|
Objetos de autorización sensibles
Saludos.
Como todos sabemos existen transacciones que son de cuidado y que no se deben asignar a los usuarios finales de SAP por temas de seguridad; la idea es tener el sistema lo más seguro que se pueda, asignando únicamente las transacciones que necesita cada usuario. Nosotros en la empresa hemos generado una tabla con las transacciones que consideramos de mayor cuidado y que sólo usuarios "especiales" pueden tener acceso a las mismas; sin embargo, queremos tener un listado de los objetos de autorización que pueden resultar a ser peligrosos en temas de seguridad. Si alguien sabe cuáles son los objetos de autorización de mayor cuidado, les agradecería mucho que los compartieran. Gracias. |
Hola,
A mi por ejemplo, cuando SAP me envía el informe del EWA, me aparecen alertas en los siguientes objetos con autorizaciones críticas: S_DEVELOP with ACTVT=02 (change) and OBJTYPE=DEBUG (Permite debuguear programas en producción) S_TCODE with TCD = SP01 or SP01O S_ADMI_FCD with S_ADMI_FCD = SP01 or SP0R S_SPO_ACT with SPOACTION = BASE and DISP and SPOAUTH = * or__USER__ Estas ultimas autorizaciones permiten el acceso no autorizado a datos sensibles que figuran en las solicitudes de impresión. Seguramente hayan más, pero SAP recomienda que estos objetos se modifiquen por razones de seguridad. Saludos. |
Rv2, como estas?
Lo que te puedo recomendar es que te centres en transacciones y no en objetos de autorizacion, ya que si un usuario no tiene acceso a la transaccion por mas que tenga los objetos no puede ejecutar dicha transaccion. Existe en este foro algunos post sobre transacciones y creo que hay algo en manuales de este foro que menciona transacciones q se utilizan para Basis y para seguridad que estas deberian estar restringidas al maximo, para cualquier usuario en el mandante que sea. Luego hablando de Produccion hay que tenes mucho cuidad con las transacciones de modificacion de usuarios (su01) Y pfcg, db13 y otras que como en estos momentos me encuentro de vacaciones no tengo a mano para mandarte el doc que poseo en la oficina, pero lo que buscas esta en este foro, solo tenes que urgetear un poco. Espero haberte ayudoy no dudes en escribirme o consultar al foro. Gustavo Consultor en Seguridad R3-BI y Auditorias |
Gracias a ambos por las respuestas. la verdad fue que me solicitaron buscar cuáles eran los obejrtos más sensibles, pero también pensé que era mejor realizarlo por transacciones; sin embargo, me lo pidieron porque en algunos casos los usuarios mandan SU53 con errores sobre objetos que no tiene nada que ver con las transacciones; el más común es el S_CTS_ADMI que la verdad no tiene nada que ver con errores de usuarios.
Voy a buscar entonces las transacciones. Gracias |
Rv2
Estimado, te comento que nosotros estamos implementando SAP y tenemos consultores SAP y algunos consultores de otras empresas.
Nosotros justo tenemos pendiente la entrega de una lista "recomendada" de Objetos de autorizacion criticos segun nuestro consultor SAP. (el hacía las capacitaciones para BASIS en SAP). Apenas tenga la lista "recomendada" se las postearé, ya que a mi tambien me tocan muchos usuarios que para X Tx necesitan objetos determinados. Saludos... |
Danielecc, agradezco mucho tu colabroación con este tema. Estaré pendiente de la lista.
Saludos. |
Danielecc que pena, pero no olvides esto que nos comentabas! |
Danielcc se olvidó de nosotros :D :D :D :D
|
No estimados, no lo he olvidado...solo que el consultor ha estado muy ocupado con otro requerimiento que le solicitamos, el cual es URGENTE e IMPORTANTE, pero de todas maneras le recorde el tema, el cual fue solicitado formalmente.
Apenas tenga la info se las entrego, saludos... |
1 Adjunto(s)
Adjunto archivo de Trx Conflictivas que obtuve en algun momento.
Esta como extension EXE pero es un ZIP o RAR |
seguridades
con que transacciones puedo determinar que esta realizando o visualizando un usuario dentro del sistema con el fin de efectuar auditoria y seguridad
|
Rastreo
Depende de una cosa, si tienes activo los logs de auditoria (por ejemplo RSAU/ENABLE) podrías ver que transacciones ejecuta un usuario durante un lapso de tiempo el cual desees consultar. Existen otras transacciones en donde puedes programar lo que hace un usuario; sin embargo, la uso poco pues tengo entendido que consume mucho recurso de maquina. Si llegas a conocer algo de esa programación, por favor compartes |
para saber lo que esta realizando el usuario debes ejecutar la transaccion ST01 o de trace , es importante que tengas activos los logs de auditoria antes y debes cerrar la transaccion una ves terminada de ocupar debido a que te genera espacio de memoria en tu base de datos |
Buenas tardes desde el futuro jeej, Leyendo el post, a mi también me pasa que los usuarios me suelen enviar pantallazos de la SU53 con errores de autorización entre otros (yo les llamo "ficticios"). El más común que me suelo encontrar es que te piden acceso a la PFCG (S_TCODE: TCD = PFCG). Si os pasa que os mandan un pantallazo de la SU53 con este objeto y valor (si no es un error de autorizaciones real de que no tiene acceso a la PFCG), obviarlo sin contemplación. Posiblemente debajo del error "ficticio" se muestre el error real que le está dando al usuario. EDITADO: Por otro lado, quiero dejar constancia del objeto N_VM_DEF (para los módulos ISH/ISH-Med). Este objeto de autorización salta siempre que un usuario accede a la transacción NWP1, pero no se debe dar acceso nunca (critico) a menos que sea requerimiento expreso del cliente. Este objeto da acceso a que un usuario pueda modificar los entornos de trabajo de la NWP1 (tarea que suele realizar siempre el consultor funcional). Un saludo! |
muy interesante gracias por el aporte
|
Gracias por el aporte. El lunes estare comentando sobre el tema, mediante unos apuntes de un libro que compre que indica las transacciones y objetos de autorizacion criticos. |
| Husos Horarios son GMT. La hora en este momento es 02:43:46. |
www.mundosap.com 2006 - Spain
software crm, crm on demand, software call center, crm act, crm solutions, crm gratis, crm web