Bezpieczeństwo SAP - ochrona standardowych użytkowników
Podczas pierwszej instalacji systemu SAP istnieje kilku domyślnych użytkowników tworzonych w celu wykonywania zadań administracyjnych. Domyślnie tworzy trzech klientów w środowisku SAP, którymi są -
Klient 000 - klient referencyjny SAP
Klient 001 - Klient szablonu z SAP
Klient 066 - klient SAP Early Watch
SAP tworzy w systemie standardowych użytkowników w ww. Kliencie. Każdy użytkownik standardowy ma swoje własne domyślne hasło podczas pierwszej instalacji.
Użytkownicy standardowi w systemie SAP obejmują następujących użytkowników w ramach klienta domyślnego -
Użytkownik | Detale | Klient | Domyślne hasło |
---|---|---|---|
SOK ROŚLINNY | Superużytkownik systemu SAP | 000, 001, 066 | 6071992 |
Wszyscy nowi klienci | PRZECHODZIĆ | ||
DDIC | Superużytkownik ABAP Dictionary | 000, 001 | 19920706 |
SAPCPIC | CPI-C User dla SAP | 000, 001 | Admin |
EARLYWATCH | Użytkownik Early Watch | 66 | wsparcie |
Są to zwykli użytkownicy w ramach klientów domyślnych SAP do wykonywania zadań administracyjnych i konfiguracyjnych w systemie SAP. Aby zachować bezpieczeństwo w systemie SAP, należy chronić tych użytkowników -
Powinieneś dodać tych użytkowników do grupy SUPER, aby byli modyfikowani tylko przez Administratora, który ma uprawnienia do dodawania / modyfikowania użytkowników do grupy SUPER.
Należy zmienić domyślne hasło dla użytkowników standardowych.
Jak wyświetlić listę klientów w systemie SAP?
Listę wszystkich klientów w środowisku SAP można wyświetlić za pomocą Transakcji SM30, wyświetl tabelę T000.
Po wejściu do tabeli i kliknięciu Display, wyświetli listę wszystkich klientów w systemie SAP. Ta tabela zawiera szczegółowe informacje na temat wszystkich klientów domyślnych i nowych klientów tworzonych w środowisku udostępniania zasobów.
Możesz użyć raportu RSUSR003 aby upewnić się, że użytkownik SAP został utworzony we wszystkich klientach i że standardowe hasła zostały zmienione dla SAP, DDIC i SAPCPIC.
Iść do ABAP Editor SE38 i wprowadź nazwę raportu i kliknij WYKONAJ.
Wpisz tytuł raportu i kliknij Executeprzycisk. Wyświetli wszystkich klientów i standardowych użytkowników w systemie SAP, stan hasła, powód blokady użycia, ważny od i ważny do itp.
Ochrona superużytkownika systemu SAP
Aby chronić superużytkownika systemu SAP „SAP”, można wykonać następujące czynności w systemie -
Step 1- Należy zdefiniować nowego superużytkownika w systemie SAP i dezaktywować użytkownika SAP. Należy pamiętać, że nie wolno usuwać SAP użytkownika w systemie. Aby dezaktywować zakodowanego użytkownika, możesz użyć parametru profilu:login/no_automatic_user_sapstar.
Jeśli główny rekord użytkownika użytkownika SAP * zostanie usunięty, można zalogować się za pomocą „SAP” i początkowego hasła PASS.
Użytkownik „SAP” ma następujące właściwości -
Użytkownik ma pełne uprawnienia, ponieważ nie są przeprowadzane żadne kontrole uprawnień.
Domyślnego hasła PASS nie można zmienić.
Możesz użyć parametru profilu login/no_automatic_user_sapstar aby dezaktywować te specjalne właściwości SAP i kontrolować automatyczne logowanie użytkownika SAP *.
Step 2 - Aby sprawdzić wartość tego parametru, uruchom Transakcję RZ11 i wprowadź nazwę parametru.
Values allowed - 0, 1, w którym -
0 - Dopuszczalny jest automatyczny użytkownik SAP *.
1 - Automatyczny użytkownik SAP * jest wyłączony.
