SAP安全快速指南（DOC62）7588.docx

SAP安全 - 快速指南SAP安全 - 概述在SAP分散式環境中，始終需要保護關鍵資訊和資料免受未經授權的訪問。 人為錯誤，不正確的訪問配置不應允許未經授權訪問任何系統，並且需要維護和檢查SAP環境中的設定檔策略和系統安全性原則。為了使系統安全全，您應該對對使用者訪問問設定檔，密密碼策略，資資料加密和系系統中使用的的授權方法有有良好的瞭解解。 您應定期檢檢查SAP系統架架構並監視在在配置和訪問問設定檔中所所做的所有更更改。標準超級用戶應應該得到良好好的保護，並並且應仔細設設置使用者設設定檔參數和和值，以滿足足系統安全要要求。在通過網路進行行通信時，您您應該瞭解網網路拓撲和網網路服務應進進行審查和啟啟用後相當多多的檢查。 網路上的資資料應該通過過使用私密金金鑰得到很好的的保護。為什麼需要安全全性？為了在分散式環環境中訪問資資訊，存在關關鍵資訊和資資料洩漏到未未授權訪問的的可能性，並並且由於缺少少密碼策略，標標準超級使用用者未被良好好維護或任何何其他原因而而破壞系統安安全性。在SAP系統中中破壞訪問的的幾個主要原原因如下 -· 不維護強式密碼碼策略。· 標準使用者，超超級使用者，資資料庫使用者者未正確維護護，密碼不定定期更改。· 設定檔參數未正正確定義。· 不監視不成功的的登錄嘗試，並並且未定義空空閒的用戶會會話結束策略略。· 網路在通過互聯聯網發送資料料且不使用加加密金鑰時，不考慮慮通信安全。· 資料庫使用者未未正確維護，在在設置資訊資資料庫時不考考慮安全措施施。· 單點登錄未在SSAP環境中中正確配置和和維護。為了克服所有上上述原因，需需要在SAPP環境中定義義安全性原則則。 應定義安全全參數，並應應定期檢查密密碼策略。資料庫安全性是是保護SAPP環境的關鍵鍵元件之一。 因此，有必必要管理資料料庫使用者，並並確保密碼得得到良好的保保護。應在系統中應用用以下安全機機制，以保護護SAP環境免免受任何未經經授權的訪問問 -· 用戶驗證和管理理· 網路通信安全· 保護標準用戶和和超級用戶· 不成功的登錄保保護· 設定檔參數和密密碼策略· 在Unix和WWindowws平臺中的SAP系統安安全· 單點登錄概念因此，在分散式式環境中需要要SAP系統的的安全性，您您需要確保您您的資料和流流程支援您的的業務需求，而而不允許未經經授權訪問關關鍵資訊。 在SAP系統中中，人為錯誤誤，疏忽或對對系統的嘗試試操縱可能導導致關鍵資訊訊的丟失。用戶驗證和管理理如果未授權的用用戶可以在已已知的授權使使用者下訪問問SAP系統，並並且可以進行行配置更改並並作業系統配配置和關鍵策策略。 如果授權使使用者訪問系系統的重要資資料和資訊，那那麼該使用者者也可以訪問問其他關鍵資資訊。 這增強了使使用安全認證證來保護使用用者系統的可可用性，完整整性和隱私。SAP系統中的的身份驗證機機制認證機制定義訪訪問SAP系統的的方式。 提供了各種種身份驗證方方法 -· 用戶ID和用戶戶管理工具· 安全網路通信· SAP登錄故障障單· X.509用戶戶端證書用戶ID和用戶戶管理工具SAP系統中最最常見的身份份驗證方法是是使用用戶名名和密碼登錄錄。 要登錄的用用戶ID由SAP管理員員創建。 為了通過用用戶名和密碼碼提供安全認認證機制，需需要定義不允允許使用者設設置容易預測測的密碼的密密碼策略。SAP提供了您您應該設置的的各種預設參參數來定義密密碼策略 - 密碼長度度，密碼複雜雜性，預設密密碼更改等SAP系統中的的使用者管理理工具SAP NettWeaveer Sysstem提供供了各種用戶戶管理工具，可可用於有效管管理環境中的的用戶。 它們為兩種種類型的NeetWeavver應用程程式伺服器（Java和ABAP）提供非常強的身份驗證方法。一些最常見的用用戶管理工具具是 -ABAP應用程程式伺服器的的使用者管理理（事務代碼：SU01）您可以使用使用用者管理事務務代碼SU001來維護基基於ABAPP的應用程式式伺服器中的的使用者。SAP NettWeaveer身份管理理您可以使用SAAP NettWeaveer身份管理理進行用戶管管理，以及在在SAP環境中中管理角色和和角色分配。