Kako vratiti sigurnosne postavke u poznato radno stanje?

Sažetak

Tijekom instalacije operacijskog sustava mogu se pojaviti promjene konfiguracije koje sprječavaju ispravno funkcioniranje operacijskog sustava ili aplikacija. Simptomi koji mogu nastati zbog pretjerano restriktivnih sigurnosnih postavki uključuju, ali nisu ograničeni na:

  • Neuspješni pokretački programi za OS, servis ili aplikacija

  • Pogreške u autentikaciji ili autorizaciji

  • Pogreške u pristupu resursu na lokalnom ili udaljenom računalu

Operacije koje mogu promijeniti sigurnosne postavke obuhvaćaju, ali nisu ograničene na:

  • OS Upgrade, QFE servisni paket i instalacija aplikacija

  • Promjene pravilnika grupe

  • Dodjela korisničkih prava

  • Sigurnosni Predlošci

  • Promjena sigurnosnih postavki u servisu Active Directory i registru i drugim bazama podataka

  • Promjena dozvola za objekte u AD-u, datotečni sustav, registar sustava Windows

Imajte na tome da se sigurnosne postavke mogu definirati na lokalnom, udaljenom računalu, nepodudaranju interoperabilnosti između lokalnog i udaljenog računala. Kada prethodno radna instalacija iznenada ne uspije, prirodan korak otklanjanja poteškoća jest povratak na zadnju radnu konfiguraciju koja je postojala kada je operacijski sustav, servis ili aplikacija zadnji put radio ili u ekstremnim slučajevima vratiti operacijski sustav u njegovu izvanokvir konfiguraciju. U ovom se članku opisuju podržani i nepodržani načini poništavanja ili vraćanja promjena na sljedeće elemente:

  • Dozvole u registru, datotečnom sustavu i servisima

  • Dodjela korisničkih prava

  • Sigurnosno pravilo

  • Članstvo u grupi

Ograničenja uvoza zadanih sigurnosnih predložaka: Prethodna verzija ovog članka navodi metodu korištenja naredbe "secedit/Configure" s programom caveat da postupak ne vraća sve sigurnosne postavke primijenjene prilikom instalacije sustava Windows i može rezultirati nepredviđenim posljedicama. Korištenje "secedit/Configure" za uvoz zadanog sigurnosnog predloška, dfltbase. inf, nije podržano ni je li to održiv način za vraćanje zadanih sigurnosnih dozvola u sustavima Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2 na računalima. Počevši od sustava Windows Vista, način primjene sigurnosti tijekom instalacije operacijskog sustava promijenjen je. Konkretno, sigurnosne postavke sastoje se od postavki definiranih u programu deftbase. inf prošireno postavkama koje primjenjuje postupak operativne instalacije i instalacija uloga poslužitelja. Budući da nema podržanog postupka za ponovno ponavljanje dozvola koje je stvorila instalacija operacijskog sustava, korištenje naredbenog retka "secedit/Configure/cfg%vindir%\inf\defltbase.inf/DB Defltbase. sdb/verbose" više nije moguće ponovno postaviti sve zadane postavke zaštite i čak može dovesti do nestabilnog operacijskog sustava. Za Microsoft Windows 2000, Windows XP ili Windows Server 2003 računala, naredba "secedit/Configure/cfg% windir%\repair\secsetup.inf/DB secsetup. sdb/verbose" još uvijek je podržana u vrlo malo scenarija u kojima se postavke sigurnosnog podešavanja moraju vratiti pomoću predloška secsetup. inf. Budući da uvoz servisa secsetup. inf ili bilo koji drugi predložak ponovno postavlja samo ono što je definirano u predlošku i ne vraća vanjske postavke, ta metoda možda i dalje neće vratiti sve zadane sistemske sustave, uključujući one koje mogu uzrokovati problem s kompatibilnošću. Korištenje "secedit/Configure" ostaje u potpunosti podržano za uvoz prilagođenih predložaka. Slijedi popis podržanih metoda (u labavom redoslijedu preferenci) da biste sustav sustava Windows vratili na prethodno radno stanje.

  1. Vraćanje pomoću stanja sustava: (za sve klijente sustava Windows/poslužitelje) Ako imate sigurnosnu kopiju stanja sustava koja je stvorena za određeni sustav sustava Windows prije incidenta, upotrijebite istu da biste vratili sigurnosne postavke u radno stanje. Bilo koja promjena aplikacija u sustavu budući da se stanje sustava možda mora ponovno primijeniti radi uspješnog oporavka. To možda neće biti korisno za vraćanje sigurnosnih postavki na podatke vezane uz aplikaciju ili bilo koje datoteke koje nisu operativne za operacijski sustav. Možda će vam biti potrebna cjelovita sigurnosna kopija sustava, uključujući stanje sustava da biste ga vratili u izvorno stanje.

  2. Vraćanje pomoću značajke vraćanja sustava:(samo za klijentski operacijski sustav Windows) Ugrađena značajka vraćanja sustava automatski stvara točku vraćanja u pravilnim intervalima i kada se aplikacije dodaju putem podržanih metoda za instalaciju. Svaka točka vraćanja sadrži potrebne informacije koje su potrebne da bi se sustav vratio u odabrano stanje sustava. Ta se metoda može koristiti za oporavak sustava u određeno stanje. Kao što je prethodno spomenuto u prethodnom načinu, ovo možda neće biti korisno za vraćanje sigurnosnih postavki na podatke o aplikaciji, a može biti potrebna i potpuna sigurnosna kopija sustava.

  3. Vraćanje pomoću unaprijed konfiguriranog predloška: Da bi se sustavi izgradili pomoću predloška, možete koristiti čarobnjak za konfiguraciju sigurnosti ako je stvoren predložak za problem s aparatom.

  4. Vraćanje samo dozvola za datoteke: Za dozvole za datoteke možete koristiti ugrađeni alat za upravljanje retkama/vraćanje u aplikaciji za vraćanje sigurnosnih datoteka koje su sigurnosno kopirane pomoću prekidača spasiti na istom računalu iz prethodnog radnog stanja. Ta se metoda može koristiti za usporedbu rezultata s identičnog radnog stroja na neuspjelog. Kada nijedna od navedenih metoda ne primjenjuje ili nije dostupna sigurnosna kopija koja će se vratiti, poništite promjenu slijedeći popis kontrola promjena ili se obratite odjeljku Otklanjanje poteškoća ovog članka s određenom sigurnosnom postavkom ili postupkom eliminacije. Ovdje se nalazi tablica s usporedbom navedenih metoda:

    Način

    Podržani operacijski sustavi

    Pro je

    Con-ova

    Potrebna je pre-Work

    Sigurnosno kopiranje u sustavu Windows

    Svi poslužitelji sustava Windows/klijenti

    Može se koristiti za sigurnosnu kopiju podataka & vraćanje stanja sustava

    Potencijalno veliki skup podataka za upravljanje. Možda ćete morati ponovno reproducirati promjene nakon vraćene sigurnosne kopije.

    Da

    Vraćanje sustava

    Svi klijenti u sustavu Windows – Windows XP, ,

    Može se konfigurirati tako da izvršava automatske sigurnosne kopije stanja sustava

    Ne vraća podatke o aplikaciji koje se mogu nehotice promijeniti.

    Da

    Čarobnjak za konfiguraciju sigurnosti

    Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2

    Može pružiti predložak za vraćanje/primjena sigurnosti

    Primjenjuje samo podatke ili prikaze koji se nalaze unutar predloška koji se koristi

    Da

    IACLS/Restore

    Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2

    Korisno za stvaranje sigurnosnih kopija dozvola za NTFS datoteka za ponovnu upotrebu nakon toga ako je potrebno

    Trenutno ne nudi spremanje dozvola za druga mjesta kao što su Registry, Services i sl.

    Da

    Načini otklanjanja poteškoća

    Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2

    Korisno kada nisu dostupni nijedan od navedenih alata/sigurnosne kopije

    To ne može cijeli oblik stroja staviti u izvorno stanje prije no što se pojavila promjena dozvola. Poništavanjem takvih promjena možete prekinuti i ovisnosti koje postavlja aplikacija ili komponenta OS-a.

    Ne

Dodatne informacije

Možda će se morati obratiti sljedećim sigurnosnim parametrima da biste riješili problem s dozvolama. To su parametri definirani unutar sigurnosnih predložaka:

Naziv područja

Opis

Pravilnik o sigurnosti

Lokalno pravilo i pravilo domene za sustav. To obuhvaća pravila računa, pravila nadzora i druga pravila.

GROUP_MGMT

Ograničene postavke grupe za sve grupe koje su navedene u sigurnosnom predlošku.

USER_RIGHTS

Prava na prijavljivanje korisnika i dodjeljivanje dozvola.

REGKEYS

Sigurnost u lokalnim ključevima registra.

POHRANA datoteka

Sigurnost na lokalnom pohrani datoteka.

USLUGE

Sigurnost za sve definirane servise.

Na raspolaganju su vam sljedeći Alati za otklanjanje poteškoća s raznim sigurnosnim područjima:

