Текущее время: Вт, мар 19 2024, 06:54

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: Опасные полномочия
СообщениеДобавлено: Вт, фев 14 2017, 15:19 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Коллеги, добрый день. Если у кого есть, поделитесь пожалуйста, наработкой: список опасных полномочий типа:

Объект :S_DEVELOP
Тим: TABL
Поле: ACTVT
Операция: 06,41,42

Данное полномочие позволит грохнуть таблицу в утилите базы данных. Интересует еще подборка таких самых опасных полномочий, хочу их отрезать
даже у тех, у кого sap_all (перевод их в z_sap_all)

Спасибо :pivo:


Последний раз редактировалось RikoNw Ср, фев 15 2017, 16:35, всего редактировалось 1 раз.

Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия  Тема решена
СообщениеДобавлено: Вт, фев 14 2017, 16:33 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
привет

для начала, можно посмотреть в штатный отчет по критичным полномочиям:
SUIM - Users - With Critical Authorizations (либо тр. S_BCE_68002111): Variant - For Critical Authorizations - SAP_RSUSR009
Там-же можно добраться до самого профиля SAP_RSUSR009 (CTRL+F2) и посмотреть его начинку.

Есть более длительный путь - дать юзерам поработать день/неделю со включенной трассировкой полномочий, а затем сделать роли/профили. Потом уже добавлять по мере обращений и исходя из понимания критичности полномочий и адекватности просящего (а то был у меня один затейник, которому сильно была нужна правка переменных под отладкой и хоть ваще потом ролей не давай...не нужны они ему были).


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Вт, фев 14 2017, 17:21 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
шрам написал:
привет
для начала,

дождаться аудита :roll:

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Вт, фев 14 2017, 19:05 
Специалист
Специалист

Зарегистрирован:
Вт, мар 31 2015, 12:52
Сообщения: 105
В EWA есть небольшой раздел с критическими полномочиями, я бы, помимо упомянутого девелопера, добавил сюда же прямой просмотр таблиц, перенос запросов, создание-редактирование пользователей и ролей.
Ну и про прямой доступ к SQL запросам через ST04 тоже не надо забывать


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 09:04 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
basis_spb написал(а):
небольшой раздел

http://sapsecurityanalyst.com/WP/sap-security-audit-guidelines-part-i

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 09:48 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
Цитата:
Audit is a never ending topic

:mrgreen: :shumlol:

Но за ссылку мерси... :wink:


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 12:04 
Специалист
Специалист

Зарегистрирован:
Вт, мар 31 2015, 12:52
Сообщения: 105
Skif написал:

а про полномочия там ни слова :)


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 14:37 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
basis_spb написал(а):
а про полномочия там ни слова :)

душили-душили...
http://sapboard.ru/forum/viewtopic.php?f=14&t=36815&view=next

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 14:58 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Простите, виноват, действительно уже был топик с подобной темой.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 16:49 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Мои набросочки: наиболее опасные полномочия

S_DEVELOP
ACTVT 41,42 - удаление, преобразование таблицы на уровне БД

S_DEVELOP
OBJTYPE DEBUG
ACTVT 02 - полномочие на правку переменных в режиме отладки

S_ADMI_FCD;
ACTVT:

T000 - создание манданта
UBUF - сброс пользовательского буфера
SYNC - Сброс буферов (синхр. буферов через $sync, $tab...)
SLIC - транзакция SLICENCE
LC04 - liveCache администрирование (инициализация)
LC03 - liveCache администрирование (интеграция, конфигурация)
DBA - Полномочия для администратора БД
CONV - Преобразование таблиц после смены версии
UNIX - Запуск UNIX-команд
SMSS - Сервер MS SQL: командное окно
TOUC - Инициализция новой генерации для всех программ
UMON - Администрирование записей обновл. (без системы обновления)
UADM - Администрирование обновления (включение/отключение)
AUDA - Базис: аудит: администрирование SM19
ICFA - Полномочия на ICF-администрирование (Транзакция SICF)
ICFS - ICF-полномочия на сервисы PUBLIC (транз. SICF)
MEMO - Распределение SAP-управления памятью (RSMEMORY)

не такие важные:
STOR - Анализ трассировок (запуск транзакции dbacockpit) и анализ трассировок ST05
ST0M - включение/выключение трассировок
UDSP - Просмотр запросов обновления и их данных
PADM - Администрирование процессов через транзакции SM04 , SM50
POPU - TH_POPUP ФМ для отправки сообщений
RFCA - RFC администрирование

S_LOG_COM
запуск логических команд и эта штука отрубит в ST04 запуск SQL-команд
COMMAND: *
HOST: *
OPSYSTEM: *

S_RFC_ADM
администрирование RFC (SM59)
ACTVT:
01 - добавить/создать
02 - изменить
03 - чтение

S_CTS_ADMI Функции администрирования в системе изменений и переносов
и
S_CTS_SADM Специфическое администрирование системы (перенос)

CTS_ADMFCT:
INIT - Инициализация Организатора изменений и переносов
SYSC - Установка опций изменяемости системы
TABL - Изменение таблиц управления Организатора ИС

Эти два полномочия запретят открытие системы на изменение (se06) и изменяемость мандантов (scc4)


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Чт, фев 16 2017, 15:26 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Чт, фев 16 2017, 19:51 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 338
Откуда: Москва
Пол: Мужской
На мой вкус - одни полномочия, это неполные ограничения!
Я бы ещё добавил список запретных транзакций, типа:
scc3,scc4,scc5,scc9,sp01,sm59(оставив только чтение),rz03,rz04,rz10,rz11....


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Чт, фев 16 2017, 20:47 
Специалист
Специалист

Зарегистрирован:
Вт, мар 31 2015, 12:52
Сообщения: 105
RikoNw написал:
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Пт, фев 17 2017, 10:59 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
basis_spb написал(а):
RikoNw написал:
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд


Ааа точно, спасибо! Это когда они кривые данные вводят и создается дамп, транзакция проверяет, можно ли отобразить дамп (есть ли полномочие S_DEVELOP). Если нет - пишем текст на сером фоне - у вас просто ошибка, без подробностей.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Вт, ноя 14 2017, 11:06 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Пересечение
S_TCODE
TCD = SM30, SM31, SE16, SE16n
S_TABU_DIS
DICBERCLS = *,
ACTVT=02

Является критическим, меняйте S_TABU_DIS на S_TABU_NAM, если S_TABU_DIS не захардкоден


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB