Auswertungen von Berechtigungen und Benutzerstammsätzen
Prüfung des SAP-Berechtigungskonzepts
Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.
Mithilfe dieses Reports können Sie sich nicht nur einen Überblick über die Einstellungen zur Tabellenprotokollierung in den Tabellen verschaffen, sondern Sie können auch mehrere Tabellen für die Protokollierung auswählen. Über den Button Protokollflag können Sie den Haken für die Tabellenprotokollierung für alle zuvor markierten Tabellen setzen. Den aktuellen Status der Tabellenprotokollierung für die Tabellen finden Sie in der Spalte Protokoll. Das Icon bedeutet, dass die Tabellenprotokollierung für die selektierte Tabelle ausgeschaltet ist.
RFC-Schnittstellen
Eine Einschränkung der Berechtigungen wird oftmals nicht durchgeführt, da häufig die Informationen dazu fehlen, wie das Objekt auszuprägen ist. Die Ermittlung der erforderlichen Funktionsbausteine wird häufig als zu aufwendig eingestuft und die Risiken durch eine fehlende Einschränkung als zu niedrig eingeschätzt.
Sie müssen das Berechtigungsobjekt S_TABU_NAM in Ihr bestehendes Berechtigungskonzept integrieren? In diesem Tipp zeigen wir Ihnen, welche Schritte dazu notwendig sind – von der Pflege der Vorschlagswerte bis hin zum Überblick über berechtigte Tabellen. Sie haben Ihr Berechtigungskonzept um das Berechtigungsobjekt S_TABU_NAM erweitert, sodass die Anwender nicht nur über das Berechtigungsobjekt S_TABU_DIS, sondern auch über S_TABU_NAM Zugriff auf die Tabellen erhalten. Damit wird der Zugriff auf die Tabellen über Tabellenberechtigungsgruppen oder, wenn der Zugriff über Tabellenberechtigungsgruppen nicht erlaubt ist, über die Berechtigung auf die Tabelle direkt geregelt (siehe Tipp 73, »Berechtigungsobjekte für die Tabellenbearbeitung verwenden«). Sie möchten nun die Tabellen bzw. die erstellten Parametertransaktionen, die den Zugriff nur auf bestimmte Tabellen erlauben, ermitteln, um für diese Vorschlagswerte in der Transaktion SU24 zu pflegen? Auf diese Weise wird das Pflegen von PFCG-Rollen erleichtert. Des Weiteren wäre ein Werkzeug sinnvoll, das Ihnen einen Überblick über die Tabellen verschafft, für die ein Anwender berechtigt ist.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Dies gilt für alle Transaktionen oder Funktionsbausteine, die Änderungen an den Benutzerdaten vornehmen.
Um einen genauen Überblick über alle SAP-Transaktionen zu erhalten, ist das Software-Lizenzmanagement unabdingbar.