home *** CD-ROM | disk | FTP | other *** search
/ PC Direct 1995 May / PC Direct CD-ROM (May 1995).ISO / ipe / protec / manual / chap5.txt < prev    next >
Encoding:
Text File  |  1994-08-09  |  21.8 KB  |  525 lines
  1.  
  2.  
  3. Chapter 5
  4.  
  5.  
  6. User Security
  7.  
  8.  
  9.           As  stated  in  the overview, PROTEC NET  utilizes
  10.           Novell  NetWare's groups, users and  passwords  to
  11.           provide  user security.  Therefore, all users  and
  12.           groups  must  be installed using NetWare's  Syscon
  13.           program.  If a user forgets his password, you must
  14.           also use NetWare's Syscon program.
  15.           
  16.           This section explains the security parameters that
  17.           may  be  defined for a group which include  Object
  18.           Reuse parameters and Group Access Permissions.  In
  19.           addition, this section covers assigning a  user  a
  20.           Primary Server and Login Shell.
  21.           
  22. ===========================          
  23. Group Menu and Object Reuse
  24. ===========================
  25.           
  26.           Edit  Group Configuration allows a supervisors  to
  27.           define  how  certain workstation  objects  may  be
  28.           reused by each group.
  29.           
  30.           
  31.           · Group Menu.  Group menu allows you to specify which
  32.             submenu of the Application Manager a user sees after he
  33.             signs onto the system.  The workstation Login Shell must be
  34.             set to PMENU.EXE to utilize this option.  For information on
  35.             Login Shell, refer to Login Shell.
  36.           
  37.           · Clear System Memory.  Clear Ssystem Mmemory prevents
  38.             users from scanning through RAM to find sensitive data used
  39.             or created by a previous user.  Specifically, PROTEC NET
  40.             overwrites each area of memory allocated for an application
  41.             before DOS de-allocates its memory.
  42.           
  43.           · Wipe Erased Files. Wipe Erased Files prevents users
  44.             from accessing information within a deleted file.   When a
  45.             user deletes a file,  PROTEC NET opens and writes patterns
  46.             to the file before DOS actually deletes it; making the file
  47.             useless.
  48.             
  49.           · Save Interrupts.  This feature prevents users from
  50.             monitoring information generated by other  users.
  51.             Specifically, it prevents a user from obtaining other users'
  52.             passwords.  Save Interrupts records the interrupt table at
  53.             login and then restores it when a user logs out of PROTEC
  54.             NET.  It records the following interrupts:
  55.           
  56.                ·    BIOS function 13h: Disk Read
  57.                ·    BIOS function 16h: Keyboard
  58.                ·    BIOS function 9h: Keyboard
  59.                ·    BIOS function 14h: Comm Port
  60.           
  61.           · Low-Level Read and Write Protection.  These options
  62.             prohibit users from reading or modifying information on disk
  63.             using low-level utilities such as Norton Utilities.  When
  64.             activated, Low Level Read allows programs to read data on
  65.             disk using DOS function 25h or BIOS function 13h.  The Low-
  66.             Level Write option allows programs to manipulate data using
  67.             DOS function 26h or BIOS function 13h.  To stop users from
  68.             modifying information using low-level utilities, deactivate
  69.             at least Low-Level Write.
  70.  
  71.           To Set Object Reuse Parameters
  72.           
  73.           1 Access   the   Security  program,   PSECURE.EXE.
  74.             Refer  to  Accessing the Security  Program   for
  75.             step by step instructions.
  76.           2 From  the User Security menu, select Edit  Group
  77.             Configuration(ALT, U, E).
  78.           3 From  the  scroll box, select the user you  wish
  79.             to edit and press ENTER.
  80.           4 Set   the   proper  parameters   you   wish   to
  81.             configure.
  82.           5 Choose the SAVE button.
  83.           
  84. ========================          
  85. Group Access Permissions
  86. ========================
  87.  
  88.           
  89.           Workstation resources can be protected by defining
  90.           Group    Access    Permissions.    Group    Access
  91.           Permissions specify if and how users of a  NetWare
  92.           group can access workstations and their resources:
  93.           files,  directories, drives, workstations,  serial
  94.           and parallel ports, the system clock and submenus.
  95.           
  96.           PROTEC  NET  automatically  sets  permissions   to
  97.           secure  its resources both on the workstation  and
  98.           on   the  Security  Server.   From  a  PROTEC  NET
  99.           workstation,  only  supervisors  may  access   the
  100.           PROTEC  directory and the PROPUBLIC and  PROSYSTEM
  101.           directories   on  the  Security  Server.    During
  102.           signon,  users  are given limited  access  to  the
  103.           PROPUBLIC directory so that PROTEC NET can  upload
  104.           local  audits  to the Security Server  and  update
  105.           workstation security properly.   Since NetWare  is
  106.           a  closed system, an extra level of access  rights
  107.           is  set  within  NetWare  to allow  users  limited
  108.           access   to  the PROPUBLIC directory.  To  do  so,
  109.           PROTEC  NET server installation assigns each  user
  110.           to  the  PROTEC_GROUP which has directory  trustee
  111.           rights  [  RWC  MF ] for the PROPUBLIC  directory.
  112.           Once  a  user  is verified as a NetWare  user  and
  113.           security  has  been updated, PROTEC NET  overrides
  114.           these NetWare permissions and protects all of  its
  115.           directories.
  116.           
  117. ====================          
  118. Permission and Codes
  119. ====================
  120.           
  121.           Not   all  permissions  may  be  assigned  to  all
  122.           resources.    The  following  chart   lists   each
  123.           permission available to the system, its code,  the
  124.           resources to which each permission can be assigned
  125.           and  the  permission description.   The  resources
  126.           displayed in this chart are abbreviated  and  each
  127.           abbreviation is described below.
  128.           
  129.             F for File
  130.             Di for Directory
  131.             Ds for Drive.
  132.             P for Ports
  133.             C for System Clock
  134.             S for Submenus
  135.           
  136.           
  137.           
  138.           
  139.           Permission  Code  Resource  Description
  140.           _____________________________________________
  141.           ATTRIBUTE     A   F/Di/Ds   Allows users to 
  142.                                       change DOS file 
  143.                                       attributes.
  144.           CREATE        C   F/Di/Ds   Allows users or
  145.                                       programs to create 
  146.                                       or modify files.
  147.           DELETE        D    F/Di/Ds  Allows users or
  148.                                       programs to delete  
  149.                                       a file.
  150.           EXECUTE       E    F/Di/Ds  Allows user or
  151.                                       programs to execute 
  152.                                       an application,  
  153.                                       .EXE  or .COM.
  154.           MKDIR         M    Di/Ds    Allows users or
  155.                                       programs to make
  156.                                       directories under 
  157.                                       this directory.
  158.           OPEN          O    F/Di/Ds  Allows a file to be
  159.                                       opened by a program.
  160.                                       Automatically 
  161.                                       activated when read 
  162.                                       or write permissions 
  163.                                       are activated. Non 
  164.                                       Configurable.
  165.           READ          R    F/Di/Ds  Allows users or
  166.                                       programs to read
  167.                                       files.
  168.           RENAME        n    F/Di/Ds  Allows users or
  169.                                       programs to rename
  170.                                       files.
  171.           RMDIR         d    Di/Ds    Allows users or
  172.                                       programs to remove
  173.                                       directories under this
  174.                                       directory.
  175.           SHELL         S    F/Di/Ds  Allows users to run
  176.           TO DOS                      COMMAND.COM  from an
  177.                                       application.
  178.           VIEW          V    F/Di/Ds  Allows users or
  179.                              P/C/S    applications to  view.
  180.                                       Must set View to
  181.                                       access a file.
  182.           WRITE         W    F/Di/Ds  Allows users or
  183.                                       applications to  write
  184.                                       to a file.
  185.           
  186.                 Figure 5.2.  Permission Chart
  187.  
  188. ===============
  189. Directory Trees
  190. ===============
  191.           
  192.           Permissions  are  set for files,  directories  and
  193.           drives  using  Directory Trees.   Directory  Trees
  194.           display   permissions  assigned  or  automatically
  195.           granted to each resource.
  196.           
  197.                               
  198.           The  Permission windows display permissions to all
  199.           workstation resources recorded by PROTEC  NET  Log
  200.           program, BLDTREE.EXE.  Permissions may be assigned
  201.           to  each resource.  When permissions are assigned,
  202.           the  corresponding Permission Codes appear to  the
  203.           left  of the resource as shown in the chart  above
  204.           Figure 5.3.
  205.           
  206.  
  207. If directory and file resources do not appear for each drive
  208. excluding floppies then workstation resources have not been
  209. recorded.  For instructions on how to record resources,
  210. refer to Build Directory Trees.
  211.  
  212.           
  213. ===================          
  214. Setting Permissions
  215. ===================
  216.           
  217.           Only  permissions  that  may  be  assigned  to   a
  218.           resource  appears  in  the  Permissions  box  when
  219.           setting permissions.
  220.           
  221.           The VIEW permission must be assigned to a resource
  222.           in  order  for  the  resource  to  been  seen  and
  223.           accessed.   If users should not access or  view  a
  224.           resource, deactivate all permissions.  By default,
  225.           a  user  encounters a DOS error  if  he  tries  to
  226.           access an object of which he is denied access.  If
  227.           the  system  should alert users  of  these  PROTEC
  228.           violations, set the Display Violations feature  to
  229.           On.    For  more  information,  refer  to  Display
  230.           Violations.
  231.           
  232.  
  233.  
  234. NOTE  The directory tree might not be current.  Press F9 to
  235. rescan the drive.
  236.  
  237.           
  238.           
  239.           To Assign Permissions
  240.           
  241.           1 Access   the   Security   program.    Refer   to
  242.             Accessing the Security Program for step by  step
  243.             instructions.
  244.           
  245.           2 From  the User Security menu, select Edit  Group
  246.             Access Permissions (ALT, U, D).
  247.           
  248.           3 From  the scroll box, select the group you  wish
  249.             to edit and press ENTER.
  250.           
  251.           4 Select File/Dir/Drive (ALT, F).
  252.           
  253.           5 Select  the resource to which you wish to assign
  254.             permissions.   Use  the  SPACEBAR  to   mark   a
  255.             resource  or multiple resources, or F3  to  mark
  256.             all.
  257.             
  258.             ·  Directory:  To access directories on a drive, highlight
  259.                the drive and press TAB to access the directory window.  To
  260.                find a directory, type in the directory name until the
  261.                directory is highlighted.  Press '+' to search for the next
  262.                occurrence of the directory or '-' to search for the
  263.                previous occurrence.
  264.             ·  Files:  To access files within a directory, highlight
  265.                the directory and press ENTER.  To view files with a
  266.                specific file pattern, press F7.  Press F8 to search for a
  267.                file or file pattern.
  268.             
  269.           6 Press F6 to assign permissions.
  270.           
  271.           7 Choose the SAVE button..
  272.  
  273. =============================                   
  274. How Permissions are Evaluated
  275. =============================
  276.           
  277.           PROTEC  Security  System employs  a  hierarchy  of
  278.           permissions  for  files, directories  and  drives,
  279.           files  being most specific and drives  being  most
  280.           general.    When a user tries to access a resource
  281.           such  as  a  file,  PROTEC NET allows,  denies  or
  282.           limits   access  to  it  based  on  its   assigned
  283.           permissions.  In this case, it would be the file's
  284.           permissions.   However,  if  a  user  belongs   to
  285.           multiple groups,  PROTEC NET evaluates permissions
  286.           so  the user may only access the resource if  each
  287.           set of permissions does not deny him access.
  288.           
  289.           When working with multiple groups, PROTEC NET uses
  290.           the  `and'  operator to decide whether  users  can
  291.           access  a  resource; this differs  from  NetWare's
  292.           logic.    To  clarify how PROTEC grants or  denies
  293.           permission  to  an  object, review  the  following
  294.           example.
  295.           
  296.           
  297.           Example
  298.           
  299.           Paul  belongs to two groups, PRODUCTION and ADMIN.
  300.           Figure   5.5   displays  the  PRODUCTION   group's
  301.           relevant   permissions  while  Figure  5.6   shows
  302.           ADMIN's.
  303.           
