Lo sapevi che esistono delle utenze "speciali" SAP le cui credenziali sono note, pubbliche?
Non si tratta di una svista SAP, è qualcosa di conosciuto e noto. Specialmente nei processi iniziali di setup del sistema vengono attivate utenze che dovrebbero essere subito a seguito messe in sicurezza. Ma quali sono e cosa fare?
Cosa sono e quali sono le utenze speciali SAP?
Sono delle utenze particolari chiamate anche nella letteratura SAP speciali "Special Users" che vengono utilizzate in determinati momenti nell'installazione o attivazione di componenti SAP.
Le più note nel contesto ABAP sono le seguenti:
- SAP*
- DDIC
Ma ne esistono diverse altre a seconda dei sistemi che si sta utilizzando che siano ABAP, JAVA o anche HANA.
SAP* ad esempio è l'utenza hard-coded in SAP che serve, subito a seguito della prima installazione per entrare nel sistema. A volte per descrivere il concetto utilizzo l'esempio del router di casa. Durante la prima attivazione c'è una password nota per poter entrare (es. admin admin) per poi subito a seguito cambiarla.
Ecco in questo caso è la medesima situazione. Anche se la SAP sta facendo da tempo un percorso di Security by Default alcune parti non sono ancora soggette a questo approccio. Molto probabilmente lo saranno nel prossimo futuro. In passato la password pubblica di questa utenza durante l'installazione di SAP era 06071992 (l'anno del rilascio di SAP R/3) ora viene decisa durante l'installazione. Mentre nel caso di creazione di nuovi client la password di default è PASS
Allo stesso modo anche l'utenza del data dictionary DDIC ci comporta in maniera analoga.
Ma quali sono queste utenze? Attenzione ne esistono anche altre ed in alcuni casi sistemi particolari sistemi SAP ne hanno delle proprie.
- SAP* qui trovi cosa suggerisce la SAP di fare "Securing User SAP* Against Misuse"
- DDIC qui trovi cosa suggerisce la SAP di fare "Securing User DDIC Against Misuse"
- SAPCPIC
- TSMADM qui trovi cosa fare per modificare la password di questo utente: "Changing the Password of User TMSADM"
- J2EE_ADMIN nel caso di sistemi JAVA
- J2EE_GUEST nel caso di JAVA
- SYSTEM nel caso di database HANA qui trovi cosa suggerisce la SAP di fare in questo caso: Deactivate the SYSTEM User
Perché possono essere critiche?
Perché come avviamo visto sopra queste utenze hanno password note e quindi potrebbero essere sfruttate da terzi con accesso alla rete dove questi sistemi SAP risiedono.
Inoltre, un aspetto importante, non prettamente legato alla sicurezza dei sistemi, ma più all'operatività, è quello di conoscere queste credenziali. In quanto per la gestione dei sistemi SAP potrebbe essere necessario in alcuni momenti utilizzarle.
Può capitare quindi che in azienda nessuno conosca le credenziali di queste utenze e nel momento del bisogno si debba ricorrere a reset password per poterle usare. Questo potrebbe non essere necessariamente un problema. Ma è possibile, in questo scenario, che sorgano dei dubbi sull'eseguire questa azione, ad esempio: "Cosa succede se cambiamo password a questa utenza?", poca documentazione, mancato salvataggio di queste password, fornitori non più presenti possono portare a queste difficoltà.
Ricordati quindi di chiedere ad eventuali fornitori le credenziali e le evidenze di gestione di queste utenze. Che spesso sono utilizzate solo in pochi momenti nella vita di un sistema SAP.
Come controllare che sia tutto come dovrebbe essere?
Non esiste un unico report o programma per controllare in qualsiasi sistema che tutto sia come dovrebbe essere. Nei sistemi SAP (ABAP) tuttavia esiste una transazione per controllare in tutti i client (mandanti) definiti nel sistema come sono configurate queste utenze.
La transazione si chiama RSUSR003, attraverso questa funzionalità puoi vedere la situazione delle utenze descritte sopra in questo ambiente. Solitamente dove ci sono delle segnalazioni di colore ROSSO c'è qualcosa da verificare.
E tu hai già controllato nei tuoi sistemi? Verifica anche nei sistemi S/4HANA! Hai dei dubbi? Contattaci qui!