SAP 安全 - 保护标准用户
首次安装 SAP 系统时,会创建一些默认用户来执行管理任务。默认情况下,它在 SAP 环境中创建三个客户端,它们是 -
客户端 000 - SAP 参考客户端
客户端 001 - SAP 的模板客户端
客户端 066 - SAP 早期观察客户端
SAP在系统的上述客户端中创建标准用户。每个标准用户在首次安装时都有自己的默认密码。
SAP 系统中的标准用户包括默认客户端下的以下用户 -
| 用户 | 细节 | 客户 | 默认密码 |
|---|---|---|---|
| 树液 | SAP系统超级用户 | 000、001、066 | 6071992 |
| 所有新客户 | 经过 | ||
| DDIC | ABAP词典超级用户 | 000, 001 | 19920706 |
| 新加坡太平洋石油公司 | SAP 的 CPI-C 用户 | 000, 001 | 行政 |
| 早期观察 | 早期观看用户 | 66 | 支持 |
这些是 SAP 默认客户端下的标准用户,用于在 SAP 系统中执行管理和配置任务。为了维护 SAP 系统的安全性,您应该保护这些用户 -
您应该将这些用户添加到 SUPER 组,以便它们只能由有权向 SUPER 组添加/修改用户的管理员修改。
应更改标准用户的默认密码。
如何查看SAP系统中的客户列表?
您可以使用事务SM30查看SAP环境中所有客户端的列表,显示表T000。
当您进入表格并单击“显示”时,它将显示 SAP 系统中所有客户端的列表。此表包含您在资源共享环境中创建的所有默认客户端和新客户端的详细信息。
您可以使用报告RSUSR003确保已在所有客户端中创建用户 SAP,并且已更改 SAP、DDIC 和 SAPCPIC 的标准密码。
转到ABAP Editor SE38并输入报告名称,然后单击EXECUTE。
输入报告标题并单击“执行”按钮。它将显示SAP系统中的所有客户端和标准用户、密码状态、使用锁定的原因、有效期从和有效期到等。
保护SAP系统超级用户
要保护 SAP 系统超级用户“SAP”,您可以在系统中执行以下步骤 -
步骤 1 - 您需要在 SAP 系统中定义新的超级用户并停用 SAP 用户。请注意,您不得删除系统中的用户 SAP。要停用硬编码用户,您可以使用配置文件参数:login/no_automatic_user_sapstar。
如果删除用户 SAP* 的用户主记录,则可以使用“SAP”和初始密码 PASS 登录。
“SAP”用户具有以下属性 -
由于不执行任何授权检查,因此用户拥有完全授权。
默认密码 PASS 无法更改。
您可以使用配置文件参数login/no_automatic_user_sapstar来停用 SAP 的这些特殊属性并控制用户 SAP* 的自动登录。
步骤 2 - 要检查此参数的值,请运行事务RZ11并输入参数名称。
允许的值- 0、1,其中 -
0 - 允许自动用户 SAP*。
1 - 自动用户 SAP* 已停用。
步骤 3 - 在以下系统中,您可以看到此参数的值设置为 1。这表明超级用户“SAP”在系统中已停用。
步骤 4 - 单击“显示”,您可以看到该参数的当前值。
要在系统中创建新的超级用户,请定义新的用户主记录并将配置文件SAP_ALL分配给该超级用户。
DDIC 用户保护
与软件物流、ABAP 词典以及与安装和升级相关的任务相关的某些任务需要 DDIC 用户。为了保护该用户,建议在 SAP 系统中锁定该用户。您不应删除此用户来执行一些功能以供将来使用。
要锁定用户,请使用事务代码:SU01。
如果要保护该用户,可以在安装时为该用户分配SAP_ALL权限,然后将其锁定。
保护 SAPCPIC 用户
SAPCPIC用户用于调用SAP系统中的某些程序和功能模块,是非对话用户。
您应该锁定该用户并更改该用户的密码以保护它。在以前的版本中,当您锁定 SAPCPIC 用户或更改密码时,它会影响其他程序 RSCOLL00、RSCOLL30 和 LSYPGU01。
保护早期观察
066 客户端 - 这称为 SAP Early Watch,用于 SAP 系统中的诊断扫描和监控服务,用户 EARLYWATCH 是客户端 066 中 Early Watch 服务的交互式用户。为了保护此用户,您可以执行以下操作 -
- 锁定 EARLYWATCH 用户,直到 SAP 环境中不需要为止。
- 更改该用户的默认密码。
关键点
为了保护 SAP 标准用户并保护 SAP 环境中的客户端,您应该考虑以下要点 -
妥善维护SAP系统中的客户端,确保不存在未知客户端。
您需要确保 SAP 超级用户“SAP”存在并且已在所有客户端中停用。
您需要确保更改所有 SAP 标准用户 SAP、DDIC 和 EARLYWATCH 用户的默认密码。
您需要确保所有标准用户都已添加到 SAP 系统中的 SUPER 组,并且唯一有权更改 SUPER 组的人员只能编辑这些用户。
您需要确保 SAPCPIC 的默认密码已更改,并且该用户已锁定,并在需要时解锁。
所有 SAP 标准用户都应被锁定,并且只能在需要时解锁。应该为所有这些用户很好地保护密码。
如何修改标准用户密码?
您应确保在表 T000中维护的所有客户端中更改所有 SAP 标准用户的密码,并且所有客户端都应存在用户“SAP”。
要更改密码,请使用超级用户登录。在用户名字段中输入要更改密码的用户 ID。单击更改密码选项,如以下屏幕截图所示 -
输入新密码,重复密码,然后单击“应用”。您应该对所有标准用户重复相同的过程。
