Andre Tenbuss
SAP Basis
 - 26. November 2014
  2 Kommentare

SAP-Stern freischalten – Notfallbenutzer SAP* in SAP NetWeaver aktivieren

Haben Sie sich schon einmal aus dem SAP System ausgeschlossen und nach einem Weg gesucht, den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*)? Möglicherweise kennen Sie folgendes Szenario: Im Rahmen der Vorbereitungen für eine Wartung sollen alle Benutzer in den Produktivmandanten gesperrt werden. Das ist z.B. mit Hilfe der SU10 schnell gemacht. Vergisst man nun z.B. den DDIC-Benutzer aus der Liste zu entfernen oder ist dieser beispielsweise durch zu viele Falschanmeldungen gesperrt, dann ist man aus dem System ausgesperrt.

Tobias Harmes
SAP Standard Kennwörter erkennen und vermeiden auch als Video
Senior GRC Architect Tobias Harmes
Standard-Benutzer und Standard Kennwörter gehören zu den einfachst auszunutzenden Angriffspunkten in SAP Systemen. Deshalb habe ich eine Expert Session vorbereitet, in der ich erkläre, wie Sie SAP Standard Benutzer mit bekannten Kennwörtern in NetWeaver ABAP erkennen und vermeiden. Das ist ein Video kombiniert mit Präsentation und Live-Demo im SAP System, in der ich auf alle relevanten Aspekte zu diesem Thema eingehe.

SAP Standard Benutzer mit bekannten Kennwörtern in NetWeaver ABAP erkennen und vermeiden

Für den Preis eines großen Caffè Latte erhalten Sie geballtes Experten-Wissen, das Ihnen viel Recherche spart und Ihnen hilft typische Probleme in diesem Umfeld zu umschiffen.
Expert Session für 3,99€ herunterladen

Mehr Infos gibt es auch hier.

Es gibt zahlreiche Gründe, welche die Ursache für einen Mandanten ohne ungesperrten Benutzer sein können. Im besten Fall lässt sich das Sperrkennzeichen bei einem Benutzer direkt aus der Datenbank löschen. Was ist aber zu tun, wenn die Kennwörter der Administrator-Benutzer nicht bekannt sind? Auch dafür gibt es einen Weg, welchen ich Ihnen heute gerne vorstellen möchte.

Mit dem Notfallbenutzer SAP* kann man sich an ABAP-Systemen anmelden, auch wenn alle Benutzer gesperrt oder gelöscht wurden. Dieser Standardbenutzer ist im Programmcode des Systems definiert und verfügt über uneingeschränkte Zugriffsberechtigungen. Bevor Sie weitere Schritte versuchen, sollten Sie in jedem Fall testen, ob das Standardkennwort des Benutzers (PASS) funktioniert [Anmerkung: Aus Sicherheitsgründen sollten Sie die Standardkennwörter der Standardbenutzer dringend ändern!]

Der Kernel-Benutzer SAP* kann über einen Profilparameter aktiviert werden. Bei der Installation eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt.

Es gibt zwei Schutzmechanismen:

  1. Der Benutzer kann über Profilparameter aktiviert werden.
  2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden.

Nachfolgend wird beschrieben, welche Schritte Sie ausführen müssen, um den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*).

SAP Standard Kennwörter erkennen und vermeiden

Profilparameter

Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt werden. Dies kann bspw. über die Transaktion RZ10 ausgeführt werden. Das System muss anschließend neu gestartet werden.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit Spezialist Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Online Expert Session

Benutzerstamm

Damit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzer nicht von einem gleichnamigen Benutzer SAP* übersteuert wird. Falls das so ist, muss der gleichnamige Benutzer via SU01 umbenannt werden.

SAP-Stern freischalten

Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in der Datenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Name des Benutzers SAP* aus dem Benutzerstamm geändert werden:

update [SCHEMA].usr02
set BNAME=”SAP*_old”
where BNAME=”SAP*” and MANDT=”[Zielmandant]”

Für das <SCHEMA> der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der existierende Benutzerstamm auch gelöscht werden. Bitte beachten Sie, dass das SQL-Kommando unter Umständen an das jeweilige Datenbank-Management-System angepasst werden muss. Bitte prüfen Sie den Befehl genau, bevor Sie das Kommando ausführen.

Sobald Sie den Benutzer SAP-Stern freischalten konnten, ist eine Anmeldung mit dem Standardkennwort PASS möglich. Dieses Password ist im Programmcode festgesetzt und kann nicht geändert werden.

Nach der Reparatur muss der Profilparameter login/no_automatic_user_sapstar wieder auf einen Wert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* mit generiertem Kennwort angelegt werden. Dieser sollte der Benutzergruppe SUPER angehören, gesperrt sein und über keine Berechtigungen verfügen.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Andre Tenbuss ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Basis

Ihre Ergänzungen zu SAP-Stern

Haben Sie noch weitere Tipps oder Ergänzungen? Ich freue mich auf Ihr Feedback!

Andre Tenbuss

Mein Name ist Andre Tenbuss und ich bin begeisterter SAP Consultant bei mindsquare. Wie meine Kollegen habe ich mein Hobby zum Beruf gemacht.

Sie haben Fragen? Kontaktieren Sie mich!

Jetzt das kostenlose E-Book zum Thema SAP Basis herunterladen:

Ausgewählte Fachartikel zum Thema SAP Basis als PDF (ca. 280 Seiten)

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:

Ausgewählte Fachartikel aus 2018/2019 als PDF (ca. 250 Seiten)

RZ10.de Podcast für SAP Basis & Security

Das könnte Sie auch interessieren

SAP GRC

Pakete im Download Basket bestätigen ohne MOPZ

Wer kennt das nicht, man möchte nur eben schnell ein paar Patche aus dem sapnet laden. Doch “Rechte Maustaste” – “Speichern unter” funktioniert schon lange nicht mehr. Die richtigen Pakete wollen ausgesucht sein, dann kommen sie in den Download Basket und dann muss erst mal ein neues Wartungsprojekt angelegt werden, damit die Pakete auch bestätigt […]

weiterlesen
IDoc-Status_01

IDoc Status manuell ändern

Der IDoc Status eines bestimmten IDocs soll manuell verändert werden. Dieses Ziel kann mithilfe eines Standard SAP-Reports erreicht werden. Beitrag als PDF herunterladen × Beitrag als PDF-Dokument herunterladenLaden Sie sich hier den Blogbeitrag kostenlos und unverbindlich als PDF-Dokument herunter.

weiterlesen

Expert Session: SAP Standard Kennwörter erkennen und vermeiden

Standard-Benutzer und Standard Kennwörter gehören zu den einfachst auszunutzenden Angriffspunkten in SAP Systemen. Deshalb habe ich eine Expert Session vorbereitet, in der ich erkläre, wie Sie SAP Standard Benutzer mit bekannten Kennwörtern in NetWeaver ABAP erkennen und vermeiden. Das ist ein Video kombiniert mit Präsentation und Live-Demo im SAP System, in der ich auf alle […]

weiterlesen

2 Kommentare zu "SAP-Stern freischalten – Notfallbenutzer SAP* in SAP NetWeaver aktivieren"

Stephan Goldstein - 2. Dezember 2014 | 11:05

Der Initialuser SAP* ist eine Systemschwachstelle im SAP (schon zu R2-Zeiten) und muss gesondert unter Kontrolle gehalten werden. Der Verweis auf die absolute Notfall-Lösung über SQL ist schon fast ein Anreiz zum Ausleben von krimineller Energie! So etwas sollte nicht veröffentlicht werden!

Antworten
Tobias Harmes - 26. Januar 2015 | 12:21

Hallo Herr Goldstein.

Vielen Dank für Ihren Hinweis. Ich stimme Ihnen absolut zu bei dem Hinweis, dass der sap*-User besonders kontrolliert werden muss (am Besten automatisiert). Unsere Anleitung unterstreicht die Notwendigkeit dafür. Unsere Sicherheitskonzepte, die wir für Kunden entwickeln, weisen auch immer darauf hin, dass “die Sache gelaufen ist” wenn jemand das Level des SQL-Zugriff in Produktion erreicht.

Mit freundlichen Grüßen,
Tobias Harmes

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support