Quanti mandanti o client ha il tuo sistema di produzione SAP?

Che controlli fare e come mettere in sicurezza il mandante SAP (o client SAP)?

Quali sono i mandanti definiti nel sistema di produzione?

Nel sistema di produzione SAP sono definiti diversi mandanti o client (anche se spesso inutilizzati). Alcuni sono standard, altri sono quelli definiti dal cliente. Partiamo da quelli standard, sono tre:

• 000 - questo client contiene la configurazione dei processi ed alcuni dati, è una sorta di template di riferimento SAP
• 001 - è una copia del client 000
• 066 - è il mandante riservato al supporto SAP Active Global Support

Gli altri mandanti definiti a sistema sono quelli creati dal cliente stesso.

Quali sono e cosa sono le utenze speciali SAP?

Iniziamo con il dire che cosa sono. Sono delle utenze tecniche SAP con password pubblica che devono essere utilizzate solo nel momento dell'installazione o in alcuni casi aggiornamento del sistema.

Vediamole come l'utenza del router web di casa. Deve essere cambiata la password di accesso subito dopo aver terminato la configurazione (in SAP oltre a questo ci sono altri passaggi da fare)

Quali sono queste utenze:

• SAP*, viene utilizzata per il primo accesso a SAP
• DDIC, è una utenza tecnica del data dictionary. Nel mandante produttivo non ha alcun utilizzo. Viene utilizzata nel mandante 000 per installare nuove patch
• EARLYWATCH, veniva utilizzata per il sopporto tecnico SAP in passato
• SAPCPIC, utenza obsoleta non più utilizzata. Vedi nota OSS "29276 - SAPCPIC: At which points are passwords visible"
• TMSADM

Qui puoi trovare una descrizione dettagliata di ognuna. È sempre opportuno in ottica di audit SAP effettuare un controllo che queste utenze siano correttamente configurate e messe in sicurezza.

Come puoi farlo?

Tramite ad esempio una transazione chiamata RSUSR003 ecco come si presenta:

Il report sopra dovrebbe per essere conforme non dovrebbe mostrare nessun colore ROSSO nella colonna "Password Status". In caso di non conformità la nota OSS SAP sarà riportata per dettagliare cosa andrebbe fatto.

Attenzione, nel caso dell'utenza TMSADM, se usata nel meccanismo dei trasporti SAP, non può essere modificata tramite la transazione SU01. Deve essere utilizzata una apposita procedura (programma TMS_UPDATE_PWD_OF_TMSADM), leggi qui (Changing the Password of User TMSADM).

Cosa puoi fare per verificare e mettere in sicurezza il sistema produttivo SAP?

1. Cancellare i client di default non utilizzati, seguendo la nota OSS seguente 1749142 - How to remove unused clients including client 001 and 066
2. Mettere in sicurezza le utenze speciali SAP ovvero
1. SAP* cambiare la password, rimuovere qualsiasi autorizzazione, bloccare l'utenza e settare il profilo d'istanza SAP login/no_automatic_user_sapstar, in qualsiasi mandante
2. DDIC, blocco dell'utenza nel mandante produttivo, cambio password negli altri sistemi
3. SAPCPIC, cambio password e blocco utenza in tutti i mandanti
4. TMSADM, cambio password se usata. Cambio password e blocco se non utilizzata.
5. EARLYWATCH, cambio password e blocco in tutti i mandanti.

Sei un auditor SAP e devi verificare lo stato dei mandanti oltre che la configurazione delle utenze speciali SAP?

Fatti autorizzare alla transazione RSAUDIT_SYSTEM_ENV - Parametrizzazione mandante e sistema

Verifica subito in che stato si trova il tuo sistema! Iscriviti al nostro blog per restare sempre aggiornato sulle tematiche di SAP Security!