home *** CD-ROM | disk | FTP | other *** search
/ Chip 1999 July / chipCD7_99.iso / offline / software / security_manager / sec_edit_readme / readme.txt
Encoding:
Text File  |  1999-05-12  |  11.6 KB  |  305 lines
  1. ======================================================================
  2.         Security Configuration Editor
  3. ======================================================================
  4.     (c) Copyright Microsoft Corporation, 1998
  5.  
  6. =======
  7. Preface
  8. =======
  9. In addition to installation information, this readme.txt file provides
  10. information on the basic use of SCE.  It is recommended that you print
  11. this readme.txt file and follow the steps in section 4.0, Using SCE.
  12.  
  13. ========
  14. Contents
  15. ========
  16. 1.0 Introduction
  17. 2.0 Requirements
  18. 3.0 Installation
  19.     3.1 To Install the SCE GUI and Command Line Tool
  20.     3.2 To Install the SCE Command Line Tool only
  21. 4.0 Using SCE
  22.     4.1 To load the SCE MMC Snap-in
  23.     4.2 To Edit a predefined SCE Configuration File
  24.     4.3 To Configure a system from the SCE UI
  25.     4.4 To Perform a security analysis
  26.     4.5 Using the SCE Command Line Tool
  27. 5.0 The Predefined SCE Configuration Files
  28.     5.1 Compatible
  29.     5.2 Secure
  30.     5.3 High Secure
  31.     5.4 Basic
  32.     5.5 MS Office 97 - SR1
  33. 6.0 Further Information
  34. 7.0 Feedback
  35.  
  36. ================
  37. 1.0 Introduction
  38. ================
  39. Service Pack 4 includes support for the Microsoft Security
  40. Configuration Editor (SCE).  SCE allows system administrators to
  41. consolidate all security related system settings into a single
  42. configuration file.  These security settings may then be applied to 
  43. any number of Windows NT machines.  Sample configuration files which
  44. implement different levels of security are also included.
  45.  
  46. SCE supports both a graphical user interface (GUI) and a command line tool.
  47.  
  48. The SCE GUI allows an administrator to
  49.     o create and edit security configuration files
  50.     o apply a security configuration to a system
  51.     o perform a security analysis
  52.     o graphically review the analysis results
  53.  
  54. The SCE command line tool is all that is needed to
  55.     o apply a security configuration to a Windows NT system
  56.     o perform a security analysis
  57.         - This analysis may then be reviewed graphically
  58.           from a Windows NT machine that has the SCE GUI.
  59.  
  60. ================
  61. 2.0 Requirements
  62. ================
  63. The SCE GUI and command line tool require:
  64.     o NT4-SP4.   
  65.  
  66. The SCE GUI requires:
  67.     o Microsoft Internet Explorer 3.02 or higher
  68.     o Microsoft Management Console 1.0 or higher
  69.  
  70.  
  71. ================
  72. 3.0 Installation
  73. ================
  74. SCE is included as an optional component of Service Pack 4, thus 
  75. updating to Service Pack 4 does not automatically install SCE.  
  76.  
  77. ---------------------------------------------------------
  78. 3.1 To install the SCE GUI and command line tool
  79. ---------------------------------------------------------
  80. 1. Install Internet Explorer 3.02 or Higher
  81.      - IE 3.02 is available on Windows NT Service Pack 3
  82.      - IE 4.01-SP1 is available on Windows NT Service Pack 4
  83.      - Installation of IE optional components is not necessary.
  84.  
  85. 2. Install Windows NT Service Pack 4
  86.    - Refer to the SP4 README.TXT file in the root of the SP4 CD.
  87.  
  88. 3. Install SCE.
  89.    - SCE is available on the SP4 CD in \MSSCE\<platform>
  90.    - Run MSSCE.EXE
  91.     - Answer Yes to install MMC as part of the SCE installation.
  92.  
  93. ---------------------------------------------
  94. 3.2 To install the SCE command line tool only
  95. ---------------------------------------------
  96. 1. Install SP4
  97.    - Refer to the SP4 README.TXT file in the root of the SP4 CD.
  98.  
  99. 2. Install SCE command line tool only.
  100.    - SCE is available on the SP4 CD in \MSSCE\<platform>
  101.    - Run MSSCE.EXE /C
  102.  
  103. Note, that a silent install is also available via the /S option.
  104.  
  105. =============
  106. 4.0 Using SCE
  107. =============
  108.  
  109.                         ***********
  110.                         * WARNING *
  111. ************************* ------- *******************************
  112. * THE PREDEFINED SECURITY CONFIGURATION FILES DESCRIBED IN THIS *
  113. * USAGE SCENARIO SHOULD NOT BE APPLIED TO PRODUCTION SYSTEMS    *
  114. * WITHOUT PASSING COMPREHENSIVE QUALITY ASSURANCE TESTS.        *
  115. *****************************************************************
  116.  
  117. -------------------------------
  118. 4.1 To load the SCE MMC Snap-in
  119. -------------------------------
  120.  
  121. 1. Run the Microsoft Management Console. 
  122.    - MMC.Exe
  123. 2. Add the Security Configuration Manager Snap-in. 
  124.    - From the Console pull-down menu, Click Add/Remove Snap-in
  125.    - Click Add
  126.    - Select Security Configuration Manager - OK
  127.  
  128. -----------------------------------------------
  129. 4.2 To Edit a predefined SCE Configuration File
  130. -----------------------------------------------
  131. 1. Expand the Security Configuration Manager node
  132.    This reveals the following folders:
  133.     - Database: Not Loaded
  134.     - Configurations
  135. 2. Expand the Configurations node
  136. 3. Expand the Default configuration file directory
  137.     - %windir%\security\templates
  138.     - The following configuration files should be revealed:
  139.  
  140.     Configuration File    Security Level    Platform
  141.     ------------------    --------------    --------
  142.     Basicwk.inf        Default        NT4 Wksta
  143.     Basicsv.inf        Default        NT4 Server
  144.     Basicdc.inf        Default        NT4 DC
  145.     Compws4.inf        Compatible    NT4 Wksta\Server
  146.     Compdc4.inf        Compatible    NT4 DC
  147.     Securws4.inf        Secure        NT4 Wksta\Server
  148.     Securdc4.inf        Secure        NT4 DC
  149.     Hisecws4.inf        High Security    NT4 Wksta\Server
  150.     Hisecdc4.inf        High Security    NT4 DC
  151.     Off97SR1.inf        w/ Compatible    NT4 Wksta\Server
  152.  
  153. 4. Expand a specific configuration file
  154.     - For example: securws4
  155.     - There are seven security areas such as account policies
  156.       and File System settings which can be configured.
  157. 5. Highlight a specific security area
  158.     - For example: Local Policies\Security Options
  159.     - The configurable parameters are exposed in the result pane.
  160. 6. Double Click on a security object in the result pane
  161.     - For Example: Message text for users attempting to log on
  162. 7. Customize the security setting for your environment
  163.     - Enter a text string that is customized for your environment - OK
  164. 8. Save the customized configuration file
  165.     - Right Click on the configuration file in the scope pane (securws4.inf)
  166.     - Save or Save As to save any changes.
  167.  
  168. ------------------------------------------
  169. 4.3 To configure a system from the SCE UI:
  170. ------------------------------------------
  171. 1. Click on the node Database: None
  172.     - This activates the default database (secedit.sdb)
  173.     - All configurations and analyses are performed against a database.
  174. 2. Right click on Database: Secedit.SDB
  175. 2. Select Import Configuration
  176. 3. Select the configuration you are interested in applying
  177.     - Check the Overwrite existing configuration in database
  178.       box to remove any previous settings stored in the database.
  179.       The default is to append to the selected database.
  180.     - Open
  181. 4. Right click on Database: Secedit.SDB
  182. 5. Select Configure System Now...
  183. 6. Enter the name of a file to log processing information to - OK
  184.  
  185. WARNING: Applying a secure configuration to an NT System may result
  186. in a loss of performance and functionality.  
  187.  
  188. For example, many applications expect that all users will have Change 
  189. (Read, Write, Execute, Delete) permissions on the root, systemroot,
  190. and systemroot\system32 directories because this is the default Windows NT 
  191. configuration.  Along with many other changes, the secure configuration files 
  192. restrict these default access rights and may cause applications, which 
  193. previously ran correctly, to fail.
  194.  
  195. ----------------------------------
  196. 4.4 To perform a security analysis
  197. ----------------------------------
  198. Before implementing the following steps, violate the security policy applied
  199. in the previous step to see how the analysis engine highlights the violation.
  200. For example:
  201.     - Change the password policy using User Manager.
  202. 1. Right Click on Database: Secedit.SDB
  203. 2. Select Analyze System Now...
  204. 3. Enter the name of a file to log processing information in - OK
  205.  
  206. A progress dialog displays the security areas being analyzed.  When the
  207. analysis has completed, the result pane highlights mismatches between actual
  208. system settings and the settings defined in securws4.inf.
  209.  
  210.  
  211. -----------------------------------
  212. 4.5 Using the SCE Command Line Tool
  213. -----------------------------------
  214. SP4 also includes a command line tool (secedit.exe) for applying 
  215. configuration files.  Typing secedit with no command line arguments 
  216. exposes the syntax for the command line tool.
  217.  
  218. The command line tool is useful for applying predefined configuration
  219. files to many systems using distributed systems management tools such
  220. as Microsoft Systems Management Server.
  221.  
  222. As an example,
  223.  
  224. secedit /configure /cfg securws4.inf /areas REGKEYS FILESTORE
  225.  
  226. would apply the file system and registry security settings specified 
  227. in the securws4.inf configuration file to the Windows NT System 
  228. where the program is run.
  229.  
  230. ==========================================
  231. 5.0 The Predefined SCE Configuration Files
  232. ==========================================
  233. System administrators can use the supplied configuration files to
  234. test and customize for their specific environments.  These 
  235. configurations should not be implemented in production environments 
  236. without passing comprehensive quality assurance measures.
  237.  
  238. The predefined security configuration files define three levels of 
  239. security beyond the default settings.  These predefined security 
  240. levels are described as follows:
  241.  
  242. ----------------------------
  243. 5.1 Compatible Configuration
  244. ----------------------------
  245. An improvement over the default security settings, 
  246. the compatible configuration errs on the side of applications when 
  247. making a tradeoff between functionality and security.
  248.  
  249. ------------------------
  250. 5.2 Secure Configuration
  251. ------------------------
  252. An improvement over the compatible security settings, the secure 
  253. configuration errs on the side of security when making a tradeoff 
  254. between functionality and security.
  255.  
  256. -----------------------------
  257. 5.3 High Secure Configuration
  258. -----------------------------
  259. The High Security configuration enforces ideal security settings for a 
  260. Windows NT system without consideration for application functionality.  
  261. Most existing applications will not function adequately under the 
  262. High Secure configuration.  The intent of the High Secure configuration
  263. is to promote the development of future "security conscious" applications.
  264.  
  265. -----------------------
  266. 5.4 Basic Configuration
  267. -----------------------
  268. The basic configuration files are provided as a means to "undo" the 
  269. application of a more secure configuration.  The Basic configuration 
  270. applies the Windows NT default settings, but does not reset the following
  271. User Rights as they are commonly modified by application setup programs:
  272.     - Logon as a service
  273.     - Act as part of the operating system
  274.  
  275. It is important to note that applying the basic (default) 
  276. configuration does not "rollback" the application of a secure 
  277. configuration.  The default configuration files simply apply a 
  278. different set of security settings than the secure configuration files. 
  279.  
  280. --------------------
  281. 5.5 MS Office 97-SR1
  282. --------------------
  283. The MS Office 97-SR1 configuration file is meant to be used in conjunction
  284. with the compatible configuration.  It must be applied AFTER Microsoft
  285. Office 97-SR1 is installed and provides exceptions to the compatible
  286. configuration that allow MS Office 97-SR1 to run successfully under a
  287. non-administrative context.
  288.  
  289.  
  290. =======================
  291. 6.0 Further information
  292. =======================
  293. Updated information related to SCE and the predefined configuration files
  294. will be made availabe at http://www.microsoft.com/security/ntprod.htm as
  295. it becomes available.
  296.  
  297. =======================
  298. 7.0 Feedback
  299. =======================
  300. The version of SCE available on NT4-SP4 is a backport of technology that
  301. will ship in NT 5.0.  To help make improvements for NT 5.0, please send
  302. your feedback to scefeed@microsoft.com
  303.  
  304.  
  305.