Hoe kan ik beveiligingsinstellingen terugzetten naar een bekende werkende staat?

Tijdens de installatie van een besturingssysteem kunnen wijzigingen in de configuratie worden aangebracht waardoor het besturingssysteem of toepassingen niet goed meer werken. Symptomen die mogelijk worden veroorzaakt door te strikte beveiligingsinstellingen zijn onder andere:



· Fouten bij het opstarten van het besturingssysteem, services of toepassingen

· Fouten bij verificatie of autorisatie

· Toegangsfouten bij bronnen op de lokale of een externe computer


Bewerkingen waarbij mogelijk wijzigingen worden aangebracht in beveiligingsinstellingen zijn onder andere:



· Installaties van upgrades voor het besturingssysteem, QFE-servicepacks en toepassingen

· Wijzigingen in groepsbeleid

· Toewijzingen van gebruikersrechten

· Beveiligingssjablonen

· Het wijzigen van beveiligingsinstellingen in Active Directory, het register en andere databases

· Het wijzigen van machtigingen voor objecten in AD, het bestandssysteem of het register van Windows



De beveiligingsinstellingen kunnen worden gedefinieerd op de lokale of een externe computer en dat er mogelijk samenwerkingsproblemen tussen de computers kunnen optreden.



Wanneer een eerder werkende installatie plotseling niet meer werkt, is een logische mogelijke oplossing om terug te keren naar de laatste werkende configuratie van het besturingssysteem, de service of de toepassing. In extreme gevallen is het het beste om het besturingssysteem te herstellen naar de oorspronkelijke status.


In dit artikel worden ondersteunde en niet-ondersteunde methoden beschreven voor het ongedaan maken of herstellen van wijzigingen in de volgende elementen:

· Machtigingen in het register, het bestandssysteem en services.

· Toewijzingen van gebruikersrechten

· Beveiligingsbeleid

· Groepslidmaatschap



Beperkingen voor het importeren van standaardbeveiligingssjablonen:

In de vorige versie van dit artikel wordt een methode vermeld voor het gebruik van de opdracht 'secedit /configure' met de opmerking dat bij deze procedure niet alle beveiligingsinstellingen worden teruggezet die zijn toegepast toen u Windows installeerde en dat dat mogelijk tot onvoorziene gevolgen leidt.



Het gebruik van 'secedit /configure' voor het importeren van de standaardbeveiligingssjabloon dfltbase.inf wordt niet ondersteund en is geen uitvoerbare methode voor het terugzetten van standaardbeveiligingsmachtigingen op computers met Windows Vista, Windows 7, Windows Server 2008 of Windows Server 2008 R2.

Vanaf Windows Vista is de methode voor het toepassen van de beveiliging tijdens de installatie van het besturingssysteem gewijzigd. Beveiligingsinstellingen bestonden uit de instellingen die in deftbase.inf waren gedefinieerd, uitgebreid met instellingen die werden toegepast tijdens het besturingsinstallatieproces en de installatie van de serverrol. Aangezien er geen ondersteund proces is voor het opnieuw instellen van de machtigingen die tijdens de installatie van het besturingssysteem waren toegepast, kunnen de standaardbeveiligingsinstellingen niet meer worden hersteld met de opdracht 'secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose' en kan het gebruik van deze methode er zelfs toe leiden dat het besturingssysteem onstabiel wordt.

Voor computers met Microsoft Windows 2000, Windows XP of Windows Server 2003 wordt de methode 'secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose' nog steeds ondersteund in de zeldzame situatie waarin beveiligingsinstellingen moeten worden teruggezet met de sjabloon Secsetup.inf. Aangezien bij het importeren van Secsetup.inf of een ander sjabloon alleen opnieuw wordt ingesteld wat in de sjabloon is gedefinieerd en er geen externe instellingen worden teruggezet, worden met deze methode mogelijk nog steeds niet alle standaardwaarden van het besturingssysteem teruggezet, inclusief de waarden die mogelijk een compatibiliteitsprobleem veroorzaken.



Het gebruik van 'secedit / configure' blijft volledig ondersteund voor het importeren van aangepaste sjablonen.





Hieronder vindt u een lijst ondersteunde methoden (in volgorde van voorkeur) voor het terugzetten van het Windows-systeem naar een eerdere, werkende staat.



1. Terugzetten met behulp van Systeemstatus: (Voor alle Windows-clients/-servers)

Als u over een Systeemstatus-back-up van het Windows-systeem beschikt die voorafgaand aan het incident is gemaakt, gebruik deze dan om de beveiligingsinstellingen terug te zetten naar een werkende staat. Eventuele wijzigingen aan de toepassingen in het systeem die na deze staat zijn aangebracht, moeten voor succesvol herstel opnieuw worden toegepast. Dit is mogelijk niet nuttig voor het terugzetten van beveiligingsinstellingen voor aan toepassingen gerelateerde gegevens of bestanden die niet tot het besturingssysteem behoren. Mogelijk hebt u een volledige systeemback-up inclusief de systeemstaat nodig om de originele staat terug te zetten.

2. Terugzetten met behulp van Systeemherstel:(Alleen voor Windows-clientbesturingssystemen)

De ingebouwde functie Systeemherstel maakt automatisch herstelpunten met regelmatige intervallen en wanneer toepassingen via ondersteunde installatiemethoden worden toegevoegd. Elk herstelpunt bevat de benodigde informatie voor het terugzetten van het systeem naar de gekozen systeemstatus. Deze methode kan worden gebruikt voor het herstellen van het systeem naar een bepaalde status. Zoals eerder in de vorige methode wordt vermeld is dit mogelijk niet nuttig voor het terugzetten van beveiligingsinstellingen in toepassingsgegevens en is mogelijk een volledige systeemback-up nodig.

3. Terugzetten met behulp van een vooraf geconfigureerde sjabloon:

Voor systemen die met een sjabloon zijn gebouwd, kunt u de wizard Beveiliging configureren gebruiken als er een sjabloon is gemaakt voor de machine waarop zich het probleem voordoet.

4. Alleen machtigingen voor bestanden terugzetten:

Voor machtigingen van bestanden kunt u het ingebouwde opdrachtregelprogramma ICACLS/restore gebruiken om bestandsbeveiliging terug te zetten waarvoor op dezelfde machine een back-up van een eerdere, werkende staat is gemaakt met de switch /save. Deze methode kan worden gebruikt voor het vergelijken van de resultaten van een identieke werkende machine met een niet goed werkende.



Wanneer geen van de hierboven genoemde methoden kan worden toegepast of als er geen back-up beschikbaar is die kan worden teruggezet, maak de wijziging dan ongedaan door de wijzigingsbeheerlijst door te lopen of raadpleeg het gedeelte Problemen oplossen van dit artikel voor een specifieke beveiligingsinstelling of voor een eliminatieproces.





Hier volgt een tabel met een vergelijking van de eerder genoemde methoden.

De volgende parameters voor beveiliging moeten mogelijk worden aangepakt voor het oplossen voor een probleem met machtigingen. De volgende parameters zijn mogelijk gedefinieerd in beveiligingssjablonen:



De volgende hulpprogramma's zijn beschikbaar voor het oplossen van problemen met de verschillende beveiligingsgebieden:

1. SecurityPolicy (accountbeleid, controlebeleid, instellingen van gebeurtenislogboeken en beveiligingsopties):

a) RSoP

b) Beveiligingsconfiguratie en -analyse

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSoP

b) Gpresult

3. User_Rights

a) RSoP

b) Beveiligingsconfiguratie en -analyse

c) Ntrights

4. RegKeys

a) RSoP

b) Beveiligingsconfiguratie en -analyse

c) Procescontrole

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSoP

b) Beveiligingsconfiguratie en -analyse

c) Procescontrole

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Services

a) RSoP

b) Beveiligingsconfiguratie en -analyse

c) Procescontrole

d) Sc

e) AccessChk

f) Subinacl



Hier vindt u wat aanvullende informatie over het gebruik van elk van de hierboven genoemde hulpprogramma's.

RSoP (resulterende verzameling beleidsinstellingen)

RSoP (resulterende verzameling beleidsinstellingen) is een aanvulling op groepsbeleid waarmee de implementatie van het beleid en probleemoplossing worden vereenvoudigd. RSoP is een zoekengine die bestaand en gepland beleid opvraagt en de resultaten hiervan rapporteert. Bestaande beleidsregels worden opgevraagd op basis van een site, domein, domeincontroller en organisatie-eenheid. RSoP verzamelt deze informatie uit de CIMOM-database (Common Information Management Object Model, ook bekend als CIM-compatibele objectopslag) door middel van WMI (Windows Management Instrumentation).

Wat is RSoP?

http://technet.microsoft.com/en-us/library/cc758010(WS.10).aspx

RSoP gebruiken

http://technet.microsoft.com/en-us/library/cc782663(WS.10).aspx

Er is een ingebouwde module 'rsop.msc' beschikbaar voor alle ondersteunde besturingssystemen - Windows XP of later.

