home *** CD-ROM | disk | FTP | other *** search

---

/ Monster Media 1996 #15 / Monster Media Number 15 (Monster Media)(July 1996).ISO / win_utl2 / sentry47.zip / SENTRY.HLP

< prev

next >

Wrap

Text File  |  1996-03-15  |  19KB  |  441 lines

---

1. The User Maintenance Menu
2.  
3. The User Maintenance Menu contains all actions that affect
4. users. The following options can be accessed through the User
5. Maintenance Menu:
6.  
7.     1.  Create User
8.     2.  Delete User
9.     3.  View Users
10.     4.  Toggle SuperUser Status
11.     5.  Change Account Exipry Date
12.     6.  Change Password Expiry Date
13.     7.  Change Account Password
14.     8.  Assign Max Invalid Logins
15.     9.  Return to SuperUser Menu
16.  
17. The Log File Maintenance Menu
18.  
19. The Log File Maintenance Menu contains all actions required to
20. manage the log file. The following options can be accessed
21. through the Log File Maintenance Menu:
22.  
23.     1. View Log File
24.     2. View Backup Log File
25.     3. Move Log File to Backup
26.     4. Return to SuperUser Menu
27.  
28. Edit Initialization Settings
29.  
30. This option allows you to edit the initialization settings.
31. After installation, it is critical that you go through each and
32. every attribute, and make sure it is set to your liking. Many of
33. the initialization settings have serious implications on
34. security. Once this option is selected, all of the attributes
35. are displayed. Simply select the attribute you wish to modify,
36. and you will be given the following information:
37.  
38.         - A one line description of the attribute.
39.         - A brief description of the attribute and it's uses.
40.         - Valid settings for the attribute, if applicable.
41.         - Any security notes, if applicable.
42.         - The default value for the attribute.
43.         - The current value for the attribute.
44.  
45. At this time, you will be prompted to enter a new value for the
46. attribute. Pressing ENTER on a blank line, or pressing the ESC
47. key aborts any changes to the current value.
48.  
49. Sentry performs strict checking on the values you enter, and
50. will not save an invalid value.
51.  
52. See section 10 of the readme file for details on
53. individual settings.
54.  
55. Send a Message to a User
56.  
57. This option allows the SuperUser to send a one-line message to
58. any user on the system (including themselves). Once this option is
59. selected, you must pick the user you wish to send a message to
60. from the list of all users. Once this is done, you will be
61. prompted for your one-line message. If you wish to send more
62. than one line, simply send two or more messages to the same user.
63. After you have entered your message, you will be returned to the
64. SuperUser menu. The next time that person logs in, your message
65. will be displayed, including:
66.  
67.   - Who the message is from
68.   - The time and date the message was sent
69.   - The message itself
70.  
71. The user then has the option to delete the message. If they do
72. not delete the message, they will see it again on their next
73. login.
74.  
75. NOTE: Messages are displayed before any login information, so
76. you can send messages to users that are locked out. That way, if
77. you wish to send an explanation, you can.
78.  
79. Protect a File
80.  
81. This option allows you to protect executable files (.EXE, .COM
82. and .BAT). When this option is selected, it prompts for the file
83. name. You must enter a path to a file that exists, and the file
84. must be executable. If the file name is correct, Sentry then
85. processes that file, and "protects" it. Protection means that
86. the next time that file is run, Sentry will execute. If the user
87. enters a valid login and password, then the original file
88. executes. If not, then the file is not executed.
89.  
90. Make sure you make a backup of any files you wish to protect, as
91. there is no way to "unprotect" them - it's permanent!
92.  
93. This is useful for protecting individual files. After all, if a
94. person successfully logs into your computer, they have free
95. access to anything there. This will allow you to tighten up
96. access to individual files.
97.  
98. The current method of protection does not work with all files.
99. That is to say, I have tested it on some files that do not run
100. correctly once protected. (It seems to be memory or video
101. conflicts). Currently, a protected file has about 100k less
102. memory available to it than if it was run normally. Also,
103. protecting programs that run in Windows does not work. These
104. issues are "on the list" for research.
105.  
106. See section 7 for specific details on protecting files.
107.  
108. Export Initialization Settings
109.  
110. Selecting this option will export the Initialization Settings.
111. This will allow you to use the same settings and account
112. structure when you upgrade. The process for this is simple.
113. Select this option, and it will export the settings. Now simply
114. unzip the new SentryXX.zip into your directory (overwriting all
115. files), and run the Install.exe program. Install will
116. automatically sense the exported information, and ask if you
117. want to use it. If you say yes, the settings are automatically
118. updated to the new version, and loaded in.
119.  
120. Please note that you should not export the settings unless you
121. plan to import them right away into a new version (it can cause
122. a slight security risk).
123.  
124. Sentry DOS Shell
125.  
126. Selecting this option temporarily drops the SuperUser to a DOS
127. shell where they can execute any normal DOS commands. This shell
128. has limited memory and environment space, and should only be
129. used for simple file maintenance. Do not attempt to run any
130. large or complicated files while in the DOS shell.
131.  
132. Type "EXIT" to return to the SuperUser menu.
133.  
134. Security Audit
135.  
136. This is one of the more powerful options in Sentry. Selecting
137. this option will cause Sentry to automatically search for
138. weaknesses in your setup. The audit searches in three main
139. areas:
140.  
141.     - Your System
142.     - Your Initialization Settings
143.     - Your Account Structure
144.  
145. As each of these sections is tested, the user will be informed
146. of Sentry's findings. If a section has no weaknesses detected,
147. then an "Ok" will appear. Otherwise, Sentry will describe the
148. weakness, and ask if you want to fix it. Pressing 'y' will
149. either fix the problem automatically, or prompt you for a new
150. value, depending on the situation.
151.  
152. In each section, the following items are checked during an
153. audit:
154.  
155.     System
156.  
157.     Check for the following:
158.     - no "switches" line in CONFIG.SYS (non-Win95 only)
159.     - no "BootKeys" line in MSDOS.SYS (Win 95 only)
160.     - no call to Sentry from the AUTOEXEC.BAT file
161.     - a "break on" command in the CONFIG.SYS file
162.  
163.     Initialization Settings
164.  
165.     Check for the following:
166.     - a short max or short min password length
167.     - a high number for maximum login attempts
168.     - a low number for wait delay
169.     - password echoing should be off or masked
170.     - a password expiry max of over 365 days
171.     - an unused account expiry max of over 365 days
172.     - a long wait for the screen saver (over 600)
173.     - case sensitivity is off
174.  
175.     Accounts
176.  
177.     Check for the following:
178.     - accounts that have expired
179.     - SuperUser accounts with a max inv log setting
180.     - normal accounts with no max inv log setting
181.     - accounts where the number of failed login attempts is
182.         exceeded
183.     - accounts with no expiry date
184.     - passwords with no expiry date
185.  
186. As a SuperUser, you should run the audit frequently. If all is
187. well, it completes in a few seconds, but it can alert you to
188. potential problems or suspicious activity that you might not be
189. aware of otherwise.
190.  
191. The message "Audit Complete" will appear when the audit is
192. finished. At this point, the user may press any key to return
193. to the SuperUser menu.
194.  
195. Exit
196.  
197. This simply returns you to the DOS prompt. It is the same as
198. pressing the ESCAPE key.
199.  
200.  
201. Create User
202.  
203. This option allows you to create users on your system. First of
204. all, you must enter the username (or login) you wish to assign
205. to that user. If you wish to create a user with SuperUser
206. status, type in the username and hold down the CONTROL key when
207. pressing enter. Otherwise, just press enter. Once that is
208. complete, Sentry asks for the password. The user should choose
209. and enter their own password. SuperUsers need not know what the
210. passwords are since they can still manage the accounts without
211. knowing them. The password is entered twice to ensure no typos
212. were made, and then saved in encoded form. The ESCAPE key will
213. abort this operationat any time.
214.  
215. Note: There is currently a maximum of 100 users allowed. This
216. limit can be exceeded if required (contact me for a larger
217. capacity version).
218.  
219. Delete User
220.  
221. The delete option is very simple. It brings up a list of all
222. users, and you simply use the cursor keys to highlight the user
223. you wish to delete. SuperUsers are denoted by a * to the right
224. of their username. Press enter to select the appropriate user.
225. If the selected user is a SuperUser, Sentry will give a warning.
226. SuperUser or not, Sentry will then ask if you are sure you want
227. to delete them. Any input other than a 'y' will not perform the
228. delete. The ESCAPE key will abort this option at any time.
229.  
230. View Users
231.  
232. This option allows you to view all users who currently have
233. accounts on your system. SuperUsers are again denoted by a * to
234. the right of their login name. The last login date/time, account
235. expiry date and password expiry date are also shown to the right
236. of the user's login name. In addition, the number of invalid
237. logins since the users last valid login are shown with the
238. number of invalid logins allowed before an account is locked up.
