SAP-Sicherheit - Schutz von Standardbenutzern

Wenn Sie das SAP-System zum ersten Mal installieren, werden einige Standardbenutzer erstellt, um Verwaltungsaufgaben auszuführen. Standardmäßig werden drei Clients in der SAP-Umgebung erstellt:

  • Client 000 - SAP-Referenzclient

  • Client 001 - Template Client von SAP

  • Client 066 - SAP Early Watch Client

SAP erstellt Standardbenutzer im oben genannten Client im System. Jeder Standardbenutzer hat bei der ersten Installation ein eigenes Standardkennwort.

Standardbenutzer in einem SAP-System umfassen die folgenden Benutzer unter Standardclient:

Nutzer Einzelheiten Klient Standard-Passwort
SAFT SAP System Super User 000, 001, 066 6071992
Alle neuen Kunden BESTEHEN
DDIC ABAP Dictionary Super User 000, 001 19920706
SAPCPIC CPI-C-Benutzer für SAP 000, 001 Administrator
EARLYWATCH Early Watch User 66 Unterstützung

Dies sind die Standardbenutzer unter SAP-Standardclients, die Verwaltungs- und Konfigurationsaufgaben im SAP-System ausführen. Um die Sicherheit in einem SAP-System zu gewährleisten, sollten Sie diese Benutzer schützen -

  • Sie sollten diese Benutzer zur Gruppe SUPER hinzufügen, damit sie nur von einem Administrator geändert werden, der die Berechtigung hat, Benutzer zur Gruppe SUPER hinzuzufügen / zu ändern.

  • Das Standardkennwort für Standardbenutzer sollte geändert werden.

Wie wird die Liste der Kunden in einem SAP-System angezeigt?

Mit Transaction können Sie die Liste aller Clients in Ihrer SAP-Umgebung anzeigen SM30, Tabelle anzeigen T000.

Wenn Sie die Tabelle betreten, klicken Sie auf DisplayEs zeigt Ihnen die Liste aller Clients in Ihrem SAP-System. Diese Tabelle enthält Details zu allen Standardclients und neuen Clients, die Sie in einer Umgebung für die gemeinsame Nutzung von Ressourcen erstellen.

Sie können den Bericht verwenden RSUSR003 um sicherzustellen, dass der Benutzer SAP in allen Clients erstellt wurde und dass die Standardkennwörter für SAP, DDIC und SAPCPIC geändert wurden.

Gehe zu ABAP Editor SE38 Geben Sie den Berichtsnamen ein und klicken Sie auf AUSFÜHREN.

Geben Sie den Titel des Berichts ein und klicken Sie auf ExecuteTaste. Es werden alle Clients und Standardbenutzer in SAP-System, Kennwortstatus, Verwendungsgrundsperre, Gültig von und Gültig bis usw. angezeigt.

Schutz des SAP System Super User

Um einen SAP-System-Superuser „SAP“ zu schützen, können Sie in einem System die folgenden Schritte ausführen:

Step 1- Sie müssen den neuen Super User in einem SAP-System definieren und den SAP-User deaktivieren. Beachten Sie, dass Sie den Benutzer SAP im System nicht löschen dürfen. Um den fest codierten Benutzer zu deaktivieren, können Sie den Profilparameter verwenden:login/no_automatic_user_sapstar.

Wird der Benutzerstammsatz des Benutzers SAP * gelöscht, kann man sich mit „SAP“ und dem Anfangskennwort PASS anmelden.

Der Benutzer "SAP" hat die folgenden Eigenschaften:

Der Benutzer verfügt über vollständige Berechtigungen, da keine Berechtigungsprüfungen durchgeführt werden.

  • Das Standardkennwort PASS kann nicht geändert werden.

  • Sie können den Profilparameter verwenden login/no_automatic_user_sapstar um diese speziellen Eigenschaften von SAP zu deaktivieren und die automatische Anmeldung des Benutzers SAP * zu steuern.

Step 2 - Um den Wert dieses Parameters zu überprüfen, führen Sie Transaktion aus RZ11 und geben Sie den Parameternamen ein.

Values allowed - 0, 1, in denen -

  • 0 - Automatischer Benutzer SAP * ist zulässig.

  • 1 - Der automatische Benutzer SAP * ist deaktiviert.

Step 3 - Im folgenden System sehen Sie, dass der Wert dieses Parameters auf 1 gesetzt ist. Dies zeigt, dass der Superuser „SAP“ im System deaktiviert ist.

Step 4 - Klicken Sie auf Display und Sie können den aktuellen Wert dieses Parameters sehen.

Um einen neuen Superuser im System anzulegen, definieren Sie einen neuen Benutzerstammsatz und weisen Sie das Profil zu SAP_ALL an diesen Superuser.

DDIC-Benutzerschutz

Ein DDIC-Benutzer ist für bestimmte Aufgaben im Zusammenhang mit Softwarelogistik, ABAP Dictionary und Aufgaben im Zusammenhang mit Installation und Upgrade erforderlich. Um diesen Benutzer zu schützen, ist es ratsam, diesen Benutzer in einem SAP-System zu sperren. Sie sollten diesen Benutzer nicht löschen, um einige Funktionen für die zukünftige Verwendung auszuführen.

Verwenden Sie den Transaktionscode, um den Benutzer zu sperren: SU01.

Wenn Sie diesen Benutzer schützen möchten, können Sie die zuweisen SAP_ALL Autorisierung für diesen Benutzer zum Zeitpunkt der Installation und später sperren.

Schutz des SAPCPIC-Benutzers

Ein SAPCPIC-Benutzer wird zum Aufrufen bestimmter Programme und Funktionsbausteine ​​in einem SAP-System verwendet und ist kein Nicht-Dialogbenutzer.

Sie sollten diesen Benutzer sperren und das Kennwort für diesen Benutzer ändern, um ihn zu schützen. Wenn Sie in früheren Versionen den SAPCPIC-Benutzer sperren oder das Kennwort ändern, wirkt sich dies auf zusätzliche Programme RSCOLL00, RSCOLL30 und LSYPGU01 aus.

Schutz der frühen Uhr

A 066-Client - Dies wird als SAP Early Watch bezeichnet und für Diagnose-Scans und Überwachungsdienste im SAP-System verwendet. Der Benutzer EARLYWATCH ist der interaktive Benutzer für den Early Watch-Dienst im Client 066. Um diesen Benutzer zu sichern, können Sie die folgenden Aktionen ausführen:

  • Sperren Sie den EARLYWATCH-Benutzer, bis er in einer SAP-Umgebung nicht mehr benötigt wird.
  • Ändern Sie das Standardkennwort für diesen Benutzer.

Wichtige Punkte

Um SAP Standard-Benutzer und Clients in der SAP-Landschaft zu schützen, sollten Sie die folgenden wichtigen Punkte berücksichtigen:

  • Sie sollten die Clients in einem SAP-System ordnungsgemäß warten und sicherstellen, dass keine unbekannten Clients vorhanden sind.

  • Sie müssen sicherstellen, dass der SAP-Superuser „SAP“ in allen Clients vorhanden und deaktiviert ist.

  • Sie müssen sicherstellen, dass das Standardkennwort für alle SAP-Standardbenutzer SAP, DDIC und EARLYWATCH geändert wird.

  • Sie müssen sicherstellen, dass alle Standardbenutzer der SUPER-Gruppe in einem SAP-System hinzugefügt wurden und die einzige Person, die berechtigt ist, Änderungen an der SUPER-Gruppe vorzunehmen, nur diese Benutzer bearbeiten kann.

  • Sie müssen sicherstellen, dass das Standardkennwort für SAPCPIC geändert wurde und dieser Benutzer gesperrt und bei Bedarf entsperrt ist.

  • Alle SAP-Standardbenutzer sollten gesperrt sein und können nur entsperrt werden, wenn dies erforderlich ist. Das Passwort sollte für alle diese Benutzer gut geschützt sein.

Wie ändere ich das Passwort eines Standardbenutzers?

Sie sollten sicherstellen, dass das Kennwort für alle SAP-Standardbenutzer in allen Clients geändert wird, die in verwaltet werden Table T000 und Benutzer "SAP" sollte für alle Clients vorhanden sein.

Um das Passwort zu ändern, melden Sie sich mit dem Superuser an. Geben Sie die Benutzer-ID in das Feld Benutzername ein, für das Sie das Kennwort ändern möchten. Klicken Sie auf die Option Passwort ändern, wie im folgenden Screenshot gezeigt -

Geben Sie das neue Passwort ein, wiederholen Sie das Passwort und klicken Sie auf Apply. Sie sollten den gleichen Vorgang für alle Standardbenutzer wiederholen.