Beveiligingsconfiguratie en -analyse

Beveiligingsconfiguratie en -analyse is een hulpprogramma voor het analyseren en configureren van lokale systeembeveiliging. Met Beveiligingsconfiguratie en -analyse kunt u snel resultaten van een beveiligingsanalyse beoordelen en de beveiliging van het lokale systeem rechtstreeks configureren. Het hulpprogramma biedt aanbevelingen met betrekking tot de huidige systeeminstellingen en maakt gebruik van visuele vlaggen of opmerkingen om gebieden aan te geven waar de huidige instellingen niet overeenkomen met het voorgestelde beveiligingsniveau. Beveiligingsconfiguratie en -analyse biedt ook de mogelijkheid om eventuele afwijkingen te verhelpen die uit de analyse blijken. Doordat het hulpprogramma gebruikmaakt van persoonlijke databases, kunt u beveiligingssjablonen die met Beveiligingssjablonen zijn gemaakt, importeren en deze sjablonen toepassen op de lokale computer. Hiermee wordt de systeembeveiliging onmiddellijk geconfigureerd in overeenstemming met de in de sjabloon opgegeven niveaus.

Systeembeveiliging analyseren

http://technet.microsoft.com/en-us/library/cc776590(WS.10).aspx

Aanbevelingen voor Beveiligingsconfiguratie en -analyse

http://technet.microsoft.com/en-us/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe is een ingebouwd opdrachtregelprogramma dat kan worden gebruikt voor het exporteren van het lokale of samengevoegde beleid van een Windows-machine. U kunt de werkende beleidstaat van de machine exporteren en vervolgens de switch /configure gebruiken om de sjabloon opnieuw toe te passen op de machine wanneer deze problemen vertoont.

Raadpleeg dit voor meer informatie en syntaxis.

NTrights.exeis een resource kit-opdrachtregelprogramma waarmee u gebruikersrechten kunt verlenen of intrekken op een lokale of externe computer met Windows.

Aanmeldingsrechten van gebruikers instellen met het hulpprogramma NTRights

http://support.microsoft.com/kb/315276 (Mogelijk alleen beschikbaar in het Engels)

Ntrights.exe is een onderdeel van de resource kit-hulpprogramma's die u hier kunt downloaden.

Procescontrole is een van de Sysinternals-hulpmiddelen waarmee de activiteiten van bestandssysteem, het register, processen, threads en DLL in real-time kunnen worden gecontroleerd. We kunnen er de resultaten mee filteren en opslaan voor latere beoordeling. Dit hulpprogramma kan worden gebruikt voor het oplossen van beveiligingsproblemen met toegang tot bestanden en het register. Bijvoorbeeld: U kunt het 'resultaat' voor 'geweigerde' pogingen filteren.

Raadpleeg de onderstaande koppeling voor meer informatie:

http://technet.microsoft.com/nl-nl/sysinternals/bb896645.aspx

Download Procescontrole hier of voer het uit vanaf Live.Sysinternals.com

AccessCheckis een opdrachtregelprogramma waarmee kan worden gecontroleerd welke soort toegang specifieke gebruiken/gebruikers hebben tot bronnen als bestanden/mappen/registersleutels, globale objecten en Windows-services. Klik op onderstaande koppeling voor meer informatie:

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

Hier downloaden

AccessEnummaakt het mogelijk de volledige beveiligingsinstellingen van uw bestandssysteempad en registercomponent weer te geven, zodat u beveiligingsproblemen kunt ontdekken en indien nodig machtigingen kunt intrekken.

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

Hier downloaden

SC.exe is een ingebouwd opdrachtregelprogramma dat met Servicebesturingsbeheer communiceert. Het kan worden gebruikt om informatie over een beginwaarde van een service weer te geven of deze te wijzigen of uit te schakelen. In de context van dit artikel kunt u de opdracht 'sc sdshow Service_Name' gebruiken om de machtigingen in de service uit te voeren. Als u de uitvoer hebt, kunt u het volgende KB-artikel gebruiken om deze te interpreteren

Aanbevelingen en richtlijnen voor schrijvers van DACL-lijsten (Discretionary Access Control List) voor serviceshttp://support.microsoft.com/kb/914392/nl

U kunt de opdracht 'sc sdset service_name DACL_in_SDDL_format' ook gebruiken om de machtigingen te wijzigen.

Meer informatie hierover vindt u in de volgende koppelingen:

http://support.microsoft.com/kb/251192/nl

http://technet.microsoft.com/en-us/magazine/dd296748.aspxIcacls.exeIcacls.exe is een ingebouwd opdrachtregelhulpmiddel waarmee de DACL-lijsten (Discretionary Access Control List) in specifieke bestanden/mappen kunnen worden weergegeven of gewijzigd. 'ICACLS path_name /save aclfile' kan worden gebruikt om de ACL's voor de desbetreffende padnaam (bestanden/mappen) naar een tekstbestand te exporteren en kan ook worden gebruikt om deze terug te zetten naar de bestanden met de opdracht 'ICACLS path_name /restore aclfile'.

Meer informatie hierover vindt u in de volgende koppelingen:

http://support.microsoft.com/kb/919240 (Mogelijk alleen beschikbaar in het Engels)

http://technet.microsoft.com/nl-nl/library/cc753525(WS.10).aspx