Segurança SAP - Proteção de usuários padrão
Quando você instala o sistema SAP pela primeira vez, alguns usuários padrão são criados para executar tarefas administrativas. Por padrão, ele cria três clientes no ambiente SAP, que são -
Cliente 000 - Cliente de Referência SAP
Cliente 001 - Cliente Modelo da SAP
Cliente 066 - Cliente SAP Early Watch
SAP cria usuários padrão no cliente mencionado acima no sistema. Cada usuário padrão tem sua própria senha padrão na primeira instalação.
Usuários padrão em um sistema SAP incluem os seguintes usuários no cliente padrão -
Do utilizador | Detalhes | Cliente | Senha padrão |
---|---|---|---|
SEIVA | Superusuário do sistema SAP | 000.001.066 | 6071992 |
Todos os novos clientes | PASSAR | ||
DDIC | Superusuário do dicionário ABAP | 000, 001 | 19920706 |
SAPCPIC | Usuário CPI-C para SAP | 000, 001 | admin |
EARLYWATCH | Usuário de observação antecipada | 66 | Apoio, suporte |
Esses são os usuários padrão nos clientes SAP Default para executar tarefas administrativas e de configuração no sistema SAP. Para manter a segurança em um sistema SAP, você deve proteger esses usuários -
Você deve adicionar esses usuários ao grupo SUPER, de forma que eles sejam modificados apenas por um Administrador que tenha o privilégio de adicionar / modificar usuários ao grupo SUPER.
A senha padrão para usuários padrão deve ser alterada.
Como ver a lista de clientes em um sistema SAP?
Você pode ver a lista de todos os clientes em seu ambiente SAP usando Transaction SM30, mostre a mesa T000.
Quando você entrar na mesa, clique em Display, ele mostrará a lista de todos os clientes em seu sistema SAP. Esta tabela inclui detalhes de todos os clientes padrão e novos clientes que você cria em um ambiente para compartilhamento de recursos.
Você pode usar o relatório RSUSR003 para certificar-se de que o usuário SAP foi criado em todos os clientes e que as senhas padrão foram alteradas para SAP, DDIC e SAPCPIC.
Vamos para ABAP Editor SE38 e digite o nome do relatório e clique em EXECUTAR.
Insira o título do relatório e clique em Executebotão. Ele exibirá todos os clientes e usuários padrão no sistema SAP, Status da senha, Motivo do bloqueio de uso, Válido desde e Válido até, etc.
Protegendo o superusuário do sistema SAP
Para proteger um Superusuário do sistema SAP “SAP”, você pode executar as seguintes etapas em um sistema -
Step 1- Você precisa definir o novo Superusuário em um sistema SAP e desativar o usuário SAP. Observe que você não deve excluir o usuário SAP do sistema. Para desativar o usuário embutido no código, você pode usar o parâmetro de perfil:login/no_automatic_user_sapstar.
Se o registro mestre do usuário SAP * for excluído, é possível fazer logon com “SAP” e a senha inicial PASS.
O usuário “SAP” tem as seguintes propriedades -
O usuário tem autorizações completas, uma vez que nenhuma verificação de autorização é executada.
A senha padrão PASS não pode ser alterada.
Você pode usar o parâmetro de perfil login/no_automatic_user_sapstar desativar essas propriedades especiais do SAP e controlar o login automático do usuário SAP *.
Step 2 - Para verificar o valor deste parâmetro, execute Transaction RZ11 e insira o nome do parâmetro.
Values allowed - 0, 1, em que -
0 - O usuário SAP * automático é permitido.
1 - O usuário SAP * automático é desativado.
Step 3 - No sistema a seguir, você pode ver que o valor deste parâmetro está definido como 1. Isso mostra que o Superusuário “SAP” está desativado no sistema.
Step 4 - Clique em Display e você pode ver o valor atual deste parâmetro.
Para criar um novo Superusuário no sistema, defina um novo registro mestre de usuário e atribua o perfil SAP_ALL para este superusuário.
Proteção do usuário DDIC
Um usuário DDIC é necessário para certas tarefas relacionadas à logística de software, dicionário ABAP e tarefas relacionadas à instalação e atualização. Para proteger este usuário, é aconselhável bloqueá-lo em um sistema SAP. Você não deve excluir este usuário para executar algumas funcionalidades para uso futuro.
Para bloquear o usuário, use o código de transação: SU01.
Se você deseja proteger este usuário, você pode atribuir o SAP_ALL autorização a este usuário no momento da instalação e posteriormente bloqueá-lo.
Protegendo o usuário SAPCPIC
Um usuário SAPCPIC é usado para chamar certos programas e módulos de função em um sistema SAP e não é um usuário de diálogo.
Você deve bloquear esse usuário e alterar a senha dele para protegê-lo. Nos releases anteriores, quando você bloqueia o usuário SAPCPIC ou altera a senha, isso afeta os programas adicionais RSCOLL00, RSCOLL30 e LSYPGU01.
Protegendo o Early Watch
A 066 Client - Isso é chamado SAP Early watch e é usado para varreduras de diagnóstico e serviço de monitoramento no sistema SAP e o usuário EARLYWATCH é o usuário interativo para o serviço Early Watch no Cliente 066. Para proteger este usuário, você pode executar as seguintes ações -
- Bloqueie o usuário EARLYWATCH até que não seja necessário em um ambiente SAP.
- Altere a senha padrão para este usuário.
Pontos chave
Para proteger os usuários SAP Standard e os clientes no ambiente SAP, você deve considerar os seguintes pontos-chave -
Você deve manter os clientes adequadamente em um sistema SAP e garantir que não existam clientes desconhecidos.
Você precisa garantir que o superusuário SAP “SAP” exista e tenha sido desativado em todos os clientes.
Você precisa garantir que a senha padrão seja alterada para todos os usuários SAP padrão SAP, DDIC e usuário EARLYWATCH.
Você precisa garantir que todos os usuários Standard foram adicionados ao grupo SUPER em um sistema SAP e a única pessoa autorizada a fazer alterações no grupo SUPER pode apenas editar esses usuários.
Você precisa se certificar de que a senha padrão para SAPCPIC foi alterada e este usuário está bloqueado e está desbloqueado quando necessário.
Todos os usuários SAP standard devem ser bloqueados e só podem ser desbloqueados quando necessário. A senha deve ser bem protegida para todos esses usuários.
Como alterar a senha de um usuário padrão?
Você deve garantir que a senha de todos os usuários padrão SAP seja alterada em todos os clientes mantidos em Table T000 e o usuário “SAP” deve existir para todos os clientes.
Para alterar a senha, faça o login com Superusuário. Digite a ID do usuário no campo Nome de usuário para o qual deseja alterar a senha. Clique na opção Alterar senha, conforme mostrado na imagem a seguir -
Digite a nova senha, repita a senha e clique em Apply. Você deve repetir o mesmo processo para todos os usuários padrão.