  304.           Request:    Paul   is   requesting   to    execute
  305.           C:\DOS\FORMAT.COM from his C: Drive identified  in
  306.           each  Figure  as  `[ C:] Paul Abate.'   The  ADMIN
  307.           group  is  granted full access but the  PRODUCTION
  308.           group's permission denies access.
  309.           
  310.           Result:   Since  PROTEC  NET  employs  the   `and'
  311.           operator  to  evaluate  permissions,  PROTEC   NET
  312.           denies Paul's request.
  313.           
  314. ==================================          
  315. Printer and Comm Ports Permissions
  316. ==================================
  317.           
  318.           Users  are  either  granted or  denied  access  by
  319.           configuring the On/Off settings for the  following
  320.           eight   potential  ports:   Lpt1:,  Lpt2:,  Lpt3:,
  321.           Lpt4:, Com1:, Com2:, Com3: and Com4:.  If the port
  322.           is  checked  users can access the port,  otherwise
  323.           they may not.
  324.           
  325.           To   ensure  only  authorized  NetWare  users  may
  326.           manipulate  a  workstation  remotely,  make   sure
  327.           PROTEC's  Login screen is the current  screen  and
  328.           keyboard lock is activated.
  329.           
  330.           To Allow Access to a Port
  331.           
  332.           1 Access   the   Security   program.    Refer   to
  333.             Accessing the Security Program for step by  step
  334.             instructions.
  335.           
  336.           2 From  the User Security menu, select Edit  Group
  337.             Access Permissions (ALT, U, D).
  338.           
  339.           3 From  the  scroll  box, select the  group  whose
  340.             port  access rights you wish to edit  and  press
  341.             ENTER.
  342.           
  343.           4 Select PRN/Comm (ALT, P).
  344.           
  345.           5 Check  the port that users may access  by  using
  346.             the  activation keys, or highlighting  the  port
  347.             and pressing the SPACEBAR.
  348.           
  349. ============================
  350. System Clock Access Control
  351. ============================
  352.           
  353.           PROTEC  Audit tracks user operations by  date  and
  354.           time.   If  you  do not want users to  change  the
  355.           system's date and time, this option allows you  to
  356.           disable that privilege.
  357.           
  358.           To Deny Users to Change the Date and Time
  359.           
  360.           1 Access   the   Security   program.    Refer   to
  361.             Accessing the Security Program for step by  step
  362.             instructions.
  363.  
  364.           2 From  the User Security menu, select Edit  Group
  365.             Access Permissions (ALT,  U, D).
  366.  
  367.           3 From  the scroll box, select the group you  wish
  368.             to edit and press ENTER.
  369.  
  370.           4 Select Clock (ALT, L).
  371.  
  372.           5 Press  ENTER  so that the word 'No'  appears  to
  373.             the right of Change Date and Time.
  374.  
  375. ======================
  376. Submenu Access Control
  377. ======================
  378.           
  379.           If  you  are  using PROTEC's menu  program  -  the
  380.           Application Manager (PMENU.EXE) --  as  the  Login
  381.           Shell  for a user or system, you may specify which
  382.           submenus  users may access.  If a user  is  denied
  383.           access  to  a submenu, the submenu is hidden  from
  384.           the user when he signs onto the system.
  385.           
  386.           To Deny Access to a Submenu
  387.           
  388.           1 Access   the   Security   program.    Refer   to
  389.             Accessing the Security Program for step by  step
  390.             instructions.
  391.           
  392.           2 From  the User Security menu, select Edit  Group
  393.             Access Permissions (ALT, U, D).
  394.           
  395.           3 From  the scroll box, select the group you  wish
  396.             to edit and press ENTER.
  397.           
  398.           4 Select Submenu (ALT, S).
  399.           
  400.           5 From  the scroll box, select the submenu a group
  401.             may  access and press ENTER so that the word 'No
  402.             Access' appears to the left of the submenu.
  403.           
  404.           6 Choose the QUIT button to quit and save.
  405.  
  406.  
  407. ================
  408. User Login Shell
  409. ================
  410.           
  411.           Edit  User  Configuration  allows  supervisors  to
  412.           assign a user a Login Shell.
  413.                               
  414.           · Filename.  A filename must always be specified.  The
  415.             filename syntax is as follows:
  416.           
  417.                drive:\path\filename.ext
  418.           
  419.             where  .ext  must be .COM or  .EXE.   To  run  a
  420.             batch  file, specify COMMAND.COM as the  default
  421.             program  and  specify  the  batch  file  on  the
  422.             Command Line, as shown below.
  423.           
  424.           · Command Line.  The command line is optional and allows
  425.             you to specify command line parameters required by the
  426.             default program.  It also allows you to run a batch file if
  427.             COMMAND.COM is appointed as the Login Shell filename.  The
  428.             command line syntax for a batch file is as follows:
  429.           
  430.                  /c drive:\path\filename.ext
  431.           
  432.             where  /c  must precede the file name  and  .ext
  433.             must be .BAT.
  434.           
  435.           · Select Button.  The Select button allows you to select
  436.             or search an application from network drives using only
  437.             directory trees.
  438.           
  439.           · Reset Button.  The Reset button sets a user's login
  440.             shell to PROTEC NET's Application Manager.
  441.           
  442.           To Specify a Login Shell for a User
  443.           
  444.           1 Access  the Security program.  Refer to  section
  445.             Accessing the Security Program for step by  step
  446.             instructions.
  447.           
  448.           2 From  the  User Security menu, select Edit  User
  449.             Configuration (ALT, U, I).
  450.           
  451.           3 Enter  the  default  program  and  command  line
  452.             parameters if required.
  453.           
  454.           4 Choose  the  SAVE button.   These  changes  will
  455.             not  take  effect until the next user logs  onto
  456.             the system.
  457.           
  458.  
  459. ====================================
  460. Assigning Each User a Primary Server
  461. ====================================
  462.           
  463.           Assigning a user a Primary Server is essential  to
  464.           accessing  a  PROTEC NET workstation.   A  Primary
  465.           Server  is  the  Security Server  where  a  user's
  466.           access   rights  reside.   Each  user  should   be
  467.           assigned only one Primary Server in a multi-server
  468.           environment.
  469.           
  470.           A Primary Server can be changed at any time.  Once
  471.           a Primary Server has been changed, Group Access
  472.           Permissions must be defined on the user's new
  473.           Primary Server.
  474.           
  475.           If  more than one Security Server is available and
  476.           a Primary Server has not been assigned, PROTEC NET
  477.           denies  access  to  the workstation  when  a  user
  478.           attempts to signs onto the workstation.
  479.           
  480.           To Assign a User a Primary Server
  481.           
  482.           1 From  the PROSYSTEM directory on the appropriate
  483.             Security Server type:
  484.           
  485.             primsrvr /a servername/username
  486.           
  487.             where servername is the new Primary Server.
  488.           
  489.           For  information  on  changing  a  user's  Primary
  490.           Server  or  generating a Primary Server report  of
  491.           all  available Security Servers, refer  to  PROTEC
  492.           NET Programs, PRIMSRVR.EXE.
  493.           
  494. ================          
  495. Master Password
  496. ================
  497.           
  498.           You can access each workstation with a master password
  499.           when the server is down.  If a change is made to the
  500.           master login ID and password but has not been
  501.           downloaded to each workstation, you can access the
  502.           workstation using a previous password.  Therefore,
  503.           it is wise to keep a record of previous master
  504.           passwords.  
  505.                               
  506.           The default Master Password's Login ID is
  507.           'MASTERID'.  The Master Password is
  508.           `MASTERPASSWORD'.
  509.           
  510.           To Assign a Master Password
  511.           
  512.           1 Access  the  Security Program. Refer to  section
  513.             Accessing the Security Program for step by  step
  514.             instructions.
  515.           
  516.           2 From  the  User  Security  menu,  select  Master
  517.             Password (ALT, U, M).
  518.           
  519.           3 Enter the login ID and password.
  520.           
  521.           4 Choose the OK button.
  522.           
  523.           
  524.  
  525.