verfügen, um Richtlinien zur Passwortgestaltung einzuhalten. Um dies zu unterstützen, stellt die Oracle E-Business Suite mehrere Anforderungen, die den Benutzer dazu zwingen, die Komplexität der Passwörter zu erhöhen. In diesem Blogbeitrag sprechen wir über diese Profile, Konfigurationen und andere Funktionen der E-Business Suite, die dazu beitragen, dass Ihre Passwörter stark und komplex genug sind.

Was ist ein sicheres Passwort?

Auch wenn es keine festgelegten Standards dafür gibt, was als „sicheres“ Passwort gilt, gibt es doch einige allgemeine Regeln, die zu einem sicheren Passwort führen. Die gängigen Vorgehensweisen zur Erstellung sicherer, komplexer Passwörter lauten wie folgt:

  • Wählen Sie kein Passwort, das kürzer als 8 Zeichen ist.
  • Verwenden Sie kein Passwort, das den Benutzernamen, den Namen eines Mitarbeiters oder die Namen von Familienangehörigen enthält.
  • Wählen Sie keine Passwörter, die leicht zu erraten sind.
  • Verwenden Sie keine Passwörter, die eine aufeinanderfolgende Zahlenfolge enthalten, wie beispielsweise 12345.
  • Verwenden Sie keine Passwörter, die ein Wort oder eine Wortfolge enthalten, die sich durch eine einfache Internetsuche leicht herausfinden lässt.
  • Benutzern sollte es nicht gestattet sein, dasselbe Passwort auf mehreren Systemen zu verwenden.
  • Benutzern sollte es nicht gestattet sein, ältere Passwörter wiederzuverwenden.

Profiloptionen

Die Oracle E-Business Suite bietet verschiedene Profiloptionen in unterschiedlichen Richtlinien. Dieses Profil sollte nur auf Standortebene festgelegt werden, kann aber auch auf anderen Ebenen wie Benutzer- oder Verantwortungsbereichsebene festgelegt werden. Hier finden Sie eine Liste aller Optionen mit einer entsprechenden Beschreibung.

  • Limit für fehlgeschlagene Anmeldeversuche: Legt die maximale Anzahl von Anmeldeversuchen fest, bevor das Benutzerkonto gesperrt wird. Benutzer können diese Profiloption weder einsehen noch ändern.
  • „Schwer zu erratendes Anmeldepasswort“: Legt Regeln für die Wahl von Passwörtern fest, um sicherzustellen, dass diese „schwer zu erraten“ sind. Ein Passwort gilt als schwer zu erraten, wenn es folgende Regeln erfüllt: Es enthält mindestens einen Buchstaben und mindestens eine Ziffer, enthält weder den Benutzernamen noch sich wiederholende Zeichen.
  • Länge des Anmeldekennworts: Legt die Mindestlänge eines Anmeldekennworts für Anwendungen fest. Wenn kein Wert eingegeben wird, beträgt die Standard-Mindestlänge 5 Zeichen.
  • „Passwort bei der Anmeldung nicht wiederverwenden“: Legt fest, wie viele Tage ein Benutzer warten muss, bevor er ein Passwort wiederverwenden darf.
  • Einstellung zur Groß-/Kleinschreibung bei der Anmeldung: Wenn diese Option verfügbar ist (ab 11i.ATG_PF.H RUP3), kann die Groß-/Kleinschreibung bei der Passworteingabe aktiviert werden.
  • Sitzungszeitlimit: Begrenzt die Dauer von Self-Service-Framework-Anwendungen und wird in Minuten angegeben.

Profiloptionen – Empfehlungen von Oracle

Wie bereits erwähnt, sollte jedes Unternehmen seine eigenen Richtlinien festlegen. Ungeachtet dessen empfiehlt Oracle die folgenden Konfigurationen, die hilfreich sein können, falls Sie noch keine Richtlinien haben:

  • SIGNON_PASSWORD_LENGTH: 8
  • SIGNON_PASSWORD_HARD_TO_GUESS: JA
  • SIGNON_PASSWORD_NO_REUSE: 180
  • SIGNON_PASSWORD_CASE: Groß-/Kleinschreibung beachten
  • SIGNON_PASSWORD_FAILURE_LIMIT: 5
  • ICX_SESSION_TIMEOUT: 30
  • SIGNON_PASSWORD_CUSTOM: implementieren

Was den letzten Punkt betrifft, so steht diese Option für den Fall zur Verfügung, dass sich Ihre unternehmensinterne Passwortrichtlinie nicht mit den oben genannten Parametern abbilden lässt. In diesem Fall ist es möglich, eine benutzerdefinierte Passwortvalidierungsfunktion zu implementieren und diese in der Oracle E-Business Suite zu registrieren. Hier ein Beispiel für eine Konfiguration der Passwortrichtlinie:

Passwortüberprüfung anpassen

Wie bereits erwähnt, können Sie eine benutzerdefinierte Funktion zur Validierung neuer Passwörter implementieren, falls sich Ihre Passwortrichtlinie nicht über die „Sign-On“-Parameter ausdrücken lässt. Schauen wir uns an, wie das funktioniert. Um die Passwortvalidierung anzupassen, erstellen Sie eine Java-Klasse, die die Java-Schnittstelle `oracle.apps.fnd.security.PasswordValidation` implementiert.

