Текущее время: Чт, мар 28 2024, 17:54

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: Опасные полномочия
СообщениеДобавлено: Вт, фев 14 2017, 15:19 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Коллеги, добрый день. Если у кого есть, поделитесь пожалуйста, наработкой: список опасных полномочий типа:

Объект :S_DEVELOP
Тим: TABL
Поле: ACTVT
Операция: 06,41,42

Данное полномочие позволит грохнуть таблицу в утилите базы данных. Интересует еще подборка таких самых опасных полномочий, хочу их отрезать
даже у тех, у кого sap_all (перевод их в z_sap_all)

Спасибо :pivo:


Последний раз редактировалось RikoNw Ср, фев 15 2017, 16:35, всего редактировалось 1 раз.

Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия  Тема решена
СообщениеДобавлено: Вт, фев 14 2017, 16:33 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
привет

для начала, можно посмотреть в штатный отчет по критичным полномочиям:
SUIM - Users - With Critical Authorizations (либо тр. S_BCE_68002111): Variant - For Critical Authorizations - SAP_RSUSR009
Там-же можно добраться до самого профиля SAP_RSUSR009 (CTRL+F2) и посмотреть его начинку.

Есть более длительный путь - дать юзерам поработать день/неделю со включенной трассировкой полномочий, а затем сделать роли/профили. Потом уже добавлять по мере обращений и исходя из понимания критичности полномочий и адекватности просящего (а то был у меня один затейник, которому сильно была нужна правка переменных под отладкой и хоть ваще потом ролей не давай...не нужны они ему были).


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Вт, фев 14 2017, 17:21 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
шрам написал:
привет
для начала,

дождаться аудита :roll:

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Вт, фев 14 2017, 19:05 
Специалист
Специалист

Зарегистрирован:
Вт, мар 31 2015, 12:52
Сообщения: 105
В EWA есть небольшой раздел с критическими полномочиями, я бы, помимо упомянутого девелопера, добавил сюда же прямой просмотр таблиц, перенос запросов, создание-редактирование пользователей и ролей.
Ну и про прямой доступ к SQL запросам через ST04 тоже не надо забывать


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 09:04 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
basis_spb написал(а):
небольшой раздел

http://sapsecurityanalyst.com/WP/sap-security-audit-guidelines-part-i

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 09:48 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
Цитата:
Audit is a never ending topic

:mrgreen: :shumlol:

Но за ссылку мерси... :wink:


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 12:04 
Специалист
Специалист

Зарегистрирован:
Вт, мар 31 2015, 12:52
Сообщения: 105
Skif написал:

а про полномочия там ни слова :)


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 14:37 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
basis_spb написал(а):
а про полномочия там ни слова :)

душили-душили...
http://sapboard.ru/forum/viewtopic.php?f=14&t=36815&view=next

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 14:58 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Простите, виноват, действительно уже был топик с подобной темой.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Ср, фев 15 2017, 16:49 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Мои набросочки: наиболее опасные полномочия

S_DEVELOP
ACTVT 41,42 - удаление, преобразование таблицы на уровне БД

S_DEVELOP
OBJTYPE DEBUG
ACTVT 02 - полномочие на правку переменных в режиме отладки

S_ADMI_FCD;
ACTVT:

T000 - создание манданта
UBUF - сброс пользовательского буфера
SYNC - Сброс буферов (синхр. буферов через $sync, $tab...)
SLIC - транзакция SLICENCE
LC04 - liveCache администрирование (инициализация)
LC03 - liveCache администрирование (интеграция, конфигурация)
DBA - Полномочия для администратора БД
CONV - Преобразование таблиц после смены версии
UNIX - Запуск UNIX-команд
SMSS - Сервер MS SQL: командное окно
TOUC - Инициализция новой генерации для всех программ
UMON - Администрирование записей обновл. (без системы обновления)
UADM - Администрирование обновления (включение/отключение)
AUDA - Базис: аудит: администрирование SM19
ICFA - Полномочия на ICF-администрирование (Транзакция SICF)
ICFS - ICF-полномочия на сервисы PUBLIC (транз. SICF)
MEMO - Распределение SAP-управления памятью (RSMEMORY)

не такие важные:
STOR - Анализ трассировок (запуск транзакции dbacockpit) и анализ трассировок ST05
ST0M - включение/выключение трассировок
UDSP - Просмотр запросов обновления и их данных
PADM - Администрирование процессов через транзакции SM04 , SM50
POPU - TH_POPUP ФМ для отправки сообщений
RFCA - RFC администрирование

S_LOG_COM
запуск логических команд и эта штука отрубит в ST04 запуск SQL-команд
COMMAND: *
HOST: *
OPSYSTEM: *

S_RFC_ADM
администрирование RFC (SM59)
ACTVT:
01 - добавить/создать
02 - изменить
03 - чтение

S_CTS_ADMI Функции администрирования в системе изменений и переносов
и
S_CTS_SADM Специфическое администрирование системы (перенос)

CTS_ADMFCT:
INIT - Инициализация Организатора изменений и переносов
SYSC - Установка опций изменяемости системы
TABL - Изменение таблиц управления Организатора ИС

Эти два полномочия запретят открытие системы на изменение (se06) и изменяемость мандантов (scc4)


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Чт, фев 16 2017, 15:26 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Чт, фев 16 2017, 19:51 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 338
Откуда: Москва
Пол: Мужской
На мой вкус - одни полномочия, это неполные ограничения!
Я бы ещё добавил список запретных транзакций, типа:
scc3,scc4,scc5,scc9,sp01,sm59(оставив только чтение),rz03,rz04,rz10,rz11....


Пометить тему как нерешенную
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Чт, фев 16 2017, 20:47 
Специалист
Специалист

Зарегистрирован:
Вт, мар 31 2015, 12:52
Сообщения: 105
RikoNw написал:
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Пт, фев 17 2017, 10:59 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
basis_spb написал(а):
RikoNw написал:
А не подскажете, почему всякие сбытовые транзакции клянчат для себя полномочие S_DEVELOP ? В SU53 когда смотришь, там постоянно записи типа S_DEVELOP DEBUG 03 ? Нафига ?

это значит кривые данные вводят, например запятую вместо точки, или русскую-английскую букву и тд


Ааа точно, спасибо! Это когда они кривые данные вводят и создается дамп, транзакция проверяет, можно ли отобразить дамп (есть ли полномочие S_DEVELOP). Если нет - пишем текст на сером фоне - у вас просто ошибка, без подробностей.


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Опасные полномочия
СообщениеДобавлено: Вт, ноя 14 2017, 11:06 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
Пересечение
S_TCODE
TCD = SM30, SM31, SE16, SE16n
S_TABU_DIS
DICBERCLS = *,
ACTVT=02

Является критическим, меняйте S_TABU_DIS на S_TABU_NAM, если S_TABU_DIS не захардкоден


Пометить тему как нерешенную
Вернуться к началу
 Профиль Отправить email  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB