home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / SUPER.ZIP / SUPER.DOC next >
Encoding:
Text File  |  1992-09-03  |  4.5 KB  |  117 lines
  1. SUPER.ZIP
  2.  
  3.  
  4. Title   : SUPER.EXE: switch SUPERVISOR equivalence on/off
  5. Keywords: SUPERVISOR EQUIVALENCE RIGHTS SECURITY UTILITY
  6.  
  7. SUPER.EXE allows to switch SV equivalence on/off when needed. Do 
  8. your daily work as normal user, and be SV only when needed. Includes 
  9. DOS and Windows version. No security gap, since you  have to be SV 
  10. equivalence to initialize SUPER for you.  
  11.  
  12. Uploaded by author: Wolfgang Schreiber
  13.  
  14.  
  15.  
  16. SUPER.EXE  (DOS version)
  17.  
  18. Syntax:   SUPER [option] [User=<name>]
  19.           If no user name is added SUPER will affect the current user
  20.  
  21. Available options:
  22.     ?       Display this help screen
  23.     <none>  Display current security status
  24.     -       Remove supervisor equivalence, enable SUPER
  25.     +       Make user equivalent to supervisor
  26.     #       Remove supervisor equivalence and disable SUPER
  27.     *       Grant supervisor equivalence and disable SUPER
  28.     <cmd>   Execute any command as supervisor (NW 386 only)
  29.  
  30. Examples: SUPER -             Remove SV equivalence and make it switchable.
  31.           SUPER +             Add SV equivalence and leave it switchable.
  32.           SUPER + User=Admin  Make user ADMIN SV equivalence; make switchable.
  33.           SUPER SYSCON        Execute SYSCON as supervisor.
  34.  
  35. Program history / New Features
  36.      Aug 92: - Allow to run SUPER against another user's account.
  37.      Sep 92: - Allow to run BATCH files and internal DOS commands
  38.              - Output redirectable with DOS pipes 
  39.  
  40.  
  41.  
  42. SUPER.EXE (Windows version)
  43.  
  44. The Windows versions displays the SUPER status of up to 8 servers at 
  45. a single glance.  Nice icon, but limitations: not applicable to 
  46. other users & no commands executable with temp SV rights.
  47.  
  48.  
  49.     
  50. Background:
  51.          "SUPER -" will modify the security byte of your bindery property
  52.          SECURITY_EQUALS to 0x22  (read/write object).  This allows the
  53.          user to change his/her own security equivalences.
  54.          Then the Supervisor equivalence is removed.
  55.  
  56.          Since the user may change the equivalences now, he/she can later add 
  57.          Supervisor equivalence with "SUPER +" when needed.
  58.          "SUPER <command>" will first add Supervisor equivalence, then 
  59.          execute the command, and finally remove Supervisor equivalence.
  60.  
  61.          SUPER allows a user who in Supervisor equivalent to do the daily work
  62.          as normal user, while Supervisor equivalence is available when needed.
  63.          This reduces the risk of accidental damage to files caused by 
  64.          carelessness, unattended workstations, or viruses.
  65.  
  66.  
  67. This program was written by Wolfgang Schreiber in Borland's Turbo Pascal.
  68.  
  69.  
  70.  
  71.  
  72. Hints, Internals, Security and Warnings:
  73.  
  74. SECURITY.EXE brings a warning: 
  75.     'Has incorrect access security on the SECURITY_EQUALS property'.
  76.  
  77. BINDFIX warns:
  78.     'Warning: Object <name> property SECURITY_EQUALS has incorrect 
  79.     security flags.'
  80.  
  81. Basically, for each user there is a standard property in the bindery 
  82. associated with the user called SECURITY_EQUALS, which contains a 
  83. list of users and groups to which that user has security equivalence.
  84.  
  85. When a user is created, the rights to this property are Supervisor 
  86. Write (meaning that only a supervisor equivalent can grant or change 
  87. equivalences) and User Read (meaning that a user can read their own 
  88. equivalences). The supervisor also has the ability to change the 
  89. rights mask to this property.
  90.  
  91. This is what SUPER.EXE does ... it changes the rights mask for a 
  92. user (can only be done by somebody with supervisor equivalence) so 
  93. that the user then can add their own security equivalences.
  94.  
  95. "SUPER -" will modify the security byte of your bindery property 
  96. SECURITY_EQUALS to 0x22 (read/write object).  This allows the user 
  97. to change his/her own security equivalences.
  98.  
  99. SUPER allows a user who is Supervisor equivalent to do the daily 
  100. work as normal user, while Supervisor equivalence is available when 
  101. needed.  This reduces the risk of accidental damage to files caused 
  102. by carelessness, unattended workstations, or viruses.
  103.  
  104.  
  105. SOLUTION
  106.  
  107. The warnings are expected and desired in combination with SUPER 
  108. since a supervisor should be informed about the existence of other 
  109. supervisors - even with modified security access flags.
  110.  
  111. If the users that were highlighted in SECURITY or BINDFIX did NOT 
  112. use SUPER there might be a severe security gap.
  113.  
  114. SUPER and WSUPER have parameters that allow resetting the bindery 
  115. flag to it's original state - obviously this will prevent these 
  116. users from receiving SV equivalence with SUPER.
  117.  
  118.