SAPфорум.RU https://sapboard.ru/forum/ |
|
Опасные полномочия https://sapboard.ru/forum/viewtopic.php?f=14&t=94416 |
Страница 1 из 1 |
Автор: | RikoNw [ Вт, фев 14 2017, 15:19 ] |
Заголовок сообщения: | Опасные полномочия |
Коллеги, добрый день. Если у кого есть, поделитесь пожалуйста, наработкой: список опасных полномочий типа: Объект :S_DEVELOP Тим: TABL Поле: ACTVT Операция: 06,41,42 Данное полномочие позволит грохнуть таблицу в утилите базы данных. Интересует еще подборка таких самых опасных полномочий, хочу их отрезать даже у тех, у кого sap_all (перевод их в z_sap_all) Спасибо |
Автор: | шрам [ Вт, фев 14 2017, 16:33 ] |
Заголовок сообщения: | Re: Опасные полномочия |
привет для начала, можно посмотреть в штатный отчет по критичным полномочиям: SUIM - Users - With Critical Authorizations (либо тр. S_BCE_68002111): Variant - For Critical Authorizations - SAP_RSUSR009 Там-же можно добраться до самого профиля SAP_RSUSR009 (CTRL+F2) и посмотреть его начинку. Есть более длительный путь - дать юзерам поработать день/неделю со включенной трассировкой полномочий, а затем сделать роли/профили. Потом уже добавлять по мере обращений и исходя из понимания критичности полномочий и адекватности просящего (а то был у меня один затейник, которому сильно была нужна правка переменных под отладкой и хоть ваще потом ролей не давай...не нужны они ему были). |
Автор: | Skif [ Вт, фев 14 2017, 17:21 ] |
Заголовок сообщения: | Re: Опасные полномочия |
шрам написал: привет для начала, дождаться аудита |
Автор: | basis_spb [ Вт, фев 14 2017, 19:05 ] |
Заголовок сообщения: | Re: Опасные полномочия |
В EWA есть небольшой раздел с критическими полномочиями, я бы, помимо упомянутого девелопера, добавил сюда же прямой просмотр таблиц, перенос запросов, создание-редактирование пользователей и ролей. Ну и про прямой доступ к SQL запросам через ST04 тоже не надо забывать |
Автор: | Skif [ Ср, фев 15 2017, 09:04 ] |
Заголовок сообщения: | Re: Опасные полномочия |
basis_spb написал(а): небольшой раздел http://sapsecurityanalyst.com/WP/sap-security-audit-guidelines-part-i |
Автор: | шрам [ Ср, фев 15 2017, 09:48 ] |
Заголовок сообщения: | Re: Опасные полномочия |
Цитата: Audit is a never ending topic Но за ссылку мерси... |
Автор: | basis_spb [ Ср, фев 15 2017, 12:04 ] |
Заголовок сообщения: | Re: Опасные полномочия |
Skif написал: а про полномочия там ни слова |
Автор: | Skif [ Ср, фев 15 2017, 14:37 ] |
Заголовок сообщения: | Re: Опасные полномочия |
basis_spb написал(а): а про полномочия там ни слова душили-душили... http://sapboard.ru/forum/viewtopic.php?f=14&t=36815&view=next |
Автор: | RikoNw [ Ср, фев 15 2017, 14:58 ] |
Заголовок сообщения: | Re: Опасные полномочия |
Простите, виноват, действительно уже был топик с подобной темой. |
Автор: | RikoNw [ Ср, фев 15 2017, 16:49 ] |
Заголовок сообщения: | Re: Опасные полномочия |
Мои набросочки: наиболее опасные полномочия S_DEVELOP ACTVT 41,42 - удаление, преобразование таблицы на уровне БД S_DEVELOP OBJTYPE DEBUG ACTVT 02 - полномочие на правку переменных в режиме отладки S_ADMI_FCD; ACTVT: T000 - создание манданта UBUF - сброс пользовательского буфера SYNC - Сброс буферов (синхр. буферов через $sync, $tab...) SLIC - транзакция SLICENCE LC04 - liveCache администрирование (инициализация) LC03 - liveCache администрирование (интеграция, конфигурация) DBA - Полномочия для администратора БД CONV - Преобразование таблиц после смены версии UNIX - Запуск UNIX-команд SMSS - Сервер MS SQL: командное окно TOUC - Инициализция новой генерации для всех программ UMON - Администрирование записей обновл. (без системы обновления) UADM - Администрирование обновления (включение/отключение) AUDA - Базис: аудит: администрирование SM19 ICFA - Полномочия на ICF-администрирование (Транзакция SICF) ICFS - ICF-полномочия на сервисы PUBLIC (транз. SICF) MEMO - Распределение SAP-управления памятью (RSMEMORY) не такие важные: STOR - Анализ трассировок (запуск транзакции dbacockpit) и анализ трассировок ST05 ST0M - включение/выключение трассировок UDSP - Просмотр запросов обновления и их данных PADM - Администрирование процессов через транзакции SM04 , SM50 POPU - TH_POPUP ФМ для отправки сообщений RFCA - RFC администрирование S_LOG_COM запуск логических команд и эта штука отрубит в ST04 запуск SQL-команд COMMAND: * HOST: * OPSYSTEM: * S_RFC_ADM администрирование RFC (SM59) ACTVT: 01 - добавить/создать 02 - изменить 03 - чтение S_CTS_ADMI Функции администрирования в системе изменений и переносов и S_CTS_SADM Специфическое администрирование системы (перенос) CTS_ADMFCT: INIT - Инициализация Организатора изменений и переносов SYSC - Установка опций изменяемости системы TABL - Изменение таблиц управления Организатора ИС Эти два полномочия запретят открытие системы на изменение (se06) и изменяемость мандантов (scc4) |
Автор: | RikoNw [ Чт, фев 16 2017, 15:26 ] |
Заголовок сообщения: | Re: Опасные полномочия |
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ? |
Автор: | bdmalex [ Чт, фев 16 2017, 19:51 ] |
Заголовок сообщения: | Re: Опасные полномочия |
На мой вкус - одни полномочия, это неполные ограничения! Я бы ещё добавил список запретных транзакций, типа: scc3,scc4,scc5,scc9,sp01,sm59(оставив только чтение),rz03,rz04,rz10,rz11.... |
Автор: | basis_spb [ Чт, фев 16 2017, 20:47 ] |
Заголовок сообщения: | Re: Опасные полномочия |
RikoNw написал: А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ? это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд |
Автор: | RikoNw [ Пт, фев 17 2017, 10:59 ] |
Заголовок сообщения: | Re: Опасные полномочия |
basis_spb написал(а): RikoNw написал: А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ? это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд Ааа точно, спасибо! Это когда они кривые данные вводят и создается дамп, транзакция проверяет, можно ли отобразить дамп (есть ли полномочие S_DEVELOP). Если нет - пишем текст на сером фоне - у вас просто ошибка, без подробностей. |
Автор: | RikoNw [ Вт, ноя 14 2017, 11:06 ] |
Заголовок сообщения: | Re: Опасные полномочия |
Пересечение S_TCODE TCD = SM30, SM31, SE16, SE16n S_TABU_DIS DICBERCLS = *, ACTVT=02 Является критическим, меняйте S_TABU_DIS на S_TABU_NAM, если S_TABU_DIS не захардкоден |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |