home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 920323-01 < prev    next >
Encoding:
Internet Message Format  |  1992-05-19  |  25.8 KB
  1. Date: 23 Mar 1992 14:46:00 +0000 (GMT)
  2. From: Scientific VAXcluster Administrator
  3.  <eagle!mars.lerc.nasa.gov!uugblum@UCBVAX.BERKELEY.EDU>
  4. Subject: Security software evaluation - Summary
  5. Sender: INFO-VAX Discussion <INFO-VAX@uga.cc.uga.edu>
  6. Message-id: <01GI0MBBO37Y0012K4@VAXF.COLORADO.EDU>
  7.  
  8.  
  9.                            VAX/VMS Security Software
  10.  
  11.  
  12.      Computer system security awareness is an important issue at NASA.
  13. Over 2 years ago, all employees received computer security training which
  14. proved to be a benefit when the Michaelangelo virus was announced.  The
  15. devastating effects of a virus were understood by the user community.  Virus
  16. detection software was distributed and run on over 4000 PCs prior to the
  17. attack date.
  18.  
  19.      Security training did increase my awareness of system security.  In
  20. addition to the NASA training, I also attended a class on Unix security and
  21. completed the class with a severe case of security paranoia.  Be glad you're
  22. working with VMS :-).  Besides operating system software integrity, "Computer
  23. Security" also includes limiting physical access to the computer system,
  24. maintaining disk backups for file recovery, and preventing theft or disclosure
  25. of confidential information, all of which I'm not going to discuss (Cheers from
  26. one of the reviewers!).
  27.  
  28.      People who don't have a good understanding of security tend to ignore it.
  29. I remember getting a call from a user a few years ago who complained about
  30. changing his password.  He said he really liked a computer system he used to
  31. work on because he could use "M" as the password and never had to change it.
  32. I laughed at that one for a while.  After we upgraded to VMS 5.4, several users
  33. complained about not being able to reuse passwords.  Well, maybe the security
  34. class should be held again...
  35.  
  36.      Security guidelines are applicable to any operating system.  For example,
  37. passwords should not be easy to guess and should be changed on a regular basis.
  38. Also, users should not share accounts.  All of these items are covered in the
  39. Department of Defense Password Management Guideline "Green Book".
  40.  
  41.      Starting with VMS 5.4, new passwords are compared to a list of common or
  42. previously used words and are rejected if found.  The VMS operating system has
  43. a number of other features which can be configured to enforce system security.
  44. These include file and device protection, identifiers and ACLs, Sysgen
  45. parameters, the AUDIT_SERVER process, Accounting, etc.  The VAX/VMS "Guide to
  46. VMS System Security", DEC Part # AA-LA40B-TE, shows how to configure these
  47. features.  However, it doesn't discuss how to audit the system.
  48.  
  49.      The ANALYZE/AUDIT utility, added in VMS 5.2, offers reports on selected
  50. information contained in the security audit file.  This is the only utility
  51. specifically designed to produce security reports.  However, login failure
  52. reporting is only a small part of system security.  For example, it would be
  53. beneficial to produce a report showing all of the user accounts which have not
  54. been used in over a year.  Additionally, a report containing all files on a
  55. disk which have world write access would be very useful.  You can write DCL
  56. command procedures that parse and sort output from various VMS utilities to
  57. produce specialized reports.  However, these take time to develop.
  58.  
  59.  
  60.      Third-party VMS security software packages provide an alternative to DCL
  61. command procedures.  I was aware of several, but I didn't know which one was
  62. the best.  What did they test?  How did they work?  Twice this year, I posted
  63. questions on USENET concerning VMS system security software and obtained very
  64. little response.  Since no one confessed to comparing security software
  65. packages and I haven't run into anyone at the local VAXSIG who is using
  66. security software, I set out to do my own research.
  67.  
