Jak przywrócić znany działający stan ustawień zabezpieczeń?

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 313222 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Streszczenie

Pewne zmiany konfiguracji zainstalowanego systemu operacyjnego mogą uniemożliwić poprawne działanie tego systemu lub aplikacji. Oto niektóre z symptomów, które mogą być powodowane przez zbyt restrykcyjne ustawienia zabezpieczeń:



· Niepowodzenia podczas uruchamiania systemu operacyjnego, usług lub aplikacji

· Niepowodzenia uwierzytelniania lub autoryzacji

· Niepowodzenia prób uzyskania dostępu do zasobów na komputerze lokalnym lub zdalnym


Oto niektóre z operacji, które mogą spowodować zmiany w ustawieniach zabezpieczeń:



· Uaktualnienia systemu operacyjnego oraz instalacje aplikacji i dodatków Service Pack QFE

· Zmiany zasad grupy

· Przypisywanie praw użytkownikom

· Szablony zabezpieczeń

· Modyfikacje ustawień zabezpieczeń w usłudze Active Directory i rejestrze oraz w innych bazach danych

· Modyfikacje uprawnień dotyczących obiektów usługi AD, systemu plików i rejestru systemu Windows



Uwaga: ustawienia zabezpieczeń mogą zostać zdefiniowane na komputerze lokalnym i zdalnym (niezgodność współdziałania między komputerem lokalnym i zdalnym).



W przypadku błędów we wcześniej normalnie działającej instalacji naturalnym krokiem w procesie rozwiązywania problemu jest powrót do ostatniej działającej konfiguracji (z czasu, gdy system operacyjny, usługa lub aplikacja działała poprawnie), a w ekstremalnym przypadku — powrót do konfiguracji systemu istniejącej bezpośrednio po jego zainstalowaniu.


W tym artykule opisano obsługiwane i nieobsługiwane metody wycofywania zmian w następujących elementach:

· Uprawnienia w rejestrze, systemie plików i usługach.

· Przypisania praw użytkownikom

· Zasady zabezpieczeń

· Członkostwo w grupach



Ograniczenia importowania szablonów zabezpieczeń domyślnych:

W poprzedniej wersji tego artykułu podano metodę polegającą na zastosowaniu polecenia „secedit /configure” z wyjaśnieniem, że ta procedura nie powoduje przywrócenia wszystkich ustawień zabezpieczeń zastosowanych podczas instalowania systemu Windows i może mieć nieprzewidziane konsekwencje.



Importowanie szablonu ustawień domyślnych za pomocą polecenia „secedit /configure”, dfltbase.inf, nie jest ani obsługiwaną, ani odpowiednią metodą przywracania domyślnych uprawnień zabezpieczeń na komputerach z systemami Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2.

W systemach od wersji Windows Vista zmieniono metodę stosowania ustawień zabezpieczeń w trakcie instalowania systemu operacyjnego. Dotyczy to konkretnie ustawień zabezpieczeń składających się z ustawień zdefiniowanych w pliku deftbase.inf rozszerzonych o zabezpieczenia stosowanie przez proces instalacji systemu operacyjnego i instalację ról serwera. Ponieważ nie ma obsługiwanego procesu odtwarzania uprawnień tworzonych przez program instalacyjny systemu operacyjnego, zastosowanie wiersza polecenia secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose nie umożliwia już przywrócenia wszystkich domyślnych ustawień zabezpieczeń, a może nawet spowodować niestabilność systemu operacyjnego.

Na komputerach z systemami Microsoft Windows 2000, Windows XP i Windows Server 2003 polecenie secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose nadal jest obsługiwane w tych bardzo niewielu scenariuszach, w których ustawienia zabezpieczeń należy przywrócić za pomocą szablonu secsetup.inf. Ze względu na to, że zaimportowanie pliku Secsetup.inf lub dowolnego innego szablonu powoduje zresetowanie jedynie ustawień zdefiniowanych w danym szablonie bez przywracania ustawień zewnętrznych, ta metoda może nadal nie przywrócić wszystkich ustawień domyślnych systemu operacyjnego, także tych powodujących problem ze zgodnością.



Stosowanie polecenia „secedit /configure” nadal jest w pełni obsługiwane w przypadku importowania szablonów niestandardowych.





Na poniższej liście wymieniono (w nieścisłej kolejności) obsługiwane metody przywracania wcześniejszego, działającego stanu systemu Windows.



1. Przywracanie za pomocą stanu systemu. (Wszystkie wersje klienckie i serwerowe systemu Windows)

Jeśli jest dostępna kopia zapasowa stanu systemu utworzona dla danego systemu Windows przed wystąpieniem problemu, można za jej pomocą przywrócić działające ustawienia zabezpieczeń. Pomyślne odzyskanie systemu może wymagać ponownego zastosowania wszelkich zmian wprowadzonych od tego czasu w aplikacjach w systemie. Ta metoda nie zawsze umożliwia przywrócenie ustawień zabezpieczeń danych powiązanych z aplikacjami i plików innych niż systemu operacyjnego. Przywrócenie stanu oryginalnego systemu może wymagać użycia pełnej kopii zapasowej systemu wraz ze stanem systemu.

2. Przywracanie za pomocą Przywracania systemu.(Tylko klienckie systemy operacyjne Windows)

Wbudowana funkcja Przywracanie systemu automatycznie tworzy punkty przywracania w regularnych odstępach czasu i w przypadku dodawania aplikacji metodami uwzględniającymi obsługiwanych instalatorów. Każdy punkt przywracania zawiera informacje niezbędne do przywrócenia wybranego stanu systemu. Tą metodą można odzyskać konkretny stan systemu. Podobnie jak w przypadku poprzedniej metody, ta metoda nie zawsze umożliwia przywrócenie ustawień zabezpieczeń danych powiązanych z aplikacjami i może być konieczne skorzystanie z pełnej kopii zapasowej systemu.

3. Przywracanie za pomocą wstępnie skonfigurowanego szablonu.

W przypadku systemu tworzonego za pomocą szablonu, jeśli dla dotkniętego problemem komputera utworzono szablon, można skorzystać z Kreatora konfiguracji zabezpieczeń.

4. Przywracanie tylko uprawnień plików.

W przypadku uprawnień plików można za pomocą wbudowanego narzędzia wiersza polecenia ICACLS/restore przywrócić zabezpieczenia plików, dla których przy użyciu przełącznika „/save” utworzono kopię zapasową na tym samym komputerze w poprzednim, normalnie działającym stanie. Tą metodą można porównać wyniki uzyskane dla tego samego komputera w stanach normalnego i wadliwego działania.



Jeśli nie można użyć żadnej z powyższych metod lub nie ma kopii zapasowej, z której można by przywrócić ustawienia, zmianę należy cofnąć na podstawie własnej listy kontrolnej zmian lub sekcji rozwiązywania problemów w tym artykule — w obrębie konkretnego ustawienia zabezpieczeń lub stosując proces eliminacji.





Oto tabela z porównaniem wymienionych wcześniej metod.



Zwiń tę tabelęRozwiń tę tabelę
MetodaObsługiwane systemy operacyjneZaletyWadyWymagane przygotowania
Kopia zapasowa systemu WindowsWszystkie wersje klienckie i serwerowe systemu WindowsUmożliwia tworzenie kopii zapasowej danych i przywracanie stanu systemu.Potencjalnie duży zestaw danych do zarządzania. Może też wymagać odtworzenia zmian po przywróceniu ustawień z kopii zapasowej.

Tak
Przywracanie systemuWszystkie wersje klienckie systemu Windows: Windows XP, Windows Vista i Windows 7Można skonfigurować automatyczne tworzenie kopii zapasowych stanu systemu.Nie umożliwia przywrócenia danych aplikacji, które mogą zostać nieodwracalnie zmienione.Tak
Kreator konfiguracji zabezpieczeńWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 i Windows Server 2008 R2Opcja udostępniania szablonu do przywracania lub stosowania ustawień zabezpieczeń. Stosowane lub wyświetlane są tylko dane zawarte w używanym szablonie.Tak
ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 i Windows Server 2008 R2Przydatna metoda tworzenia kopii zapasowych uprawnień plików w systemie NTFS do ewentualnego późniejszego ponownego użycia.Obecnie nie umożliwia zapisania uprawnień dla innych lokalizacji, takich jak rejestr czy usługi.Tak
Metody rozwiązywania problemówWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 i Windows Server 2008 R2Przydatne w przypadku braku dostępu do wszystkich wymienionych wcześniej narzędzi i kopii zapasowych.Przywrócenie oryginalnego stanu całej konfiguracji komputera sprzed wprowadzenia zmian w uprawnieniach nie zawsze jest możliwe. Ponadto cofnięcie takich zmian może spowodować przerwanie zależności ustawionych przez aplikację lub składnik systemu operacyjnego.Nie

Więcej informacji

Rozwiązanie problemu z uprawnieniami może wymagać zajęcia się następującymi parametrami zabezpieczeń. Oto parametry zdefiniowane w szablonach zabezpieczeń:

Zwiń tę tabelęRozwiń tę tabelę
Nazwa obszaru Opis
SECURITYPOLICY Zasady lokalne i zasady domeny systemu (w tym zasady kont, zasady inspekcji i inne).
GROUP_MGMT Ustawienia grup z ograniczeniami dla dowolnych grup określonych w szablonie zabezpieczeń.
USER_RIGHTS Uprawnienia logowania użytkowników i udzielanie uprawnień.
REGKEYS Zabezpieczenia lokalnych kluczy rejestru.
FILESTORE Zabezpieczenia plików przechowywanych lokalnie.
SERVICES Zabezpieczenia wszystkich zdefiniowanych usług.


Do rozwiązywania problemów w różnych obszarach zabezpieczeń są dostępne poniższe narzędzia:

1. SecurityPolicy (zasady zabezpieczeń) (Zasady konta, Zasady inspekcji, Ustawienia dziennika zdarzeń i Opcje zabezpieczeń):

a) RSOP

b) Konfiguracja i analiza zabezpieczeń

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt (zarządzanie grupami)

a) RSOP

b) Gpresult

3. User_Rights (prawa użytkowników)

a) RSOP

b) Konfiguracja i analiza zabezpieczeń

c) Ntrights

4. RegKeys (klucze rejestru)

a) RSOP

b) Konfiguracja i analiza zabezpieczeń

c) Monitor procesów

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore (magazyn plików)

a) RSOP

b) Konfiguracja i analiza zabezpieczeń

c) Monitor procesów

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Services (usługi)

a) RSOP

b) Konfiguracja i analiza zabezpieczeń

c) Monitor procesów

d) Sc

e) AccessChk

f) Subinacl



W dalszej części podano dodatkowe szczegóły dotyczące używania poszczególnych z wymienionych powyżej narzędzi.

RSOP — wynikowy zestaw zasad

Wynikowy zestaw zasad (RSoP, Resultant Set of Policy) to dodatek do zasad grupy ułatwiający wdrażanie zasad i rozwiązywanie problemów z nimi. RSoP to aparat zapytań sondujący istniejące oraz planowane zasady i zwracający wyniki tych zapytań. Sonduje istniejące zasady na podstawie lokacji, domeny, kontrolera domeny i jednostki organizacyjnej. Zestaw RSoP zbiera te informacje z bazy danych CIMOM (Common Information Management Object Model), nazywanej też repozytorium obiektów zgodnym z CIM, przez Instrumentację zarządzania Windows (WMI, Windows Management Instrumentation).

Co to jest wynikowy zestaw zasad?

http://technet.microsoft.com/pl-pl/library/cc758010(WS.10).aspx

Korzystanie z zestawu RSoP

http://technet.microsoft.com/pl-pl/library/cc782663(WS.10).aspx

Jest to wbudowana przystawka „rsop.msc” dostępna dla wszystkich obsługiwanych systemów operacyjnych: od wersji Windows XP.

Konfiguracja i analiza zabezpieczeń

Konfiguracja i analiza zabezpieczeń to narzędzie do analizowania i konfigurowania lokalnych zabezpieczeń systemu. Za pomocą Konfiguracji i analizy zabezpieczeń można szybko przejrzeć wyniki analizy zabezpieczeń i bezpośrednio skonfigurować lokalne zabezpieczenia systemu. Prezentuje zalecenia wraz z bieżącymi ustawieniami systemu i za pomocą wizualnych flag i oznaczeń wyróżnia wszelkie obszary, w których bieżące ustawienia są niezgodne z proponowanym poziomem zabezpieczeń. Ponadto Konfiguracja i analiza zabezpieczeń pozwala naprawić wszelkie ujawnione przez analizę rozbieżności. Korzystając z dostępnej w narzędziu opcji używania osobistych baz danych, można zaimportować szablony zabezpieczeń utworzone w narzędziu Szablony zabezpieczeń i zastosować je na komputerze lokalnym. Umożliwia to błyskawiczne skonfigurowanie zabezpieczeń systemu na poziomie określonym w danym szablonie.

Analizowanie zabezpieczeń systemu

http://technet.microsoft.com/pl-pl/library/cc776590(WS.10).aspx

Konfiguracja i analiza zabezpieczeń: najlepsze rozwiązania

http://technet.microsoft.com/pl-pl/library/cc757894(WS.10).aspxSecedit /Export. Secedit.exe to wbudowane narzędzie wiersza polecenia, za pomocą którego można wyeksportować zasady lokalne lub zasady scalone z komputera z systemem Windows. Z poprawnie działającego komputera można wyeksportować stan zasad, aby w razie wystąpienia problemu ponownie zastosować na komputerze ten szablon za pomocą przełącznika „/configure”.

Składnię i dodatkowe informacje można znaleźć tutaj.

NTrights.exe to narzędzie z zestawu zasobów wiersza polecenia umożliwiające udzielanie i odwoływanie uprawnień użytkowników na komputerze z systemem Windows — lokalnie lub zdalnie.

Jak za pomocą narzędzia NTRights skonfigurować prawa użytkowników dotyczące logowania się

http://support.microsoft.com/kb/315276

Program Ntrights.exe należy do narzędzi z zestawu zasobów, który można pobrać stąd .

Monitor procesów to jedno z narzędzi z grupy Sysinternals, które umożliwia monitorowanie aktywności systemu plików, rejestru, procesów, wątków i bibliotek DLL w czasie rzeczywistym. Pozwala filtrować wyniki i zapisywać je w pliku do przejrzenia później. Za pomocą tego narzędzia można rozwiązywać problemy z zabezpieczeniami dotyczące dostępu do plików i rejestru. Można na przykład odfiltrować wyniki pod kątem prób zakończonych odmową.

Dodatkowe informacje można uzyskać, korzystając z poniższego łącza:

http://technet.microsoft.com/pl-pl/sysinternals/bb896645.aspx

Monitor procesów w witrynie Live.Sysinternals.com: pobierz stąd lub uruchom teraz

AccessCheck to program wiersza polecenia, za pomocą którego można sprawdzać, jaki rodzaj uprawnień do zasobów, takich jak pliki, katalogi, klucze rejestru, obiekty globalne i usługi systemu Windows, mają określeni użytkownicy i konkretne grupy. Szczegółowe informacje można uzyskać, klikając poniższe łącze:

http://technet.microsoft.com/pl-pl/sysinternals/bb664922.aspx

Pobierz stąd

Program AccessEnum zapewnia pełny widok ustawień zabezpieczeń gałęzi rejestru i ścieżki systemu plików, ułatwiając zidentyfikowanie luk w zabezpieczeniach i zablokowanie uprawnień tam, gdzie to konieczne.

http://technet.microsoft.com/pl-pl/sysinternals/bb897332.aspx

Pobierz stąd

Sc.exe to wbudowane narzędzie wiersza polecenia komunikujące się z Menedżerem kontroli usług. Za jego pomocą można wyświetlić informacje o wartości uruchomienia usługi, zmienić tę wartość lub ją wyłączyć. W kontekście tego artykułu można za pomocą polecenia „sc sdshow nazwa_usługi” wyświetlić uprawnienia dotyczące usługi. Uzyskane w ten sposób informacje można zinterpretować na podstawie poniższego artykułu z bazy wiedzy:

Najlepsze rozwiązania i wskazówki dla twórców poufnych list kontroli dostępu do usłughttp://support.microsoft.com/kb/914392/pl

Natomiast za pomocą polecenia „sc sdset nazwa_usługi poufna_lista_kontroli_dostępu_w_formacie_SDDL” można zmodyfikować uprawnienia.

Dodatkowe informacje na ten temat można znaleźć, korzystając z poniższych łączy:

http://support.microsoft.com/kb/251192/pl

http://technet.microsoft.com/pl-pl/magazine/dd296748(en-us).aspxIcacls.exe. Icacls.exe to wbudowane narzędzie wiersza polecenia, które pozwala wyświetlać lub modyfikować poufne listy kontroli dostępu (DACL, discretionary access control list) do określonych plików lub katalogów. Za pomocą polecenia „ICACLS nazwa_ścieżki /save plik_list_kontroli_dostępu” można wyeksportować listy kontroli dostępu dla odpowiedniej nazwy ścieżki (plików i katalogów) do pliku tekstowego, a następnie za pomocą polecenia „ICACLS nazwa_ścieżki /restore plik_list_kontroli_dostępu” przywrócić je dla tych plików.

Dodatkowe informacje na ten temat można znaleźć, korzystając z poniższych łączy:

http://support.microsoft.com/kb/919240

http://technet.microsoft.com/pl-pl/library/cc753525(WS.10).aspx
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.

Właściwości

Numer ID artykułu: 313222 - Ostatnia weryfikacja: 3 października 2013 - Weryfikacja: 1.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Słowa kluczowe: 
kbenv kbhowtomaster KB313222

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com