Учебники

SAP Security — защита обычных пользователей

Август 13, 2018

Когда вы устанавливаете систему SAP в первый раз, есть несколько пользователей по умолчанию, которые создаются для выполнения административных задач. По умолчанию в среде SAP создаются три клиента, которые:

  • Клиент 000 — Справочный клиент SAP

  • Клиент 001 — Шаблон клиента от SAP

  • Клиент 066 — Клиент раннего наблюдения SAP

Клиент 000 — Справочный клиент SAP

Клиент 001 — Шаблон клиента от SAP

Клиент 066 — Клиент раннего наблюдения SAP

SAP создает стандартных пользователей в вышеупомянутом клиенте в системе. Каждый стандартный пользователь имеет свой собственный пароль по умолчанию при первой установке.

Стандартные пользователи в системе SAP включают следующих пользователей под клиентом по умолчанию —

пользователь подробности клиент Пароль по умолчанию
SAP SAP System Super User 000, 001, 066 6071992
Все новые клиенты ПРОХОДИТЬ
DDIC ABAP Dictionary Super User 000, 001 19920706
SAPCPIC Пользователь CPI-C для SAP 000, 001 админ
EarlyWatch Пользователь раннего наблюдения 66 служба поддержки

Это стандартные пользователи в разделе Клиенты SAP по умолчанию для выполнения задач администрирования и конфигурации в системе SAP. Чтобы поддерживать безопасность в системе SAP, вы должны защищать этих пользователей —

  • Вы должны добавить этих пользователей в группу SUPER, чтобы они были изменены только администратором, который имеет право добавлять / изменять пользователей в группу SUPER.

  • Пароль по умолчанию для обычных пользователей должен быть изменен.

Вы должны добавить этих пользователей в группу SUPER, чтобы они были изменены только администратором, который имеет право добавлять / изменять пользователей в группу SUPER.

Пароль по умолчанию для обычных пользователей должен быть изменен.

Как просмотреть список клиентов в системе SAP?

Вы можете просмотреть список всех клиентов в вашей среде SAP с помощью транзакции SM30 , отобразить таблицу T000 .

Стол Т000

Когда вы войдете в таблицу и нажмете « Показать» , она покажет вам список всех клиентов вашей системы SAP. В этой таблице приведены сведения обо всех клиентах по умолчанию и новых клиентах, которые вы создаете в среде для совместного использования ресурсов.

Среда для совместного использования ресурсов

Вы можете использовать отчет RSUSR003, чтобы убедиться, что пользователь SAP был создан на всех клиентах и ​​что стандартные пароли были изменены для SAP, DDIC и SAPCPIC.

Перейдите в ABAP Editor SE38, введите имя отчета и нажмите «ВЫПОЛНИТЬ».

ABAP Editor

Введите заголовок отчета и нажмите кнопку « Выполнить» . В нем будут отображаться все клиенты и стандартные пользователи в системе SAP, статус пароля, причина использования блокировки, действительный от и действительный до и т. Д.

Тестовое задание

Защита суперпользователя системы SAP

Чтобы защитить суперпользователя SAP System «SAP», вы можете выполнить следующие шаги в системе:

Шаг 1 — Вам необходимо определить нового Суперпользователя в системе SAP и деактивировать пользователя SAP. Обратите внимание, что вы не должны удалять пользователя SAP в системе. Чтобы деактивировать пользователя с жестким кодом, вы можете использовать параметр профиля: login / no_automatic_user_sapstar.

Если основная запись пользователя пользователя SAP * удалена, можно войти в систему с «SAP» и исходным паролем PASS.

Пользователь «SAP» обладает следующими свойствами:

Пользователь имеет полные полномочия, поскольку проверки полномочий не выполняются.

  • Пароль PASS по умолчанию изменить нельзя.

  • Вы можете использовать параметр профиля login / no_automatic_user_sapstar, чтобы отключить эти специальные свойства SAP и управлять автоматическим входом в систему пользователя SAP *.

Пароль PASS по умолчанию изменить нельзя.

Вы можете использовать параметр профиля login / no_automatic_user_sapstar, чтобы отключить эти специальные свойства SAP и управлять автоматическим входом в систему пользователя SAP *.

Шаг 2 — Чтобы проверить значение этого параметра, запустите транзакцию RZ11 и введите имя параметра.

Запустить транзакцию

дисплей

Допустимые значения — 0, 1, в которых —

  • 0 — автоматический пользовательский SAP * допустим.

  • 1 — автоматический пользовательский SAP * деактивирован.

0 — автоматический пользовательский SAP * допустим.

1 — автоматический пользовательский SAP * деактивирован.

