Bagaimana gulung balik pengaturan keamanan ke keadaan kerja dikenal?

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 313222 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Ringkasan

Atas kehidupan instalasi sistem operasi, perubahan konfigurasi dapat terjadi yang mencegah sistem operasi atau aplikasi dari berfungsi dengan benar. Gejala yang dapat disebabkan oleh pengaturan keamanan terlalu ketat termasuk tetapi tidak terbatas pada:



· OS, Layanan atau aplikasi startup kegagalan

· Kegagalan otentikasi atau otorisasi

· Kegagalan akses sumber daya lokal atau remote komputer


Operasi yang dapat melakukan perubahan pengaturan keamanan termasuk tetapi tidak terbatas pada:



· Upgrade OS, QFE layanan menginstal paket dan aplikasi

· Perubahan Kebijakan Grup

· Pengguna hak tugas

· Keamanan template

· Modifikasi dari pengaturan keamanan di Active Directory dan registri dan database lainnya

· Modifikasi dari izin pada objek dalam iklan, sistem berkas, Windows registry



Perhatikan bahwa pengaturan keamanan dapat didefinisikan pada lokal, komputer remote, interoperabilitas ketidakcocokan antara lokal dan komputer jarak jauh.



Ketika bekerja sebelumnya instalasi tiba-tiba gagal, pemecahan masalah alam langkah adalah untuk kembali kepada bekerja konfigurasi yang ada ketika sistem operasi, Layanan atau aplikasi terakhir bekerja, atau dalam kasus ekstrim, kembali sistem operasi ke konfigurasinya out-of-the-box.


Artikel ini menjelaskan metode didukung dan tidak didukung untuk membatalkan atau rollback perubahan unsur-unsur berikut:

· Izin dalam registri, sistem berkas dan layanan.

· Pengguna hak tugas

· Kebijakan keamanan

· Keanggotaan grup



Keterbatasan mengimpor template keamanan default:

Versi sebelumnya dari artikel ini menyatakan sebuah metode untuk menggunakan "secedit / configure" perintah dengan peringatan bahwa prosedur tidak memulihkan semua pengaturan keamanan yang diterapkan ketika Anda menginstal Windows dan dapat mengakibatkan konsekuensi yang tidak terduga.



Penggunaan "secedit / configure" untuk mengimpor template default keamanan, dfltbase.inf, tidak didukung dan tidak pula metode yang layak untuk gulung balik izin keamanan default pada Windows Vista, Windows 7, Komputer Windows Server 2008 dan Windows Server 2008 R2.

Diawali dengan Windows Vista, metode untuk Terapkan keamanan selama setup sistem operasi yang berubah. Secara khusus, pengaturan keamanan terdiri dari pengaturan yang ditentukan dalam deftbase.inf ditambah dengan pengaturan yang diterapkan oleh operasi proses dan server peran pemasangan. Karena ada tidak ada proses yang didukung untuk replay izin yang dibuat oleh sistem operasi setup, penggunaan "secedit / mengkonfigurasi /cfg %windir%\inf\defltbase.inf /db defltbase.sdb / verbose" baris perintah tidak lagi mampu ulang semua default keamanan dan bahkan dapat menyebabkan sistem operasi yang menjadi tidak stabil.

Untuk Microsoft Windows 2000, Windows XP atau Windows Server 2003 komputer, "secedit / mengkonfigurasi /cfg %windir%\repair\secsetup.inf /db secsetup.sdb / verbose" perintah masih didukung dalam skenario yang sangat sedikit yang mana pengaturan keamanan harus dipulihkan menggunakan secsetup.inf template. Karena tata mengimpor Secsetup.inf atau apapun lainnya template hanya ulang apa yang didefinisikan dalam template dan tidak gulung balik pengaturan eksternal, metode ini mungkin masih tidak memulihkan semua sistem operasi default, termasuk yang mungkin menyebabkan masalah kompatibilitas mundur.



Penggunaan "secedit / configure" tetap didukung sepenuhnya untuk mengimpor template kustom.





Berikut adalah daftar metode yang didukung (dalam urutan menurun yang longgar preferensi) untuk memulihkan sistem Windows ke yang sebelumnya bekerja negara.



1. gulung balik menggunakan sistem negara: (untuk semua Windows klien/server)

Jika Anda memiliki cadangan sistem kenegaraan yang diciptakan untuk sistem Windows tertentu sebelum insiden itu, gunakan sama untuk gulung balik pengaturan keamanan ke keadaan kerja. Setiap perubahan aplikasi pada sistem karena sistem negara mungkin perlu diterapkan kembali untuk pemulihan sukses. Ini tidak mungkin membantu untuk gulung balik pengaturan keamanan pada aplikasi terkait data atau non-operasi sistem berkas. Anda mungkin perlu lengkap sistem cadangan termasuk sistem negara untuk mengembalikannya kembali ke keadaan semula

2. gulung balik menggunakan System Restore:(untuk Windows sistem operasi klien hanya)

Built-in fitur System Restore secara otomatis membuat restore point secara berkala dan ketika aplikasi ditambahkan melalui metode didukung installer. Setiap pemulihan point berisi informasi yang diperlukan yang diperlukan untuk gulung balik sistem pilihan sistem negara. Metode ini dapat digunakan untuk memulihkan sistem kembali ke keadaan tertentu. Seperti disebutkan sebelumnya dalam metode sebelumnya, ini tidak dapat membantu untuk gulung balik pengaturan keamanan pada aplikasi data dan cadangan sistem lengkap mungkin diperlukan untuk hal yang sama.

3. gulung balik menggunakan template telah dikonfigurasikan:

Untuk sistem yang dibangun dengan template, Anda dapat menggunakan Panduan Konfigurasi Keamanan jika template ini diciptakan untuk masalah mesin.

4. gulung balik file permission hanya:

Untuk file permissions, Anda dapat menggunakan yang dibangun di dalam baris perintah alat ICACLS/restore untuk gulung balik file keamanan yang telah telah didukung menggunakan /save beralih pada mesin yang sama dari keadaan kerja sebelumnya. Metode ini dapat digunakan untuk membandingkan hasil dari mesin bekerja sama untuk gagal satu.



Ketika tidak ada metode di atas berlaku atau tidak ada cadangan tersedia untuk memulihkan, silahkan membatalkan perubahan dengan mengikuti kendali daftar perubahan atau merujuk ke pemecahan masalah Bagian dari artikel ini ke pengaturan keamanan tertentu, atau dengan proses eliminasi.





Berikut ini adalah Daftar Tabel membandingkan metode-metode yang disebutkan sebelumnya.



Perkecil tabel iniPerbesar tabel ini
Metodesistem operasi yang didukungProKontraPre-kerja yang diperlukan
Windows BackupSemua Windows Server/klienDapat digunakan untuk membuat cadangan data & gulung balik sistem negaraBerpotensi besar set data untuk mengelola. Juga, Anda mungkin perlu untuk replay perubahan setelah cadangan yang dipulihkan.

Ya
gulung balik sistemSemua ?Windows klien Windows XP, Windows Vista, Windows 7Dapat dikonfigurasi untuk melakukan backup otomatis sistem negaraTidak gulung balik data aplikasi yang dapat secara tidak sengaja berubah.Ya
Panduan Konfigurasi KeamananWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Dapat memberikan template untuk mengembalikan/menerapkan keamanan Hanya berlaku atau dilihat data yang terdapat dalam template yang digunakanYa
ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Berguna untuk membuat cadangan NTFS file permission untuk kembali nanti jika diperlukanSaat ini tidak menawarkan tabungan izin lokasi lain seperti registri, Layanan dll.Ya
Metode pemecahan masalahWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Berguna ketika tidak ada di atas disebutkan alat cadangan tersediaIni tidak dapat menempatkan seluruh mesin konfigurasi dalam keadaan aslinya sebelum terjadi perubahan izin. Juga, membatalkan perubahan tersebut bisa pecah dependensi yang ditetapkan oleh aplikasi atau OS komponen.Tidak

Informasi lebih lanjut

Parameter keamanan berikut mungkin perlu diatasi untuk menyelesaikan masalah izin. Berikut adalah parameter yang didefinisikan dalam template keamanan:

Perkecil tabel iniPerbesar tabel ini
Nama daerahDeskripsi
SECURITYPOLICY Kebijakan lokal dan domain kebijakan untuk sistem. Ini termasuk kebijakan account, audit kebijakan dan kebijakan lainnya.
GROUP_MGMT Kelompok terbatas pengaturan untuk setiap kelompok yang ditentukan dalam template keamanan.
USER_RIGHTS Hak-hak log masuk pengguna dan pemberian izin.
REGKEYS Keamanan pada bukti kunci registri lokal.
FILESTORE Keamanan penyimpanan file lokal.
LAYANAN Keamanan untuk Semua layanan didefinisikan.


Alat-alat berikut tersedia untuk pemecahan masalah daerah keamanan yang berbeda:

1. SecurityPolicy (kebijakan Account, kebijakan Audit, peristiwa Log pengaturan dan opsi keamanan):

) RSOP

b) Konfigurasi keamanan dan analisis

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

) RSOP

b) Gpresult

3. User_Rights

) RSOP

b) Konfigurasi keamanan dan analisis

c) Ntrights

4. RegKeys

) RSOP

b) Konfigurasi keamanan dan analisis

c) Proses Monitor

d) AccessChk

e) AccessEnum

f) SubInACL

5. Filestore

) RSOP

b) Konfigurasi keamanan dan analisis

c) Proses Monitor

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) SubInACL

i) Cacls

6. Layanan

) RSOP

b) Konfigurasi keamanan dan analisis

c) Proses Monitor

d) SC

e) AccessChk

f) SubInACL



Berikut adalah beberapa rincian tambahan mengenai penggunaan setiap alat-alat yang tercantum di atas.

RSOP (resultan Set kebijakan)

Resultan menetapkan kebijakan (RSoP) adalah sebuah tambahan Kebijakan Grup yang membuat implementasi kebijakan dan pemecahan masalah lebih mudah. RSoP adalah mesin kueri yang jajak pendapat dan kebijakan yang ada direncanakan, dan kemudian melaporkan hasil kueri tersebut. Jajak pendapat itu kebijakan yang ada didasarkan pada situs, domain, pengontrol domain, dan unit organisasi. RSoP mengumpulkan informasi ini dari database umum informasi manajemen objek Model (CIMOM) (dikenal sebagai CIM-compliant objek repository) melalui Windows Management Instrumentation (WMI).

Apa yang terletak Resultant kebijakan?

http://technet.Microsoft.com/en-US/Library/cc758010 (WS.10).aspx

Menggunakan RSoP

http://technet.Microsoft.com/en-US/Library/cc782663 (WS.10).aspx

Itu adalah built-in snap-in "rsop.msc" tersedia untuk semua sistem operasi yang didukung-Windows XP atau kemudian.

Konfigurasi keamanan dan analisis

Konfigurasi keamanan dan analisis adalah alat untuk menganalisis dan mengkonfigurasi keamanan sistem lokal. Analisis dan konfigurasi keamanan memungkinkan Anda untuk dengan cepat memeriksa hasil analisis keamanan dan langsung mengkonfigurasi keamanan sistem lokal. Ini menyajikan rekomendasi samping pengaturan sistem saat ini dan menggunakan visual bendera atau komentar untuk menyoroti daerah mana pengaturan saat ini tidak cocok diusulkan tingkat keamanan. Analisis dan konfigurasi keamanan juga menawarkan kemampuan untuk menyelesaikan segala perbedaan yang analisis menunjukkan. Melalui penggunaan pribadi database, Anda dapat mengimpor template keamanan yang telah diciptakan dengan keamanan template dan menerapkan template ini ke komputer lokal. Ini segera mengkonfigurasi keamanan sistem dengan tingkat yang ditentukan dalam template.

Menganalisis sistem keamanan

http://technet.Microsoft.com/en-US/Library/cc776590 (WS.10).aspx

Praktek-praktek terbaik untuk konfigurasi keamanan dan analisis

http://technet.Microsoft.com/en-US/Library/cc757894 (WS.10).aspxSecedit /ExportSecedit.exe adalah built-in baris perintah alat yang dapat digunakan untuk mengekspor kebijakan lokal atau kebijakan gabungan dari mesin Windows. Anda dapat mengekspor kebijakan negara dari mesin dalam keadaan bekerja dan kemudian menggunakan / mengkonfigurasi switch untuk mengajukan permohonan kembali template ke mesin ketika dalam keadaan masalah.

Untuk sintaks dan informasi tambahan, lihat ini.

NTrights.exeadalah alat kit sumber daya baris perintah yang memungkinkan Anda untuk memberikan atau mencabut hak pengguna di komputer Windows secara lokal atau jauh.

Cara menetapkan hak pengguna masuk dengan menggunakan utilitas NTRights

http://support.Microsoft.com/kb/315276

Ntrights.exe adalah bagian dari alat kit sumber daya yang dapat didownload Sini .

Proses Monitoradalah salah satu utilitas Sysinternals yang memungkinkan untuk pemantauan File sistem, Registry, proses, benang, DLL, dan kegiatan secara real time. Hal ini memungkinkan kita untuk menyaring hasil serta menyimpan hasil dalam file untuk meninjau nanti. Alat ini dapat digunakan untuk memecahkan masalah-masalah keamanan dengan akses file dan registri. Misalnya: Anda dapat menyaring "hasil" untuk "ditolak" upaya.

Untuk informasi tambahan, lihat link di bawah ini:

http://technet.Microsoft.com/en-US/SysInternals/bb896645.aspx

Men-download dari sini atau menjalankan proses Monitor sekarang dari Live.Sysinternals.com

AccessCheckadalah sebuah program baris perintah yang dapat digunakan untuk memeriksa apa jenis mengakses kelompok pengguna tertentu harus sumber daya seperti direktori/file/registri bukti kunci, obyek global dan layanan Windows. Klik link di bawah ini untuk rincian:

http://technet.Microsoft.com/en-US/SysInternals/bb664922.aspx

Download dari Sini

AccessEnummemberi Anda pandangan penuh path file sistem dan pengaturan registri sarang keamanan membantu Anda untuk lubang keamanan dan mengunci izin yang diperlukan.

http://technet.Microsoft.com/en-US/SysInternals/bb897332.aspx

Download dari Sini

SC.exe adalah built-in baris perintah alat yang berkomunikasi dengan layanan kontrol manajer. Dapat digunakan untuk menampilkan informasi tentang layanan mulai nilai, mengubah atau menonaktifkannya. Dalam konteks artikel ini, Anda dapat menggunakan perintah "sc sdshow Service_Name" untuk output hak akses pada layanan. Setelah Anda memiliki output, Anda dapat menggunakan artikel KB berikut untuk menafsirkan sama

Terbaik praktik dan bimbingan untuk penulis kontrol akses discretionary Layanan daftarhttp://support.Microsoft.com/kb/914392

Juga, Anda dapat menjalankan perintah "sc sdset service_name DACL_in_SDDL_format" untuk mengubah hak akses.

Informasi tambahan tentang ini dapat ditemukan di link berikut:

http://support.Microsoft.com/kb/251192

http://technet.Microsoft.com/en-US/Magazine/dd296748.aspxIcacls.exeIcacls.exe adalah sebuah utilitas baris perintah built-in yang memungkinkan untuk menampilkan atau memodifikasi kontrol akses discretionary daftar (DACLs) pada file/direktori tertentu. "ICACLS path_name/Simpan aclfile" dapat digunakan untuk ekspor ACL untuk name(files/directories) relevan path ke file teks dan juga dapat digunakan untuk memulihkan kembali ke file menggunakan perintah "ICACLS path_name /restore aclfile"

Informasi tambahan tentang ini dapat ditemukan di link berikut:

http://support.Microsoft.com/kb/919240

http://technet.Microsoft.com/en-US/Library/cc753525 (WS.10).aspx

Properti

ID Artikel: 313222 - Kajian Terakhir: 21 September 2013 - Revisi: 3.0
Berlaku bagi:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Kata kunci: 
kbenv kbhowtomaster kbmt KB313222 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 313222

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com