Show TOC

VorgehensweiseBenutzer SAP* vor unberechtigtem Zugriff schützen Dieses Dokument in der Navigationsstruktur finden

 

Um sicherzustellen, dass sich niemand unberechtigten Zugriff mit dem Standardbenutzer SAP* verschafft, sollten Sie einen neuen Super-User definieren und SAP* in allen Mandanten deaktivieren, die in Tabelle T000 aufgelistet sind.

Achtung Achtung

Löschen Sie den Benutzer SAP* nicht! SAP* liegt in AS-ABAP-Systemen hartcodiert vor und benötigt keinen Benutzerstammsatz! Wenn kein Benutzerstammsatz für SAP* in einem Mandanten existiert, kann sich jeder an den AS ABAP als Benutzer SAP* anmelden und das weithin bekannte Kennwort PASS verwenden. In diesem Fall wird SAP* keinen Berechtigungsprüfungen unterzogen und verfügt über alle Berechtigungen. Deswegen sollten Sie SAP* von keinem Mandanten löschen.

Die Gefahr des Missbrauchs wird durch den Profilparameter login/no_automatic_user_sapstar verringert, der standardmäßig aktiviert ist. Das Löschen des Benutzerstammsatzes SAP* aktiviert nicht automatisch den hartcodierten Benutzer SAP*, wenn dieser Profilparameter gesetzt ist. Das Zurücksetzen des Parameters auf den Wert 0 würde jedoch erneut die Anmeldung mit SAP*, dem Kennwort PASS und den uneingeschränkten Berechtigungen ermöglichen.

Weitere Informationen finden Sie im SAP-Hinweis 68048.

Ende der Warnung.

Vorgehensweise

  1. Legen Sie für den neuen Super-User einen Stammsatz an.

  2. Ordnen Sie diesem Super-User das Profil SAP_ALL zu.

    SAP_ALL enthält alle Berechtigungen, einschließlich der neuen Berechtigungen, die im Profil SAP_NEW freigegeben sind. SAP_NEW stellt die Aufwärtskompatibilität der Berechtigungen sicher. Das Profil stellt sicher, dass Benutzer keinen zusätzlichen Aufwand haben, wenn ein Release oder Update neue Berechtigungsprüfungen für Funktionen beinhaltet, die zuvor ungeschützt waren.

  3. Ändern Sie das initiale Kennwort des Benutzers.

    Empfehlung Empfehlung

    Stellen Sie sicher, dass nur eine begrenzte Anzahl von Personen Zugriff auf das Kennwort dieses Benutzers hat. Notieren Sie es, hinterlegen Sie es an einem sicheren Platz und verwenden Sie es nur in Notfällen! Wenn Sie diesen Super-User nicht verwenden, stellen Sie sicher, sein Kennwort nach Gebrauch erneut zu ändern.

    Ende der Empfehlung.

  4. Wenn kein Benutzerstammsatz für SAP* im Mandanten existiert, legen Sie einen Benutzerstammsatz SAP* an.

  5. Ordnen Sie die Benutzergruppe SUPER SAP* (in allen Mandanten) zu, um sicherzustellen, dass nur berechtigte Administratoren den Benutzerstammsatz ändern können.

  6. Deaktivieren Sie alle Berechtigungen für SAP* (in allen Mandanten), indem Sie alle Profile in der Profilliste löschen.