SAP DEFAULT PASSWORD

Posted by Massimo Manara on Jan 11, 2023 12:00:00 AM

Lo sapevi che esistono delle utenze "speciali" SAP le cui credenziali sono note, pubbliche?

 

rsusr003 Check the Passwords of Standard Users in All Clients

Non si tratta di una svista SAP, è qualcosa di conosciuto e noto. Specialmente nei processi iniziali di setup del sistema vengono attivate utenze che dovrebbero essere subito a seguito messe in sicurezza. Ma quali sono e cosa fare?

Cosa sono e quali sono le utenze speciali SAP?

Sono delle utenze particolari chiamate anche nella letteratura SAP speciali "Special Users" che vengono utilizzate in determinati momenti nell'installazione o attivazione di componenti SAP.

 

Le più note nel contesto ABAP sono le seguenti:

  • SAP*
  • DDIC

 

Ma ne esistono diverse altre a seconda dei sistemi che si sta utilizzando che siano ABAP, JAVA o anche HANA.

 

SAP* ad esempio è l'utenza hard-coded in SAP che serve, subito a seguito della prima installazione per entrare nel sistema. A volte per descrivere il concetto utilizzo l'esempio del router di casa. Durante la prima attivazione c'è una password nota per poter entrare (es. admin admin) per poi subito a seguito cambiarla. 

 

Ecco in questo caso è la medesima situazione. Anche se la SAP sta facendo da tempo un percorso di Security by Default alcune parti non sono ancora soggette a questo approccio. Molto probabilmente lo saranno nel prossimo futuro. In passato la password pubblica di questa utenza durante l'installazione di SAP era 06071992 (l'anno del rilascio di SAP R/3) ora viene decisa durante l'installazione. Mentre nel caso di creazione di nuovi client la password di default è PASS

 

Allo stesso modo anche l'utenza del data dictionary DDIC ci comporta in maniera analoga. 

 

Ma quali sono queste utenze? Attenzione ne esistono anche altre ed in alcuni casi sistemi particolari sistemi SAP ne hanno delle proprie.

 

 

Perché possono essere critiche?

Perché come avviamo visto sopra queste utenze hanno password note e quindi potrebbero essere sfruttate da terzi con accesso alla rete dove questi sistemi SAP risiedono.

 

Inoltre, un aspetto importante, non prettamente legato alla sicurezza dei sistemi, ma più all'operatività, è quello di conoscere queste credenziali. In quanto per la gestione dei sistemi SAP potrebbe essere necessario in alcuni momenti utilizzarle. 

 

Può capitare quindi che in azienda nessuno conosca le credenziali di queste utenze e nel momento del bisogno si debba ricorrere a reset password per poterle usare. Questo potrebbe non essere necessariamente un problema. Ma è possibile, in questo scenario, che sorgano dei dubbi sull'eseguire questa azione, ad esempio: "Cosa succede se cambiamo password a questa utenza?", poca documentazione, mancato salvataggio di queste password, fornitori non più presenti possono portare a queste difficoltà.

 

Ricordati quindi di chiedere ad eventuali fornitori le credenziali e le evidenze di gestione di queste utenze. Che spesso sono utilizzate solo in pochi momenti nella vita di un sistema SAP.

 

Come controllare che sia tutto come dovrebbe essere?

Non esiste un unico report o programma per controllare in qualsiasi sistema che tutto sia come dovrebbe essere. Nei sistemi SAP (ABAP) tuttavia esiste una transazione per controllare in tutti i client (mandanti) definiti nel sistema come sono configurate queste utenze.

 

La transazione si chiama RSUSR003, attraverso questa funzionalità puoi vedere la situazione delle utenze descritte sopra in questo ambiente. Solitamente dove ci sono delle segnalazioni di colore ROSSO c'è qualcosa da verificare.

 

rsusr003 Check the Passwords of Standard Users in All Clients

 

E tu hai già controllato nei tuoi sistemi? Verifica anche nei sistemi S/4HANA! Hai dei dubbi? Contattaci qui!

Topics: password policy, sap super user, sap password, cyber security, userid

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti