SAPфорум.RU
https://sapboard.ru/forum/

Опасные полномочия
https://sapboard.ru/forum/viewtopic.php?f=14&t=94416
Страница 1 из 1

Автор:  RikoNw [ Вт, фев 14 2017, 15:19 ]
Заголовок сообщения:  Опасные полномочия

Коллеги, добрый день. Если у кого есть, поделитесь пожалуйста, наработкой: список опасных полномочий типа:

Объект :S_DEVELOP
Тим: TABL
Поле: ACTVT
Операция: 06,41,42

Данное полномочие позволит грохнуть таблицу в утилите базы данных. Интересует еще подборка таких самых опасных полномочий, хочу их отрезать
даже у тех, у кого sap_all (перевод их в z_sap_all)

Спасибо :pivo:

Автор:  шрам [ Вт, фев 14 2017, 16:33 ]
Заголовок сообщения:  Re: Опасные полномочия  Тема решена

привет

для начала, можно посмотреть в штатный отчет по критичным полномочиям:
SUIM - Users - With Critical Authorizations (либо тр. S_BCE_68002111): Variant - For Critical Authorizations - SAP_RSUSR009
Там-же можно добраться до самого профиля SAP_RSUSR009 (CTRL+F2) и посмотреть его начинку.

Есть более длительный путь - дать юзерам поработать день/неделю со включенной трассировкой полномочий, а затем сделать роли/профили. Потом уже добавлять по мере обращений и исходя из понимания критичности полномочий и адекватности просящего (а то был у меня один затейник, которому сильно была нужна правка переменных под отладкой и хоть ваще потом ролей не давай...не нужны они ему были).

Автор:  Skif [ Вт, фев 14 2017, 17:21 ]
Заголовок сообщения:  Re: Опасные полномочия

шрам написал:
привет
для начала,

дождаться аудита :roll:

Автор:  basis_spb [ Вт, фев 14 2017, 19:05 ]
Заголовок сообщения:  Re: Опасные полномочия

В EWA есть небольшой раздел с критическими полномочиями, я бы, помимо упомянутого девелопера, добавил сюда же прямой просмотр таблиц, перенос запросов, создание-редактирование пользователей и ролей.
Ну и про прямой доступ к SQL запросам через ST04 тоже не надо забывать

Автор:  Skif [ Ср, фев 15 2017, 09:04 ]
Заголовок сообщения:  Re: Опасные полномочия

basis_spb написал(а):
небольшой раздел

http://sapsecurityanalyst.com/WP/sap-security-audit-guidelines-part-i

Автор:  шрам [ Ср, фев 15 2017, 09:48 ]
Заголовок сообщения:  Re: Опасные полномочия

Цитата:
Audit is a never ending topic

:mrgreen: :shumlol:

Но за ссылку мерси... :wink:

Автор:  basis_spb [ Ср, фев 15 2017, 12:04 ]
Заголовок сообщения:  Re: Опасные полномочия

Skif написал:

а про полномочия там ни слова :)

Автор:  Skif [ Ср, фев 15 2017, 14:37 ]
Заголовок сообщения:  Re: Опасные полномочия

basis_spb написал(а):
а про полномочия там ни слова :)

душили-душили...
http://sapboard.ru/forum/viewtopic.php?f=14&t=36815&view=next

Автор:  RikoNw [ Ср, фев 15 2017, 14:58 ]
Заголовок сообщения:  Re: Опасные полномочия

Простите, виноват, действительно уже был топик с подобной темой.

Автор:  RikoNw [ Ср, фев 15 2017, 16:49 ]
Заголовок сообщения:  Re: Опасные полномочия

Мои набросочки: наиболее опасные полномочия

S_DEVELOP
ACTVT 41,42 - удаление, преобразование таблицы на уровне БД

S_DEVELOP
OBJTYPE DEBUG
ACTVT 02 - полномочие на правку переменных в режиме отладки

S_ADMI_FCD;
ACTVT:

T000 - создание манданта
UBUF - сброс пользовательского буфера
SYNC - Сброс буферов (синхр. буферов через $sync, $tab...)
SLIC - транзакция SLICENCE
LC04 - liveCache администрирование (инициализация)
LC03 - liveCache администрирование (интеграция, конфигурация)
DBA - Полномочия для администратора БД
CONV - Преобразование таблиц после смены версии
UNIX - Запуск UNIX-команд
SMSS - Сервер MS SQL: командное окно
TOUC - Инициализция новой генерации для всех программ
UMON - Администрирование записей обновл. (без системы обновления)
UADM - Администрирование обновления (включение/отключение)
AUDA - Базис: аудит: администрирование SM19
ICFA - Полномочия на ICF-администрирование (Транзакция SICF)
ICFS - ICF-полномочия на сервисы PUBLIC (транз. SICF)
MEMO - Распределение SAP-управления памятью (RSMEMORY)

не такие важные:
STOR - Анализ трассировок (запуск транзакции dbacockpit) и анализ трассировок ST05
ST0M - включение/выключение трассировок
UDSP - Просмотр запросов обновления и их данных
PADM - Администрирование процессов через транзакции SM04 , SM50
POPU - TH_POPUP ФМ для отправки сообщений
RFCA - RFC администрирование

S_LOG_COM
запуск логических команд и эта штука отрубит в ST04 запуск SQL-команд
COMMAND: *
HOST: *
OPSYSTEM: *

S_RFC_ADM
администрирование RFC (SM59)
ACTVT:
01 - добавить/создать
02 - изменить
03 - чтение

S_CTS_ADMI Функции администрирования в системе изменений и переносов
и
S_CTS_SADM Специфическое администрирование системы (перенос)

CTS_ADMFCT:
INIT - Инициализация Организатора изменений и переносов
SYSC - Установка опций изменяемости системы
TABL - Изменение таблиц управления Организатора ИС

Эти два полномочия запретят открытие системы на изменение (se06) и изменяемость мандантов (scc4)

Автор:  RikoNw [ Чт, фев 16 2017, 15:26 ]
Заголовок сообщения:  Re: Опасные полномочия

А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

Автор:  bdmalex [ Чт, фев 16 2017, 19:51 ]
Заголовок сообщения:  Re: Опасные полномочия

На мой вкус - одни полномочия, это неполные ограничения!
Я бы ещё добавил список запретных транзакций, типа:
scc3,scc4,scc5,scc9,sp01,sm59(оставив только чтение),rz03,rz04,rz10,rz11....

Автор:  basis_spb [ Чт, фев 16 2017, 20:47 ]
Заголовок сообщения:  Re: Опасные полномочия

RikoNw написал:
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд

Автор:  RikoNw [ Пт, фев 17 2017, 10:59 ]
Заголовок сообщения:  Re: Опасные полномочия

basis_spb написал(а):
RikoNw написал:
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд


Ааа точно, спасибо! Это когда они кривые данные вводят и создается дамп, транзакция проверяет, можно ли отобразить дамп (есть ли полномочие S_DEVELOP). Если нет - пишем текст на сером фоне - у вас просто ошибка, без подробностей.

Автор:  RikoNw [ Вт, ноя 14 2017, 11:06 ]
Заголовок сообщения:  Re: Опасные полномочия

Пересечение
S_TCODE
TCD = SM30, SM31, SE16, SE16n
S_TABU_DIS
DICBERCLS = *,
ACTVT=02

Является критическим, меняйте S_TABU_DIS на S_TABU_NAM, если S_TABU_DIS не захардкоден

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/