Sicurezza SAP - Protezione degli utenti standard
Quando si installa il sistema SAP per la prima volta, sono presenti alcuni utenti predefiniti creati per eseguire attività amministrative. Per impostazione predefinita, crea tre client nell'ambiente SAP, che sono:
Client 000 - Client di riferimento SAP
Client 001 - Client modello da SAP
Client 066 - Client SAP Early Watch
SAP crea utenti standard nel client sopra menzionato nel sistema. Ogni utente standard ha la propria password predefinita con la prima installazione.
Gli utenti standard in un sistema SAP includono i seguenti utenti nel client predefinito:
Utente | Dettagli | Cliente | Password predefinita |
---|---|---|---|
LINFA | Super utente del sistema SAP | 000, 001, 066 | 6071992 |
Tutti i nuovi clienti | PASSAGGIO | ||
DDIC | Dizionario ABAP Super User | 000, 001 | 19920706 |
SAPCPIC | Utente CPI-C per SAP | 000, 001 | admin |
EARLYWATCH | Utente Early Watch | 66 | supporto |
Questi sono gli utenti standard nei client SAP Default per eseguire attività di amministrazione e configurazione nel sistema SAP. Per mantenere la sicurezza in un sistema SAP, è necessario proteggere questi utenti:
È necessario aggiungere questi utenti al gruppo SUPER, in modo che vengano modificati solo da un amministratore che ha il privilegio di aggiungere / modificare utenti al gruppo SUPER.
La password predefinita per gli utenti standard deve essere modificata.
Come visualizzare l'elenco dei clienti in un sistema SAP?
È possibile visualizzare l'elenco di tutti i client nel proprio ambiente SAP utilizzando Transaction SM30, mostra la tabella T000.
Quando entri nella tabella e fai clic su Display, ti mostrerà l'elenco di tutti i client nel tuo sistema SAP. Questa tabella include i dettagli di tutti i client predefiniti e dei nuovi client creati in un ambiente per la condivisione delle risorse.
Puoi usare report RSUSR003 per assicurarsi che l'utente SAP sia stato creato in tutti i client e che le password standard siano state modificate per SAP, DDIC e SAPCPIC.
Vai a ABAP Editor SE38 e inserisci il nome del rapporto e fai clic su ESEGUI.
Immettere il titolo del report e fare clic su Executepulsante. Visualizzerà tutti i client e gli utenti standard in Sistema SAP, Stato password, Blocco motivo utilizzo, Valido da e Valido fino, ecc.
Protezione del super utente del sistema SAP
Per proteggere un super utente del sistema SAP "SAP", è possibile eseguire i seguenti passaggi in un sistema:
Step 1- È necessario definire il nuovo Super User in un sistema SAP e disattivare l'utente SAP. Notare che non è necessario eliminare l'utente SAP nel sistema. Per disattivare l'utente hardcoded, è possibile utilizzare il parametro del profilo:login/no_automatic_user_sapstar.
Se il record anagrafico dell'utente SAP * viene cancellato, è possibile accedere con “SAP” e la password iniziale PASS.
L'utente "SAP" ha le seguenti proprietà:
L'utente dispone di autorizzazioni complete, poiché non vengono eseguiti controlli di autorizzazione.
La password predefinita PASS non può essere modificata.
È possibile utilizzare il parametro del profilo login/no_automatic_user_sapstar disattivare queste proprietà speciali di SAP e controllare il login automatico dell'utente SAP *.
Step 2 - Per verificare il valore di questo parametro, eseguire Transaction RZ11 e immettere il nome del parametro.
Values allowed - 0, 1, in cui -
0 - L'utente automatico SAP * è consentito.
1 - L'utente automatico SAP * è disattivato.
Step 3 - Nel sistema seguente, è possibile vedere che il valore di questo parametro è impostato a 1. Ciò mostra che il Super utente "SAP" è disattivato nel sistema.
Step 4 - Fare clic su Display e puoi vedere il valore corrente di questo parametro.
Per creare un nuovo Super utente nel sistema, definire un nuovo record anagrafico utente e assegnare il profilo SAP_ALL a questo super utente.
Protezione utente DDIC
Un utente DDIC è necessario per determinate attività relative alla logistica del software, al dizionario ABAP e alle attività relative all'installazione e all'aggiornamento. Per proteggere questo utente, si consiglia di bloccare questo utente in un sistema SAP. Non dovresti eliminare questo utente per eseguire poche funzionalità per un utilizzo futuro.
Per bloccare l'utente, utilizza il codice di transazione: SU01.
Se vuoi proteggere questo utente, puoi assegnare il file SAP_ALL autorizzazione a questo utente al momento dell'installazione e successivamente bloccarlo.
Protezione dell'utente SAPCPIC
Un utente SAPCPIC viene utilizzato per chiamare determinati programmi e moduli funzione in un sistema SAP ed è un utente non di dialogo.
È necessario bloccare questo utente e modificare la password per questo utente per proteggerlo. Nelle versioni precedenti, quando si blocca l'utente SAPCPIC o si modifica la password, influisce sui programmi aggiuntivi RSCOLL00, RSCOLL30 e LSYPGU01.
Protezione di Early Watch
Un client 066: si chiama SAP Early Watch e viene utilizzato per le scansioni diagnostiche e il servizio di monitoraggio nel sistema SAP e l'utente EARLYWATCH è l'utente interattivo per il servizio Early Watch nel client 066. Per proteggere questo utente, è possibile eseguire le seguenti azioni:
- Blocca l'utente EARLYWATCH finché non è necessario in un ambiente SAP.
- Modifica la password predefinita per questo utente.
Punti chiave
Per proteggere gli utenti SAP Standard e per proteggere i client nel panorama SAP, è necessario considerare i seguenti punti chiave:
È necessario mantenere correttamente i client in un sistema SAP e assicurarsi che non vi siano client sconosciuti esistenti.
È necessario assicurarsi che il super utente SAP "SAP" esista e sia stato disattivato in tutti i client.
È necessario assicurarsi che la password predefinita venga modificata per tutti gli utenti standard SAP SAP, DDIC e utente EARLYWATCH.
È necessario assicurarsi che tutti gli utenti Standard siano stati aggiunti al gruppo SUPER in un sistema SAP e che l'unica persona autorizzata ad apportare modifiche al gruppo SUPER possa modificare solo questi utenti.
È necessario assicurarsi che la password predefinita per SAPCPIC sia stata modificata e che questo utente sia bloccato e sbloccato quando necessario.
Tutti gli utenti standard SAP devono essere bloccati e possono essere sbloccati solo quando necessario. La password dovrebbe essere ben protetta per tutti questi utenti.
Come cambiare la password di un utente standard?
È necessario assicurarsi che la password per tutti gli utenti standard SAP venga modificata in tutti i client gestiti in Table T000 e l'utente "SAP" dovrebbe esistere per tutti i client.
Per modificare la password, accedi con Super user. Immettere l'ID utente nel campo Nome utente per il quale si desidera modificare la password. Fare clic sull'opzione Cambia password come mostrato nella seguente schermata -
Immettere la nuova password, ripetere la password e fare clic su Apply. Dovresti ripetere la stessa procedura per tutti gli utenti standard.