Step 3 - W poniższym systemie widać, że wartość tego parametru jest ustawiona na 1. Oznacza to, że superużytkownik „SAP” jest dezaktywowany w systemie.
Step 4 - Kliknij Display i możesz zobaczyć aktualną wartość tego parametru.
Aby utworzyć nowego superużytkownika w systemie, należy zdefiniować nowy główny rekord użytkownika i przypisać profil SAP_ALL do tego superużytkownika.
Ochrona użytkownika DDIC
Użytkownik DDIC jest wymagany do wykonywania niektórych zadań związanych z logistyką oprogramowania, słownikiem ABAP i zadaniami związanymi z instalacją i aktualizacją. Aby chronić tego użytkownika, zaleca się zablokowanie tego użytkownika w systemie SAP. Nie należy usuwać tego użytkownika, aby móc korzystać z kilku funkcji do wykorzystania w przyszłości.
Aby zablokować użytkownika, użyj kodu transakcji: SU01.
Jeśli chcesz chronić tego użytkownika, możesz przypisać plik SAP_ALL autoryzacja dla tego użytkownika w momencie instalacji, a później zablokowanie go.
Ochrona użytkownika SAPCPIC
Użytkownik SAPCPIC jest używany do wywoływania określonych programów i modułów funkcji w systemie SAP i nie jest użytkownikiem dialogu.
Powinieneś zablokować tego użytkownika i zmienić hasło dla tego użytkownika, aby go chronić. W poprzednich wersjach zablokowanie użytkownika SAPCPIC lub zmiana hasła wpływa na dodatkowe programy RSCOLL00, RSCOLL30 i LSYPGU01.
Ochrona wczesnej obserwacji
Klient 066 - nazywa się to SAP Early Watch i służy do skanowania diagnostycznego i usługi monitorowania w systemie SAP, a użytkownik EARLYWATCH jest użytkownikiem interaktywnym usługi Early Watch w kliencie 066. Aby zabezpieczyć tego użytkownika, można wykonać następujące czynności -
- Zablokuj użytkownika EARLYWATCH, dopóki nie będzie to wymagane w środowisku SAP.
- Zmień domyślne hasło dla tego użytkownika.
Kluczowe punkty
Aby chronić użytkowników SAP Standard i chronić klientów w środowisku SAP, należy wziąć pod uwagę następujące kluczowe punkty -
Należy odpowiednio obsługiwać klientów w systemie SAP i upewnić się, że nie ma żadnych nieznanych klientów.
Należy upewnić się, że superużytkownik SAP „SAP” istnieje i został dezaktywowany we wszystkich klientach.
Należy upewnić się, że domyślne hasło zostało zmienione dla wszystkich standardowych użytkowników SAP SAP, DDIC i EARLYWATCH.
Należy upewnić się, że wszyscy użytkownicy Standard zostali dodani do grupy SUPER w systemie SAP i jedyna osoba upoważniona do wprowadzania zmian w grupie SUPER może edytować tylko tych użytkowników.
Musisz upewnić się, że domyślne hasło SAPCPIC zostało zmienione, a ten użytkownik jest zablokowany i odblokowany, gdy jest to wymagane.
Wszyscy użytkownicy standardu SAP powinni być zablokowani i można ich odblokować tylko wtedy, gdy jest to wymagane. Hasło powinno być dobrze chronione dla wszystkich tych użytkowników.
Jak zmienić hasło zwykłego użytkownika?
Należy upewnić się, że hasło dla wszystkich standardowych użytkowników SAP powinno zostać zmienione we wszystkich klientach obsługiwanych w Table T000 a użytkownik „SAP” powinien istnieć dla wszystkich klientów.
Aby zmienić hasło, zaloguj się jako Super user. Wprowadź identyfikator użytkownika w polu Nazwa użytkownika, dla którego chcesz zmienić hasło. Kliknij opcję Zmień hasło, jak pokazano na poniższym zrzucie ekranu -
Wprowadź nowe hasło, powtórz hasło i kliknij Apply. Powinieneś powtórzyć ten sam proces dla wszystkich standardowych użytkowników.