- SAP 安全教程
- SAP 安全 - 首頁
- SAP 安全 - 概述
- 使用者認證與管理
- 網路通訊安全
- 保護標準使用者
- 未授權登入保護
- 系統授權概念
- SAP 安全 - Unix 平臺
- SAP 安全 - Windows 平臺
- SAP 安全 - 資料庫
- 使用者認證與單點登入
- SAP 安全 - 登入票據
- SAP 安全有用資源
- SAP 安全 - 快速指南
- SAP 安全 - 有用資源
- SAP 安全 - 討論
SAP 安全 - 保護標準使用者
首次安裝 SAP 系統時,會建立一些預設使用者來執行管理任務。預設情況下,它會在 SAP 環境中建立三個客戶端,它們是:
客戶端 000 - SAP 參考客戶端
客戶端 001 - SAP 的模板客戶端
客戶端 066 - SAP Early Watch 客戶端
SAP 在上述系統客戶端中建立標準使用者。每個標準使用者在首次安裝時都有自己的預設密碼。
SAP 系統中的標準使用者包括以下預設客戶端下的使用者:
| 使用者 | 詳細資訊 | 客戶端 | 預設密碼 |
|---|---|---|---|
| SAP | SAP 系統超級使用者 | 000, 001, 066 | 6071992 |
| 所有新客戶端 | PASS | ||
| DDIC | ABAP 字典超級使用者 | 000, 001 | 19920706 |
| SAPCPIC | SAP 的 CPI-C 使用者 | 000, 001 | admin |
| EARLYWATCH | Early Watch 使用者 | 66 | support |
這些是 SAP 預設客戶端下的標準使用者,用於在 SAP 系統中執行管理和配置任務。為了維護 SAP 系統的安全,您應該保護這些使用者:
您應該將這些使用者新增到 SUPER 組,以便只有擁有向 SUPER 組新增/修改使用者的許可權的管理員才能修改它們。
應更改標準使用者的預設密碼。
如何在 SAP 系統中檢視客戶端列表?
您可以使用事務SM30檢視 SAP 環境中所有客戶端的列表,顯示錶T000。
輸入表格並單擊顯示後,它將顯示 SAP 系統中所有客戶端的列表。此表包含您在環境中建立的所有預設客戶端和新客戶端的詳細資訊,用於共享資源。
您可以使用報表RSUSR003確保使用者 SAP 已在所有客戶端中建立,並且已更改 SAP、DDIC 和 SAPCPIC 的標準密碼。
轉到ABAP 編輯器 SE38並輸入報表名稱,然後單擊執行。
輸入報表標題並單擊執行按鈕。它將顯示 SAP 系統中的所有客戶端和標準使用者、密碼狀態、使用鎖定原因、有效期自和有效期至等資訊。
保護 SAP 系統超級使用者
要保護 SAP 系統超級使用者“SAP”,您可以在系統中執行以下步驟:
步驟 1 - 您需要在 SAP 系統中定義新的超級使用者並停用 SAP 使用者。請注意,您不得刪除系統中的 SAP 使用者。要停用硬編碼使用者,您可以使用配置檔案引數:login/no_automatic_user_sapstar。
如果刪除了使用者 SAP* 的使用者主記錄,則可以使用“SAP”和初始密碼 PASS 登入。
“SAP”使用者具有以下屬性:
該使用者擁有完全授權,因為不執行授權檢查。
預設密碼 PASS 無法更改。
您可以使用配置檔案引數login/no_automatic_user_sapstar停用 SAP 的這些特殊屬性,並控制使用者 SAP* 的自動登入。
步驟 2 - 要檢查此引數的值,請執行事務RZ11並輸入引數名稱。
允許的值 - 0、1,其中:
0 - 允許自動使用者 SAP*。
1 - 停用自動使用者 SAP*。
步驟 3 - 在以下系統中,您可以看到此引數的值設定為 1。這表明超級使用者“SAP”在系統中被停用。
步驟 4 - 單擊顯示,您可以看到此引數的當前值。
要在系統中建立新的超級使用者,請定義新的使用者主記錄並將配置檔案SAP_ALL分配給此超級使用者。
DDIC 使用者保護
某些與軟體物流、ABAP 字典以及與安裝和升級相關的任務需要 DDIC 使用者。為了保護此使用者,建議在 SAP 系統中鎖定此使用者。您不應刪除此使用者以執行一些功能以備將來使用。
要鎖定使用者,請使用事務程式碼:SU01。
如果要保護此使用者,您可以在安裝時將SAP_ALL授權分配給此使用者,然後將其鎖定。
保護 SAPCPIC 使用者
SAPCPIC 使用者用於在 SAP 系統中呼叫某些程式和函式模組,並且是非對話使用者。
您應該鎖定此使用者並更改此使用者的密碼以保護它。在以前的版本中,當您鎖定 SAPCPIC 使用者或更改密碼時,它會影響其他程式 RSCOLL00、RSCOLL30 和 LSYPGU01。
保護 Early Watch
客戶端 066 - 這稱為 SAP Early Watch,用於 SAP 系統中的診斷掃描和監控服務,使用者 EARLYWATCH 是客戶端 066 中 Early Watch 服務的互動式使用者。為了保護此使用者,您可以執行以下操作:
- 鎖定 EARLYWATCH 使用者,直到 SAP 環境中不再需要它。
- 更改此使用者的預設密碼。
關鍵點
要保護 SAP 標準使用者並保護 SAP 系統環境中的客戶端,您應該考慮以下關鍵點:
您應該正確維護 SAP 系統中的客戶端,並確保不存在未知客戶端。
您需要確保 SAP 超級使用者“SAP”存在並且已在所有客戶端中停用。
您需要確保已更改所有 SAP 標準使用者 SAP、DDIC 和 EARLYWATCH 使用者的預設密碼。
您需要確保所有標準使用者都已新增到 SAP 系統中的 SUPER 組,並且只有被授權更改 SUPER 組的人員才能編輯這些使用者。
您需要確保已更改 SAPCPIC 的預設密碼,並且此使用者已鎖定,並在需要時解鎖。
所有 SAP 標準使用者都應鎖定,並且僅在需要時才能解鎖。應妥善保護所有這些使用者的密碼。
如何更改標準使用者的密碼?
您應確保已更改表 T000中維護的所有客戶端中所有 SAP 標準使用者的密碼,並且使用者“SAP”應存在於所有客戶端中。
要更改密碼,請使用超級使用者登入。在要更改其密碼的使用者名稱欄位中輸入使用者 ID。單擊以下螢幕截圖中所示的更改密碼選項:
輸入新密碼,重複密碼,然後單擊應用。您應該對所有標準使用者重複相同的過程。