  1. Pravilnik o zaštiti (pravilima računa, pravilima nadzora, postavkama zapisnika događaja i sigurnosnim mogućnostima):

  2. Group_Mgmt

  3. User_Rights

  4. RegKeys

  5. Pohrana datoteka

  6. Usluge

Slijede dodatne pojedinosti o korištenju svakog navedenog alata. RSOP (Rezultantni skup pravilnika) Rezultantni skup pravilnika (RSoP) dodatak je pravilima grupe koja olakšava implementaciju pravilnika i otklanjanje poteškoća. RSoP je mehanizam za upite koji ankete postojeće politike i planirane politike, a zatim izvještava o rezultatima tih upita. Radi ankete o postojećim pravilima na temelju web-mjesta, domene, kontrolera domena i organizacijske jedinice. RSoP sakuplja te podatke iz baze podataka servisa Common informacije Management model (CIMAMA) (inače poznata kao skladište predmeta koja je usklađena s CIM) putem sustava Windows Management Instrumentation (WMI). Što je Rezultantni skup pravilnika?Korištenje RSoP -a To je ugrađeni dodatak "RSoP. msc" dostupan za sve podržane operativne sustave – Windows XP ili noviji. Konfiguracija i analiza sigurnosti Konfiguracija sigurnosti i analiza alat je za analizu i konfiguriranje lokalne sigurnosti sustava. Konfiguracija sigurnosti i analiza omogućuju vam da brzo pregledate rezultate sigurnosne analize i izravno konfigurirate sigurnost lokalnog sustava. Prikazuje preporuke uz sadašnje postavke sustava i koristi vizualne zastavice ili primjedbe da bi istaknuli područja u kojima se sadašnje postavke ne podudaraju s predloženim razinom sigurnosti. Konfiguracija sigurnosti i analiza nudi i mogućnost rješavanja odstupanja koje analizira analiza. Putem korištenja osobnih baza podataka možete uvesti sigurnosne predloške koji su stvoreni pomoću sigurnosnih predložaka i primijeniti te predloške na lokalno računalo. Time se odmah konfigurira sigurnost sustava pomoću razina navedenih u predlošku. Analiziranjenajboljih postupaka sigurnosti sustava za konfiguraciju i analizu sigurnosti

Secedit/ExportSecedit.exe ugrađeno je oruđe naredbenog retka koje je moguće koristiti za izvoz lokalnih pravilnika ili spojenih pravilnika iz računala sa sustavom Windows. Stanje pravilnika možete izvesti iz stroja u radnom stanju, a zatim koristiti parametar/Configure da biste predložak ponovno primijenili na stroj kada ste u stanju problema. Za sintaksu i dodatne informacije obratite se secedit. Ntrights. exe je alat naredbenog retka Resource Kit koji vam omogućuje odobravanje ili ukidanje korisničkih prava na računalu sa sustavom Windows ili lokalno ili udaljeno. Ntrights. exedio je alata za alate resursa koji se mogu preuzeti u alatu za alate resursa kit sustava Windows Server 2003. Monitor procesa jedan je od programa Sysinternals koji omogućuje praćenje aktivnosti datotečnog sustava, registra, procesa, Thread i DLL u stvarnom vremenu. To nam omogućuje filtriranje rezultata, kao i spremanje rezultata u datoteku za pregled kasnije. Ovaj se alat može koristiti za otklanjanje poteškoća s sigurnosnim problemima s pristupom datoteci i registru. Na primjer: možete filtrirati "rezultat" za "odbijen" pokušaja. Dodatne informacije potražite u nastavku:

Procesni monitor v 3.52 Preuzmite odavde ili pokrenite monitor obrade sada iz Live.Sysinternals.com AccessCheck je program naredbenog retka koji se može koristiti za provjeru koje vrste pristupa određenim korisnicima/grupama moraju sadržavati resurse kao što su datoteke/direktorije/ključevi registra, globalni objekti i Windows Services. Kliknite veza u nastavku da biste saznali više: AccessChk vAccessEnum je da biste pregledali prikaz puta sustava datotečni sustav i sigurnosne postavke grozda registra, što vam pomaže oko sigurnosnih rupa i dozvola za zaključavanje prema potrebi. Accessenum v 1,32sc. exe ugrađeno je oruđe naredbenog retka koje komunicira s upraviteljem kontrole servisa. Može se koristiti za prikaz informacija o vrijednosti početka servisa, promjeni ili onemogućivanje. U kontekstu ovog članka možete koristiti naredbu "SC sdpokaži Service_Name" da biste otvorili dozvole za servis. Kada unesete izlaz, pomoću sljedećeg članka iz baze podataka možete interpretirati isti Najbolje prakse i smjernice za scenariste servisa za diskrecijske kontrole pristupa Možete i pokrenuti naredbu "SC sdset service_name DACL_in_SDDL_format" da biste izmijenili dozvole. Dodatne informacije o tome možete pronaći na sljedećim vezama: Stvaranje servisa sustava Windows pomoću programa sc. exenovi Prekidači naredbenog retka za sc. exe iacls. exeiacls. exe izgrađen je uslužni program naredbenog retka koji omogućuje prikaz ili izmjenu popisa kontrole pristupa za diskrecijski pristup (dacls) na navedenim datotekama/direktorijima. "Icacls path_name spasiti AclFile" može se koristiti za izvoz ACL-a za relevantan put naziv (datoteke/direktorije) u tekstnu datoteku, a također se koristi za povratak na datoteke pomoću naredbe "icacls path_name/Restore AclFile" Dodatne informacije o tome možete pronaći na sljedećim vezama: Uslužni program za Windows Server 2003 s paketom Service Pack 2 iacls dostupan je u programu iacls. exeIcacls

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×