SAP Security - Bảo vệ Người dùng Chuẩn
Khi bạn cài đặt hệ thống SAP lần đầu tiên, có một số người dùng mặc định được tạo ra để thực hiện các tác vụ quản trị. Theo mặc định, nó tạo ra ba máy khách trong Môi trường SAP, đó là:
Máy khách 000 - Máy khách tham chiếu SAP
Ứng dụng khách 001 - Ứng dụng khách mẫu từ SAP
Khách hàng 066 - Khách hàng theo dõi sớm SAP
SAP tạo ra những người dùng tiêu chuẩn trong ứng dụng khách nói trên trong hệ thống. Mỗi người dùng tiêu chuẩn có mật khẩu mặc định của riêng mình với lần cài đặt đầu tiên.
Người dùng Chuẩn trong hệ thống SAP bao gồm những người dùng sau trong ứng dụng khách mặc định -
Người dùng | Chi tiết | Khách hàng | Mật khẩu mặc định |
---|---|---|---|
nhựa cây | Siêu người dùng hệ thống SAP | 000, 001, 066 | 6071992 |
Tất cả khách hàng mới | VƯỢT QUA | ||
DDIC | ABAP Dictionary Super User | 000, 001 | 19920706 |
SAPCPIC | Người dùng CPI-C cho SAP | 000, 001 | quản trị viên |
ĐỒNG HỒ SỚM | Người dùng xem sớm | 66 | ủng hộ |
Đây là những người dùng tiêu chuẩn trong các máy khách SAP Mặc định để thực hiện nhiệm vụ quản trị và cấu hình trong hệ thống SAP. Để duy trì bảo mật trong hệ thống SAP, bạn nên bảo vệ những người dùng này -
Bạn nên thêm những người dùng này vào nhóm SUPER, để họ chỉ được sửa đổi bởi Quản trị viên có đặc quyền thêm / sửa đổi người dùng vào nhóm SUPER.
Mật khẩu mặc định cho người dùng Chuẩn phải được thay đổi.
Làm thế nào để Xem Danh sách Khách hàng trong Hệ thống SAP?
Bạn có thể xem danh sách tất cả các khách hàng trong môi trường SAP của mình bằng cách sử dụng Giao dịch SM30, hiển thị bảng T000.
Khi bạn vào bảng và nhấp vào Display, nó sẽ hiển thị cho bạn danh sách tất cả các khách hàng trong hệ thống SAP của bạn. Bảng này bao gồm chi tiết của tất cả các máy khách mặc định và máy khách mới mà bạn tạo trong môi trường chia sẻ tài nguyên.
Bạn có thể sử dụng báo cáo RSUSR003 để đảm bảo rằng SAP người dùng đã được tạo trong tất cả các ứng dụng khách và mật khẩu chuẩn đã được thay đổi cho SAP, DDIC và SAPCPIC.
Đi đến ABAP Editor SE38 và nhập tên báo cáo và nhấp vào THỰC HIỆN.
Nhập tiêu đề báo cáo và nhấp vào Executecái nút. Nó sẽ hiển thị tất cả các máy khách và người dùng tiêu chuẩn trong Hệ thống SAP, Trạng thái mật khẩu, Khóa lý do sử dụng, Hợp lệ từ và Hợp lệ đến, v.v.
Bảo vệ Siêu người dùng Hệ thống SAP
Để bảo vệ Siêu Người dùng Hệ thống SAP “SAP”, bạn có thể thực hiện các bước sau trong hệ thống:
Step 1- Bạn cần xác định Người dùng Siêu mới trong hệ thống SAP và hủy kích hoạt người dùng SAP. Lưu ý rằng bạn không được xóa SAP của người dùng trong hệ thống. Để hủy kích hoạt người dùng được mã hóa cứng, bạn có thể sử dụng tham số cấu hình:login/no_automatic_user_sapstar.
Nếu bản ghi chính người dùng của người dùng SAP * bị xóa, bạn có thể đăng nhập bằng “SAP” và PASS mật khẩu ban đầu.
Người dùng "SAP" có các thuộc tính sau:
Người dùng có toàn quyền vì không có kiểm tra ủy quyền nào được thực hiện.
Không thể thay đổi mật khẩu PASS mặc định.
Bạn có thể sử dụng tham số hồ sơ login/no_automatic_user_sapstar để hủy kích hoạt các thuộc tính đặc biệt này của SAP và kiểm soát việc đăng nhập tự động của người dùng SAP *.
Step 2 - Để kiểm tra giá trị của tham số này, hãy chạy Giao dịch RZ11 và nhập tên tham số.
