Bagaimana memulihkan pengaturan keamanan untuk keadaan bekerja dikenal?

Atas kehidupan menginstal sistem operasi, konfigurasi perubahan dapat terjadi yang mencegah sistem operasi atau aplikasi dari berfungsi dengan benar. Gejala yang dapat disebabkan oleh pengaturan keamanan terlalu ketat termasuk tetapi tidak terbatas pada:



· OS, layanan atau aplikasi startup kegagalan

· Kegagalan otentikasi atau otorisasi

· Sumber daya akses kegagalan lokal atau remote komputer


Operasi yang dapat melakukan perubahan pada pengaturan keamanan termasuk tetapi tidak terbatas pada:



· Upgrade OS, QFE layanan menginstal paket dan aplikasi

· Perubahan kebijakan grup

· Penetapan hak pengguna

· Template keamanan

· Modifikasi pengaturan keamanan di Active Directory dan registri dan database lainnya

· Modifikasi hak akses pada objek dalam iklan, sistem file, Windows registry



Perhatikan bahwa pengaturan keamanan dapat didefinisikan pada lokal, komputer jauh, interoperabilitas ketidaksesuaian antara lokal dan komputer remote.



Ketika sebelumnya bekerja instalasi tiba-tiba gagal, pemecahan masalah alam langkah adalah kembali terakhir bekerja konfigurasi ketika sistem operasi, layanan atau aplikasi terakhir bekerja, atau dalam kasus ekstrim, kembali sistem operasi ke konfigurasi out-of-the-box.


Artikel ini menjelaskan metode didukung dan tidak didukung untuk membatalkan atau rollback perubahan unsur-unsur berikut:

· Izin di registri, sistem File dan layanan.

· Penetapan hak pengguna

· Kebijakan keamanan

· Keanggotaan grup



Keterbatasan mengimpor template keamanan default:

Versi sebelumnya artikel ini menyatakan sebuah metode untuk menggunakan "secedit / configure" perintah dengan peringatan bahwa prosedur tidak mengembalikan semua pengaturan keamanan yang diterapkan ketika Anda menginstal Windows dan dapat mengakibatkan konsekuensi yang tidak terduga.



Penggunaan "secedit / configure" untuk mengimpor template keamanan default, dfltbase.inf, tidak didukung dan tidak ada metode yang layak untuk memulihkan izin keamanan standar pada Windows Vista, Windows 7, Komputer Windows Server 2008 dan Windows Server 2008 R2.

Diawali dengan Windows Vista, metode untuk Terapkan keamanan selama penataan sistem operasi yang berubah. Secara khusus, pengaturan keamanan terdiri dari pengaturan yang didefinisikan dalam deftbase.inf ditambah dengan pengaturan yang diterapkan oleh operasi instalasi proses dan server peran instalasi. Karena tidak ada proses yang didukung untuk memutar ulang izin yang dibuat oleh sistem operasi setup, penggunaan "Secedit / configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb / verbose"baris perintah tidak lagi mampu ulang semua keamanan default dan mungkin bahkan mengakibatkan sistem operasi yang menjadi tidak stabil.

Untuk Microsoft Windows 2000, Windows XP atau Windows Server 2003 komputer, "Secedit / configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb / verbose"perintah masih didukung di skenario yang sangat sedikit di mana pengaturan keamanan harus dapat dipulihkan menggunakan secsetup.inf template. Karena mengimpor Secsetup.inf atau template lain hanya me-reset apa didefinisikan dalam template dan tidak mengembalikan pengaturan eksternal, metode ini mungkin masih tidak mengembalikan semua sistem operasi default, termasuk yang mungkin menyebabkan masalah kompatibilitas.



Penggunaan "secedit / configure" tetap sepenuhnya didukung untuk mengimpor template kustom.





Berikut adalah daftar metode didukung (dalam urutan longgar pilihan) untuk memulihkan sistem Windows yang sebelumnya bekerja negara.



1. Memulihkan status sistem menggunakan: (Untuk semua Windows klien/server)

Jika Anda memiliki cadangan status sistem yang dibuat untuk sistem Windows tertentu sebelum insiden, menggunakan sama untuk memulihkan pengaturan keamanan untuk negara bekerja. Setiap perubahan aplikasi pada sistem karena sistem negara mungkin perlu diterapkan kembali untuk sukses pemulihan. Ini tidak dapat membantu untuk mengembalikan pengaturan keamanan pada aplikasi terkait data atau file sistem non-operasi. Anda mungkin perlu lengkap sistem cadangan termasuk status sistem untuk memulihkan kembali ke keadaan semula

2. Pemulihan menggunakan Pemulihan Sistem:(Untuk Windows sistem operasi klien hanya)

Built-in fitur pemulihan sistem secara otomatis membuat titik pemulihan secara berkala dan ketika aplikasi ditambahkan melalui metode didukung installer. Setiap titik pemulihan berisi informasi yang diperlukan yang diperlukan untuk mengembalikan sistem untuk status sistem yang dipilih. Metode ini dapat digunakan untuk memulihkan sistem kembali ke keadaan tertentu. Seperti disebutkan sebelumnya dalam metode sebelumnya, ini tidak dapat membantu untuk mengembalikan pengaturan keamanan pada aplikasi data dan melengkapi cadangan sistem mungkin diperlukan untuk sama.

3. Mengembalikan menggunakan template yang telah dikonfigurasikan:

Untuk sistem yang dibangun dengan template, Anda dapat menggunakan Wizard Konfigurasi keamanan jika template diciptakan untuk mesin masalah.

4. Memulihkan file permissions hanya:

Untuk file permissions, Anda dapat menggunakan dibangun pada baris perintah alat ICACLSfile /Restore untuk memulihkan keamanan yang didukung dengan menggunakan /save menghidupkan mesin yang sama dari keadaan kerja sebelumnya. Metode ini dapat digunakan untuk membandingkan hasil dari mesin bekerja sama untuk gagal satu.



Ketika tidak ada metode di atas berlaku atau tidak ada cadangan tersedia dari yang untuk memulihkan, silakan membatalkan perubahan dengan mengikuti daftar kontrol perubahan atau merujuk kepada pemecahan masalah bagian dari artikel ini ke pengaturan keamanan tertentu atau dengan proses eliminasi.





Berikut ini adalah tabel yang membandingkan metode yang disebutkan sebelumnya.

Parameter keamanan berikut mungkin perlu ditangani untuk menyelesaikan masalah perizinan. Ini adalah parameter yang didefinisikan dalam template keamanan:



Alat berikut tersedia untuk mengatasi masalah daerah keamanan yang berbeda:

1. SecurityPolicy (Account kebijakan, kebijakan Audit, Log Peristiwa pengaturan dan opsi keamanan):

) RSOP

b) Konfigurasi dan analisis

c) Gpresult (http://technet.microsoft.com/en-us/library/cc756960(WS.10).aspx)

d) Secedit.exe /export

2. Group_Mgmt

) RSOP

b) Gpresult (http://technet.microsoft.com/en-us/library/cc756960(WS.10).aspx)

3. User_Rights

) RSOP

b) Konfigurasi dan analisis

c) Ntrights

4. RegKeys

) RSOP

b) Konfigurasi dan analisis

c) Proses Monitor

d) AccessChk

e) AccessEnum

f) Subinacl (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en)

5. Filestore

) RSOP

b) Konfigurasi dan analisis

c) Proses Monitor

d) Icacls

e) Xcacls.VBS (http://support.microsoft.com/kb/825751)

f) AccessChk

g) AccessEnum

h) Subinacl (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en)

i) Cacls (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/cacls.mspx?mfr=true)

6. Layanan

) RSOP

b) Konfigurasi dan analisis

c) Proses Monitor

d) SC

e) AccessChk

f) Subinacl (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en)



Berikut adalah beberapa rincian tambahan mengenai penggunaan dari masing-masing alat-alat yang tercantum di atas.

RSOP (Resultante Himpunan Kebijakan)

Resultan himpunan kebijakan (RSoP) adalah tambahan kebijakan grup yang membuat kebijakan pelaksanaan dan pemecahan masalah lebih mudah. RSoP adalah mesin permintaan yang polling kebijakan yang ada dan kebijakan yang direncanakan, dan kemudian laporan hasil permintaan tersebut. Polling kebijakan yang ada didasarkan pada situs, domain, kontroler domain, dan unit organisasi. RSoP mengumpulkan informasi ini dari database umum informasi manajemen Object Model (CIMOM) (dikenal sebagai CIM-compliant objek repository) melalui instrumentasi manajemen Windows (WMI).

Apa yang diatur Resultante kebijakan?

.aspx http://technet.Microsoft.com/en-us/library/cc758010 (WS.10) (http://technet.microsoft.com/en-us/library/cc758010(WS.10).aspx)

Menggunakan RSoP

.aspx http://technet.Microsoft.com/en-us/library/cc782663 (WS.10) (http://technet.microsoft.com/en-us/library/cc782663(WS.10).aspx)

Ini adalah built-in snap-in "rsop.msc" tersedia bagi semua sistem operasi yang didukung-Windows XP atau yang lebih baru.

() Konfigurasi dan analisis

Konfigurasi dan analisis adalah alat untuk menganalisis dan mengkonfigurasi keamanan sistem lokal. Konfigurasi dan analisis memungkinkan Anda untuk dengan cepat meninjau hasil analisis keamanan dan langsung mengkonfigurasi keamanan sistem lokal. Itu menyajikan rekomendasi bersama saat ini sistem pengaturan dan menggunakan bendera visual atau komentar untuk menyorot daerah di mana pengaturan saat ini tidak cocok tingkat keamanan yang diusulkan. Konfigurasi dan analisis juga menawarkan kemampuan untuk mengatasi perbedaan yang analisis. Melalui penggunaan pribadi database, Anda dapat mengimpor keamanan template yang telah dibuat dengan keamanan template dan menerapkan template ini ke komputer lokal. Ini segera mengkonfigurasi sistem keamanan dengan tingkat yang ditentukan dalam template.

Menganalisis sistem keamanan

.aspx http://technet.Microsoft.com/en-us/library/cc776590 (WS.10) (http://technet.microsoft.com/en-us/library/cc776590(WS.10).aspx)

Praktik terbaik untuk keamanan konfigurasi dan analisis

.aspx http://technet.Microsoft.com/en-us/library/cc757894 (WS.10) (http://technet.microsoft.com/en-us/library/cc757894(WS.10).aspx) Secedit /ExportSecedit.exe adalah built-in baris perintah alat yang dapat digunakan untuk mengekspor kebijakan lokal atau kebijakan gabungan dari mesin Windows. Anda dapat mengekspor kebijakan negara dari mesin dalam kondisi kerja dan kemudian menggunakan / mengkonfigurasi switch mengajukan permohonan kembali template ke mesin ketika dalam masalah negara.

Untuk sintaks dan informasi tambahan, lihat ini (http://technet.microsoft.com/en-us/library/bb490997.aspx) .

NTrights.exeadalah baris perintah resource kit alat yang memungkinkan Anda untuk memberikan atau mencabut hak-hak pengguna pada komputer Windows secara lokal atau jauh.

Cara menetapkan hak-hak pengguna logon dengan menggunakan utilitas NTRights

http://support.Microsoft.com/KB/315276 (http://support.microsoft.com/kb/315276)

Ntrights.exe adalah bagian dari sumber kit alat yang dapat di-download Sini (http://www.microsoft.com/downloads/en/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en) .

Proses Monitoradalah salah satu Sysinternals utilitas yang memungkinkan untuk memantau kegiatan File sistem, Registry, proses, benang dan DLL secara real time. Hal ini memungkinkan kita untuk menyaring hasil serta menyimpan hasil dalam file untuk meninjau nanti. Alat ini dapat digunakan untuk memecahkan masalah keamanan dengan akses file dan registri. Sebagai contoh: Anda dapat menyaring "hasil" untuk "menyangkal" upaya.

Untuk informasi tambahan, lihat link di bawah ini:

http://technet.Microsoft.com/en-US/SysInternals/bb896645.aspx (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx)

Download dari sini atau menjalankan proses Monitor sekarang dari Live.Sysinternals.com

AccessCheckadalah sebuah program baris perintah yang dapat digunakan untuk memeriksa apa jenis mengakses pengguna/kelompok tertentu harus sumber daya seperti file/direktori/registri kunci, objek global dan layanan Windows. Klik link di bawah ini untuk rincian:

http://technet.Microsoft.com/en-US/SysInternals/bb664922.aspx (http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx)

Download dari Sini (http://download.sysinternals.com/Files/accesschk.zip) ()

AccessEnummemberikan pandangan penuh lintasan sistem berkas dan registri sarang pengaturan keamanan membantu Anda untuk lubang keamanan dan mengunci hak akses di mana diperlukan.

http://technet.Microsoft.com/en-US/SysInternals/bb897332.aspx (http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx)

Download dari Sini (http://download.sysinternals.com/Files/AccessEnum.zip)

SC.exe adalah alat baris perintah built-in yang berkomunikasi dengan Service Control Manager. Dapat digunakan untuk menampilkan informasi tentang nilai awal layanan, mengubah atau menonaktifkannya. Dalam konteks artikel ini, Anda dapat menggunakan perintah "sc sdshow Service_Name" untuk output hak akses pada layanan. Setelah Anda memiliki output, Anda dapat menggunakan berikut artikel KB untuk menafsirkan sama

Best practices dan panduan untuk penulis layanan akses discretionary kendali daftarhttp://support.Microsoft.com/KB/914392 (http://support.microsoft.com/kb/914392)

Juga, Anda dapat menjalankan perintah "sc sdset service_name DACL_in_SDDL_format" untuk mengubah izin.

Informasi tambahan tentang hal ini dapat ditemukan pada link berikut:

http://support.Microsoft.com/KB/251192 (http://support.microsoft.com/kb/251192)

http://technet.Microsoft.com/en-US/Magazine/dd296748.aspx (http://technet.microsoft.com/en-us/magazine/dd296748.aspx) Icacls.exeIcacls.exe adalah utilitas baris perintah built-in yang memungkinkan untuk menampilkan atau mengubah kontrol akses discretionary daftar (DACLs) pada file/direktori tertentu. "ICACLS path_name/save aclfile" dapat digunakan untuk ekspor ACL untuk name(files/directories) jalan yang relevan ke file teks dan juga dapat digunakan untuk memulihkan kembali ke file menggunakan perintah "ICACLS path_name /restore aclfile"

Informasi tambahan tentang hal ini dapat ditemukan pada link berikut:

http://support.Microsoft.com/KB/919240 (http://support.microsoft.com/kb/919240)

.aspx http://technet.Microsoft.com/en-us/library/cc753525 (WS.10) (http://technet.microsoft.com/en-us/library/cc753525(WS.10).aspx)