239. An "X" in the "Max Inv Log" (Maximum Number of Invalid Logins
240. Allowed) column means there is no limit. You can use the PAGE UP
241. and PAGE DOWN keys to scroll forward and back if there are
242. multiple pages of users. Arrows will be present if there are
243. additional pages above/below. The ESCAPE key will exit back
244. to the main menu.
245.  
246. Toggle SuperUser Status
247.  
248. When this option is selected, it first brings up a list of all
249. users on the system. Again, SuperUsers are denoted by a *. Once
250. you have selected a user, Sentry will ask you if you want to
251. grant/revoke SuperUser access to/from the appropriate user. Any
252. input other than a 'y' will not change that users status. Now
253. the user must enter a password. (Since the SuperUser status is
254. encoded in the password, and the password can never be decoded,
255. I can't change SuperUser access without resetting the password).
256. The user can re-enter their old password, or enter a new one
257. (the old one will be over-written). In a worst case scenario,
258. the SuperUser can re-assign a new password to the user if he is
259. unavailable to enter a new password himself. (A hostile user can
260. have SuperUser access revoked without having to enter a new
261. password; you can do it for him).
262.  
263. Change Account Exipry Date
264.  
265. This option lets you define when an account will expire on your
266. system. Expired accounts no longer have access. This option is
267. useful if a user will be leaving. Then you don't have to
268. remember to delete their account on the day they leave. You can
269. set it to expire, and delete it when you remember.
270.  
271. This option also works in conjunction with the "Assign Max
272. Invalid Logins" option. Once an account reaches it's maximum
273. number of sequential invalid logins, it expires. The only way to
274. re-activate the account is to change the expiry date with this
275. option.
276.  
277. Once you select this option, some information about the account
278. will be displayed. If it is a SuperUser account, Sentry will
279. tell you so. It will then display the account's current expiry
280. date. You will be asked if you are sure you want to change that
281. user's expiry date. Any input other than a 'y' will abort the
282. process, otherwise you will be prompted for the year the account
283. will expire. The year must be entered as 4 digits (IE: 1997). If
284. you enter 'N' at the year prompt, no expiry date is assigned to
285. that account (it is valid forever). If you enter a valid year,
286. you will then be prompted for the expiry month, which is entered
287. as 2 digits (IE: 06 for June) followed by the expiry day, which
288. is also entered as 2 digits. Accounts expire at one second past
289. midnight on the date of expiry.
290.  
291. Change Password Expiry Date
292.  
293. This option lets you define when a users password will expire.
294. Once the password has expired, the user must enter a new one.
295. This forces the user to change their password. Once a password
296. has expired, the next time the user logs in he will be forced to
297. enter a new password. The new password is valid for the number
298. of days set by the initialization settings. Once a password has
299. expired, the user cannot re-enter it. He must select a new
300. password. (NOTE: Sentry does not keep historical records on
301. passwords, so a user may alternate back and forth between 2
302. passwords. This is not a secure practice and should be avoided).
303.  
304. Once you select this option, some information about the account
305. will be displayed. If it is a SuperUser account, Sentry will
306. tell you so. It will then display the current expiry date for
307. the password. You will be asked if you are sure you want to
308. change that user's expiry date. Any input other than a 'y' will
309. abort the process, otherwise you will be prompted for the year
310. the password will expire. The year must be entered as 4 digits
311. (IE: 1997). If you enter 'N' at the year prompt, no expiry date
312. is assigned to that password (it is valid forever). If you enter
313. a valid year, you will then be prompted for the expiry month,
314. which is entered as 2 digits (IE: 06 for June) followed by the
315. expiry day, which is also entered as 2 digits. Passwords expire
316. at one second past midnight on the date of expiry.
317.  
318. Change Account Password
319.  
320. This option allows the SuperUser to change an account's
321. password, in case the user forgot it, or some other strange
322. disaster has occurred. When assigning a new password to an
323. account, you should set the expiry date to be immediately, so the
324. user is forced to choose a new one. If the previous password had
325. no expiry date, none is assigned to the new password. Otherwise
326. the password expires in the number of days assigned in the
327. initialization settings. You can abort at any time by pressing
328. the ESCAPE key.
329.  
330. Assign Max Invalid Logins
331.  
332. This allows you to set the maximum number of invalid logins
333. allowed before an account is disabled. The default number is
334. defined in the initialization settings, and is assigned to all
335. accounts when they are first used.
336.  
337. To assign a new maximum, simply select the "Assign Max Invalid
338. Logins" option from the SuperUser menu. From here you will be
339. shown the complete user list, and asked to select the user you
340. wish to change. Pressing the ESCAPE key will abort the operation
341. here.
342.  
343. Once you have selected the user, you will be informed if that
344. user is a SuperUser.
345.  
346. NOTE: You should not assign a maximum number of invalid logins
347. to your last SuperUser account. If you do, and someone attempts
348. to break in to that account, you could be locked out of the
349. SuperUser menu!
350.  
351. Next you will be told what the user's current max invalid login
352. setting is, and asked if you want to change it. Any input other
353. than a 'Y' will abort the operation. Now you will be asked to
354. enter the number of invalid login attempts before an account is
355. disabled. Entering 'N' or a 0 will mean that there can be
356. unlimited invalid login attempts made.
357.  
358. Please note that a value of less than 10 may cause you more
359. trouble than good. You may be spending a lot of time re-setting
360. accounts if you pick too low a value, so consider this
361. carefully. Also note that when an account is locked up, it is
362. actually set to expire immediately. As a result, if you wish to
363. re-activate an account, you must change the account's expiry
364. date (see above). This is also handy for determining when the
365. account was actually de-activated. The expiry date for that
366. account it set the day it was locked out.
367.  
368. Every time a successful login is made to an account, the invalid
369. login counter is reset. This means that an account will not be
370. locked out if it has a valid login before the maximum is
371. reached. (For example, say an account has a maximum of 10
372. invalid logins. If there are 7 invalid logins before a
373. successful login, and then 5 more invalid logins, the account
374. will not be locked up. There must be 10 sequential invalid
375. logins for the account to be disabled.)
376.  
377. Once you have finished making the change, you can view the user
378. list to make sure it is acceptable.
379.  
380. Return to SuperUser Menu
381.  
382. This option simply returns you to the SuperUser menu. It is the
383. same as hitting the ESC key.
384.  
385.  
386. View Log File
387.  
388. Every time a user logs in, a record is kept on disk. If you want
389. to view that online record, select this option. You will be
390. asked if you want to view the log file for one or all users.
391. Entering 'o' (for one user) will bring you to the userlist,
392. where you can select the user you wish to view. Any other input
393. will show the log for all users.
394.  
395. The log file will be displayed one screen at a time. You can
396. press ESC at any time to skip to the end of the file. Once the
397. entire log file has been displayed, Sentry will ask you if you
398. want to clear the log file. If you were viewing a single user's
399. log, Sentry will ask if you want to clear their file.
400.  
401. Any input other than 'y' will exit, leaving the log file in
402. tact. If you answer with a 'y', Sentry will clear out the old
403. entries. When viewing the log for all users, that means that all
404. entries will be removed. When viewing the log for a single user,
405. only that user's entries will be removed.
406.  
407. The log file itself will not consume much disk space, and so it
408. should be left in tact for historical reasons. You may find it
409. necessary to refer back to the log file to verify certain
410. events. If disk space is a constraint, you can use the "Move Log
411. File to Backup" option described later.
412.  
413. You should always keep a close eye on the log file as this will
414. often tell you when something is wrong on your system. All error
415. messages are saved to the log file, so you can see if Sentry has
416. run into any problems. Also, it records the current time, and
417. the username of the user attempting to log in. This will help
418. you to identify any potential attacks on your system. The log
419. file is hidden by Sentry, but you should also place it somewhere
420. safe so that users cannot tamper with it. You can set the
421. location of the log file via the initialization settings.
422.  
423. View Backup Log File
424.  
425. This option is the same as "View Log File" except it allows you
426. to view the information you have backed up. This is strictly for
427. historical purposes, so log file information is not lost.
428.  
429. Move Log File to Backup
430.  
431. This moves all of the information in the current log file to the
432. backup file. The backup file is not overwritten, the new
433. information is appended to it. This makes it easier to manage
434. when the log file gets large, but you don't want to clear it.
435.  
436. Return to SuperUser Menu
437.  
438. This option simply returns you to the SuperUser menu. It is the
439. same as hitting the ESC key.
440.  
441.