  68.      Demo software was obtained from Braintree, Demax, and Raxco in two days
  69. or less after I requested it.  However, I had to visit the local DEC office
  70. in order to have a peek at DECinspect.  To aid in my product evaluation, I
  71. decided to create a product comparison report organized by the specific
  72. operating system items the software checked.  This turned out to be quite
  73. difficult since each vendor has his own idea of what security items are
  74. important.  Also, one product might provide a menu pick to produce a specific
  75. report, whereas another product may require selecting several options to
  76. generate a similar report.
  77.  
  78.      Another major difference was the type of "baseline" report supported by
  79. the product.  Braintree's Auditor Plus, Demax's SecureMAX, and Raxco's
  80. Security Toolkit allow you to produce ad-hoc reports.  These products also
  81. include a Prior Period Comparison Baseline test.  To obtain initial data, a
  82. snapshot of the current system is taken.  This could include the contents of
  83. SYSUAF.DAT and RIGHTSLIST.DAT, and protection on devices, disk files, etc.
  84. Later, another snapshot is taken and compared against the first.  Only the
  85. differences between the two are reported.  A disadvantage to this process is
  86. that you have to interpret the report to determine if a security problem exists.
  87.  
  88.      In contrast to the three products mentioned above, DECinspect and
  89. Raxco's Baseline generate reports which only contain items that fail the
  90. security policy you have set.  DECinspect uses parameter-based comparison
  91. baseline testing which allows the user to specify the comparison value of the
  92. parameter or disable the test.  Raxco's Baseline uses rule-based comparison
  93. baseline testing which provides more flexibility over parameter based testing.
  94. Rules can be defined for almost any item which needs to be checked in order to
  95. satisfy the site's security standard.  DECinspect is very easy to use and is
  96. intended for very large networks, but it is limited to checking items for
  97. which DEC provides tests.
  98.  
  99.      At this time, I would like to make several disclaimers and notes.  First,
  100. the purpose of this report is to point out security items which could be
  101. checked.  I consider some security software reports less useful than others,
  102. but I left my personal preferences out of this report.  I felt that each site
  103. has its own security requirements and that you should decide what is useful
  104. for your site.  Also, since the security products are very similar, the user
  105. interface may turn out to be the deciding factor.  In some cases, it was
  106. difficult to determine if a product supported a particular test.  Thus, I
  107. relied on the vendor's support staff to provide this information.  Also, I
  108. haven't double-checked this report, so there could be mistakes.
  109.  
  110.  
  111.  
  112.     Please keep in mind that new features could have been added since I wrote
  113. this report.  If you need a particular feature, it is best to contact the
  114. vendor and find out if it will be available in the near future.  There were two
  115. features I was interested in which none of the products currently supported.
  116. All security products had an SMG or DECforms menu interface, but a DECwindows
  117. interface would make the menus easier to use.  Also, does the vendor have a
  118. similar package for Unix workstations which could be managed by the VAX/VMS
  119. security product.
  120.  
  121.      After reviewing the security packages, one of the determinations I made
  122. was that I need two security products.  First, an ad-hoc reporting product
  123. is needed to generate any type of security report on demand.  This is useful
  124. for initially setting up system protection and performing security maintenance.
  125. Second, I also require a set-and-forget baseline type product which will run
  126. periodically and report only those items which fail my security policy.
  127.  
  128.      For additional information on security products, you might check
  129. Ray Kaplan's individual security product reviews in "Digital News".  In a
  130. USENET posting he made on March 16, he mentioned a lengthy article in the next
  131. issue of "Info Security Products News", a free publication.  FAX (508)872-1153.
  132. ISPNews -498 Concord Street - Framingham, MA 01701-2357.
  133.  
  134.      Last but not least, I would like to thank the product support people at
  135. Braintree, DEC, Demax, and Raxco for the hours they spent on the phone
  136. answering questions about their packages.
  137.  
  138.  
  139.                                                 Greg Blumers
  140.                                                 Sverdrup Technology, Inc.
  141.                                                 March 23, 1992
  142.  
  143.                        VAX/VMS Security Software Features
  144.  
  145.                                   Key to codes
  146.                 ------------------------------------------------
  147.                 Y = Implemented
  148.                 y = Implemented by setting/selecting options
  149.                 P = Partially implemented
  150.                 B = Implemented in the Baseline report
  151.                 b = Implemented in the Baseline report by
  152.                     setting/selecting options
  153.                 N = Not implemented
  154.                 O = Capability is available in optional software
  155.  
  156.  
  157. v--------------- Raxco Security Toolkit V3.1
  158. v  v------------ Braintree Auditor Plus V1.2
  159. v  v  v--------- Demax SecureMax 4.0e
  160. v  v  v  v------ DECinspect V2.1
  161. v  v  v  v  v--- Raxco Baseline V2.0
  162.  
  163.                  GENERAL INFORMATION
  164.  
  165. Y  Y  Y  Y  Y  - Menu driven.
  166. Y  Y  Y  Y  Y  - Menu context sensitive help.
  167. Y  N  Y  P  Y  - Command interface.
  168. Y  N  Y  Y  Y  - Online help library.
  169. y  N  Y  N  N  - Report generated by menu displays the DCL command.
  170. Y  Y  N  N  N  - Batch command procedures can be created from menu.
  171.  
  172. N  Y  Y  N  b  - Print results of the last report run.
  173. N  Y  N  N  N  - Display last report runtime statistics.
  174.  
  175. Y  Y  Y  O  B  - Supports query of remote nodes.
  176. N  y  N  N  N  - Single status report for entire VAXcluster.
  177. N  Y  O  O  N  - Single status report for several network nodes.
  178. N  N  N  O  N  - Multi-level consolidated reporting.  Token passed to next
  179.                  level node.
  180. N  N  N  B  B  - Report from remote node contains pass/fail information.
  181. Y  Y  Y  B  b  - Report on remote node contains detailed information.
  182. N  N  N  O  N  - Security manager information is available to the central
  183.                  reporting node.
  184.  
  185. N  N  N  B  B  - Several baseline reports can be defined.
  186. N  B  N  B  B  - Baseline tests can be enabled or disabled.
  187. N  p  N  p  B  - User designed baseline tests are supported.
  188. N  B  N  B  B  - Baseline parameters can be changed.
  189. N  N  N  B  N  - Scheduled baseline inspections are not started immediately
  190.                  when a system is booted.
  191. N  N  N  N  Y  - Baseline test is guaranteed to be run at regular intervals.
  192.  
  193. N  y  O  N  N  - Automatic actions based on baseline/comparison reports.
  194. N  N  N  B  B  - Create corrective action procedure based on security audit.
  195.                  Action items must be reviewed/approved before being executed.
  196. N  Y  O  N  N  - User defined action routines are supported.
  197.  
  198.  
  199. v--------------- Raxco Security Toolkit V3.1
  200. v  v------------ Braintree Auditor Plus V1.2
  201. v  v  v--------- Demax SecureMax 4.0e
  202. v  v  v  v------ DECinspect V2.1
  203. v  v  v  v  v--- Raxco Baseline V2.0
  204.  
  205. N  Y  N  N  N  - Security software uses encrypted password.
  206. N  Y  N  N  N  - Passive/Active/Group Security access.
  207. O  Y  N  N  O  - Terminal is locked after a set period of inactivity.
  208.  
  209. N  Y  N  N  N  - Batch procedure files are protected against change.
  210. N  P  Y  P  N  - Baseline files are protected against change.
  211.  
  212. O  Y  N  N  O  - Terminal lock program.
  213. N  Y  N  N  N  - Provides restricted SYSUAF access to user group managers.
  214.  
  215. Y  y  Y  N  B  - SYSUAF data cached
  216. Y  N  Y  N  B  - RIGHTSLIST data cached
  217. Y  N  Y  N  B  - NETPROXY data cached
  218.  
  219. Y  Y  Y  N  B  - Output file name can be specified.
  220. y  Y  y  B  B  - Report can be mailed.
  221.  
  222.  
  223.         SYSUAF.DAT - Security Audits
  224.  
  225. Y  Y  P  B  B  - All reports have base values which can be changed.
  226. Y  Y  N  B  B  - Complex reporting (keying on two SYSUAF parameters).
  227.  
  228. YB Y  YB N  N  - SYSUAF changes
  229. N  Y  Y  B  b  - Compare default account settings ( access, priv, proxy)
  230.                  to other account(s).
  231.  
  232. Y  Y  N  N  B  - SYSUAF flags (Selective)
  233. N  N  YB N  N  - SYSUAF flags (Non-Selective)
  234. Y  N  N  N  N  - SYSUAF flag summary by privilege class
  235.  
  236. Y  B  Y  B  N  - Check for duplicate UICs.
  237. Y  N  N  N  N  - Duplicate UIC summary report by privilege class.
  238. y  N  y  B  b  - Check that non-privileged accounts have UICs > MAXSYSGROUP
  239.  
  240. Y  N  N  B  N  - Check that privileged users don't share UIC groups with non-
  241.                  privileged users.
  242.  
  243. Y  Y  PB N  b  - System access (Interactive, batch, etc. & times)
  244. Y  YB YB N  b  - Login failures
  245. Y  Y  YB N  b  - Captive/Restrictive accounts (Captive/Restrictive flags)
  246. Y  Y  YB N  b  - Disabled accounts (Disuser flag)
  247. Y  Y  YB N  b  - Account expiration
  248. N  B  N  N  N  - Report shared user directories.
  249. y  B  Y  B  N  - Check existence and ownership of privileged user directories.
  250. Y  B  Y  N  N  - Check existence and ownership of user directories.
  251.  
  252.  
  253. v--------------- Raxco Security Toolkit V3.1
  254. v  v------------ Braintree Auditor Plus V1.2
  255. v  v  v--------- Demax SecureMax 4.0e
  256. v  v  v  v------ DECinspect V2.1
  257. v  v  v  v  v--- Raxco Baseline V2.0
  258.  
  259.         SYSUAF.DAT - Password Checking
  260.  
  261. N  N  Y  N  N  - Password Summary Report
  262. Y  Y  YB B  b  - Minimum password length (/PWDMINIMUM)
  263. Y  Y  YB B  b  - Password lifetime (/PWDLIFETIME)
  264. Y  Y  YB N  b  - Accounts which must use generated passwords (GENPWD flag)
  265. Y  Y  YB N  b  - Accounts which can not change their password (LOCKPWD flag)
  266. Y  Y  Y  N  b  - Accounts not forced to change password (DISFORCE_PWD_CHANGE)
  267. Y  Y  YB N  b  - Accounts which must use secondary passwords (/PASSWORD)
  268. Y  N  Y  N  N  - Accounts with pre-expired passwords (/PWDEXPIRE)
  269. Y  N  Y  N  b  - Accounts with old passwords (Based on password change date)
  270. Y  Y  Y  N  b  - Accounts with expired passwords (PWD_EXPIRED flag)
  271. Y  Y  Y  B  b  - Accounts with history-based password filter disabled
  272.                  (DISPWDHIS).
  273. Y  Y  Y  B  b  - Accounts with dictionary password filter disabled (DISPWDDIC).
  274. Y  N  Y  N  N  - Accounts which have an alternate Hash algorithm (/ALGORITHM)
  275. YB Y  YB N  N  - Accounts with no password (SYSALF file).
  276.  
  277. Y  B  Y  N  B  - Check passwords against guessable passwords
  278. Y  Y  Y  N  N  - Compare passwords against user defined password list
  279. N  Y  N  N  N  - Compare passwords against DEC password dictionary
  280. y  B  y  N  b  - Check passwords for standard VMS accounts (SYSTEM, FIELD, etc.)
  281.  
  282. Y  y  Y  N  N  - Accounts with pre-expired secondary passwords (/PWDEXPIRE)
  283. Y  b  Y  N  b  - Check secondary passwords against guessable passwords
  284. Y  y  Y  N  N  - Compare secondary passwords against user defined password list
  285. N  y  N  N  N  - Compare secondary passwords against DEC password dictionary
  286.  
  287.  
  288. v--------------- Raxco Security Toolkit V3.1
  289. v  v------------ Braintree Auditor Plus V1.2
  290. v  v  v--------- Demax SecureMax 4.0e
  291. v  v  v  v------ DECinspect V2.1
  292. v  v  v  v  v--- Raxco Baseline V2.0
  293.  
  294.  
  295.         SYSUAF.DAT - Privileges
  296.  
  297. Y  B  YB N  N  - Privilege summary report
  298. Y  Y  N  N  b  - Privileges granted to users (And)
  299. Y  Y  Y  N  b  - Privileges granted to users (Or)
  300. Y  N  y  N  b  - Privileges not granted to users
  301.  
  302.         SYSUAF.DAT - Other
  303.  
  304. Y  N  Y  N  N  - User account overview (totals)
  305. Y  Y  Y  N  N  - User account summary (similar AUTH SHOW/BRIEF)
  306. Y  N  N  N  N  - System access summary by privilege class
  307.  
  308. N  Y  NB N  b  - Base priority.
  309. N  N  N  N  b  - Queue priority (QUEPRIO is not currently used).
  310. N  Y  NB N  b  - Process quotas.
  311.  
  312. Y  Y  Y  B  b  - Accounts never used.
  313. Y  Y  Y  B  b  - Inactive accounts (last login date).
  314. y  y  y  B  b  - Inactive system support accounts (last login date).
  315. N  B  NB N  b  - Accounts which have CLITABLES set to a value other than DCL
  316. N  B  N  N  b  - Accounts with unlimited CPU time
  317. N  B  NB N  b  - Check LGICMD value
  318.  
  319.         SYSUAF.DAT - Special reports
  320.  
  321. Y  Y  N  N  N  - Login failure report based on accounting data
  322.  
  323.         RIGHTSLIST.DAT AUDITS
  324.  
  325. YB Y  yB N  N  - RIGHTSLIST changes
  326. Y  N  Y  N  N  - Identifier summary report (Holders not displayed).
  327. Y  Y  Y  N  N  - Holder of an identifier.
  328. Y  Y  Y  N  b  - Identifiers held by a user.
  329. Y  B  N  N  N  - Ungranted identifiers.
  330. N  B  N  N  b  - Users which do not have a valid identifier.
  331. Y  N  N  N  B  - System identifier integrity check (INTERACTIVE, BATCH, etc.)
  332.  
  333.         VMSMAIL_PROFILE.DATA AUDITS
  334.  
  335. N  B  N  N  N  - Check VMSMAIL entries if mail forwarding is defined.
  336.  
  337.  
  338. v--------------- Raxco Security Toolkit V3.1
  339. v  v------------ Braintree Auditor Plus V1.2
  340. v  v  v--------- Demax SecureMax 4.0e
  341. v  v  v  v------ DECinspect V2.1
  342. v  v  v  v  v--- Raxco Baseline V2.0
  343.  
  344.         DISK AUDITS
  345.  
  346. Y  B  YB N  b  - Check ownership and protection of selected disks.
  347. N  Y  N  N  N  - Disk quota audit
  348. N  Y  N  N  N  - Disk scavenge for access control strings
  349. Y  Y  O  N  N  - Volume directory tree
  350. Y  N  O  N  N  - Volume file statistics (# have ACLs, # not-owned by parent dir)
  351.  
  352.         FILE AUDITS
  353.  
  354. Y  Y  Y  N  b  - Files which match specified UIC mask.  Selection and negation,
  355.                  full or partial mask match supported.
  356. N  Y  Y  N  b  - Files which can be accessed by a specific user(s).
  357. N  Y  N  N  N  - Files owned by privileged user.
  358. Y  Y  YB N  N  - Files owned by a different identifier that the directory owner.
  359. N  N  Y  N  N  - Files owned by a different identifier that the directory owner,
  360.                  files with an ACL, or files with different protection.
  361. Y  Y  Y  N  N  - Files owned by an undefined identifier (orphaned file).
  362. N  N  Y  N  N  - Files with a specific protection and/or identifier ACL(s).
  363. N  N  Y  N  b  - Files with/without an ACL which is on a specified file.
  364.  
  365. YB B  Y  N  b  - Check ownership and protection of selected files.
  366. y  y  YB N  b  - Protection of all directory files on a disk.
  367. Y  Y  Y  N  N  - Find all users that have access to a specified file(s).
  368.                  UIC mask is compared.
  369. N  Y  y  N  N  - Find all users that have access to a specified file(s).
  370.                  UIC mask and ACE identifiers are compared.
  371. N  Y  Y  N  N  - File access summary. # users which can/can't access file(s).
  372.  
  373. Y  y  y  N  N  - Files which have poor protection against privileged users.
  374. Y  y  y  N  N  - Files which have poor protection against users in the same UIC
  375.                  group.
  376. Y  y  y  N  N  - Files which have poor protection against any user.
  377.  
  378. y  y  Y  N  b  - Check for wormholes, directories & files with world write
  379.  access
  380. Y  y  Y  B  N  - Check privileged account's LOGIN.COM for access by non-priv
  381.                  user.
  382.  
  383. y  y  Y  B  b  - Examine user directory files, *.COM, and *.EXE files
  384.                  for files with world write.
  385. Y  yB Y  B  b  - Report all VMS system files [SYS*...] which have poor
  386.  protection
  387.                  and wrong ownership.
  388. y  y  y  B  B  - Check specific system files in SYS$MANAGER and SYS$SYSTEM for
  389.                  world access.
  390.  
  391. N  N  Y  N  N  - Experiment with device/file protection.  Report users
  392.                  which can access a file.
  393.  
  394.  
  395. v--------------- Raxco Security Toolkit V3.1
  396. v  v------------ Braintree Auditor Plus V1.2
  397. v  v  v--------- Demax SecureMax 4.0e
  398. v  v  v  v------ DECinspect V2.1
  399. v  v  v  v  v--- Raxco Baseline V2.0
  400.  
  401.         FILE AUDITS (Continued)
  402.  
  403. YB Y  YB N  N  - Files with an ACL.
  404. Y  Y  Y  N  N  - Files with a specific ACE identifier.
  405. Y  B  Y  N  N  - Files with ACLs with an invalid ACE.
  406. N  N  Y  N  N  - Files with ACL but no wildcard (catchall) ACE.
  407. Y  N  N  N  N  - Files with/without a wildcard (catchall) ACE.
  408. Y  N  N  N  N  - Files starting/not starting with a specific ACL.
  409. Y  N  N  N  N  - Files containing/not containing a specific ACL.
  410. Y  N  N  N  N  - Files ending/not ending with a specific ACL.
  411. y  Y  Y  N  N  - Files with a wildcard (catchall) ACE which is not the last ACL.
  412. Y  Y  Y  N  N  - Files with Alarm ACL.
  413. Y  N  Y  N  N  - Files with an Application ACE.
  414. y  Y  y  N  N  - Files granted/revoked access via system identifiers ACEs
  415.                  (Interactive, batch, etc.)
  416. Y  N  Y  N  N  - Directory files with default ACEs.
  417. N  Y  N  N  N  - Set ACLs on all files on volume/directory to be the same.
  418. N  YB N  N  N  - Create a command procedure to restore ACLs to previous value.
  419.  
