SAP 安全 – 保护标准用户
SAP 安全 – 保护标准用户
首次安装 SAP 系统时,会创建一些默认用户来执行管理任务。默认情况下,它在 SAP 环境中创建三个客户端,它们是 –
-
客户端 000 – SAP 参考客户端
-
客户端 001 – SAP 的模板客户端
-
客户端 066 – SAP Early Watch 客户端
SAP 在系统中的上述客户端中创建标准用户。每个标准用户在第一次安装时都有自己的默认密码。
SAP 系统中的标准用户包括默认客户端下的以下用户 –
| User | 细节 | 客户 | 默认密码 |
|---|---|---|---|
| SAP | SAP系统超级用户 | 000, 001, 066 | 6071992 |
| All New Clients | 经过 | ||
| DDIC | ABAP词典超级用户 | 000, 001 | 19920706 |
| SAPCPIC | SAP CPI-C 用户 | 000, 001 | 行政 |
| EARLYWATCH | 早期观看用户 | 66 | 支持 |
这些是 SAP 默认客户端下的标准用户,用于在 SAP 系统中执行管理和配置任务。为了维护 SAP 系统的安全性,您应该保护这些用户 –
-
您应该将这些用户添加到 SUPER 组,以便只有有权将用户添加/修改到 SUPER 组的管理员才能修改它们。
-
标准用户的默认密码应该更改。
如何查看 SAP 系统中的客户端列表?
您可以使用事务SM30查看 SAP 环境中所有客户端的列表,显示表T000。
当您进入表格并单击显示时,它将显示您 SAP 系统中所有客户的列表。此表包含您在环境中为共享资源而创建的所有默认客户端和新客户端的详细信息。
您可以使用报告RSUSR003来确保已在所有客户端中创建用户 SAP,并且已更改 SAP、DDIC 和 SAPCPIC 的标准密码。
转到ABAP Editor SE38并输入报告名称并单击 EXECUTE。
输入报告标题并单击“执行”按钮。它将显示 SAP 系统中的所有客户端和标准用户、密码状态、使用原因锁定、有效期自和有效期至等。
保护 SAP 系统超级用户
要保护 SAP 系统超级用户“SAP”,您可以在系统中执行以下步骤 –
步骤 1 – 您需要在 SAP 系统中定义新的超级用户并停用 SAP 用户。请注意,您不得删除系统中的用户 SAP。要停用硬编码用户,您可以使用配置文件参数:login/no_automatic_user_sapstar。
如果用户 SAP* 的用户主记录被删除,则可以使用“SAP”和初始密码 PASS 登录。
“SAP”用户具有以下属性 –
用户具有完全授权,因为不执行授权检查。
-
默认密码 PASS 无法更改。
-
您可以使用配置文件参数login/no_automatic_user_sapstar停用 SAP 的这些特殊属性并控制用户 SAP* 的自动登录。
步骤 2 – 要检查此参数的值,请运行事务RZ11并输入参数名称。
允许的值– 0, 1,其中 –
-
0 – 允许自动用户 SAP*。
-
1 – 自动用户 SAP* 已停用。
步骤 3 – 在以下系统中,您可以看到此参数的值设置为 1。这表明系统中的超级用户“SAP”已停用。
步骤 4 – 单击显示,您可以看到此参数的当前值。
要在系统中创建新的超级用户,请定义一个新的用户主记录并将配置文件SAP_ALL分配给该超级用户。
DDIC用户保护
某些与软件物流、ABAP 词典以及与安装和升级相关的任务相关的任务需要 DDIC 用户。为了保护此用户,建议将此用户锁定在 SAP 系统中。您不应该删除此用户来执行一些功能以供将来使用。
要锁定用户,请使用事务代码:SU01。
如果要保护此用户,可以在安装时为该用户分配SAP_ALL权限,然后将其锁定。
保护 SAPCPIC 用户
SAPCPIC 用户用于调用 SAP 系统中的某些程序和功能模块,是非对话用户。
您应该锁定此用户并更改此用户的密码以保护它。在以前的版本中,当您锁定 SAPCPIC 用户或更改密码时,它会影响其他程序 RSCOLL00、RSCOLL30 和 LSYPGU01。
保护早期观察
A 066 Client – 这称为 SAP Early watch,用于 SAP 系统中的诊断扫描和监控服务,用户 EARLYWATCH 是 Client 066 中 Early Watch 服务的交互式用户。为了保护该用户,您可以执行以下操作 –
- 锁定 EARLYWATCH 用户,直到在 SAP 环境中不需要它。
- 更改此用户的默认密码。
关键点
为了保护 SAP 标准用户并保护 SAP 环境中的客户,您应该考虑以下关键点 –
-
您应该妥善维护 SAP 系统中的客户端,并确保不存在未知客户端。
-
您需要确保 SAP 超级用户“SAP”存在并且已在所有客户端中停用。
-
您需要确保为所有 SAP 标准用户 SAP、DDIC 和 EARLYWATCH 用户更改默认密码。
-
您需要确保所有标准用户都已添加到 SAP 系统中的 SUPER 组中,并且唯一有权更改 SUPER 组的人员只能编辑这些用户。
-
您需要确保 SAPCPIC 的默认密码已更改且此用户已锁定,并在需要时解锁。
-
所有 SAP 标准用户都应该被锁定,并且只有在需要时才能解锁。所有这些用户的密码都应该得到很好的保护。
如何更改标准用户的密码?
您应确保在表 T000 中维护的所有客户端中更改所有 SAP 标准用户的密码,并且所有客户端都应存在用户“SAP”。
要更改密码,请使用超级用户登录。在用户名字段中输入要更改密码的用户 ID。单击更改密码选项,如下面的屏幕截图所示 –
输入新密码,重复密码并点击应用。您应该对所有标准用户重复相同的过程。
