Cara memulihkan tataan keamanan ke status kerja diketahui?

Dukungan untuk Windows XP telah berakhir

Microsoft mengakhiri dukungan untuk Windows XP pada 8 April 2014. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 313222
Ringkasan
Melalui hidup menginstal sistem operasi, perubahan konfigurasi dapat terjadi yang mencegah sistem operasi atau aplikasi dari berfungsi dengan benar. Gejala yang dapat disebabkan oleh pengaturan keamanan terlalu ketat termasuk namun tidak terbatas pada:
  • Kegagalan persiapan OS, Layanan atau aplikasi
  • Kegagalan otentikasi atau otorisasi
  • Kegagalan akses sumber daya di komputer jauh atau lokal
Operasi yang dapat mengubah pengaturan keamanan termasuk namun tidak terbatas pada:
  • Upgrade OS, menginstal paket dan aplikasi Layanan QFE
  • Perubahan Kebijakan Grup
  • Penetapan hak pengguna
  • Pola dasar keamanan
  • Mengubah setelan keamanan di direktori aktif dan registri dan database lainnya
  • Mengubah izin pada objek di AD, sistem berkas, registri Windows
Perhatikan bahwa pengaturan keamanan dapat ditetapkan di lokal komputer jarak jauh, interoperabilitas ketidaksesuaian lokal dan komputer jarak jauh.

Saat bekerja sebelumnya tiba-tiba gagal, pemecahan masalah alami langkah ini untuk kembali ke bagian terakhir bekerja konfigurasi yang ada saat sistem operasi, Layanan atau aplikasi terakhir bekerja, atau dalam kasus yang ekstrem, gulung balik sistem operasi ke konfigurasi luar kotak.

Artikel ini menjelaskan metode yang didukung dan tidak didukung untuk membatalkan atau rollback perubahan unsur-unsur berikut:
  • Izin di registri, sistem berkas, dan layanan
  • Penetapan hak pengguna
  • Kebijakan keamanan
  • Keanggotaan grup
Batasan mengimpor template keamanan default:

Versi sebelumnya dari artikel ini menyatakan metode yang digunakan "secedit/configure /" perintah dengan peringatan prosedur tidak gulung balik semua pengaturan keamanan yang diterapkan ketika Anda menginstal Windows dan dapat mengakibatkan akibat tak terduga.

Penggunaan "secedit/configure /" untuk mengimpor template keamanan default, dfltbase.inf, tidak didukung dan tidak ada metode yang layak untuk memulihkan izin keamanan asali di Windows Vista, Windows 7, Komputer Windows Server 2008 dan Windows Server 2008 R2.

Dimulai dengan Windows Vista, metode untuk menerapkan keamanan selama persiapan sistem operasi yang diubah. Khususnya, pengaturan keamanan terdiri dari pengaturan yang ditentukan dalam deftbase.inf ditambah oleh pengaturan yang diberlakukan dengan operasi proses dan server peran pemasangan. Karena tidak ada proses yang didukung untuk replay izin yang dibuat oleh sistem operasi penataan, penggunaan "secedit/configure / cfg %windir%\inf\defltbase.inf /db defltbase.sdb / verbose" baris perintah tidak mampu ulang semua keamanan default dan bahkan dapat menyebabkan sistem operasi menjadi tidak stabil.

Untuk Microsoft Windows 2000, Windows XP atau Windows Server 2003 komputer, "secedit/configure / cfg %windir%\repair\secsetup.inf /db secsetup.sdb / verbose" perintah masih didukung dalam beberapa skenario di mana pengaturan keamanan harus dipulihkan menggunakan secsetup.inf template. Karena mengimpor Secsetup.inf atau template apa pun lainnya hanya me-reset apa yang ditetapkan di pola dasar dan tidak memulihkan pengaturan eksternal, metode ini mungkin masih tidak gulung balik semua sistem operasi asali, termasuk mereka yang mungkin menyebabkan masalah kompatibilitas mundur.

Penggunaan "secedit/configure /" tetap sepenuhnya didukung untuk mengimpor pola dasar kustom.

Berikut ini adalah daftar metode yang didukung (dalam urutan menurun longgar preferensi) untuk memulihkan sistem Windows sebelumnya bekerja status.
  1. Memulihkan status sistem menggunakan: (Untuk semua Windows klien/server)

    Jika Anda memiliki cadangan keadaan sistem yang dibuat untuk sistem Windows tertentu sebelum kejadian, gunakan sama untuk memulihkan tataan keamanan ke status kerja. Perubahan ke aplikasi pada sistem karena kondisi sistem mungkin perlu diterapkan kembali untuk pemulihan berhasil. Ini mungkin tidak dapat membantu memulihkan tataan keamanan di aplikasi yang terkait data atau non-operasi sistem berkas. Anda mungkin perlu lengkap sistem cadangan termasuk status sistem untuk memulihkan kembali ke status aslinya.
  2. Pemulihan menggunakan pemulihan sistem: (Untuk klien sistem operasi Windows saja)

    Fitur pemulihan sistem internal secara otomatis membuat titik pemulihan secara rutin dan ketika aplikasi ditambahkan melalui metode Penginstal didukung. Masing-masing titik pemulihan berisi informasi yang diperlukan yang diperlukan untuk memulihkan sistem ke status pilihan sistem. Metode ini dapat digunakan untuk memulihkan sistem ke keadaan tertentu. Seperti disebutkan sebelumnya dalam metode sebelumnya, ini mungkin tidak berguna untuk memulihkan tataan keamanan di aplikasi data dan cadangan lengkap sistem mungkin diperlukan untuk yang sama.
  3. Memulihkan menggunakan template telah dikonfigurasikan:

    Untuk sistem yang dibangun dengan pola dasar, Anda dapat menggunakan Wisaya konfigurasi keamanan jika template dibuat untuk mesin masalah.
  4. Pemulihan izin berkas:

    Untuk izin berkas, Anda dapat menggunakan dibangun pada alat baris perintah ICACLS/pemulihan untuk gulung balik berkas keamanan yang telah telah membuat cadangan menggunakan /save beralih pada mesin yang sama dari status kerja sebelumnya. Metode ini dapat digunakan untuk membandingkan hasil dari mesin bekerja sama untuk gagal satu.

    Bila tidak ada metode di atas berlaku atau cadangan tidak tersedia dari mana untuk memulihkan, silakan mengurungkan perubahan dengan mengikuti Anda mengubah kendali daftar atau merujuk ke pemecahan masalah Bagian dari artikel ini untuk pengaturan keamanan tertentu atau dengan proses eliminasi.

    Berikut adalah Daftar Tabel membandingkan metode yang disebutkan sebelumnya:
    Metodesistem operasi yang didukungProKontraPra-pekerjaan yang diperlukan
    cadangan WindowsSemua Windows Server/klienDapat digunakan untuk membuat cadangan data & memulihkan status sistemSet data kemungkinan besar untuk mengelola. Selain itu, Anda mungkin perlu replay perubahan setelah cadangan yang telah dipulihkan.

    Ya
    Pemulihan SistemSemua klien Windows-Windows XP, Windows Vista, Windows 7Dapat dikonfigurasi untuk menjalankan cadangan keadaan sistem otomatisTidak gulung balik data aplikasi yang akan diubah secara tidak sengaja.Ya
    Panduan konfigurasi keamananWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Dapat menyediakan pola dasar untuk pemulihan/menerapkan keamanan Hanya berlaku atau dilihat data yang terkandung dalam template yang digunakanYa
    ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Berguna untuk membuat cadangan berkas NTFS izin untuk kembali nanti jika diperlukanSaat ini tidak menawarkan menyimpan izin untuk lokasi lain seperti registri, Layanan dll.Ya
    Metode pemecahan masalahWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Berguna ketika di atas tidak disebutkan alat cadangan tersediaHal ini tidak dapat menempatkan konfigurasi mesin seluruh dalam keadaan aslinya sebelum perubahan izin terjadi. Selain itu, membatalkan perubahan tersebut dapat merusak dependensi yang ditetapkan oleh aplikasi atau komponen OS.Tidak ada
Informasi lebih lanjut
Parameter keamanan berikut ini harus diatasi untuk menyelesaikan masalah perizinan. Ini adalah parameter yang ditentukan dalam pola dasar keamanan:
Nama bidang Deskripsi
SECURITYPOLICY Kebijakan lokal dan kebijakan domain untuk sistem. Ini termasuk kebijakan account, audit, dan kebijakan lainnya.
GROUP_MGMT Pembatasan pengaturan grup untuk grup yang ditetapkan di pola dasar keamanan.
USER_RIGHTS Memberikan izin dan hak pengguna log masuk.
REGKEYS Keamanan di bukti kunci registri lokal.
FILESTORE Keamanan penyimpanan berkas lokal.
LAYANAN Keamanan untuk Semua layanan yang ditetapkan.
Alat berikut tersedia untuk pemecahan masalah
bidang keamanan yang berbeda:
  1. SecurityPolicy (akun kebijakan, Audit kebijakan, setelan Event Log dan opsi keamanan):
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. Filestore
  6. Layanan
Berikut adalah beberapa rincian tambahan mengenai penggunaan setiap alat-alat yang tercantum di atas.

RSOP (hasil serangkaian kebijakan)

Hasil mengatur kebijakan (RSoP) adalah tambahan Kebijakan Grup yang membuat penerapan kebijakan dan pemecahan masalah lebih mudah. RSoP adalah mesin permintaan yang polling dan kebijakan ada rencana, dan kemudian akan melaporkan hasil permintaan tersebut. Internat kebijakan yang ada yang didasarkan pada situs, domain, pengontrol domain, dan unit organisasi. RSoP mengumpulkan informasi ini dari database umum informasi manajemen Object Model (CIMOM) (dikenal sebagai sesuai CIM penyimpan objek) melalui Windows Management Instrumentation (WMI).

Apa yang dihasilkan menyetel kebijakan?

http://technet.Microsoft.com/en-US/Library/cc758010 (WS.10).aspx

Menggunakan RSoP

http://technet.Microsoft.com/en-US/Library/cc782663 (WS.10).aspx

Ini adalah integral snap-in "rsop.msc" tersedia bagi semua sistem operasi yang didukung-Windows XP atau yang lebih baru.

Analisis dan konfigurasi keamanan

Analisis dan konfigurasi keamanan adalah alat untuk menganalisis dan konfigurasi keamanan sistem lokal. Konfigurasi keamanan dan analisis yang memungkinkan Anda untuk segera mengkaji hasil analisis keamanan dan langsung mengkonfigurasi keamanan sistem lokal. Menyajikan rekomendasi bersamaan dengan pengaturan sistem saat ini dan menggunakan visual bendera atau komentar untuk menyorot semua area mana tataan saat ini tidak cocok tingkat keamanan yang diusulkan. Analisis dan konfigurasi keamanan juga menawarkan kemampuan untuk menyelesaikan ketidaksesuaian analisis mengungkapkan. Melalui penggunaan pangkalan data pribadi, Anda dapat mengimpor pola dasar keamanan yang telah dibuat dengan keamanan template dan menerapkan template ini ke komputer lokal. Ini segera mengkonfigurasi sistem keamanan dengan tingkat yang ditetapkan di pola dasar.

Menganalisis keamanan sistem

http://technet.Microsoft.com/en-US/Library/cc776590 (WS.10).aspx

Praktik terbaik untuk konfigurasi keamanan dan analisis

http://technet.Microsoft.com/en-US/Library/cc757894 (WS.10).aspxSecedit /ExportSecedit.exe
merupakan alat baris perintah internal yang dapat digunakan untuk mengekspor kebijakan lokal atau kebijakan gabungan dari mesin Windows. Anda dapat mengekspor kondisi kebijakan dari mesin dalam keadaan bekerja dan kemudian gunakan / mengkonfigurasi switch menerapkan kembali pola dasar ke komputer saat dalam keadaan masalah.

Untuk informasi tambahan dan sintaks, lihat Hal ini.

NTrights.exe
adalah alat kit sumber daya baris perintah yang memungkinkan Anda untuk memberi atau mencabut hak pengguna di komputer Windows secara lokal atau jauh.

Cara menetapkan hak pengguna log masuk dengan menggunakan utilitas NTRights

http://support.Microsoft.com/kb/315276

Ntrights.exe adalah bagian dari alat kit sumber daya yang dapat diunduh di sini .

Proses Monitor
adalah salah satu utilitas Sysinternals yang memungkinkan untuk mengelola dan memantau berkas sistem, registri, aktivitas proses, untaian, dan DLL dalam waktu nyata. Hal ini memungkinkan kami filter hasil serta menyimpan hasil dalam berkas untuk meninjau nanti. Alat ini dapat digunakan untuk memecahkan masalah keamanan dengan berkas dan registri akses. Misalnya: Anda dapat menyaring "hasil" untuk mencoba "ditolak".

Untuk informasi lebih lanjut, Lihat tautan di bawah ini:

http://technet.Microsoft.com/en-US/SysInternals/bb896645.aspx

Men-download dari sini atau menjalankan proses Monitor sekarang dari Live.Sysinternals.com

AccessCheck
adalah program baris perintah yang dapat digunakan untuk memeriksa apakah jenis mengakses kelompok pengguna tertentu ke sumber daya seperti bukti kunci registri/file/direktori, objek global dan layanan Windows. Klik tautan di bawah ini untuk rinciannya:

http://technet.Microsoft.com/en-US/SysInternals/bb664922.aspx

Men-download dari di sini

AccessEnum
memberikan tampilan penuh garis jatuh berseri sistem berkas dan pengaturan keamanan kumpulan registri yang membantu Anda untuk lubang keamanan dan mengunci izin yang diperlukan.

http://technet.Microsoft.com/en-US/SysInternals/bb897332.aspx

Men-download dari di sini

SC.exe
merupakan alat baris perintah internal yang berkomunikasi dengan manajer kontrol layanan. Ini dapat digunakan untuk menampilkan informasi tentang layanan mulai nilai, mengubah, atau menonaktifkannya. Di dalam artikel ini, Anda dapat menggunakan perintah "sc sdshow Service_Name" untuk output izin pada layanan. Setelah Anda memiliki output, Anda dapat menggunakan artikel KB berikut untuk menafsirkan sama

Praktik terbaik dan Panduan bagi penulis Layanan kontrol akses kewenangan daftarhttp://support.Microsoft.com/kb/914392

Selain itu, Anda dapat menjalankan perintah "sc sdset service_name DACL_in_SDDL_format" untuk mengubah izin.

Informasi tambahan tentang hal ini dapat ditemukan di tautan berikut ini:

http://support.Microsoft.com/kb/251192

http://technet.Microsoft.com/en-US/Magazine/dd296748.aspx
Icacls.exeIcacls.exe adalah utilitas baris perintah internal yang memungkinkan untuk menampilkan atau mengubah kontrol akses kewenangan mencantumkan (DACLs) pada file/direktori tertentu. "ICACLS path_name/Simpan aclfile" dapat digunakan untuk mengekspor ACL untuk name(files/directories) relevan garis jatuh berseri ke berkas teks dan juga dapat digunakan untuk memulihkan kembali ke berkas yang menggunakan perintah "ICACLS path_name /restore aclfile"

Informasi tambahan tentang hal ini dapat ditemukan di tautan berikut ini:

http://support.Microsoft.com/kb/919240

http://technet.Microsoft.com/en-US/Library/cc753525 (WS.10).aspx
keamanan

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 313222 - Tinjauan Terakhir: 08/06/2016 03:20:00 - Revisi: 5.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster kbmt KB313222 KbMtid
Tanggapan