Sap-security-protecting-standard-users
SAPセキュリティ-標準ユーザーの保護
SAPシステムを初めてインストールするとき、管理タスクを実行するために作成されるいくつかのデフォルトユーザーがいます。 デフォルトでは、SAP環境に3つのクライアントを作成します。
- クライアント000-SAP Reference Client
- クライアント001-SAPのテンプレートクライアント
- クライアント066-SAP Early Watch Client
SAPは、システム内の上記のクライアントに標準ユーザーを作成します。 各標準ユーザーには、最初のインストール時に独自のデフォルトパスワードがあります。
SAPシステムの標準ユーザーには、デフォルトクライアントの下に次のユーザーが含まれます-
User
詳細
クライアント
デフォルトのパスワード
SAP
SAPシステムのスーパーユーザー
000、001、066
6071992
すべての新規クライアント
PASS
DDIC
ABAP辞書スーパーユーザー
000、001
19920706
SAPCPIC
SAPのCPI-Cユーザー
000、001
管理者
アーリーウォッチ
早期監視ユーザー
66
サポート
これらは、SAPシステムで管理タスクと構成タスクを実行するSAPデフォルトクライアントの下の標準ユーザーです。 SAPシステムのセキュリティを維持するには、これらのユーザーを保護する必要があります-
- これらのユーザーをグループSUPERに追加して、ユーザーをグループSUPERに追加/変更する権限を持つ管理者のみが変更できるようにする必要があります。
- 標準ユーザーのデフォルトパスワードは変更する必要があります。
SAPシステムでクライアントのリストを表示する方法は?
トランザクション SM30 を使用してSAP環境のすべてのクライアントのリストを表示し、テーブル T000 を表示できます。
テーブルを入力して*表示*をクリックすると、SAPシステム内のすべてのクライアントのリストが表示されます。 この表には、すべてのデフォルトクライアントと、リソースを共有する環境で作成する新しいクライアントの詳細が含まれています。
レポート RSUSR003 を使用して、ユーザーSAPがすべてのクライアントで作成され、SAP、DDIC、およびSAPCPICの標準パスワードが変更されていることを確認できます。
*ABAP Editor SE38* に移動し、レポート名を入力して、EXECUTEをクリックします。
レポートのタイトルを入力し、[実行]ボタンをクリックします。 SAPシステム内のすべてのクライアントと標準ユーザー、パスワードステータス、使用理由ロック、有効開始日と有効終了日などが表示されます。
SAPシステムのスーパーユーザーの保護
SAPシステムスーパーユーザー「SAP」を保護するために、システムで次の手順を実行できます-
ステップ1 *-SAPシステムで新しいスーパーユーザーを定義し、SAPユーザーを無効にする必要があります。 システム内のユーザーSAPを削除しないでください。 ハードコーディングされたユーザーを無効にするには、プロファイルパラメータ login/no_automatic_user_sapstar。*を使用できます。
ユーザーSAP *のユーザーマスタレコードが削除された場合、「SAP」と初期パスワードPASSでログオンできます。
「SAP」ユーザーには次のプロパティがあります-
許可検査は実行されないため、ユーザーには完全な許可があります。
- デフォルトのパスワードPASSは変更できません。
- プロファイルパラメータ login/no_automatic_user_sapstar を使用して、SAPのこれらの特別なプロパティを無効にし、ユーザーSAP *の自動ログインを制御できます。
ステップ2 *-このパラメーターの値を確認するには、トランザクション *RZ11 を実行し、パラメーター名を入力します。
許可される値-0、1、ここで-
- 0 -自動ユーザーSAP *は許可されます。
- 1 -自動ユーザーSAP *は無効化されています。
- ステップ3 *-次のシステムでは、このパラメーターの値が1に設定されていることがわかります。 これは、スーパーユーザー「SAP」がシステムで非アクティブ化されていることを示しています。
- ステップ4 *-*表示*をクリックすると、このパラメーターの現在の値が表示されます。
システムに新しいスーパーユーザーを作成するには、新しいユーザーマスターレコードを定義し、このスーパーユーザーにプロファイル SAP_ALL を割り当てます。
DDICユーザー保護
ソフトウェアロジスティクス、ABAPディクショナリに関連する特定のタスク、およびインストールとアップグレードに関連するタスクには、DDICユーザーが必要です。 このユーザーを保護するには、SAPシステムでこのユーザーをロックすることをお勧めします。 将来使用するためにいくつかの機能を実行するために、このユーザーを削除しないでください。
ユーザーをロックするには、トランザクションコード: SU01 を使用します。
このユーザーを保護する場合は、インストール時にこのユーザーに SAP_ALL 許可を割り当て、後でロックすることができます。
SAPCPICユーザーの保護
SAPCPICユーザーは、SAPシステムで特定のプログラムおよび機能モジュールを呼び出すために使用され、非ダイアログユーザーです。
このユーザーをロックし、このユーザーのパスワードを変更して保護する必要があります。 以前のリリースでは、SAPCPICユーザーをロックするか、パスワードを変更すると、追加プログラムRSCOLL00、RSCOLL30、およびLSYPGU01に影響します。
アーリーウォッチの保護
066クライアント-これはSAPアーリーウォッチと呼ばれ、SAPシステムの診断スキャンと監視サービスに使用されます。ユーザーEARLYWATCHは、クライアント066のアーリーウォッチサービスのインタラクティブユーザーです。 このユーザーを保護するために、次のアクションを実行できます-
- SAP環境で不要になるまでEARLYWATCHユーザーをロックします。
- このユーザーのデフォルトのパスワードを変更します。
キーポイント
SAP標準ユーザーを保護し、SAPランドスケープのクライアントを保護するには、次の重要な点を考慮する必要があります-
- SAPシステムでクライアントを適切に管理し、未知のクライアントが存在しないことを確認する必要があります。
- SAPスーパーユーザー「SAP」が存在し、すべてのクライアントで非アクティブ化されていることを確認する必要があります。
- すべてのSAP標準ユーザーSAP、DDIC、EARLYWATCHユーザーのデフォルトパスワードが変更されていることを確認する必要があります。
- すべての標準ユーザーがSAPシステムのSUPERグループに追加されており、SUPERグループに変更を加える権限を持つ唯一のユーザーがこれらのユーザーのみを編集できることを確認する必要があります。
- SAPCPICのデフォルトのパスワードが変更され、このユーザーがロックされており、必要に応じてロックが解除されていることを確認する必要があります。
- すべてのSAP標準ユーザーはロックする必要があり、必要な場合にのみロック解除できます。 これらのすべてのユーザーに対してパスワードを十分に保護する必要があります。
標準ユーザーのパスワードを変更するには?
*Table T000* で管理されているすべてのクライアントですべてのSAP標準ユーザーのパスワードを変更し、すべてのクライアントにユーザー「SAP」が存在することを確認する必要があります。
パスワードを変更するには、スーパーユーザーでログインします。 パスワードを変更する[ユーザー名]フィールドにユーザーIDを入力します。 次のスクリーンショットに示すように、[パスワードの変更]オプションをクリックします-
新しいパスワードを入力し、パスワードを繰り返して、[適用]をクリックします。 すべての標準ユーザーに対して同じプロセスを繰り返す必要があります。