Güvenlik ayarlarını çalıştığı bilinen son duruma nasıl geri yüklerim?

Makale çevirileri Makale çevirileri
Makale numarası: 313222 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Özet

Bir işletim sistemi yüklemesinin ömrü boyunca, işletim sisteminin veya uygulamaların düzgün çalışmasını engelleyen yapılandırma değişiklikleri olabilir. Aşırı kısıtlayıcı güvenlik ayarlarının neden olabileceği belirtilerin bazıları aşağıda belirtilmiştir, ancak bunlarla sınırlı değildir:



· İşletim sistemi, hizmet veya uygulamayı başlatma hataları

· Kimlik doğrulama veya yetkilendirme hataları

· Yerel veya uzak bilgisayarda kaynak erişimi hataları


Güvenlik ayarlarında değişiklik yapabilen işlemlerin bazıları aşağıda belirtilmiştir, ancak bunlarla sınırlı değildir:



· İşletim sistemi yükseltmeleri, QFE hizmet paketi ve uygulama yüklemeleri

· Grup ilkesi değişiklikleri

· Kullanıcı hakları atamaları

· Güvenlik şablonları

· Active Directory, kayıt defteri ve diğer veritabanlarındaki güvenlik ayarları değişikliği

· AD, dosya sistemi ve Windows kayıt defterindeki nesne izinleri değişikliği



Güvenlik ayarlarının; yerel, uzak bir bilgisayar, yerel ve uzak bilgisayar arasındaki birlikte çalışabilirlik uyumsuzluğunda tanımlanabileceğini unutmayın.



Önceden çalışan bir kurulum bir anda başarısız olursa, normal sorun giderme adımı; işletim sistemi, hizmet veya uygulama en son çalıştığında var olan son çalışan yapılandırmaya dönmek ya da olağanüstü bir durumda işletim sistemini ilk çalıştırma yapılandırmasına döndürmektir.


Bu makalede, aşağıdaki öğelere yapılan değişiklikleri geri almak üzere desteklenen ve desteklenmeyen yöntemler açıklanmaktadır:

· Kayıt Defterindeki İzinler, Dosya Sistemi ve Hizmetler.

· Kullanıcı hakları atamaları

· Güvenlik ilkesi

· Grup üyeliği



Varsayılan güvenlik şablonlarını alma sınırlamaları:

Bu makalenin önceki sürümünde, “secedit /configure” komutunu kullanma yöntemi ve bu yordamın, Windows'u yüklediğinizde uygulanan güvenlik ayarlarını geri yüklemediğini ve öngörülmeyen sonuçlar doğurabileceğini uyarısı yer almaktadır.



Varsayılan güvenlik şablonunu ve dfltbase.inf dosyasını almak için “secedit /configure” komutunun kullanımı; Windows Vista, Windows 7, Windows Server 2008 ve Windows Server 2008 R2 bilgisayarlarındaki varsayılan güvenlik izinlerini geri yüklemek için desteklenmeyen, geçersiz bir yöntemdir.

Windows Vista'dan başlayarak, işletim sisteminin kurulumu sırasında güvenliği uygulama yöntemi değiştirildi. Özellikle deftbase.inf dosyasında tanımlanan ayarlardan oluşan güvenlik ayarları, işletim yükleme işlemi ve sunucu rolü yüklemesi tarafından uygulanan ayarlarca güçlendirilir. İşletim sisteminin kurulumu tarafından oluşturulan izinleri yeniden göndermek için desteklenen bir işlem bulunmadığından, “secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose” komut satırının kullanılması artık tüm güvenlik varsayılanlarını sıfırlama becerisine sahip değildir ve işletim sisteminin kararsız duruma gelmesi ile sonuçlanabilir.

Microsoft Windows 2000, Windows XP veya Windows Server 2003 bilgisayarlar için secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose” komutu, secsetup.inf şablonu kullanılarak güvenlik ayarlarının geri yüklenmesinin gerektiği birkaç senaryoda hala desteklenir. Secsetup.inf ve herhangi bir diğer şablonun yalnızca şablonda tanımlananları sıfırlamasından ve harici ayarları geri yüklememesinden dolayı, bu yöntem uyumluluk sorununa yol açabilecekler de dahil olmak üzere işletim sistemi varsayılanlarının tümünü geri yüklemez.



"secedit / configure" komutunun kullanımı, özel şablonların alınmasında tamamen desteklenmektedir.





Aşağıda, Windows sistemini bir önceki çalışır durumuna geri yüklemek için desteklenen yöntemlerin (tercih sırası gelişigüzeldir) bir listesi sunulmaktadır.



1. Sistem Durumunu kullanarak geri yükleme: (Tüm Windows istemcileri/sunucuları için)

Sorundan önce belirli bir Windows sistemi için oluşturulan bir Sistem Durumu yedeklemeniz varsa, çalışır bir duruma dönmek için güvenlik ayarlarını geri yüklemek üzere bunu kullanın. Sistem durumundan dolayı sistemdeki uygulamalarda yapılan tüm değişikliklerin, başarılı bir kurtarma için yeniden uygulanması gerekebilir. Bu işlem, verilerle ve işletim sistemine ait olmayan dosyalarla ilgili uygulamadaki güvenlik ayarlarını geri yüklemek için yararlı olmayabilir. Özgün duruma geri yüklemek için sistem durumu da dahil olmak üzere Tam Sistem yedeklemesine gerek duyabilirsiniz.

2. Sistem Geri Yükleme'yi kullanarak geri yükleme:(Yalnızca Windows istemci işletim sistemleri için)

Yerleşik Sistem Geri Yükleme özelliği otomatik olarak düzenli aralıklarla ve desteklenen yükleyici yöntemleri ile uygulamalar eklendiğinde geri yükleme noktaları oluşturur. Her geri yükleme noktası, sistemi seçilen sistem durumuna geri yüklemen için gereken gerekli bilgileri içerir. Bu yöntem, sistemi belirli bir duruma geri döndürmek için kullanılabilir. Önceki yöntemde söz edildiği gibi, bu işlem uygulama verilerindeki güvenlik ayarlarını geri yüklemek ve aynısı için gereken bir Tam Sistem yedeklemesi için yararlı olmayabilir.

3. Önceden yapılandırılmış bir şablonu kullanarak geri yükleme:

Bir şablon ile oluşturulan sistemler için, şablon sorunlu makinede oluşturulduysa Güvenlik Yapılandırma Sihirbazı'nı kullanabilirsiniz.

4. Yalnızca dosya izinlerini geri yükleme:

Dosya izinleri için, çalışır durumdan önce /save anahtarı kullanılarak aynı makinede yedeklenen dosya güvenliğini geri yüklemek için ICACLS/restore yerleşik komut satırı aracını kullanabilirsiniz. Bu yöntem, özdeş bir çalışır makine ile başarısız bir makinenin sonuçlarını karşılaştırmak için kullanılabilir.



Yukarıdaki yöntemlerin hiçbiri uygulanamaz ve hiçbir yedeklemeden geri yükleme yapılamazsa, değişiklik denetimi listenizi takip ederek, bu makalenin sorun giderme bölümüne başvurarak veya ortadan kaldırma işlemini kullanarak değişiklikleri geri alın.





Aşağıda, daha önce bahsedilen yöntemleri karşılaştıran bir tablo sunulmaktadır.



Bu tabloyu kapaBu tabloyu aç
YöntemDesteklenen işletim sistemleriArtılarEksilerÖnceden işlem gerekli
Windows YedeklemeTüm Windows Sunucuları/İstemcileriVeri yedeklemek & sistem durumunu geri yüklemek için kullanılabilirYönetmek için potansiyel olarak büyük veri kümesi. Ayrıca, yedekleme geri yüklendikten sonra değişiklikleri yeniden göndermeniz gerekebilir.

Evet
Sistemi Geri YüklemeTüm Windows istemcileri –Windows XP, Windows Vista, Windows 7Otomatik sistem durumu yedeklemeleri gerçekleştirmek için yapılandırılabilirYanlışlıkla değiştirilmiş uygulama verilerini geri yüklemez.Evet
Güvenlik Yapılandırma SihirbazıWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Güvenliği geri yüklemek/uygulamak için bir şablon sağlamaz Yalnızca kullanılan şablon içindeki verileri uygular veya görüntülerEvet
ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2NTFS dosya izinlerini gerektiğinde daha sonra yeniden kullanmak üzere yedeklemek için yararlıKayıt defteri ve hizmetler gibi diğer konumlar için izinlerin kaydedilmesini şu anda sunmuyor.Evet
Sorun giderme yöntemleriWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Yukarıda sözü edilen araçların/yedeklemelerin hiçbiri kullanılabilir olmadığında yararlıBu işlem, tüm makine yapılandırmasını izinler değiştirilmeden önceki özgün duruma döndüremeyebilir. Ayrıca, bu tür değişiklikleri geri almak bir uygulama veya işletim sistemi bileşeni tarafından ayarlanan bağımlılıkları bozabilir.Hayır

Daha fazla bilgi

Bir izin sorununu gidermek için aşağıdaki Güvenlik parametrelerinin giderilmesi gerekebilir. Güvenlik şablonları içinde tanımlanan parametreler şunlardır:

Bu tabloyu kapaBu tabloyu aç
Alan Adı Açıklama
SECURITYPOLICY Sistemin yerel ilkesi ve etki alanı ilkesidir. Hesap ilkeleri, denetim ilkeleri ve diğer ilkeler de buna dahildir.
GROUP_MGMT Güvenlik şablonunda belirtilen herhangi bir grup için kısıtlı grup ayarlarıdır.
USER_RIGHTS Kullanıcı oturum açma hakları ve izinlerin atanması.
REGKEYS Yerel kayıt defteri anahtarlarının güvenliği.
FILESTORE Yerel dosya depolama alanının güvenliği.
SERVICES Tüm tanımlı hizmetlerin güvenliği.


Aşağıdaki araçlar farklı güvenlik alanlarının sorunlarını gidermek için kullanılabilir:

1. SecurityPolicy (Hesap İlkeleri, Denetim İlkeleri, Olay Günlüğü Ayarları ve Güvenlik Seçenekleri):

a) RSOP

b) Güvenlik Yapılandırması ve Çözümlemesi

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) Güvenlik Yapılandırması ve Çözümlemesi

c) Ntrights

4. RegKeys

a) RSOP

b) Güvenlik Yapılandırması ve Çözümlemesi

c) İşlem İzleyicisi

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) Güvenlik Yapılandırması ve Çözümlemesi

c) İşlem İzleyicisi

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Hizmetler

a) RSOP

b) Güvenlik Yapılandırması ve Çözümlemesi

c) İşlem İzleyicisi

d) Sc

e) AccessChk

f) Subinacl



Yukarıda listelenen araçların her birinin kullanımı ile ilgili ek ayrıntılar aşağıdadır.

RSOP (İlke Sonuçları Kümesi)

İlke Sonuçları Kümesi (RSoP), ilke uygulamasını ve sorun gidermeyi kolaylaştıran bir Grup İlkesi ekidir. RSoP, var ola ilkeleri ve planlanmış ilkeleri yoklayan ve ardından bu sorguların sonuçlarını raporlayan bir sorgu altyapısıdır. Siteye, etki alanına, etki alanı denetleyicisine ve kuruluş birimine dayalı olarak var olan ilkeleri yoklar. RSoP bu bilgileri, Windows Yönetim Araçları aracılığıyla Genel Bilgi Yönetimi Nesne Modeli (CIMOM) (CIM-uyumlu nesne deposu olarak da bilinir) veritabanından toplar.

İlke Sonuçları Kümesi nedir?

http://technet.microsoft.com/tr-tr/library/cc758010(WS.10).aspx

RSoP'yi kullanma

http://technet.microsoft.com/tr-tr/library/cc782663(WS.10).aspx

Yerleşik “rsop.msc” ek bileşeni, desteklenen tüm işletim sistemlerinde (Windows XP veya sonraki bir sürüm) kullanılabilir.

Güvenlik Yapılandırması ve Çözümlemesi

Güvenlik Yapılandırması ve Çözümlemesi yerel sistem güvenliğini çözümlemek ve yapılandırmak için kullanılan bir araçtır. Güvenlik Yapılandırması ve Çözümlemesi, güvenlik çözümlemesi sonuçlarını hızla gözden geçirmenize ve yerel sistem güvenliğini doğrudan yapılandırmanıza olanak tanır. Geçerli sistem ayarlarının yanında öneriler sunar ve geçerli ayarların önerilen güvenlik düzeyi ile uyuşmadığı alanları vurgulamak için görsel bayraklar veya açıklamalar kullanır. Güvenlik Yapılandırması ve Çözümlemesi, çözümlemeyle ortaya çıkan uyuşmazlıkları giderme olanağı da sunar. Kişisel veritabanlarının kullanımıyla, Güvenlik Şablonları ile oluşturulmuş olan güvenlik şablonlarını alabilir ve bu şablonları yerel bilgisayara uygulayabilirsiniz. Bu işlem, şablonda belirtilen düzeyler ile sistem güvenliğini yapılandırır.

Sistem güvenliğini çözümleme

http://technet.microsoft.com/tr-tr/library/cc776590(WS.10).aspx

Güvenlik Yapılandırması ve Çözümlemesi için en iyi uygulamalar

http://technet.microsoft.com/tr-tr/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe bir Windows makinesindeki yerel ilkeyi veya birleştirilmiş ilkeyi dışarı aktarmak için kullanılabilen bir yerleşik komut satırı aracıdır. İlke durumunu çalışır durumundaki makineden dışarı aktarabilir ve sorunlu durumda şablonu makineye yeniden uygulamak için /configure anahtarını kullanabilirsiniz.

Sözdizimi ve ek bilgi için buraya başvurun.

NTrights.exe bir Windows bilgisayarda yerel veya uzaktan olacak şekilde kullanıcı hakkı vermenizi veya iptal etmenizi sağlayan komut satırı kaynak paketi aracıdır.

Oturum açma kullanıcı haklarını Ntrights.exe yardımcı programıyla ayarlama

http://support.microsoft.com/kb/315276/tr

Ntrights.exeburadan indirilebilecek kaynak paketi araçlarının bir parçasıdır.

İşlem İzleyicisiDosya sistemi, Kayıt Defteri, İşlem, İş Parçacığı ve DLL etkinliğini gerçek zamanlı olarak izlemeye olanak tanıyan Sysinternals yardımcı programlarından biridir. Daha sonra gözden geçirmek üzere sonuçlara filtre uygulamanızı veya bir dosyada kaydetmenizi sağlar. Bu araç, dosya ve kayıt defteri erişimi ile ilgili güvenlik sorunlarını gidermek için kullanılabilir. Örneğin: "sonuç" ifadesine "reddedildi" girişimleri için filtre uygulayabilirsiniz.

Ek bilgi için lütfen aşağıdaki bağlantıya başvurun:

http://technet.microsoft.com/tr-tr/sysinternals/bb896645.aspx

İşlem İzleyicisini Çalıştır'ı şimdi buradan veya Live.Sysinternals.com adresinden indirin.

AccessCheckbelirli kullanıcılar/grupların dosyalar/dizinler/kayıt defteri anahtarları, genel nesneler ve Windows hizmetleri gibi kaynaklar için ne tür erişimlere sahip olduklarını kontrol etmek amacıyla kullanılabilecek bir komut satırı programıdır. Ayrıntılar için aşağıdaki bağlantıya tıklayın:

http://technet.microsoft.com/tr-tr/sysinternals/bb664922.aspx

Buradan indirin

AccessEnumgüvenlik delikleri ve gerekli durumlarda izinleri kilitleme konusunda size yardımcı olacak dosya sistemi yolunuzun ve Kayıt Defteri kovanı güvenlik ayarlarının tam bir görünümünü sunar.

http://technet.microsoft.com/tr-tr/sysinternals/bb897332.aspx

Buradan indirin

Sc.exe Hizmet Denetim Yöneticisi ile iletişim kuran bir yerleşik bir komut satırı aracıdır. Hizmet başlangıç değeri hakkındaki bilgileri görüntülemek, değiştirmek veya devre dışı bırakmak için kullanılabilir. Bu makale bağlamında, “sc sdshow Service_Name” komutunu hizmetteki izinlerin çıkışı için kullanabilirsiniz. Çıktıyı aldıktan sonra, aynısını yorumlamak için aşağıdaki KB makalesini kullanabilirsiniz

Hizmetlerin isteğe bağlı erişim denetim listelerini yazanlar için en iyi uygulama örnekleri ve önerilerhttp://support.microsoft.com/kb/914392/tr

Ayrıca, “sc sdset service_name DACL_in_SDDL_format” komutunu izinleri değiştirmek için de çalıştırabilirsiniz.

Bu konuda ek bilgilere aşağıdaki bağlantılardan ulaşabilirsiniz:

http://support.microsoft.com/kb/251192 (Bu sayfa İngilizce olabilir)

http://technet.microsoft.com/en-us/magazine/dd296748.aspxIcacls.exeIcacls.exe isteğe bağlı erişim denetim listelerini (DACL) belirli dosyalarda/dizinlerde görüntülemeye veya değiştirmeye olanak tanıyan bir yerleşik komut satırı yardımcı programıdır. “ICACLS path_name /save aclfile” ilgili yol adı için (dosyalar/dizinler) ACL'leri metin dosyası olarak dışarı aktarmak için ve “ICACLS path_name /restore aclfile” komutunu kullanarak bu metin dosyasını dosyalara geri yüklemek için kullanılabilir.

Bu konuda ek bilgilere aşağıdaki bağlantılardan ulaşabilirsiniz:

http://support.microsoft.com/kb/919240/tr

http://technet.microsoft.com/tr-tr/library/cc753525(WS.10).aspx

Özellikler

Makale numarası: 313222 - Last Review: 7 Haziran 2013 Cuma - Gözden geçirme: 13.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Anahtar Kelimeler: 
kbenv kbhowtomaster KB313222

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com