Комментарии по теме

««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Согласитесь, в случае периодической смены паролей, Ваше решение будет не удобным. если с компа на комп, то тогда лучше использовать WTS (терминальный сервер), как промежуточный слой. По связке...
««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Есть еще третий более простой способ -использование технологии single logon. Sap logon будет использовать windows пароль, очень удобно.
«Введение в бе­зо­па­сно­сть системы SAP*»
Максим Мельник:
Спасибо за статью. В части безопасности SAP есть пожелания:   1. На что обратить при формировании требований? (предположу, что есть специфика. применимая только к SAP-системам) 2. Какие...

База знаний

Вы можете подписаться на эту колонки этого автора, если авторизируетесь или зарегистрируетесь
Digital Security
Поляков Александр

SAP Security:
как взломать SAP за 60 секунд

Все публикации автора

Как удалять неиспользуемые клиенты, включая клиент 001 и 066

04 марта 2014, 16:20

В ходе работ по тестированию на проникновение получение неавторизованного доступа к SAP-системам до сих пор чаще всего происходит через самую простейшую уязвимость – пароли, оставленные пользователями по умолчанию. Естественно, об этих паролях практически все знают и вроде как даже меняют, но в основном только в продуктивных системах и продуктивных клиентах. А ведь, как известно, безопасность всей системы равна безопасности ее самого слабого звена, поэтому, когда речь идет о тестировании на проникновение, наши аудиторы в первую же очередь проверяют стандартные пароли на стандартных клиентах, и, по статистике, не было еще ни одной компании, где абсолютно везде были бы сменены стандартные пароли. Впрочем, это не удивительно, ведь давайте посчитаем, сколько же таких мест? Всего есть 5 пользователей со стандартными паролями – SAP*, DDIC, SAPCPIC, TMSADM, EARLYWATCH. В системе минимум 4 манданта: 000, 001, 066 и продуктивный, то есть уже не меньше 15 мест, учитывая, что не во всех мандантах есть все пользователи. Теперь давайте это умножим на 3, а то и на 4, потому что в каждой системе есть тестовая, продуктивная и девелоперская инсталляция. Итого около 50 мест только для одной системы! А что, если у вас их 10 или 100? И неважно, если пароль будет подобран к какой-нибудь забытой тестовой инстанции: мы все прекрасно знаем, что есть множество способов проникнуть в соседние системы, начиная от RFC-соединений c другими системами и заканчивая расшифровкой паролей всех пользователей и попыткой входа под ними в другие системы.

Итак, прекрасный человек Франк Баххольц в журнале Security от 6 июня 2013 написал несколько рекомендаций о том, как удалить ненужные клиенты, тем самым повысив безопасность и сократив издержки на обслуживание. Далее привожу переведенный текст его статьи.

Введение

Необходимо с должным вниманием относиться к безопасности всякого клиента, даже если он не используется. В том числе к настройкам безопасности, касающимся таких пользователей, как SAP*, DDIC или EARLYWATCH, которые могут до сих пор содержать хорошо известные стандартные пароли, и любого другого пользователя с критичными полномочиями.

Удаление неиспользуемых клиентов может существенно снизить объем работ по текущему техническому обслуживанию и заметно повысить безопасность.

Клиент 001 – это копия клиента 000 (в отличие от 000, используемая в целях тестирования, а не администрирования вплоть до версии R/3 4.6С – прим. перев.), создаваемая во время установки системы, которая, в свою очередь, могла иметь место несколько лет назад. Возможно, этот клиент используется в качестве продуктивного. Если вы решили для этих целей пользоваться другими клиентами, можете спокойно удалять 001.

Однако стоит обратить внимание на то, что SAP Solution Manager System или SAP Business Warehouse обычно используют клиент 001 как продуктивный по умолчанию.

Клиент 066 также является клиентом, создаваемым по умолчанию во время установки системы – то есть, возможно, несколько лет назад. Изначально он был призван обеспечивать работу SAP Active Global Support. Так как этот клиент более не используется, его спокойно можно удалять из системы (более детальную информацию по клиенту 066 можно найти в Note 7312).

В данной статье описано, как удаляются неиспользуемые клиенты, включая клиент 001 (если он не используется) и клиент 066.

Подготовка к работе

Возможно, понадобится выставить параметр профиля login/no_automatic_user_sapstar = 0 для того, чтобы иметь возможность подключаться через встроенного пользователя SAP*.

Внимание:

Прежде чем удалять клиент – особенно в случае клиента 001 – необходимо проверять наличие в клиенте активных пользователей по факту. Для этого можно использовать отчет RSUSR200 системы пользовательской информации (User Information System, код транзакции – SUIM) или монитор загруженности (Workload Statistics, код транзакции – ST03N) для проверки наличия любого типа пользовательской активности.

Вы можете заблокировать всех пользователей (кроме одного, конечно) на некоторое время, перед тем как удалять клиент.

Кроме того, необходимо выяснить, не стоит ли какая-либо фоновая задача внутри клиента. Это легко проверяется транзакцией SE16 для таблицы TBTCO или просмотром V_OP через выделение клиента, используя поле AUTHCKMAN.

И наконец, вы должны убедиться, что клиент не классифицирован в качестве продуктивного. Используйте транзакцию SCC4 для проверки или определения роли клиента.

Если вы собираетесь удалить клиент, который ранее использовался в роли продуктивного, ознакомьтесь с уведомлением безопасности SAP 934593, где описывается, как удалять все объекты клиента из TemSe (эта часть не предусмотрена транзакцией SCC5).

Приступим

Вы можете полностью удалить клиент, используя транзакцию SCC5. Перед удалением клиента необходимо в него зайти. В меню выбора SCC5 необходимо активировать опцию удаления записи в таблице T000! Используйте фоновый режим, чтобы удалять такие крупные клиенты, как 001 (для сравнительно небольшого клиента 066 это необязательно). Также транзакцией предусмотрен тестовый прогон.

Для того чтобы следить за процессом удаления клиента, можно воспользоваться транзакцией SCC3.

И наконец, при помощи транзакции SCC4 вам необходимо убедиться, что для клиента нет записей в таблице T000, а также запустить отчет RSUSR003, чтобы убедиться в невозможности подключения к данному клиенту при помощи стандартного пользователя SAP*.

Ссылки

Уведомления безопасности 70643 и 365304 (весьма полезно в случае удаления крупного клиента) и 446485 (посвящено копированию клиентов, но есть несколько рекомендаций и по их удалению) также описывают некоторые детали процесса удаления клиентов. Уведомление 31496 описывает ряд опций по восстановлению удаленного клиента.

Онлайн-справка по удалению клиентов

Возможные проблемы

Некоторые версии инструментов для обновления проверяют наличие в системе клиента 066 и прекращают обновление в случае его отсутствия. В данном случае стоит просто заново создать запись для клиента 066 в таблице T000, используя транзакцию SCC4, перезапустить установку обновления и удалить запись после ее завершения.

Заключительные шаги

Задайте параметр профиля login/no_automatic_user_sapstar = 1 для всех серверов приложения, чтобы заблокировать встроенного пользователя SAP*. Стоит задуматься о реорганизации базы данных в случае, если был удален клиент большого объема. Поищите уведомления на тему реорганизации (“reorganization”) по прикладному компоненту вашей базы данных (например BC-DB-DB*, BC-DB-HDB, BC-DB-INF, BC-DB-MSS, BC-DB-ORA, BC-DB-SDB).

Вот несколько ссылок по Oracle:

Комментарии:

Максим Мельник (Рейтинг: 186) 14:42, 30 января 2020

Спасибо за статью. Помогла структурировать мои знания в этой части.