Die Schnittstelle erfordert drei Methoden:

Diese Methode gibt den Kurznamen der Anwendung für die oben genannte Fehlermeldung zurück.

  • 1. public boolean validate(String user, String password)
    Diese Methode nimmt einen Benutzernamen und ein Passwort entgegen und gibt „True“ oder „False“ zurück, um anzugeben, ob das Passwort des Benutzers gültig bzw. ungültig ist.
  • 2. public String getErrorStackMessageName()
  • 3. public String getErrorStackApplicationName()

Nachdem Sie den benutzerdefinierten Passwort-Validator geschrieben haben, setzen Sie die Profiloption SIGNON_PASSWORD_CUSTOM auf den vollständigen Namen der Klasse.

Nun kennen wir also die Definitionen für unsere Passwortrichtlinie. Der nächste Schritt besteht darin, alle Standardpasswörter zu ermitteln, die von Benutzern in Oracle EBS verwendet werden. Zum Glück verfügt EBS über Skripte für diese Überprüfungen.

Standard-Benutzerkennwörter in Anwendungen und Datenbanken ändern

Es ist allgemein bekannt, dass die E-Business Suite Produktbenutzer in der Datenbank enthält und dass die Benutzerkonten für jedes Produkt standardmäßig ein Standardpasswort haben. Jeder Apps-DBA sollte diese Passwörter nach der Installation zurücksetzen. Die Anwendungsdatenbankinstanz enthält offene Standard-Schemas mit Standardpasswörtern. Da diese Konten und die dazugehörigen Passwörter allgemein bekannt sind, könnte es ein Sicherheitsrisiko darstellen, die Passwörter unverändert zu lassen.

Es gibt sechs Standard-Schemas (die durch Abfragen der Tabelle FND_ORACLE_USERID ermittelt werden können) aus verschiedenen Quellen, die bei der Änderung von Standardkennwörtern berücksichtigt werden sollten:

  • 1. Standard-Verwaltungsschemata für Datenbanken
  • 2. Schemata, die zu optionalen Datenbankfunktionen gehören, die von der E-Business Suite weder genutzt noch gepatcht werden
  • 3. Schemata, die zu optionalen Datenbankfunktionen gehören, die zwar genutzt, aber von der E-Business Suite nicht gepatcht werden
  • 4. Schemata, die zu optionalen Datenbankfunktionen gehören, die von der E-Business Suite genutzt und gepatcht werden
  • 5. Schemata, die allen Produkten der E-Business Suite gemeinsam sind
  • 6. Schemata, die mit bestimmten Produkten der E-Business Suite verbunden sind

Um Passwörter zu ändern, können Sie die folgenden Befehle verwenden:

  • Für die Schemata der Kategorien 1, 2 und 3:
  • Verwenden Sie für die Schemata der Kategorien 4, 5 und 6 das Tool zur Passwortänderung FNDCPASS oder AFPASSWD:

So überprüfen Sie die Standard-Benutzerkennwörter in der Datenbank

Im Jahr 2005 veröffentlichte Oracle den Patch 4926128, der ein SQL-Skript enthält, mit dem alle offenen Konten mit Standardpasswort in Ihrer Datenbank aufgelistet werden können. Das SQL-Skript wurde für Datenbankversionen 9i erstellt. Neuere Datenbanken (10g, 11g und 12c) verfügen über eine Ansicht – DBA_USERS_WITH_DEFPWD –, die dieselben Informationen liefert. Mittlerweile ist der Inhalt von Patch 4926128 in das PDF-Dokument integriert, das beschreibt, wie einige alte Konten, die möglicherweise in einer älteren Datenbank vorhanden sind, geändert werden können.

Fazit

Passwörter gehören zu den häufigsten Angriffszielen von Cyberkriminellen und sollten daher angemessen geschützt werden. In diesem Zusammenhang sind diese einfachen Tools und bewährten Verfahren für die Sicherheit der E-Business Suite von Bedeutung. Die Festlegung einer unternehmensweiten Passwortrichtlinie sollte der erste Schritt sein; denken Sie daran, dass Oracle hierfür Richtwerte zur Verfügung stellt. Es ist außerdem wichtig, Ihre Mitarbeiter darauf hinzuweisen, Passwörter nicht weiterzugeben, und Ihre Administratoren dazu anzuhalten, Standardpasswörter zu vermeiden.

Weitere Ressourcen

Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen