Восстановление параметров безопасности до заведомо рабочего состояния

Переводы статьи Переводы статьи
Код статьи: 313222 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В ходе эксплуатации операционной системы в ее конфигурацию могут быть внесены изменения, которые препятствуют правильному функционированию самой ОС или приложений. Ниже перечислены некоторые из симптомов, которые могут быть вызваны излишне ограничительными параметрами безопасности:



· Сбои при запуске операционной системы, служб или приложений.

· Сбои при проверке подлинности или авторизации.

· Сбои при попытке доступа к ресурсам локального или удаленного компьютера.


Ниже перечислены некоторые из операций, которые могут изменять параметры безопасности:



· Обновление операционной системы, установка пакетов обновления QFE и приложений.

· Изменение групповой политики.

· Назначение прав пользователям.

· Шаблоны безопасности.

· Изменение параметров безопасности в Active Directory, реестре и других базах данных.

· Изменение разрешений, назначенных объектам в Active Directory, файловой системе и реестре Windows.



Обратите внимание, что параметры безопасности могут быть заданы как на локальном компьютере, так и на удаленном, и может возникнуть несовместимость между параметрами локального и удаленного компьютеров.



При сбое ранее функционировавшей установки основным способом устранения неполадок станет возврат к последней рабочей конфигурации, которая обеспечивала правильное функционирование операционной системы, службы или приложения, или в крайнем случае к исходной заводской конфигурации по умолчанию.


В этой статье описываются поддерживаемые и неподдерживаемые методы отмены или отката изменений в следующих элементах:

· Разрешения для реестра, файловой системы и служб.

· Назначения прав пользователям.

· Политика безопасности.

· Членство в группах.



Импорт шаблонов безопасности по умолчанию и ограничения:

В предыдущей версии этой статьи описывается использование команды "secedit /configure". Проблема в том, что эта процедура не восстанавливает все параметры безопасности, которые применяются при установке Windows, и может привести к непредвиденным последствиям.



Использование команды "secedit /configure" для импортирования шаблона безопасности по умолчанию (dfltbase.inf) не является поддерживаемым методом; кроме того, его нельзя использовать для восстановления разрешений по умолчанию системы безопасности на компьютерах под управлением Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2.

Начиная с ОС Windows Vista, метод применения системы безопасности в ходе первоначальной настройки операционной системы изменяется. В том числе, параметры безопасности, определяемые в файле deftbase.inf, были дополнены параметрами, применяемыми в процессе установки операционной системы и роли сервера. И поскольку поддерживаемый процесс повторного воспроизведения разрешений, указанных во время первоначальной настройки операционной системы, отсутствует, использование команды secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose более не может восстановить все параметры безопасности по умолчанию и может привести к нестабильной работе операционной системы.

Для компьютеров под управлением Microsoft Windows 2000, Windows XP или Windows Server 2003 команда secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose по-прежнему поддерживается в нескольких случаях, когда необходимо восстановить параметры безопасности с помощью шаблона secsetup.inf. Поскольку импортирование файла Secsetup.inf или любого другого шаблона сбрасывает только параметры, имеющиеся в шаблоне, и не восстанавливает значения внешних параметров, этот способ может не восстановить все параметры по умолчанию операционной системы, включая те, которые могут приводить к проблеме с совместимостью.



Использование команды "secedit /configure" полностью поддерживается в тех случаях, когда требуется импортировать пользовательский шаблон.





Ниже дан список поддерживаемых методов (в порядке их предпочтительности, который носит исключительно рекомендательный характер), с помощью которых можно восстановить систему Windows до предыдущего рабочего состояния.



1. Восстановление с помощью состояния системы: (Для всех клиентов или серверов Windows)

Если у вас имеется резервная копия состояния системы, которая была создана для конкретной системы Windows до возникновения проблем, используйте эту резервную копию, чтобы восстановить параметры безопасности до рабочего состояния. Любые изменения в приложениях системы, внесенные после создания резервной копии с состоянием, может потребоваться внести повторно после восстановления состояния системы. Этот способ может не восстановить параметры безопасности для данных, связанных с приложениями, или файлов, которые не являются частью операционной системы. Вам может понадобиться резервная копия всей системы, включая ее состояние, чтобы восстановить параметры до исходного состояния.

2. Восстановление с помощью восстановления системы:(Только для клиентских операционных систем Windows)

Встроенная функция "Восстановление системы" автоматически создает точки восстановления через определенные промежутки времени и при добавлении приложений с помощью поддерживаемых способов установки. Каждая точка восстановления содержит необходимые данные для восстановления системы до выбранного состояния. Этот способ можно использовать для восстановления системы до определенного состояния. Как упоминалось в описании предыдущего способа, это может не помочь восстановить параметры безопасности для данных, связанных с приложениями; в этом случае может понадобиться резервная копия всей системы.

3. Восстановление с использованием предварительно настроенного шаблона:

Для систем, построенных на базе шаблона, можно использовать мастер настройки безопасности, если шаблон был создан для того ПК, на котором наблюдается проблема.

4. Восстановление разрешений только для файлов:

Для разрешений файлов можно использовать встроенную программу командной строки ICACLS/restore, чтобы восстановить параметры безопасности для файла, для которого была создана резервная копия с помощью параметра /save на том же компьютере, когда система еще находилась в рабочем состоянии. Этот способ можно использовать, чтобы сравнить результаты, полученные на аналогичном компьютере в рабочем состоянии, с результатами компьютера, на котором возникают сбои.



Если нельзя применить ни один из вышеописанных методов или резервная копия недоступна, отмените изменение с помощью списка управления изменениями или ознакомьтесь с разделом по устранению проблем этой статьи, в котором рассматриваются конкретные параметры безопасности; отменить изменение можно также с помощью процесса исключения.





Ниже приведена таблица со сравнением способов, о которых говорилось выше.



Свернуть эту таблицуРазвернуть эту таблицу
СпособПоддерживаемые операционные системыПлюсыМинусыТребуется предварительная подготовка?
Программа архивации данныхВсе серверы и клиенты WindowsМожно использовать для создания резервной копии данных и для восстановления состояния системы.Придется управлять потенциально большим набором данных. Может также понадобиться повторное применение изменений после восстановления резервной копии.

Да
Восстановление системыВсе клиенты Windows: Windows XP, Windows Vista, Windows 7Можно настроить на выполнение автоматического резервного копирования состояния системы.Не восстанавливает данные приложений, которые могут быть случайно изменены.Да
Мастер настройки безопасностиWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Можно создать шаблон для восстановления или применения параметров безопасности. Применяется только к данным (или просматривает только данные), которые содержатся в используемом шаблоне.Да
ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Полезно для создания резервной копии разрешений файла NTFS для последующего использования, если это необходимо.В настоящее время не поддерживается сохранение разрешений для других расположений (реестр, службы и т. д.).Да
Способы устранения проблемWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Полезен, если никакой другой вышеописанный способ не может быть применен.Этот способ может не восстановить все параметры компьютера до исходного состояния, каким оно было до того, как были изменены разрешения. Отмена этих изменений также может разорвать зависимости, которые были установлены приложением или компонентом ОС.Нет

Дополнительная информация

Может понадобиться изменение следующих параметров безопасности для решения проблемы с разрешениями. Следующие параметры определяются шаблоном безопасности:

Свернуть эту таблицуРазвернуть эту таблицу
Имя области Описание
SECURITYPOLICY Локальная политика и политика домена для системы. Сюда входят политики учетных записей, политики аудита и другие политики.
GROUP_MGMT Параметры для групп с ограниченным доступом, указанных в шаблоне безопасности.
USER_RIGHTS Права пользователя на вход в систему и предоставление разрешений.
REGKEYS Параметры безопасности по отношению к разделам реестра на локальном компьютере.
FILESTORE Параметры безопасности по отношению к локальному хранилищу файлов.
SERVICES Параметры безопасности для всех определенных служб.


Доступны следующие средства для устранения неполадок в различных областях безопасности:

SecurityPolicy (политики учетных записей, политики аудита, параметры журнала событий и параметры безопасности):

а) RSOP

б) Анализ и настройка безопасности

в) Gpresult

г) Secedit.exe /export

2. Group_Mgmt

а) RSOP

б) Gpresult

3. User_Rights

а) RSOP

б) Анализ и настройка безопасности

в) Ntrights

4. RegKeys

а) RSOP

б) Анализ и настройка безопасности

в) Process Monitor

г) AccessChk

д) AccessEnum

е) Subinacl

5. Filestore

а) RSOP

б) Анализ и настройка безопасности

в) Process Monitor

г) Icacls

д) Xcacls.vbs

е) AccessChk

ж) AccessEnum

з) Subinacl

и) Cacls

6. Services

а) RSOP

б) Анализ и настройка безопасности

в) Process Monitor

г) Sc

д) AccessChk

е) Subinacl



Ниже представлены дополнительные сведения об использовании каждого из средств, перечисленных выше.

RSOP (Результирующая политика)

Результирующая политика (RSoP) является дополнением к групповой политике, что упрощает процедуру применения политик и устранения неполадок. Результирующая политика является обработчиком запросов, который выполняет поиск существующих и запланированных политик, а затем предоставляет отчеты о результатах поиска. Он выполняет поиск на сайтах, доменах, контроллерах домена, а также в подразделениях. Результирующая политика собирает данные из БД диспетчера объектов CIM (которую также называют репозиторием объектов, соответствующих CIM) с помощью инструментария управления Windows (WMI).

Что такое результирующая политика?

http://technet.microsoft.com/ru-ru/library/cc758010(WS.10).aspx

Использование RSoP

http://technet.microsoft.com/ru-ru/library/cc782663(WS.10).aspx

Результирующая политика является встроенной оснасткой (rsop.msc), которая доступна во всех поддерживаемых операционных системах, начиная с Windows XP.

Анализ и настройка безопасности

Анализ и настройка безопасности является средством для анализа и настройки систем безопасности локальных систем. Анализ и настройка безопасности позволяет быстро просмотреть результаты анализа параметров безопасности и напрямую настроить параметры безопасности локальной системы. Это средство отображает рекомендации и текущие параметры системы безопасности в рамках одного представления и использует визуальные элементы или комментарии, чтобы отметить любые области, в которых текущие параметры не соответствуют предложенному уровню безопасности. Анализ и настройка безопасности также предоставляет возможность исправить любые несоответствия, которые выявит анализ. С помощью использования личных баз данных можно импортировать шаблоны безопасности, которые были созданы с помощью компонента "Шаблоны безопасности", и применять эти шаблоны на локальном компьютере. Это средство немедленно настраивает параметры безопасности системы в соответствии с уровнями шаблона.

Анализ системы безопасности

http://technet.microsoft.com/ru-ru/library/cc776590(WS.10).aspx

Рекомендации по использованию средства "Анализ и настройка безопасности"

http://technet.microsoft.com/ru-ru/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe является встроенной программой командной строки, которая может быть использована, чтобы экспортировать локальную политику или объединенную политику с компьютера под управлением Windows. Можно экспортировать работающую политику, а затем использовать параметр /configure, чтобы применить шаблон на компьютере, на котором наблюдается проблема.

Синтаксис и дополнительные сведения см. здесь.

NTrights.exeявляется программой командной строки из комплекта ресурсов, которая позволяет предоставлять или отзывать права пользователей на локальном или удаленном компьютере под управлением Windows.

Назначение прав входа в систему при помощи служебной программы NTRights

http://support.microsoft.com/kb/315276/ru

Ntrights.exe является одним из средств из комплекта ресурсов, который можно загрузить здесь.

Process Monitorявляется одной из служебных программ Sysinternals, которая позволяет отслеживать действия файловой системы, реестра, процессов, потоков и DLL в режиме реального времени. Она позволяет фильтровать результаты, а также сохранять результаты в файл, чтобы просмотреть их позднее. Это средство можно использовать, чтобы устранять неполадки в системе безопасности, связанные с доступом к файлам или реестру. Например, можно отфильтровать"result" (Результаты) по попыткам типа "denied" (Отклонено).

Дополнительные сведения см. по ссылке ниже:

http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx

Загрузить Process Monitor можно здесь; можно также сразу запустить с сайта Live.Sysinternals.com.

AccessCheckявляется программой командной строки, которая может быть использована для проверки типов доступа определенных пользователей или групп к таким ресурсам, как файлы, каталоги, разделы реестра, глобальные объекты и службы Windows. Щелкните ссылку ниже, чтобы получить дополнительные сведения:

http://technet.microsoft.com/ru-ru/sysinternals/bb664922.aspx

Загрузить можно здесь.

AccessEnumдает полный обзор параметров безопасности для путей в файловой системе и кустов реестра, что помогает отслеживать бреши в системе безопасности и блокировать разрешения, если это необходимо.

http://technet.microsoft.com/ru-ru/sysinternals/bb897332.aspx

Загрузить можно здесь.

Sc.exe является встроенной программой командной строки, которая взаимодействует с диспетчером служб. Она может быть использована для отображения данных об исходных значениях службы, для ее изменения или отключения. В контексте этой статьи можно использовать команду "sc sdshow имя_службы" для вывода разрешений для службы. После получения выходных данных можно использовать следующую статью базы знаний Майкрософт, чтобы интерпретировать их:

Советы и рекомендации для составителей списков управления доступом к службам на уровне пользователейhttp://support.microsoft.com/kb/914392/ru

Можно также запустить команду "sc sdset имя_службы DACL_в_формате_SDDL", чтобы изменить разрешения.

Дополнительные сведения по этой теме см. по перечисленным ниже ссылкам:

http://support.microsoft.com/kb/251192/ru

http://technet.microsoft.com/ru-ru/magazine/dd296748(en-us).aspxIcacls.exe является встроенной служебной программой командной строки, которая позволяет отображать или изменять списки управления доступом на уровне пользователей (DACL) для определенных файлов или каталогов. Команда "ICACLS путь /save aclfile" может использоваться для экспортирования списков управления доступом для указанного имени пути (файлов или каталогов) в текстовый файл, а также для восстановления их обратно в файлы с помощью команды "ICACLS путь /restore aclfile".

Дополнительные сведения по этой теме см. по перечисленным ниже ссылкам:

http://support.microsoft.com/kb/919240/ru

http://technet.microsoft.com/ru-ru/library/cc753525(WS.10).aspx
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 313222 - Последний отзыв: 4 июля 2013 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbenv kbhowtomaster KB313222

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com