  420. Y  Y  N  N  N  - Files marked nobackup.
  421. N  Y  N  N  N  - Files marked erase on delete.
  422. N  Y  N  N  N  - Expired files.
  423. N  Y  N  N  N  - Old files (over x days old)
  424. N  Y  N  N  N  - New files (less than x days old)
  425. Y  Y  Y  N  N  - Aliased files (multiple entries)
  426. N  Y  N  N  N  - Hidden executables (images which don't have .EXE)
  427. YB y  B  N  N  - Recently deleted directory files
  428. YB Y  N  N  N  - Recently deleted files
  429.  
  430. N  YB B  N  N  - Checksum of images
  431. B  N  B  N  N  - CRC of files
  432.  
  433. Y  B  N  N  N  - Hidden directory files.
  434. N  B  N  N  N  - Check for hidden SYSUAF.DAT file.
  435. N  B  N  N  N  - Check for SYSUAF and RIGHTSLIST listing files.
  436.  
  437. N  N  N  B  b  - Check for alarm ACE on the system accounting file.
  438. N  N  N  B  b  - Check for alarm ACE on all system mail directories.
  439. N  N  N  B  b  - Check for alarm ACE on the operator log file.
  440. N  N  N  B  b  - Check for alarm ACE on the RIGHTSLIST.DAT file.
  441. N  N  N  B  b  - Check for alarm ACE on the SYSUAF.DAT file.
  442. N  N  N  B  b  - Check for alarm ACE on the SYSUAF.LIS file.
  443. N  N  N  B  b  - Check for alarm ACE on the NETPROXY.DAT file.
  444.  
  445.  
  446. v--------------- Raxco Security Toolkit V3.1
  447. v  v------------ Braintree Auditor Plus V1.2
  448. v  v  v--------- Demax SecureMax 4.0e
  449. v  v  v  v------ DECinspect V2.1
  450. v  v  v  v  v--- Raxco Baseline V2.0
  451.  
  452.         SYSTEM PARAMETERS
  453.  
  454. YB YB YB B  B  - Check LGI_ security Sysgen parameters.
  455. YB N  YB P  b  - Check other security related Sysgen parameters.
  456.  
  457. Y  YB YB B  B  - Security auditing features which are enabled.
  458. N  B  Y  B  b  - Check that the AUDIT SERVER process is running.
  459. y  y  N  B  N  - Check for breakin attempts.
  460. y  y  N  B  N  - Check for login failures.
  461. y  y  N  B  N  - Check for unsuccessful attempts to access files.
  462. N  y  Y  B  N  - Check length of password history file.
  463. N  y  Y  B  N  - Check password history file lifetime parameter.
  464. Y  y  N  N  N  - Run ANALYZE/AUDIT
  465.  
  466. Y  YB Y  B  B  - VMS accounting parameters enabled
  467. N  YB N  N  N  - Images installed with image accounting.
  468. N  YB YB N  N  - Images installed with privilege.
  469. Y  N  N  N  N  - Run ACCOUNTING
  470.  
  471. Y  Y  Y  N  N  - Queue and device summary report (SHOW QUEUE/FULL owner/prot)
  472. N  Y  N  N  N  - Users which have access to a queues or devices
  473. Y  B  YB N  B  - Check batch queue protection
  474. Y  B  YB N  B  - Check print queue protection
  475. Y  b  YB N  b  - Check terminal protection
  476. Y  b  YB N  b  - Check other device protection
  477.  
  478. N  b  N  B  B  - Check that the OPCOM process is running.
  479. N  b  YB N  N  - System logicals
  480. Y  B  N  N  N  - Check system file logicals (SYSUAF, RIGHTSLIST, etc.)
  481. N  YB N  N  N  - Global sections
  482.  
  483.         NETWORK PARAMETERS
  484.  
  485. Y  Y  YB B  B  - Executor characteristics.
  486. Y  YB YB B  N  - Known DECnet nodes.
  487. Y  Y  YB B  B  - Known DECnet objects.
  488. Y  YB N  N  N  - Known circuits.
  489. Y  YB N  N  N  - Known lines.
  490. YB YB YB N  N  - Proxy entries.
  491. y  YB N  B  N  - Check that privileged accounts do not have proxy access.
  492. N  Y  N  B  b  - DECnet account parameters.
  493. y  YB N  b  b  - Inhibit DECnet from being used as non-privileged userid.
  494.  
  495. N  PB N  B  b  - Network object account parameters.
  496. N  YB N  N  N  - LAT ports and services.
  497. Y  YB N  N  N  - Packetnet System Interface (PSI).
  498.  
  499.         SECURITY AUDIT MONITOR
  500.  
  501. N  Y  N  N  N  - Report security events on a regular basis.
  502.                  (Uses mailbox to AUDIT$SERVER process)
  503. N  Y  N  N  N  - Take action on security alarms as they occur.
  504.                  Limited to predefined actions.
  505.  
  506.                                 Evaluation Notes
  507.  
  508. --------------------------------------------------------------------------------
  509.                           BrainTree Auditor Plus V1.2
  510.  
  511. - Auditor Plus includes three notable programs which the other vendors don't
  512.   include.
  513.  
  514.   1) A keyboard lock program.  This can be invoked by command and is also used
  515.      by Auditor Plus to lock the keyboard after 5 minutes of inactivity.
  516.  
  517.   2) A program which provides decentralized SYSUAF administration.
  518.  
  519.   3) A detached process which summarizes selected security events on a regular
  520.      basis and mails a report if any events are found.
  521.  
  522. - The arrow keys can't be used to move the cursor in all menus.  I used the
  523.   arrow keys in the main menu which caused the program to lock up and the
  524.   terminal to continuously beep with no way to abort the program.  The
  525.   support person said the problem would be corrected.
  526.  
  527. --------------------------------------------------------------------------------
  528.                        RAXCO/CLYDE Security Toolkit V3.1
  529.  
  530. - The optional BASELINE software product provides additional baseline auditing
  531.   capability.
  532.  
  533. - The optional KBLOCK software product allows users to lock keyboards.
  534.  
  535. - "HELP and how to get it" from the Main Menu does not display a list of
  536.   valid subtopics.
  537.  
  538. --------------------------------------------------------------------------------
  539.                              DEMAX SecureMAX V4.0e
  540.  
  541. - The optional SYSTEM DETECTIVE AO software product provides additional
  542.   security features.
  543.  
  544. - The optional PAKMANAGER software product provides additional file
  545.   management features.
  546.  
  547. - Context sensitive help available from the menu interface scrolled off the
  548.   screen.  Other products presented a page of information at a time.
  549.  
  550. - It was hard to find information in the manual for menu selections.
  551.  
  552. --------------------------------------------------------------------------------
  553.                                 DECinspect V2.1
  554.  
  555. - DECinspect requires a DECforms Runtime license.
  556.  
  557. - The optional DECsrf software product offers additional reporting capability,
  558.   including the ability to collect and analyze remote nodes.  DECsrf requires
  559.   a RALLY runtime license ($$$$).
  560.  
  561. - The optional DECdetect software product offers checksum file checking.
  562.  
  563.  
  564. --------------------------------------------------------------------------------
  565. The opinions expressed are my own, and not that of my employer.
  566.  
  567. Greg Blumers                            Sverdrup Technology, Inc.
  568. VAXcluster Administrator                c/o NASA Lewis Research Center
  569. (216)433-6777 or FTS 297-6777           Mail Stop 142-2
  570.                                         21000 Brookpark Road
  571. uugblum@scivax.lerc.nasa.gov            Cleveland, OH 44135
  572. --------------------------------------------------------------------------------
  573.  
  574.