Protege tu sistema de accesos no deseados

lunes, 13 de mayo de 2013

Protege tu sistema de accesos no deseados

Cuando realizamos una instalación nueva, SAP nos provee con una serie de usuarios estándar con los cuales realizar las tareas iniciales. Son usuarios que se crean durante la instalación del sistema y se mantienen mientras los administradores no los bloqueen. Al ser usuarios estándar, cuya clave de acceso es conocida, pueden suponer un problema de seguridad para nuestra implementación. Este artículo trata de cómo localizar estos usuarios que nos están poniendo en peligro.

Usuarios estándar SAP

Los usuarios estándar de SAP más conocidos son los usuarios SAP*, EARLYWATCH y DDIC y sus passwords de inicio se resumen en la siguiente tabla.



MandanteClave
SAP*000, 001, 06606071992
SAP*OtrosPASS
DDIC000, 00119920706
EARLYWATCH066support


  • SAP*: superusuario inicial del sistema. Tiene autorizaciones para cualquier acción que se desee realizar en el sistema. Originalmente se crea para los mandantes 000, 001 y 066. Sin embargo, SAP crea un nuevo usuario SAP* cada vez que se da de alta un nuevo mandante. SAP aconseja cambiar su contraseña tan pronto sea posible.
  • DDIC: superusuario de SAP. Es el único usuario que tiene privilegios de acceso al sistema cuando realizamos tareas de upgrade. SAP aconseja cambiar su contraseña.
  • EARLYWATCH: este usuario sólo debería utilizarse para tareas de monitorización. SAP aconseja cambiar su contraseña.
También es una buena idea bloquear estos usuarios y no desbloquearlos hasta que no sean necesarios de nuevo. Otros usuarios estándar de SAP son, por ejemplo, los usuarios SAPCPICTMSADM y WF_BATCH que se utilizan respectivamente para tareas de transporte entre mandantes y de workflow.

Verificación de passwords conocidos

Para detectar qué usuarios estándar del sistema siguen teniendo la contraseña original y, por lo tanto, qué usuarios pueden estar generándonos un posible problema de seguridad recorremos al programa RSUSR003

Sistema / Servicios / SA38 - Reporting

  • Escribimos el nombre del programa RSUSR003 y ejecutamos.
  • Ejecutamos la pantalla de parámetros tal cual, sin introducir datos.
  • Obtendremos los resultados de los principales usuarios y su estado para todos los mandantes.
Programa RSUSR003


En la pantalla SAP  nos muestra en rojo aquellos usuarios con problemas de seguridad e, incluso nos señala cómo resolver el problema.

Por defecto, este programa sólo nos muestra los resultados en referencia a los usuarios SAP*, DDIC y SAPCPIC. Sin embargo, si implementamos la nota 1552894 también obtendremos el estado del usuario TMSADM.

Más información


Imagen inicial | foilman

3 comentarios:

  1. El mandante de EARLYWATCH es 006 o 066 ?

    ResponderEliminar
    Respuestas
    1. Es el 066. Gracias por el comentario. Ya está corregido.

      Eliminar