Values allowed - 0, 1, trong đó -
0 - Cho phép người dùng tự động SAP *.
1 - Người dùng tự động SAP * bị vô hiệu hóa.
Step 3 - Trong hệ thống sau, bạn có thể thấy giá trị của tham số này được đặt thành 1. Điều này cho thấy rằng Super user “SAP” đã bị vô hiệu hóa trong hệ thống.
Step 4 - Bấm vào Display và bạn có thể thấy giá trị hiện tại của tham số này.
Để tạo Siêu người dùng mới trong hệ thống, hãy xác định hồ sơ chính người dùng mới và gán hồ sơ SAP_ALL cho siêu người dùng này.
Bảo vệ người dùng DDIC
Người dùng DDIC được yêu cầu cho một số tác vụ liên quan đến Hậu cần phần mềm, Từ điển ABAP và Nhiệm vụ liên quan đến cài đặt và nâng cấp. Để bảo vệ người dùng này, bạn nên khóa người dùng này trong hệ thống SAP. Bạn không nên xóa người dùng này để thực hiện một số chức năng để sử dụng trong tương lai.
Để khóa người dùng, hãy sử dụng Mã giao dịch: SU01.
Nếu bạn muốn bảo vệ người dùng này, bạn có thể chỉ định SAP_ALL ủy quyền cho người dùng này tại thời điểm cài đặt và sau đó khóa nó.
Bảo vệ người dùng SAPCPIC
Người dùng SAPCPIC được sử dụng để gọi các chương trình và mô-đun chức năng nhất định trong hệ thống SAP và là người dùng không sử dụng hộp thoại.
Bạn nên khóa người dùng này và thay đổi mật khẩu cho người dùng này để bảo vệ nó. Trong các bản phát hành trước, khi bạn khóa người dùng SAPCPIC hoặc thay đổi mật khẩu, nó sẽ ảnh hưởng đến các chương trình bổ sung RSCOLL00, RSCOLL30 và LSYPGU01.
Bảo vệ Xem sớm
Ứng dụng khách 066 - Đây được gọi là SAP Early watch và được sử dụng cho dịch vụ giám sát và quét chẩn đoán trong hệ thống SAP và người dùng EARLYWATCH là người dùng tương tác cho dịch vụ Early Watch trong Client 066. Để bảo mật người dùng này, bạn có thể thực hiện các hành động sau:
- Khóa người dùng EARLYWATCH cho đến khi không cần thiết trong môi trường SAP.
- Thay đổi mật khẩu mặc định cho người dùng này.
Những điểm chính
Để bảo vệ người dùng SAP Standard và bảo vệ khách hàng trong bối cảnh SAP, bạn nên xem xét các điểm chính sau:
Bạn nên duy trì đúng cách các máy khách trong hệ thống SAP và đảm bảo rằng không có máy khách nào không xác định tồn tại.
Bạn cần đảm bảo rằng SAP super user “SAP” tồn tại và đã bị vô hiệu hóa trong tất cả các máy khách.
Bạn cần đảm bảo rằng mật khẩu mặc định được thay đổi cho tất cả người dùng chuẩn SAP SAP, DDIC và người dùng EARLYWATCH.
Bạn cần đảm bảo rằng tất cả người dùng Chuẩn đã được thêm vào nhóm SUPER trong hệ thống SAP và người duy nhất được phép thực hiện thay đổi đối với nhóm SUPER chỉ có thể chỉnh sửa những người dùng này.
Bạn cần đảm bảo rằng mật khẩu mặc định cho SAPCPIC đã được thay đổi và người dùng này bị khóa và nó được mở khóa khi được yêu cầu.
Tất cả người dùng chuẩn SAP phải được khóa và chỉ có thể được mở khóa khi được yêu cầu. Mật khẩu phải được bảo vệ tốt cho tất cả những người dùng này.
Làm thế nào để thay đổi mật khẩu của một người dùng chuẩn?
Bạn nên đảm bảo rằng mật khẩu cho tất cả người dùng chuẩn SAP phải được thay đổi trong tất cả các máy khách được duy trì trong Table T000 và người dùng “SAP” phải tồn tại cho tất cả các máy khách.
Để thay đổi mật khẩu, hãy đăng nhập bằng Super user. Nhập Id người dùng vào trường Tên người dùng mà bạn muốn thay đổi mật khẩu. Nhấp vào tùy chọn Thay đổi mật khẩu như được hiển thị trong ảnh chụp màn hình sau:
Nhập mật khẩu mới, lặp lại mật khẩu và nhấp vào Apply. Bạn nên lặp lại quy trình tương tự cho tất cả người dùng tiêu chuẩn.