В ходе работ по тестированию на проникновение получение неавторизованного доступа к SAP-системам до сих пор чаще всего происходит через самую простейшую уязвимость – пароли, оставленные пользователями по умолчанию. Естественно, об этих паролях практически все знают и вроде как даже меняют, но в основном только в продуктивных системах и продуктивных клиентах. А ведь, как известно, безопасность всей системы равна безопасности ее самого слабого звена, поэтому, когда речь идет о тестировании на проникновение, наши аудиторы в первую же очередь проверяют стандартные пароли на стандартных клиентах, и, по статистике, не было еще ни одной компании, где абсолютно везде были бы сменены стандартные пароли. Впрочем, это не удивительно, ведь давайте посчитаем, сколько же таких мест? Всего есть 5 пользователей со стандартными паролями – SAP*, DDIC, SAPCPIC, TMSADM, EARLYWATCH. В системе минимум 4 манданта: 000, 001, 066 и продуктивный, то есть уже не меньше 15 мест, учитывая, что не во всех мандантах есть все пользователи. Теперь давайте это умножим на 3, а то и на 4, потому что в каждой системе есть тестовая, продуктивная и девелоперская инсталляция. Итого около 50 мест только для одной системы! А что, если у вас их 10 или 100? И неважно, если пароль будет подобран к какой-нибудь забытой тестовой инстанции: мы все прекрасно знаем, что есть множество способов проникнуть в соседние системы, начиная от RFC-соединений c другими системами и заканчивая расшифровкой паролей всех пользователей и попыткой входа под ними в другие системы.

Итак, прекрасный человек Франк Баххольц в журнале Security от 6 июня 2013 написал несколько рекомендаций о том, как удалить ненужные клиенты, тем самым повысив безопасность и сократив издержки на обслуживание. Далее привожу переведенный текст его статьи.

Введение

Необходимо с должным вниманием относиться к безопасности всякого клиента, даже если он не используется. В том числе к настройкам безопасности, касающимся таких пользователей, как SAP*, DDIC или EARLYWATCH, которые могут до сих пор содержать хорошо известные стандартные пароли, и любого другого пользователя с критичными полномочиями.

Удаление неиспользуемых клиентов может существенно снизить объем работ по текущему техническому обслуживанию и заметно повысить безопасность.

Клиент 001 – это копия клиента 000 (в отличие от 000, используемая в целях тестирования, а не администрирования вплоть до версии R/3 4.6С – прим. перев.), создаваемая во время установки системы, которая, в свою очередь, могла иметь место несколько лет назад. Возможно, этот клиент используется в качестве продуктивного. Если вы решили для этих целей пользоваться другими клиентами, можете спокойно удалять 001.

Однако стоит обратить внимание на то, что SAP Solution Manager System или SAP Business Warehouse обычно используют клиент 001 как продуктивный по умолчанию.

Клиент 066 также является клиентом, создаваемым по умолчанию во время установки системы – то есть, возможно, несколько лет назад. Изначально он был призван обеспечивать работу SAP Active Global Support. Так как этот клиент более не используется, его спокойно можно удалять из системы (более детальную информацию по клиенту 066 можно найти в Note 7312).

В данной статье описано, как удаляются неиспользуемые клиенты, включая клиент 001 (если он не используется) и клиент 066.

Подготовка к работе

Возможно, понадобится выставить параметр профиля login/no_automatic_user_sapstar = 0 для того, чтобы иметь возможность подключаться через встроенного пользователя SAP*.

Внимание:

Прежде чем удалять клиент – особенно в случае клиента 001 – необходимо проверять наличие в клиенте активных пользователей по факту. Для этого можно использовать