Usuarios por defecto (SAP*, DDIC, EARLYWATCH, etc)

Hoy vamos a hablar de los usuarios por defecto del sistema SAP. Habitualmente
estos usuarios los podemos encontrar no solo en R/3 si no que, en principio,
tambin estn presentes en los otros sistemas (BW, PI, Solution Manager, etc)
Estos usuarios existen por diversos motivos, principalmente vinculados con el
propio funcionamiento del sistema, la instalacin o la configuracin del mismo.
DDIC
Podemos encontrar en principio el usuario DDIC, el cual es el utilizado para la
gestin del diccionario de datos, modificacin de estructuras de datos,
upgrades del sistema, etc. Por estos motivos el usuario no debe ser eliminado
del sistema si no que por el contrario debe ser modificada su contrasea de
origen la cual viene por defecto definida como 19920607, ya que dejar este
usuario con la contraseo por defecto nos expondra a riesgos asociados con
los permisos amplios del mismo para operar con el sistema.
EARLYWATCH
Este usuario si bien no posee permisos tan amplios como DDIC permite el
acceso al sistema con una contrasea por defecto: SUPPORT. Este usuario es
utilizado para el proceso de revisin peridica del sistema por parte de SAP, en
donde revisa la performance del equipo de manera remota, las licencias, etc a
travs de un acceso por SAPRouter. Es recomendable cambiar la contrasea de
este usuario en el mandante 066 (al que accede SAP para estas evaluaciones)
SAPCPIC
Usuario utilizado para los procesos de comunicacin entre sistemas y el cual
tambin posee permisos amplios, la poltica es similar a la del usuario DDIC y
es de cambiar su contrasea por defecto ADMIN
SAP*
Un caso parecido a DDIC, y tal vez el ms grave ocurre con el usuario SAP*, el
cual es el usuario con el que por primera vez iniciaremos el sistema despus de
la instalacin, y que posee amplios permisos sobre la aplicacin. En versiones
anteriores a las ECC 5 de SAP la contrasea por defecto era 06071992, pero a
partir de la misma se pregunta durante la instalacin la contrasea inicial. Este
usuario tampoco debe ser eliminado ya que es de utilidad en determinadas
ocasiones para aplicaciones de parches, updates, upgrades y algunas tareas en
particular que lamentablemente tienen este usuario hardcodeado como el
nico que puede ejecutarlas.
Borrar el usuario SAP*

Las precauciones con el usuario SAP* deben extremarse ya que en caso de

borrarse el usuario de sistema la aplicacin tiene un BUG o mecanismo de
seguridad en donde se genera un nuevo usuario SAP* con contrasea por
defecto PASS. De esta manera si borramos el usuario SAP* estaremos abriendo
un agujero de seguridad an ms grande ya que no podra cambiarse la
contrasea por defecto.
La solucin a este problema viene dado por un parmetro seteable en la
transaccin RZ11 de nombre (login/no_automatic_user_sapstar) el cual para no
permitir este agujero de seguridad debe estar definido con el valor 1. (Ver
artculo sobre parmetros)
Preventivamente es recomendable bloquear al usuario SAP* y desbloquearlo
solo en caso de necesidad explcita de uso.
Recomendaciones Finales:
Cualquier usuario creado por defecto por el sistema implica un riesgo, ya que a
los mismos se les conocen habitualmente varias vulnerabilidades. Lo
primordial: cambiar sus contraseas por defecto y de ser posible bloquear los
usuarios sin borrarlos (caso SAP*). Una buena forma de verificar
preventivamente esto es ejecutar desde la transaccin SA38 el reporte
RSUSR003, el cual nos brindar la informacin sobre las contraseas por
defecto de estos usuarios.