PFCG角色您可以使用概要要檔生成器PFCCG創建角色色並向基於AABAP的系系統中的使用用者分配許可可權。事務代碼 - PFCG中央用戶管理您可以使用CUUA為多個基基於ABAPP的系統維護護使用者。 您還可以將將其與目錄伺伺服器同步。 使用此工具，您可以從系統的用戶端集中管理所有用戶主記錄。事務代碼 - SCUA和和創建分佈模模型。使用者管理引擎擎UME您可以使用UMME角色來控控制系統中的的使用者授權權。 管理員可以以使用代表用用戶可用于構建存取權權限的UMEE角色的最小小實體的操作作。您可以使用SAAP NettWeaveer Admministtratorr選項打開UMME管理主控控台。密碼策略密碼策略被定義義為使用者必必須遵循的一一組指令，以以通過使用強強式密碼並正正確使用它們們來提高系統統安全性。 在許多組織織中，密碼策策略作為安全全意識培訓的的一部分被共共用，並且使使用者必須保保持組織中關關鍵系統和資資訊的安全性性策略。在SAP系統中中使用密碼策策略，管理員員可以設置系系統使用者部部署不易中斷斷的強式密碼碼。 這也有助於於定期更改密密碼以確保系系統安全。以下密碼策略通通常用於SAAP系統 -預設/初始密碼碼更改這允許使用者在在第一次使用用時立即更改改初始密碼。密碼長度在SAP系統中中，SAP系統中中密碼的最小小長度預設為為3。 該值可以使使用proffile參數數更改，允許許的最大長度度為8。事務代碼 - RZ11參數名稱 - loginn / miin_passswordd_lng您可以按一下此此策略的概要要檔參數的文檔，您可可以從SAPP查看詳細的文文檔，如下所所示 -參數 - loogin / min_passwword_llng短文本 - 最最小密碼長度度參數說明 - 此參數指定定登錄密碼的的最小長度。 密碼必須至少有三個字元。 但是，管理員可以指定更大的最小長度。 當分配新密碼並更改或重置現有密碼時，此設置適用。應用區 - 登登錄參數單位 - 字元數（字字母數位）預設值 - 66誰可以進行更改改？ 顧客作業系統限制  - 無資料庫系統限制制 - 無非法密碼您不能選擇任何何密碼的第一一個字元為問問號（？）或感嘆嘆號（！）。 您還可以在在非法密碼表表中添加要限限制的其他字字元。事務代碼 - SM30表表名稱：USSR40。一旦您輸入表 - USRR40並按一一下頂部的顯顯示 ，它將顯示示所有不允許許的密碼的清清單。按一下“ 新建建條目”後 ，可以在此此表中輸入新新值，並選中中區分大小寫寫的核取方塊塊。密碼模式您還可以設置密密碼的前三個個字元不能以以與用戶名的的一部分相同同的順序顯示示。 可以使用密密碼策略限制制的不同密碼碼模式包括 -· 前三個字元不能能全部相同。· 前三個字元不能能包含空格字字元。· 密碼不能為PAASS或SAP。密碼更改在此策略中，可可以允許使用用者幾乎每天天更改其密碼碼一次，但管管理員可以根根據需要重置置使用者的密密碼。不應允許使用者者重複使用最最後五個密碼碼。 但是，管理理員可以重置置使用者以前前使用的密碼碼。設定檔參數您可以在SAPP系統中為使使用者管理和和密碼策略定定義不同的設設定檔參數。在SAP系統中中，可以通過過轉到工具CCMS配置設定檔維護 （事務：RZZ11）來顯示每個個設定檔參數數的文檔。 輸入參數名名稱，然後按按一下顯示 。在顯示的下一個個視窗中，您您必須輸入參參數名稱，您您可以看到22個選項 -顯示 - 顯示示SAP系統中中參數的值。顯示Docu  - 顯示該該參數的SAAP文檔。當您按一下顯示示按鈕時，您您將被移動到到維護設定檔參數螢幕。 您可以看到到以下詳細資資訊 -· 名稱· 類型· 選擇標準· 參數組· 參數描述等等在底部，您有參參數logiin / mmin_paassworrd_lngg的當前值當您按一下顯示示文檔選項時，它將將顯示參數的的SAP文檔。參數說明此參數指定登錄錄密碼的最小小長度。 密碼必須至至少有三個字字元。 但是，管理理員可以指定定更大的最小小長度。 當分配新密密碼並更改或或重置現有密密碼時，此設設置適用。每個參數都有一一個預設值，允允許的值如下下 -SAP系統中有有不同的密碼碼參數。 您可以在RZZ11事務中中輸入每個參數，並可可以查看文檔。· login / min_passwword_ddiff· login / min_passwword_ddigitss· login / min_passwword_lletterrs· login / min_passwword_sspeciaals· login / min_passwword_llowerccase· login / min_passwword_uupperccase· login / disaable_ppasswoord_loogon· login / passsword_charsset· login / passsword_downwwards_compaatibillity· login / passsword_complliancee_to_ccurrennt_pollicy要更改參數值，請請運行Traansacttion RRZ10並選選擇設定檔，如如下所示 -· 多個應用程式伺伺服器 - 使用DEFAAULT設定定檔。· 單個應用程式伺伺服器 - 使用實例設設定檔。選擇擴展維護  ，然後按一一下顯示 。選擇要更改的參參數，然後按按一下頂部的的參數。當您按一下參數數選項卡時，可可以在新視窗窗中更改參數數的值。 您也可以通通過按一下創創建（F5）創建新參數數。您還可以在此視視窗中查看參參數的狀態。 鍵入參數值，然後按一下複製 。退出螢幕時，系系統將提示您您保存。 按一下是以以保存參數值值。SAP安全 - 網路通信信安全網路通信（SNC）也可以用於使用安全認證方法登錄到應用程式伺服器。 您可以使用SNC通過用於Windows的SAP GUI或通過使用RFC連接進行用戶身份驗證。SNC使用外部部安全產品來來執行通信夥夥伴之間的認認證。 您可以使用用安全措施（如如公開金鑰基礎結構PKKI）和過程程來生成和分分發金鑰對。您應該定義可以以消除威脅並並防止網路攻攻擊的網路拓拓撲。 當使用者無無法登錄到應應用程式或資資料庫層時，攻攻擊者無法訪訪問SAP系統或或資料庫系統統來訪問關鍵鍵資訊。明確定義的網路路拓撲不允許許入侵者連接接到公司的LLAN，因此此無法訪問網網路服務或SSAP系統上上的安全回路路洞。SAP系統中的的網路拓撲您的物理網路架架構完全取決決於SAP系統的的大小。 SSAP系統通通常使用用戶戶端 - 伺服器器架構來實現現，每個系統通常分分為以下三個個層 -· 資料庫層· 應用層· 展示層當SAP系統較較小時，它可可能沒有單獨獨的應用程式式和資料庫伺伺服器。 但是，在大大型系統中，許許多應用程式式伺服器與資資料庫伺服器器和幾個前端端進行通信。 這定義了系統的網路拓撲從簡單到複雜，並且在組織網路拓撲時應考慮不同的方案。在大型組織中，建建議您將應用用程式和資料料庫伺服器安安裝在不同的的電腦上，並並放置在與前前端系統分離離的獨立LAAN中。在下圖中，您可可以看到SAAP系統的首首選網路拓撲撲 -將資料庫和應用用程式伺服器器放置在前端端VLAN的單單獨VLANN中時，可以以改進存取控控制系統，從從而提高SAAP系統的安安全性。 前端系統在在不同的VLLAN中，因因此不容易進進入伺服器VVLAN，因因此繞過SAAP系統的安安全性。SAP網路服務務在SAP系統中中，啟用了各各種服務，但但運行SAPP系統只需要要少量服務。 在SAP系統中， 風景， 資料庫和應用程式伺服器是網路攻擊的最常見目標。 許多網路服務正在您的環境中運行，允許訪問這些伺服器，並且應仔細監視這些服務。在您的Winddow / UNIX機機器中，這些些服務保存在在/ etcc / seervicees中 。 您可以在Wiindowss機器中打開開此檔，方法法是轉到以下下路徑 -system332 / ddriverrs / eetc / serviices您可以在記事本本中打開此檔檔，並查看伺伺服器中的所所有已啟動的的服務 -建議您禁用場景景伺服器上的的所有不需要要的服務。 有時這些服服務包含一些些錯誤，可以以被入侵者用用來獲得未經經授權的訪問問。 禁用這些服服務時，可以以減少對網路路進行攻擊的的幾率。為了提高安全性性，還建議在在SAP環境中中使用靜態密密碼檔。私密金鑰SNC使用外部部安全產品在在通信夥伴之之間執行認證證。 您可以使用用公開金鑰基礎結構（PPKI）和其他過程程等安全措施施來生成和分分發金鑰對，並並確保用戶的的私密金鑰已已正確安全。有不同的方法來來保護私密金金鑰的網路授權權 -· 硬體解決方案· 軟體解決方案讓我們現在詳細細討論它們。硬體解決方案您可以使用硬體體解決方案為為使用者保護護私密金鑰，您可以向向個人用戶發發放智慧卡。 所有金鑰都存儲在智慧卡中，並且用戶應該通過使用指紋或使用PIN密碼通過生物測定來認證他們的智慧卡。這些智慧卡應該該被保護以免免被每個用戶的盜竊竊或丟失，並並且用戶可以以使用卡來加加密文檔。用戶不能共用智智慧卡或將其其提供給其他他用戶。軟體解決方案還可以使用軟體體解決方案來來為各個使用用者存儲私密密金鑰。 與硬體解決決方案相比，軟軟體解決方案案是更便宜的的解決方案，但但它們也不太太安全。當使用者將私密密金鑰存儲在檔和和使用者詳細細資訊中時，需需要保護這些些檔以進行未未經授權的訪訪問。SAP安全 - 保護標準準用戶第一次安裝SAAP系統時，有有幾個預設使使用者被創建建來執行管理理任務。 預設情況下下，它在SAAP環境中創創建三個用戶戶端，· 用戶端000 - SAPP參考用戶端端· 用戶端001 - 來自SAP的範本本用戶端· 用戶端066 - SAPP早看用戶端端SAP在系統中中的上述用戶戶端中創建標標準用戶。 每個標準用戶在在第一次安裝裝時都有自己己的預設密碼碼。SAP系統中的的標準使用者者在預設用戶戶端下包括以以下用戶 -用戶細節客戶預設密碼SAP*SAP系統超級級使用者000，0011，066060719992所有新用戶端通過DDICABAP詞典超超級用戶000,0011199207006SAPCPICCSAP的CPII-C用戶000,0011管理員EARLYWAATCH早看用戶66支持這些是SAP預預設用戶端下下在SAP系統中中執行管理和和配置任務的的標準使用者者。 為了保持SAAP系統的安安全性，您應應該保護這些些用戶 -· 您應該將這些用用戶添加到組組SUPERR，以便它們們只由具有向向組SUPEER添加/修改用戶許許可權的管理理員修改。· 應更改標準使用用者的預設密密碼。如何查看SAPP系統中的客客戶清單？您可以使用事務務SM30查看看SAP環境中中的所有用戶戶端的清單，並並顯示表T0000 。當您輸入表並按按一下顯示時，它將將顯示SAPP系統中所有有用戶端的清清單。 此表包括您在在資源分享環環境中創建的的所有默認用用戶端和新用用戶端的詳細細資訊。您可以使用報告告RSUSRR003確保保已在所有用用戶端中創建建用戶SAPP，並且已更更改SAP，DDIC和SAPCPPIC的標準準密碼。轉到ABAP編編輯器SE338並輸入報報告名稱，然然後按一下EEXECUTTE。輸入報告標題，然然後按一下執執行按鈕。 它將在SAPP系統，密碼碼狀態，使用用鎖定原因，有有效期至和有有效期等中顯顯示所有用戶戶端和標準使使用者。保護SAP系統統超級使用者者要保護SAP系系統超級使用用者“SAPP”，您可以以在系統中執執行以下步驟驟 -步驟1 - 您您需要在SAAP系統中定定義新的超級級使用者，並並停用SAPP用戶。 請注意，您您不能在系統統中刪除使用用者SAP。 要停用硬編編碼使用者，可可以使用prrofilee參數： loginn / noo_autoomaticc_userr_sapsstar。如果使用者SAAP *的用用戶主記錄被被刪除，則可可以用“SAAP”和初始始密碼PASSS登錄。“SAP”使用用者具有以下下屬性 -用戶具有完全授授權，因為不不執行授權檢檢查。· 不能更改預設密密碼PASSS。· 您可以使用概要要檔參數logiin / nno_auttomatiic_useer_sappstar停停用SAP的這些些特殊屬性，並並控制使用者者SAP *的自動登錄錄。步驟2 - 要要檢查此參數數的值，請運運行Trannsactiion RZZ11並輸入入參數名稱。允許的值： 00,1，其中中 -· 0 - 允許自自動用戶SAAP *。· 1 - 自動用用戶SAP *被禁用。步驟3 - 在在以下系統中中，您可以看看到此參數的的值設置為11.這表示超超級使用者“SSAP”在系系統中已禁用用。步驟4 - 按按一下顯示 ，您可以看看到此參數的的當前值。要在系統中創建建新的超級使使用者，請定定義新的用戶戶主記錄並將將設定檔SAAP_ALLL分配給此超超級用戶。DDIC用戶保保護與軟體物流，AABAP字典典以及與安裝裝和升級相關關的任務相關關的某些任務務需要DDIIC使用者。 要保護此用用戶，建議將將此使用者鎖鎖定在SAPP系統中。 您不應刪除除此用戶以執執行一些功能能以供將來使使用。要鎖定使用者，請請使用事務代代碼： SU01 。如果要保護此用用戶，可以在在安裝時將SAP_ALL授權權分配給此用用戶，稍後再再將其鎖定。保護SAPCPPIC用戶SAPCPICC使用者用於於調用SAPP系統中的某某些程式和功功能模組，並並且是非對話話使用者。您應該鎖定此使使用者並更改改此使用者的的密碼以保護護它。 在以前的版版本中，鎖定定SAPCPPIC使用者者或更改密碼碼時，會影響響其他程式RRSCOLLL00，RSCOLLL30和LSYPGGU01。保護早期觀察A 066用戶戶端 - 這稱為為SAP早期監監視，用於SSAP系統和和使用者中的的診斷掃描和和監視服務EEARLYWWATCH是是用戶端0666中的早期期監視服務的的互動式使用用者。要保護護此用戶，您您可以執行以以下操作 -· 鎖定EARLYYWATCHH使用者，直直到在SAPP環境中不需需要該使用者者。· 更改此使用者的的預設密碼。關鍵點要保護SAP標標準用戶並在在SAP環境中中保護用戶端端，應考慮以以下要點 -· 您應該在SAPP系統中正確確維護用戶端端，並確保沒沒有存在的未未知用戶端。· 您需要確保SAAP超級使用用者“SAPP”存在，並並已在所有用用戶端中停用用。· 您需要確保更改改所有SAPP標準用戶SAAP，DDIC和EARLYYWATCHH使用者的預預設密碼。· 您需要確保所有有標準使用者者都已添加到到SAP系統中中的SUPEER組，並且且唯一有權對對SUPERR組進行更改改的人員才能能編輯這些用用戶。· 您需要確保SAAPCPICC的預設密碼碼已更改，並並且該用戶被被鎖定，並在在需要時將其其解鎖。· 所有SAP標準準用戶都應該該被鎖定，並並且只能在需需要時解鎖。 密碼應該為所有這些使用者提供良好的保護。如何更改標準使使用者的密碼碼？您應確保在表TT000中維護的所有有用戶端中更更改所有SAAP標準使用用者的密碼，並並且所有用戶戶端都應存在在用戶“SAAP”。要更改密碼，請請使用超級使使用者登錄。 在您要更改密碼的用戶名欄位中輸入用戶ID。 按一下更改密碼選項，如下麵的螢幕截圖所示 -輸入新密碼，重重複密碼，然然後按一下應應用 。 您應該對所所有標準用戶戶重複相同的的過程。取消授權登錄保保護要在SAP系統統中實現安全全性，需要監監控SAP環境中中的失敗登錄錄。 當有人嘗試試使用不正確確的密碼登錄錄系統時，系系統應該鎖定定用戶名一段段時間，或者者該會話應在在定義的嘗試試次數後終止止。可以為未經授權權的登錄嘗試試設置各種安安全參數 -· 終止會話· 鎖定用戶· 啟動螢幕保護裝裝置程式· 監視未成功的登登錄嘗試· 記錄登錄嘗試讓我們現在詳細細討論這些。終止會話當對單個使用者者標識進行多多次不成功的的登錄嘗試時時，系統結束束該使用者的的會話。 這應該使用用Profiile參數 - loggin / failss_to_ssessioon_endd發送。要更改參數值，請請運行Traansacttion RRZ10並選選擇設定檔，如如以下螢幕截截圖所示。 選擇擴展維維護並按一下下顯示 。選擇要更改的參參數，然後按按一下頂部的的參數按鈕，如如下所示。按一下“參數”選項卡時，可可以在新視窗窗中更改參數數的值。 您也可以通通過按一下創創建（F5）按鈕創建新參數。要查看此參數的的詳細資訊，請請運行事務代代碼： RZ11 ，然後輸入入設定檔名稱稱 - loggin / failss_to_ssessioon_endd並按一下顯顯示文檔 。· 參數 - loogin / failled_too_sesssion_eend· 短文本 - 直直到會話結束束為止的無效效登錄嘗試次次數。· 參數描述 - 在登錄過程程終止之前，可可以使用用戶戶主記錄進行行的無效登錄錄嘗試次數。· 應用區 - 登登錄· 預設值 - 33· 誰可以進行更改改？ - 客戶· 作業系統限制  - 無· 資料庫系統限制制 - 無· 其他參數是否受受影響或依賴賴？ - 無· 允許的值 - 1 - 999在上面的截圖中中，你可以看看到這個參數數的值設置為為3，即預設值值太。 在3次登錄嘗試試失敗後，單單個用戶的會話話將被終止。鎖定用戶如果在單個用戶戶ID下超過設設定數量的連連續失敗嘗試試登錄，您也也可以檢查特特定用戶IDD。 設置設定檔參數中允許許的無效登錄錄嘗試次數： loginn / faails_tto_useer_locck 。· 可以對特定的用用戶ID設置鎖定定。· 鎖定應用於用戶戶ID，直到午午夜。 但是，也可可以隨時由系系統管理員手手動刪除。· 在SAP系統中中，您還可以以設置一個參參數值，允許許將鎖定放在在使用者標識識上，直到它它們被手動刪刪除。 參數名稱： loginn / faailed_user_auto_unlocck 。設定檔參數：llogin / faiils_too_userr_lockk每次輸入不正確確的登錄密碼碼時，相關用用戶主記錄的的失敗登錄計計數器將增加加。 登錄嘗試可可以記錄在安安全審核日誌誌中。 如果超過此此參數指定的的限制，相關關用戶將被鎖鎖定。 此過程也記記錄在Sysslog中。在當天結束後，該該鎖不再有效效。 （其他條件件-logiin / ffailedd_userr_autoo_unloock）使用者使用正確確的密碼登錄錄後，將重置置失敗的登錄錄計數器。 不是基於密密碼的登錄對對失敗的登錄錄計數器沒有有任何影響。 但是，每次登錄時都會檢查活動登錄鎖。· 允許的值 - 1 - 999要查看此參數的的當前值，請請使用T代碼：RZ111 。· 參數名 - llogin / faiiled_uuser_aauto_uunlockk· 短文字 - 禁禁用在午夜自自動解鎖鎖定定的用戶。· 參數描述 - 控制通過登登錄錯誤鎖定定的使用者的的解鎖。 如果參數設設置為1，由於密碼碼登錄嘗試失失敗而設置的的鎖定僅適用用於同一天（與與鎖定相同）。 如果參數設置為0，則鎖保持有效。· 應用區 - 登登錄。· 預設值 - 00。啟動螢幕保護裝裝置程式系統管理員還可可以啟用螢幕幕保護裝置程程式，以保護護前端螢幕免免受任何未經經授權的訪問問。 這些屏保可以以受密碼保護護。監控不成功的登登錄嘗試和記記錄登錄嘗試試在SAP系統中中，可以使用用報告RSUUSR0066來檢查是否否有使用者嘗嘗試了系統中中的任何不成成功的登錄嘗嘗試。 此報告包含含有關用戶鎖鎖定不正確的的登錄嘗試次次數的詳細資資訊，您可以以根據需要安安排此報告。轉到ABAP編編輯器SE338並輸入報報告名稱，然然後按一下EEXECUTTE 。在此報告中，您您有不同的詳詳細資訊，如如用戶名，類類型，創建，創創建者，密碼碼，鎖定和不不正確的登錄錄詳細資訊。在SAP系統中中，還可以使使用安全審計計日誌（事務務SM18，SM19和SM20）記記錄所有成功功和不成功的的登錄嘗試。 您可以使用SM20事務分析安全審計日誌，但應在系統中啟動安全審計以監視安全審計日誌。註銷Idle用用戶當使用者已登錄錄到SAP系統並並且會話在特特定時間內處處於非活動狀狀態時，您還還可以將其設設置為註銷，以以避免任何未未經授權的訪訪問。要啟用此設置，需需要在概要檔檔參數中指定定此值： rdispp / guui_autto_loggout 。· 參數描述 - 您可以定義義在預定義的的時間段後，SAP系統自動從SAP系統中自動登出非活動的SAP GUI用戶。 參數配置此時間。 預設情況下，SAP系統中的自動登出（值為0）被停用，即即使用戶沒有執行任何操作較長時間，用戶也不會註銷。· 允許的值 - n 單位位，其中n> = 0和單單位= S | M | H | D要查看參數的當當前值，請運運行T代碼： RZ11 。下表顯示了SAAP系統中的的關鍵參數清清單，其預設設值和允許值值 -參數描述默認允許值登錄/ faiiled_tto_sesssion_end直到會話結束的的無效登錄嘗嘗試次數31-99登錄/ faiiled_tto_useer_locck直到用戶鎖定的的無效登錄嘗嘗試次數121-99登錄/ faiiled_uuser_aauto_uunlockk當設置t 1：鎖定在設置置的日期應用用。當用戶登登錄的第二天天，它們被移移除10或1rdisp / gui_auto_outpuut用戶的最大閒置置時間（秒）0（無限制）不受限制SAP安全 - 系統授權權概念SAP系統授權權概念涉及保保護SAP系統免免受未授權訪訪問的運行事事務和程式。 您不應該允許使用者在SAP系統中執行事務和程式，直到他們為此活動定義授權。為了使您的系統統更加安全並並實施強大的的授權，您需需要檢查您的的授權計畫，以以確保其滿足足公司的安全全要求，並且且沒有安全違違規。用戶類型在SAP系統的的早期版本中中，用戶類型型僅分為兩類類 - 對話使使用者和非對對話使用者，僅僅推薦非對話話使用者在兩兩個系統之間間進行通信。 使用SAP 4.6C，用戶類型分為以下類別 -· 對話使用者 - 此使用者者用於單個互互動式系統訪訪問，並且大大多數用戶端端工作都使用用對話使用者者執行。 密碼可以由由使用者自己己更改。 在對話方塊塊用戶中，可可以防止多個個對話方塊登登錄。· 服務使用者 - 用於執行行互動式系統統訪問以執行行某些預定任任務，如產品品目錄顯示。 此用戶允許多次登錄，只有管理員可以更改此使用者的密碼。· 系統使用者 - 此使用者者標識用於執執行大多數系系統相關任務務 - 傳輸管管理系統，定定義工作流和和ALE。 它不是互動動式系統相關關使用者，並並且允許此用用戶有多個登登錄。· 參考使用者 - 參考使用用者不用於登登錄到SAPP系統。 此用戶用於於向內部用戶戶提供額外的的授權。 在SAP系統中中，您可以轉轉到角色選項項卡，並為對對話方塊用戶戶的其他許可可權指定引用用用戶。· 通信使用者 - 此使用者者類型用於維維護不同系統統之間的對話話自由登錄，如如RFC連接，CPIIC。 通信使用者者不能使用SSAP GUUI進行對話話登錄。 用戶類型可可以像常見的的對話方塊使使用者一樣更更改其密碼。 RFC功能模組可用於更改密碼。事務代碼： SSU01用於於在SAP系統中中創建使用者者。 在以下螢幕幕中，您可以以在SAP系統中中的SU011事務下查看看不同的使用用者類型。創建用戶要在SAP系統統中創建具有有不同存取權權限的用戶或或多個使用者者，應遵循以以下步驟。步驟1 - 使使用事務代碼碼 - SU001 。步驟2 - 輸輸入您要創建建的用戶名，按按一下創建圖圖示，如以下下螢幕截圖所所示。步驟3 - 您您將被引導到到下一個選項項卡 - 位址選選項卡。 在這裡，您您需要輸入詳詳細資訊，如如名字，姓氏氏，電話號碼碼，電子郵件件Id等。步驟4 - 您您將進一步被被引導到下一一個選項卡 - 登錄資資料 。 在“登錄資料”選項卡下輸輸入使用者類類型。 我們有五種種不同的用戶戶類型。步驟5 - 鍵鍵入第一個登登錄密碼新密碼重複密碼。步驟6 - 您您將被引導到到下一個選項項卡 - 角色 - 將角色色分配給用戶戶。步驟7 - 您您將進一步轉轉到下一個選選項卡 - 設定檔 - 將設定檔分分配給用戶。步驟8 - 點點擊保存以接接收確認。中央用戶管理（CUA）中央用戶管理是是一個關鍵概概念，它允許許您使用中央央系統管理SSAP系統環環境中的所有有使用者。 使用此工具具，您可以在在一個系統中中集中管理所所有用戶主記記錄。 中央使用者者管理器允許許您在一個系系統環境中節節省管理類似似用戶的資金金和資源。中央用戶管理的的優點是 -· 在SAP環境中中配置CUAA時，可以僅僅使用中央系系統創建或刪刪除使用者。· 所有必需的角色色和授權以活活動形式存在在於子系統中中。· 所有用戶都集中中監控和管理理，使管理任任務更容易，更更清晰地查看看複雜系統環環境中的所有有使用者管理理活動。· 中央使用者管理理器允許您在在一個系統環環境中節省管管理類似用戶戶的資金和資資源。使用ALE風景景執行的資料料交換稱為應應用鏈路啟用用 ，允許以受受控方式交換換資料。 AALE由中央央使用者管理理員用於與SSAP系統環環境中的子系系統進行資料料交換。在複雜的景觀環環境中，您可可以使用ALLE環境將一一個系統定義義為中央系統統，並將其連連結到使用雙雙向資料交換換的所有子系系統。 風景中的子子系統不相互互連接。要實施中央用戶戶管理，應考考慮以下幾點點 -· 您需要在單個/分散式環境境中具有多個個用戶端的SSAP環境。· 管理員管理使用用者，需要授授權關於以下下事務代碼 -o SU01o SCC4o SCUAo 浮渣o SM59o BD54o BD64· 您應該在系統之之間創建信任任關係。· 您應該在中央和和子系統中創創建系統使用用者。· 創建邏輯系統並並將邏輯系統統分配給相應應的用戶端。· 創建模型視圖和和BAPI以建建模視圖。· 創建中央用戶管管理器並為欄欄位設置分發發參數。· 同步公司地址· 轉移用戶在集中管理的環環境中，您需需要先創建管管理員。 以未來CUAA的所有邏輯輯系統作為使使用者SAPP *以預設設密碼PASSS登錄。運行事務SU001並創建分分配有管理員員角色的用戶戶。要定義邏輯系統統，請使用事事務BD544。 按一下新建建條目以創建建新的邏輯系系統。使用中央用戶管管理為中央和和所有子系統統（包括來自自其他SAPP系統的系統統）創建一個個大寫字母的的新邏輯名。要輕鬆識別系統統，您具有以以下命名約定定，可用於標標識中央使用用者管理系統統 -<Systemm ID> CLNT <Clieent>輸入邏輯系統的的一些有用的的描述。 通過按一下下保存按鈕保保存輸入。 接下來是在在所有子系統統中為中央系系統創建邏輯輯系統名稱。要將邏輯系統分分配給用戶端端，請使用事事務SCC44並切換到更更改模式。通過按兩下或按按一下詳細資資訊按鈕打開開要分配給邏邏輯系統的用用戶端。 用戶端只能能分配給一個個邏輯系統。在客戶端詳細資資訊的邏輯系系統欄位中，輸輸入要為其分分配此用戶端端的邏輯系統統名稱。對要包括在中央央用戶管理器器中的SAPP環境中的所所有用戶端執執行上述步驟驟。 要保存設置置，請點擊頂部的的保存按鈕。在SAP中保護護特定設定檔檔為了維護SAPP系統的安全全性，您需要要維護包含關關鍵授權的特特定設定檔。 在具有完全授權的SAP系統中，需要保護各種SAP授權設定檔。在SAP系統中中需要保護的的幾個設定檔檔是 -· SAP_ALLL· SAP_NEWW· P_BAS_AALLSAP_ALLL授權設定檔SAP_ALLL授權設定檔允許使用者者執行SAPP系統中的所所有任務。 這是包含SAAP系統中所所有授權的複複合設定檔。 具有此授權的使用者可以執行SAP系統中的所有活動，因此不應將此設定檔分配給系統中的任何使用者。建議使用設定檔檔維護單個用用戶。 雖然密碼應應該很好地保保護該用戶，並並且只應在需需要時使用。不應分配SAPP_ALL授授權，您應該該將單個授權分配給給適當的用戶戶。 您的系統超超級使用者/系統管理，而而不是為它們們分配SAPP_ALL授授權，您應該該使用所需的的單個授權。SAP_NEWW授權SAP_NEWW授權包含新新發行版本中中所需的所有有授權。 完成系統升升級後，將使使用此設定檔檔，以便某些些任務正常運運行。您應該記住有關關此授權的以以下幾點：· 執行系統升級時時，需要刪除除之前的版本本的SAP_NEW設定定檔。· 您需要將SAPP_NEW設設定檔下的單單獨授權分配配給環境中的的不同用戶。· 此設定檔不應長長時間保持活活動狀態。· 當環境中有大量量SAP_NNEW設定檔檔時，它會顯顯示您需要在在系統中查看看您的授權策策略。要查看所有SAAP_NEWW設定檔的列列表，應通過過按兩下選擇擇此設定檔，然然後轉到選擇 。P_BAS_AALL授權此授權允許使用用者從其他應應用程式查看看表的內容。 此授權包含P_TABU_DIS授權。 此授權允許PA用戶查看不屬於其組的表內容