Cuando realizamos una instalación nueva, SAP nos provee con una serie de usuarios estándar con los cuales realizar las tareas iniciales. Son usuarios que se crean durante la instalación del sistema y se mantienen mientras los administradores no los bloqueen. Al ser usuarios estándar, cuya clave de acceso es conocida, pueden suponer un problema de seguridad para nuestra implementación. Este artículo trata de cómo localizar estos usuarios que nos están poniendo en peligro.
Usuarios estándar SAP
Los usuarios estándar de SAP más conocidos son los usuarios SAP*, EARLYWATCH y DDIC y sus passwords de inicio se resumen en la siguiente tabla.
| Mandante | Clave | |
|---|---|---|
| SAP* | 000, 001, 066 | 06071992 |
| SAP* | Otros | PASS |
| DDIC | 000, 001 | 19920706 |
| EARLYWATCH | 066 | support |
- SAP*: superusuario inicial del sistema. Tiene autorizaciones para cualquier acción que se desee realizar en el sistema. Originalmente se crea para los mandantes 000, 001 y 066. Sin embargo, SAP crea un nuevo usuario SAP* cada vez que se da de alta un nuevo mandante. SAP aconseja cambiar su contraseña tan pronto sea posible.
- DDIC: superusuario de SAP. Es el único usuario que tiene privilegios de acceso al sistema cuando realizamos tareas de upgrade. SAP aconseja cambiar su contraseña.
- EARLYWATCH: este usuario sólo debería utilizarse para tareas de monitorización. SAP aconseja cambiar su contraseña.
También es una buena idea bloquear estos usuarios y no desbloquearlos hasta que no sean necesarios de nuevo. Otros usuarios estándar de SAP son, por ejemplo, los usuarios SAPCPIC, TMSADM y WF_BATCH que se utilizan respectivamente para tareas de transporte entre mandantes y de workflow.
Verificación de passwords conocidos
Para detectar qué usuarios estándar del sistema siguen teniendo la contraseña original y, por lo tanto, qué usuarios pueden estar generándonos un posible problema de seguridad recorremos al programa RSUSR003
Sistema / Servicios / SA38 - Reporting
- Escribimos el nombre del programa RSUSR003 y ejecutamos.
- Ejecutamos la pantalla de parámetros tal cual, sin introducir datos.
- Obtendremos los resultados de los principales usuarios y su estado para todos los mandantes.
En la pantalla SAP nos muestra en rojo aquellos usuarios con problemas de seguridad e, incluso nos señala cómo resolver el problema.
El mandante de EARLYWATCH es 006 o 066 ?
ResponderEliminarEs el 066. Gracias por el comentario. Ya está corregido.
Eliminarte falto el de BCUSER
ResponderEliminar