Шаг 3 — В следующей системе вы видите, что значение этого параметра установлено в 1. Это показывает, что суперпользователь «SAP» деактивирован в системе.

Шаг 4 — Нажмите на Display, и вы увидите текущее значение этого параметра.

Кнопка дисплея

Чтобы создать нового суперпользователя в системе, определите новую основную запись пользователя и назначьте профиль SAP_ALL этому суперпользователю.

DDIC Защита пользователей

Пользователь DDIC требуется для выполнения определенных задач, связанных с логистикой программного обеспечения, словарем ABAP и задачами, связанными с установкой и обновлением. Чтобы защитить этого пользователя, рекомендуется заблокировать этого пользователя в системе SAP. Вы не должны удалять этого пользователя, чтобы выполнить несколько функций для будущего использования.

Чтобы заблокировать пользователя, используйте код транзакции: SU01 .

DDIC Защита пользователей

Если вы хотите защитить этого пользователя, вы можете назначить ему авторизацию SAP_ALL во время установки, а затем заблокировать ее.

Защита пользователя SAPCPIC

Пользователь SAPCPIC используется для вызова определенных программ и функциональных модулей в системе SAP и является пользователем без диалогов.

Вы должны заблокировать этого пользователя и изменить пароль для этого пользователя, чтобы защитить его. В предыдущих выпусках, когда вы блокируете пользователя SAPCPIC или изменяете пароль, это влияет на дополнительные программы RSCOLL00, RSCOLL30 и LSYPGU01.

Защита Раннего Дозора

Клиент 066 — это называется SAP Early watch и используется для диагностического сканирования и службы мониторинга в системе SAP, а пользователь EARLYWATCH является интерактивным пользователем для службы Early Watch в клиенте 066. Чтобы защитить этого пользователя, вы можете выполнить следующие действия:

  • Блокируйте пользователя EARLYWATCH до тех пор, пока он не потребуется в среде SAP.
  • Измените пароль по умолчанию для этого пользователя.

Ключевые моменты

Чтобы защитить пользователей SAP Standard и защитить клиентов в среде SAP, вы должны рассмотреть следующие ключевые моменты:

  • Вы должны правильно обслуживать клиентов в системе SAP и убедиться, что не существует неизвестных клиентов, которые существуют.

  • Необходимо убедиться, что суперпользователь SAP «SAP» существует и был деактивирован на всех клиентах.

  • Необходимо убедиться, что пароль по умолчанию изменен для всех стандартных пользователей SAP, пользователей SAP, DDIC и EARLYWATCH.

  • Необходимо убедиться, что все стандартные пользователи были добавлены в группу SUPER в системе SAP, и единственный пользователь, уполномоченный вносить изменения в группу SUPER, может редактировать только этих пользователей.

  • Необходимо убедиться, что пароль по умолчанию для SAPCPIC был изменен, и этот пользователь заблокирован и разблокирован, когда это требуется.

  • Все стандартные пользователи SAP должны быть заблокированы и могут быть разблокированы только тогда, когда это необходимо. Пароль должен быть хорошо защищен для всех этих пользователей.

Вы должны правильно обслуживать клиентов в системе SAP и убедиться, что не существует неизвестных клиентов, которые существуют.

Необходимо убедиться, что суперпользователь SAP «SAP» существует и был деактивирован на всех клиентах.

Необходимо убедиться, что пароль по умолчанию изменен для всех стандартных пользователей SAP, пользователей SAP, DDIC и EARLYWATCH.

Необходимо убедиться, что все стандартные пользователи были добавлены в группу SUPER в системе SAP, и единственный пользователь, уполномоченный вносить изменения в группу SUPER, может редактировать только этих пользователей.

Необходимо убедиться, что пароль по умолчанию для SAPCPIC был изменен, и этот пользователь заблокирован и разблокирован, когда это требуется.

Все стандартные пользователи SAP должны быть заблокированы и могут быть разблокированы только тогда, когда это необходимо. Пароль должен быть хорошо защищен для всех этих пользователей.

Как сменить пароль обычного пользователя?

Вы должны убедиться, что пароль для всех стандартных пользователей SAP должен быть изменен на всех клиентах, поддерживаемых в таблице T000, а пользователь «SAP» должен существовать для всех клиентов.

Смена пароля

Чтобы сменить пароль, авторизуйтесь с суперпользователем. Введите идентификатор пользователя в поле Имя пользователя, для которого вы хотите изменить пароль. Нажмите кнопку «Изменить пароль», как показано на следующем снимке экрана.

Изменить пароль

Введите новый пароль, повторите пароль и нажмите « Применить» . Вы должны повторить один и тот же процесс для всех стандартных пользователей.

73
Share: