Seguridad de SAP: protección de los usuarios estándar
Cuando instala el sistema SAP por primera vez, hay algunos usuarios predeterminados que se crean para realizar tareas administrativas. De forma predeterminada, crea tres clientes en el entorno SAP, que son:
Cliente 000 - Cliente de referencia de SAP
Cliente 001 - Cliente de plantilla de SAP
Cliente 066 - Cliente SAP Early Watch
SAP crea usuarios estándar en el cliente mencionado anteriormente en el sistema. Cada usuario estándar tiene su propia contraseña predeterminada con la primera instalación.
Los usuarios estándar en un sistema SAP incluyen los siguientes usuarios en el cliente predeterminado:
Usuario | Detalles | Cliente | Contraseña predeterminada |
---|---|---|---|
SAVIA | Superusuario del sistema SAP | 000, 001, 066 | 6071992 |
Todos los nuevos clientes | PASAR | ||
DDIC | Superusuario del diccionario ABAP | 000, 001 | 19920706 |
SAPCPIC | Usuario CPI-C para SAP | 000, 001 | administración |
TEMPRANO | Usuario de Early Watch | 66 | apoyo |
Estos son los usuarios estándar de los clientes predeterminados de SAP para realizar tareas administrativas y de configuración en el sistema SAP. Para mantener la seguridad en un sistema SAP, debe proteger a estos usuarios:
Debe agregar estos usuarios al grupo SUPER, para que solo sean modificados por un Administrador que tenga el privilegio de agregar / modificar usuarios al grupo SUPER.
Se debe cambiar la contraseña predeterminada para los usuarios estándar.
¿Cómo ver la lista de clientes en un sistema SAP?
Puede ver la lista de todos los clientes en su entorno SAP usando Transaction SM30, muestra la mesa T000.
Cuando ingrese a la tabla, y haga clic en Display, le mostrará la lista de todos los clientes en su sistema SAP. Esta tabla incluye detalles de todos los clientes predeterminados y nuevos clientes que crea en un entorno para compartir recursos.
Puede utilizar el informe RSUSR003 para asegurarse de que se haya creado el usuario SAP en todos los clientes y que se hayan cambiado las contraseñas estándar para SAP, DDIC y SAPCPIC.
Ir ABAP Editor SE38 e ingrese el nombre del informe y haga clic en EJECUTAR.
Ingrese el título del informe y haga clic en Executebotón. Mostrará todos los clientes y usuarios estándar en el sistema SAP, el estado de la contraseña, el motivo del bloqueo de uso, válido desde y válido hasta, etc.
Protección del superusuario del sistema SAP
Para proteger a un superusuario del sistema SAP “SAP”, puede realizar los siguientes pasos en un sistema:
Step 1- Debe definir el nuevo Superusuario en un sistema SAP y desactivar el usuario SAP. Tenga en cuenta que no debe eliminar el usuario SAP en el sistema. Para desactivar el usuario codificado, puede utilizar el parámetro de perfil:login/no_automatic_user_sapstar.
Si se elimina el registro maestro de usuario del usuario SAP *, es posible iniciar sesión con “SAP” y la contraseña inicial PASS.
El usuario "SAP" tiene las siguientes propiedades:
El usuario tiene autorizaciones completas, ya que no se realizan verificaciones de autorización.
La contraseña predeterminada PASS no se puede cambiar.
Puede utilizar el parámetro de perfil login/no_automatic_user_sapstar para desactivar estas propiedades especiales de SAP y para controlar el inicio de sesión automático del usuario SAP *.
Step 2 - Para verificar el valor de este parámetro, ejecute Transaction RZ11 e ingrese el nombre del parámetro.
Values allowed - 0, 1, en el que -
0 - Se permite el usuario automático SAP *.
1 - El usuario automático SAP * está desactivado.
Step 3 - En el siguiente sistema, puede ver que el valor de este parámetro está establecido en 1. Esto muestra que el Superusuario “SAP” está desactivado en el sistema.
Step 4 - Haga clic en Display y puede ver el valor actual de este parámetro.
Para crear un nuevo Superusuario en el sistema, defina un nuevo registro maestro de usuario y asigne el perfil SAP_ALL a este superusuario.
Protección de usuario DDIC
Se requiere un usuario de DDIC para ciertas tareas relacionadas con la logística de software, el diccionario ABAP y las tareas relacionadas con la instalación y actualización. Para proteger a este usuario, es aconsejable bloquearlo en un sistema SAP. No debe eliminar este usuario para realizar algunas funcionalidades para uso futuro.
Para bloquear al usuario, use el código de transacción: SU01.
Si desea proteger a este usuario, puede asignar el SAP_ALL autorización a este usuario en el momento de la instalación y luego bloquearlo.
Protección del usuario SAPCPIC
Un usuario de SAPCPIC se utiliza para llamar a ciertos programas y módulos de funciones en un sistema SAP y no es un usuario de diálogo.
Debe bloquear a este usuario y cambiar la contraseña de este usuario para protegerlo. En las versiones anteriores, cuando bloquea al usuario de SAPCPIC o cambia la contraseña, afecta a los programas adicionales RSCOLL00, RSCOLL30 y LSYPGU01.
Protección de Early Watch
Un cliente 066: esto se llama SAP Early Watch y se utiliza para análisis de diagnóstico y servicio de monitoreo en el sistema SAP y el usuario EARLYWATCH es el usuario interactivo para el servicio Early Watch en el cliente 066. Para proteger a este usuario, puede realizar las siguientes acciones:
- Bloquear al usuario de EARLYWATCH hasta que no sea necesario en un entorno SAP.
- Cambie la contraseña predeterminada para este usuario.
Puntos clave
Para proteger a los usuarios de SAP Standard y proteger a los clientes en el panorama de SAP, debe considerar los siguientes puntos clave:
Debe mantener adecuadamente a los clientes en un sistema SAP y asegurarse de que no existan clientes desconocidos.
Debe asegurarse de que el superusuario de SAP "SAP" existe y se ha desactivado en todos los clientes.
Debe asegurarse de que se cambie la contraseña predeterminada para todos los usuarios estándar de SAP. Usuario de SAP, DDIC y EARLYWATCH.
Debe asegurarse de que todos los usuarios estándar se hayan agregado al grupo SUPER en un sistema SAP y que la única persona autorizada para realizar cambios en el grupo SUPER solo pueda editar estos usuarios.
Debe asegurarse de que se haya cambiado la contraseña predeterminada para SAPCPIC y que este usuario esté bloqueado y desbloqueado cuando sea necesario.
Todos los usuarios estándar de SAP deben estar bloqueados y solo pueden desbloquearse cuando sea necesario. La contraseña debe estar bien protegida para todos estos usuarios.
¿Cómo cambiar la contraseña de un usuario estándar?
Debe asegurarse de que la contraseña de todos los usuarios estándar de SAP se cambie en todos los clientes mantenidos en Table T000 y el usuario "SAP" debe existir para todos los clientes.
Para cambiar la contraseña, inicie sesión con Superusuario. Ingrese la Id. De usuario en el campo Nombre de usuario para el que desea cambiar la contraseña. Haga clic en la opción Cambiar contraseña como se muestra en la siguiente captura de pantalla:
Ingrese la nueva contraseña, repita la contraseña y haga clic en Apply. Debe repetir el mismo proceso para todos los usuarios estándar.