Systemeinstellungen
Änderungsbelege
Benutzertrace - Transaktion: STUSERTRACE - Mit der Transaktion STUSERTRACE ruft man den Benutzertrace auf. Im Grunde genommen ist das der Berechtigungstrace (Transaktion STUSOBTRACE), der auf einzelne Benutzer filtert. Man kann also genau den Berechtigungstrace aufrufen und den Filter auf einen Benutzer einstellen. Wie beim Berechtigungstrace muss der Profilparameter “auth/authorization_trace” in der Parameterverwaltung (Transaktion RZ10) entsprechend gesetzt werden.
Bitte beachten Sie, dass in Abhängigkeit vom Ergebnis des Reports RSUSR003 eine System-Log-Meldung vom Typ E03 erzeugt wird. Sollte ein kritisches Merkmal (rot hinterlegt) erkannt werden, wird der Meldungstext »Programm RSUSR003 meldet ›Security violation‹« in das System-Log geschrieben. Falls kein kritisches Merkmal erkannt wurde, wird stattdessen die Meldung »Programm RSUSR003 meldet ›Security check passed‹« ausgegeben. Diese Meldung erfolgt, da die Information zum Passwortstatus der Standardbenutzer hochgradig sicherheitsrelevant ist und Sie die Zugriffe darauf nachvollziehen können sollten. Sie können der Benutzer- und Systemadministration Änderungsberechtigungen für den Report RSUSR003 erteilen oder nur eine Ausführungsberechtigung mit dem Berechtigungsobjekt S_USER_ADM und dem Wert CHKSTDPWD im Feld S_ADM_AREA vergeben. Diese Berechtigung beinhaltet keine Änderungsberechtigungen für die Benutzerverwaltung und kann daher auch an Auditoren vergeben werden.
Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten
In SAP-Systemen haben Sie immer die Möglichkeit, kundeneigene Entwicklungen zu integrieren. In solchen Erweiterungen oder eigenen Programmen müssen Sie Berechtigungsprüfungen implementieren und unter Umständen auch eigene Berechtigungsobjekte anlegen. Auch können Sie Berechtigungsprüfungen in Standardtransaktionen ergänzen, wenn die bestehenden Prüfungen Ihre Anforderungen nicht abdecken.
Die Passwörter der Benutzer sind im SAP-System als Hash-Werte abgelegt. Die Qualität der Hash-Werte und damit deren Sicherheit, hängt aber von den eingesetzten Hash-Algorithmen ab. Die früher in den SAP-Systemen eingesetzten Hash-Algorithmen sind nicht mehr als sicher einzustufen; sie können innerhalb kurzer Zeit mit einfachen technischen Mitteln geknackt werden. Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern. Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken. Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY. Am besten weisen Sie diesen Tabellen eine eigene Tabellenberechtigungsgruppe zu, wie es in Tipp 55, »Tabellenberechtigungsgruppen pflegen«, beschrieben wird. Zusätzlich sollten Sie auch die Zugriffe über das Berechtigungsobjekt S_TABU_NAM kontrollieren.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Man kann also genau den Berechtigungstrace aufrufen und den Filter auf einen Benutzer einstellen.
Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt.