CONFIGURACIÓN DE CONTRASEÑA

¿Qué son los parámetros de seguridad en SAP R/3? Es la manera que nos provee el
sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento
o performance (BASIS), como de seguridad… y estás últimas son las que más nos
interesan.

A través de los mismos podremos definir cosas como el largo de la contraseña, la

cantidad de dígitos obligatorios, tiempo de caducidad, entre otras opciones. La
configuración de los mismos se hace a través de las transacciones RZ10 y RZ11
(perfiles globales, de instancia, o modificación dinámica).

En este post estaremos identificando siempre los parámetros con las versiones más
actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5
no se encuentren todos los aquí enunciados o tengan modificaciones en sus valores
posibles.

Parámetros de restricción a las contraseñas:

login/min_password_lng = El cual permite definir el tamaño mínimo de la contraseña

que va desde 3 a 40 (en las versiones más nuevas de SAP, anteriormente solamente
hasta 8 )

login/min_password_lowercase = Cantidad mínima de caracteres en mínusculas.

login/min_password_uppercase = Cantidad mínima de caracteres en mayúsculas.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9,

tampoco A-Z, ni a-z)

login/min_password_letters = Cantidad mínima de caracterés del alfabeto en la

contraseña.

login/min_password_digits = Cantidad mínima de dígitos obligatorios en la contraseña

(0-9)

login/min_password_diff = Cantidad de caracteres que deben diferenciarse entre la

nueva contraseña y la anterior (para cambios de contraseña realizados por el usuario)

login/password_history_size = Cantidad de contraseña guardadas como historial de

manera que no puedan repetirse las últimas “n” contraseñas (Mínimo 1 y Máximo 100).

login/password_expiration_time = Cantidad de tiempo definida en días que transcurre

antes que expiré la contraseña del usuario y el sistema solicite un cambio de la misma.
(el valor mínimo es 0 que significa sin caducidad y 1000)

login/password_change_waittime = Cantidad de días que deben transcurrir antes que

el usuario pueda cambiar por sus propios medios nuevamente una contraseña. (Es para
impedir que se evite el control de historial de contraseñas cambiando numerosas veces
una misma contraseña)
 CONFIGURACIÓN DE CONTRASEÑA

login/password_compliance_with_current_policy = Este parámetro determina que

durante los nuevos logins se verifique si la contraseña cumple con el estándar
actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de
parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los
mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la
política actual.

login/password_max_idle_initial = Máximo número de días que la contraseña definida

por el administrador (inicial) puede permanecer habilitada para que el usuario la utilice.
(0 a 1000). Es utilizado para evitar que los usuarios sean dados de alta con contraseñas
iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo
sistema (contraseñas iniciales débiles)

login/password_max_idle_production = Similar al anterior pero aplicable a los

cambios realizados por los mismos usuarios.

login/disable_password_logon = Permite desactivar el logueo por contraseña si se

utiliza otro medio como ser SSO o SNC, para acceder al sistema.

login/password_logon_usergroup = Grupo de usuarios que podrá loguearse con

contraseña a pesar de haber usado el parámetro login/disable_password_logon.

login/password_change_for_SSO = Define el comportamiento de la solicitud de

cambio de contraseñas para sistemas con SSO (o a 3)

Estos son los parámetros de definición de las contraseñas que tiene SAP, en el próximo
post vamos a incluir los respectivos a logueo de errores de logon, multilples loguins y
otros varios.

En un post anterior repasamos el significado de muchos de los parámetros de usuarios

vinculados con la seguridad del sistema, ahora vamos a ver cuales son algunos de los
valores de los parámetros de SAP que equilibran las posibilidades de uso con la
seguridad del sistema, y que muchas veces son requeridos por auditoría de sistemas en
sus revisiones sobre el sistema.

Parámetros de restricción a las contraseñas:

login/min_password_lng = Es un parámetro que va a depender mucho de las políticas

organizacionales definidas en su empresa, pero puede sugerirse que un valor de 8 es un
buen equilibrio entre dificultad de la contraseña y la facilidad del usuario para
recordarla.

login/min_password_lowercase = Es recomendable que se exija que al menos un

caracter (1) sea en minúsculas, para aumentar la complejidad de la misma

login/min_password_uppercase = idem al anterior, deben estar definidos en conjunto

determinando que al menos exista un caracter en minúsculas y al menos uno (1) en
maýúsculas para asegurar la complejidad.
 CONFIGURACIÓN DE CONTRASEÑA

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9,

tampoco A-Z, ni a-z)

login/min_password_letters = Similar al caso anterior por lo que es de sugerir que al

menos un caracter sea requerido para evitar las contraseñas solo numéricas.

login/min_password_digits = Similar al anterior al menos un (1)caracter debiera ser

numérico.

login/min_password_diff = Es de sugerir que se configure este parámetro pero no de

manera muy restrictiva porque evitaría que se puedan elaborar nuevas contraseñas. Lo
ideal sería definirlo en dos (2) o (1) para evitar las famosas series numéricas
progresivas.

login/password_history_size = Aquí es importante definir un número no demasiado

alto porque los usuarios van a olvidarse facilmente sus contraseñas. Uno debe luchar
entre hacer seguro un sisetma y no pasarse con estas definiciones ya que los usuario
terminaran anotando sus contraseñas demasiado innovadoras! Lo ideal sería determinar
un número como cinco (5)

login/password_expiration_time = Lo ideal es que la contraseña caduque cada 30 días.

login/password_change_waittime = Lo ideal es definir este valor en al menos un (1)

día para evitar que los usuarios fuerzen el cambio de sus contraseñas.

login/password_max_idle_initial = Es importante definirlo evitar que contraseñas

queden habilitadas por tiempo indefinido. Es utilizado para evitar que los usuarios sean
dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una
puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles). Debería ser en
el orden de los 3 a 7 días.

login/password_compliance_with_current_policy = Este parámetro determina que

durante los nuevos logins se verifique si la contraseña cumple con el estándar
actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de
parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los
mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la
política actual.

Es importante recordar que el parámetro

login/password_compliance_with_current_policy es el que va a definir si se va a
requerir un cambio de contraseña masivo a las que no cumplan con las definiciones
establecidas o se va a esperar a la próxima definición de las mismas. Hay que tener
cuidado con este parámetro si se ha definido una política inválida y no puede
establecerse una contraseña que cumpla con todos los requisitos ya que no nos dejaría
ingresar más al sistema por las vías normales.

Siguiendo con el post del día de ayer nos quedaron algunos parámetros para seguir con
las recomendaciones de “las mejores prácticas”:

Multiloguin
 CONFIGURACIÓN DE CONTRASEÑA

login/disable_multi_gui_login = Debe estar configurado en uno (1) para minimizar dos

riesgos. Primero, que los usuarios no compartan su Id y su contraseña de manera que no
sea identificable el responsable de las acciones, y segundo que no pueda loguearse
concurrentemente un usuario que obtuvo una contraseña de otro, si el primero ya estaba
logueado al sistema (quedando registrado el intento de loguin)

login/multi_login_users = Bajo este parámetro pueden definirse excepciones al caso

anterior, pero lo ideal es no hacerlo salvo necesidad explícita y justificada.

login/failed_user_auto_unlock = Esto debe ser (0) para evitar que los usuarios
bloqueados se habiliten automáticamente. Como mecanismo de control es importante la
participación y control por parte del administrador para desbloquearlo.

login/fails_to_session_end = Si bien no es una medida de seguridad en si misma,

permite molestar en los intentos de adivinar una contraseña. Lo ideal sería definirlo al
menos en un número menos al valor de login/fails_to_user_lock

login/fails_to_user_lock = Para evitar los multiples intentos de adivinar una contraseña

lo ideal es definir este parámetro en (3).

Otros parámetros

login/disable_cpic = Si no son necesarias este tipo de conexiones lo ideal es

deshabilitar este tipo de acceso. (1)

login/no_automatic_user_sapstar = Lo ideal es deshabilitarlo (1) deshabilita). Para

más información ver el artículo: http://www.seguridadsap.com/sap/usuarios-por-
defecto-sap-ddic-earlywatch-etc/. (usuarios por defecto del sistema)

rdisp/gui_auto_logout = Es interesante definir este parámetro por cuestiones de

performance (sesiones activas) y para evitar que las estaciones de trabajo queden
logueadas en ausencia del usuario (en conjunto con las políticas locales de las
estaciones). Un valor lógico sería 20 minutos (1200)

login/system_client = Preferentemente podría dejarse que el usuario tenga que

especificar el número de mandante como una medida adicional de seguridad para los
intentos casuales de acceso.

La lista no trata de ser exhaustiva, y tiene fines didácticos e incluso está abierta a la
discusión por parte de ustedes si así lo desean en los comments.
 CONFIGURACIÓN DE CONTRASEÑA

PARAMETROS ACTUALES EN SAP

PERFIL: P01_DVEBMGS01_SAPPRO

login/password_expiration_time
login/multi_login_users
login/disable_multi_gui_login
login/no_automatic_user_sapstar
rdisp/gui_auto_logout

USUARIOS POR DEFECTO

Hoy vamos a hablar de los usuarios por defecto del sistema SAP. Habitualmente estos
usuarios los podemos encontrar no solo en R/3 si no que, en principio, también están
presentes en los otros sistemas (BW, PI, Solution Manager, etc)

Estos usuarios existen por diversos motivos, principalmente vinculados con el propio
funcionamiento del sistema, la instalación o la configuración del mismo.

DDIC

Podemos encontrar en principio el usuario DDIC, el cual es el utilizado para la gestión

del diccionario de datos, modificación de estructuras de datos, upgrades del sistema, etc.
Por estos motivos el usuario no debe ser eliminado del sistema si no que por el contrario
debe ser modificada su contraseña de origen la cual viene por defecto definida como
19920607, ya que dejar este usuario con la contraseño por defecto nos expondría a
riesgos asociados con los permisos amplios del mismo para operar con el sistema.

EARLYWATCH

Este usuario si bien no posee permisos tan amplios como DDIC permite el acceso al
sistema con una contraseña por defecto: SUPPORT. Este usuario es utilizado para el
proceso de revisión periódica del sistema por parte de SAP, en donde revisa la
performance del equipo de manera remota, las licencias, etc a través de un acceso por
SAPRouter. Es recomendable cambiar la contraseña de este usuario en el mandante
066 (al que accede SAP para estas evaluaciones)

SAPCPIC

Usuario utilizado para los procesos de comunicación entre sistemas y el cual también
posee permisos amplios, la política es similar a la del usuario DDIC y es de cambiar su
contraseña por defecto ADMIN

SAP*

Un caso parecido a DDIC, y tal vez el más grave ocurre con el usuario SAP*, el cual es
el usuario con el que por primera vez iniciaremos el sistema después de la instalación, y
que posee amplios permisos sobre la aplicación. En versiones anteriores a las ECC 5 de
SAP la contraseña por defecto era 06071992, pero a partir de la misma se pregunta
 CONFIGURACIÓN DE CONTRASEÑA

durante la instalación la contraseña inicial. Este usuario tampoco debe ser eliminado ya
que es de utilidad en determinadas ocasiones para aplicaciones de parches, updates,
upgrades y algunas tareas en particular que lamentablemente tienen este usuario
hardcodeado como el único que puede ejecutarlas.

Borrar el usuario SAP*

Las precauciones con el usuario SAP* deben extremarse ya que en caso de borrarse el
usuario de sistema la aplicación tiene un BUG o mecanismo de seguridad en donde se
genera un nuevo usuario SAP* con contraseña por defecto PASS. De esta manera si
borramos el usuario SAP* estaremos abriendo un agujero de seguridad aún más grande
ya que no podría cambiarse la contraseña por defecto.

La solución a este problema viene dado por un parámetro seteable en la transacción

RZ11 de nombre (login/no_automatic_user_sapstar) el cual para no permitir este
agujero de seguridad debe estar definido con el valor 1. (Ver artículo sobre parámetros)

Preventivamente es recomendable bloquear al usuario SAP* y desbloquearlo solo en

caso de necesidad explícita de uso.

Recomendaciones Finales:

Cualquier usuario creado por defecto por el sistema implica un riesgo, ya que a los
mismos se les conocen habitualmente varias vulnerabilidades. Lo primordial: cambiar
sus contraseñas por defecto y de ser posible bloquear los usuarios sin borrarlos (caso
SAP*). Una buena forma de verificar preventivamente esto es ejecutar desde la
transacción SA38 el report RSUSR003, el cual nos brindará la información sobre las
contraseñas por defecto de estos usuarios.
 CONFIGURACIÓN DE CONTRASEÑA

El perfil de los parámetros de inicio de sesión y

contraseña ( Parámetros Entrar)
La siguiente tabla presenta los parámetros del perfil con el que puede establecer una
contraseña de inicio de sesión y las normas . Para obtener información sobre el procedimiento
para cambiar los parámetros del perfil , ver Cambio de parámetros de perfil y de la
conmutación.

Para hacer que los parámetros a nivel mundial eficaz en un sistema SAP
( parámetros del sistema de perfil) , las puso en el perfil predeterminado
DEFAULT.PFL sistema. Sin embargo , para que sean específico de la instancia ,
debe establecer en los perfiles de cada servidor de aplicaciones en su sistema
SAP.
Para mostrar la documentación de uno de los parámetros , elija Instrumentos  CCMS 
Configuración  El perfil de Mantenimiento ( RZ10 transacción) , especifique el nombre del
parámetro y elija Mostrar. En la siguiente pantalla , elegir el Documentación pulsador.
Contraseña cheques
Parámetro Explicación
login/min_password_lng Define la longitud mínima de la contraseña.
Valor por defecto: 3; los valores permitidos :
3a8
login/min_password_digits Define el número mínimo de dígitos (0-9) en
las contraseñas.
Valor por defecto: 0; valores permitidos : 0 a
8
Disponible a partir del SAP Web AS 6.10
login/min_password_letters Define el número mínimo de letras (AZ ) en
las contraseñas.
Valor por defecto: 0; valores permitidos : 0 a
8
Disponible a partir del SAP Web AS 6.10
login/min_password_specials Define el número mínimo de caracteres
especiales en la contraseña permitidos los
caracteres especiales se $%&/()=?'`*+~#-
_.,;:{[]} \ < > │ y el espacio
Valor por defecto: 0; valores permitidos : 0 a
8
Disponible a partir del SAP Web AS 6.10
login/password_charset Este parámetro define el carácter de las
cuales puede consistir en una contraseña .
Los valores permitidos :
● 0 (Restrictiva ): La contraseña puede
consistir solamente de dígitos , las
letras, y la siguiente (ASCII )
caracteres especiales: ! @ $%&/
()=?'`*+~#-_.,;:{[]} \ < > | y en el
espacio
● 1 ( compatible con versiones
anteriores , el valor por defecto) : La
contraseña puede constar de los
 CONFIGURACIÓN DE CONTRASEÑA
login/min_password_diff
login/password_expiration_time Define el período de validez de las
login/password_change_for_SSO
login/disable_password_logon
caracteres incluidos los nacionales de
los caracteres especiales ( como ä , ç
, ß de la norma ISO Latin-1, 8859-1) .
Sin embargo , todos los caracteres
que no están contenidos en el
sistema anterior (para el valor = 0) se
asignan a la misma un carácter
especial , y el sistema por lo que no
diferencian entre ellos.
● 2 (No compatible con versiones
anteriores ): La contraseña puede
constar de cualquier carácter . Se
convierte internamente en el formato
Unicode UTF -8. Si el sistema no es
compatible con Unicode, puede no
ser capaz de entrar en todos los
caracteres en la pantalla de inicio de
sesión . Esta restricción está limitada
por la página de códigos especificada
por el idioma del sistema .
Con entrada / password_charset =
2, Las claves se almacenan en un formato
que los sistemas con núcleos más antiguos
no pueden interpretar . Por lo tanto, sólo
debe establecer el parámetro de perfil para
el valor 2 después de haberse asegurado de
que todos los sistemas implicados apoyar la
nueva contraseña de codificación.
Disponible en el sistema estándar de SAP
Web AS 6.40.
Define el número mínimo de caracteres que
deben ser diferentes en la nueva contraseña
en comparación con la contraseña antigua.
Valor por defecto: 1; valores admisibles : 1 -
8
Disponible a partir del SAP Web AS 6.10
contraseñas en día .
Valor por defecto: 0; valores permitidos :
cualquier valor numérico
Si el usuario inicia sesión con inicio de
sesión único , comprueba si el usuario debe
cambiar su contraseña.
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support
Package
Controla la desactivación de inicio de sesión
basada en contraseñas
Esto significa que el usuario ya no puede
iniciar la sesión con una contraseña , pero
sólo con Single Sign-On variantes
(certificado X.509 , boleto de inicio de sesión
) . Más información: Inicio de sesión de

login/password_logon_usergroup Controla la desactivación de inicio de sesión
Múltiples de inicio de sesión
Parámetro
login/disable_multi_gui_login Controla la desactivación de múltiples inicios
login/multi_login_users
Inicio de sesión incorrecto
Parámetro
login/fails_to_session_end
login/fails_to_user_lock
login/failed_user_auto_unlock Define si el usuario bloquea debido a los
Contraseña inicial : validez limitada
Parámetro
login/password_max_new_valid
login/password_max_reset_valid
CONFIGURACIÓN DE CONTRASEÑA
datos Ficha
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support
Package
basada en contraseñas para grupos de
usuarios
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support
Package
Explicación
de sesión de diálogo
Disponible como de SAP Basis 4.6
Lista de usuarios exceptuados, es decir, los
usuarios que tienen permiso para iniciar
sesión en el sistema de más de una vez .
Disponible como de SAP Basis 4.6
Explicación
Define el número de intentos de inicio de
sesión sin éxito antes de que el sistema no
permite que cualquier intento de inicio de
sesión más. El parámetro se establece en un
valor inferior al valor del parámetro
entrada / fails_to_user_lock.
Valor por defecto: 3; valores admisibles : 1 -99
Define el número de intentos de inicio de
sesión sin éxito antes de que el sistema se
bloquea el usuario. De forma
predeterminada , el bloqueo se aplica hasta la
medianoche.
Valor por defecto: 12; valores admisibles : 1
-99
intentos de inicio de sesión sin éxito que se
eliminará automáticamente a la medianoche.
Valor por defecto: 1 ( bloqueo se aplica
solamente en el mismo día) , los valores
permitidos : 0, 1
Explicación
Define el período de validez de las
contraseñas para los usuarios recién creados .
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support Package
Define el período de validez de restablecer
contraseñas .

SSO entradas de inicio de sesión
Parámetro
login/accept_sso2_ticket
login/create_sso2_ticket
login/ticket_expiration_time
login/ticket_only_by_https
login/ticket_only_to_host
Otros parámetros de inicio de sesión
Parámetro
login/disable_cpic
login/no_automatic_user_sapstar Controla el solicitante de auxilio * SAP
login/system_client
login/update_logon_timestamp
Parámetros de otro usuario
Parámetro
rdisp/gui_auto_logout
CONFIGURACIÓN DE CONTRASEÑA
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support Package
Explicación
Permite o bloquea el inicio de sesión con
billete de SSO.
Disponible como de SAP Basis 4.6D , a partir
del 4,0 por SAP Basis Support Package
Permite la creación de los billetes de SSO.
Disponible como de SAP Basis 4.6D
Define el período de validez de un billete de
SSO.
Disponible como de SAP Basis 4.6D
El billete de inicio de sesión sólo se transfiere
mediante HTTP ( S).
Disponible como de SAP Basis 4.6D
Al iniciar a través de HTTP (S), envía el billete
sólo al servidor que creó el boleto.
Disponible como de SAP Basis 4.6D
Explicación
Rechazar las conexiones de entrada de la
CPIC tipo
(SAP Notas 2383 y 68048 )
Especifica el incumplimiento del cliente .
Este cliente se rellena automáticamente en
la pantalla de inicio de sesión del sistema.
Los usuarios pueden escribir en un cliente
diferente.
Especifica la exactitud de la fecha y hora
de inicio de sesión .
Disponible como de SAP Basis 4.6
Explicación
Define el tiempo máximo de inactividad de un
usuario en segundos ( aplicable sólo a las
conexiones SAP GUI).
Valor por defecto: 0 ( sin limitación); valores
permitidos : cualquier valor numérico