Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come ripristinare le impostazioni di protezione a uno stato funzionante noto

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Sommario
Nel corso di una installazione del sistema operativo, è possibile che si verifichino modifiche di configurazioni tali da impedire al sistema operativo o alle applicazioni di funzionare correttamente. È possibile che i sintomi dipendano da impostazioni di sicurezza eccessivamente restrittive che includono, tra gli altri:
  • Errori di avvio del sistema operativo, del servizio o dell'applicazione
  • Errori di autenticazione o autorizzazione
  • Errori di accesso alle risorse in un computer locale o remoto
Le operazioni che possono modificare le impostazioni di protezione includono, tra le altre:
  • Aggiornamenti del sistema operativo, Service Pack QFE e installazioni di un'applicazione
  • Modifiche dei criteri di gruppo
  • Assegnazioni diritti utente
  • Modelli di protezione
  • La modifica delle impostazioni di protezione in Active Directory, nel Registro di sistema e altri database
  • La modifica di autorizzazioni per gli oggetti in AD, il file system e il Registro di sistema di Windows
È possibile definire le impostazioni di protezione su computer locale, remoto e sulla mancata corrispondenza di interoperabilità tra un computer locale e uno remoto.

Quando un'installazione già funzionante si arresta improvvisamente, una procedura naturale di risoluzione dei problemi è quella di ritornare all'ultima configurazione funzionante quando il sistema operativo, il servizio o l'applicazione scorso erano in funzione o, in caso estremo, riportare il sistema operativo alla configurazione guidata.

In questo articolo vengono descritti metodi supportati e non supportati per annullare o ripristinare modifiche ai seguenti elementi:
  • Autorizzazioni nel Registro di sistema, file system e nei servizi
  • Assegnazioni diritti utente
  • Criteri di sicurezza
  • Appartenenza a un gruppo
Limitazioni di importazione di modelli di protezione predefiniti:

La versione precedente di questo articolo stabilisce un metodo per utilizzare il comando "secedit / configure", con l'avvertenza che la procedura non ripristina tutte le impostazioni di protezione applicate quando si installa Windows e può portare a conseguenze imprevedibili.

L'uso di "secedit / configure" per importare il modello di sicurezza predefinito, dfltbase.inf, non è supportato né è un metodo adatto a ripristinare le autorizzazioni di sicurezza predefinite nei computer con Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2.

A partire da Windows Vista, il metodo per applicare la protezione durante l'installazione del sistema operativo è cambiato. In particolare, le impostazioni di protezione consistevano in impostazioni definite in deftbase.inf ampliate da impostazioni applicate dal processo di installazione in uso e dall'installazione del ruolo server. Poiché non esiste alcun processo supportato per ripetere le autorizzazioni fatte dalla configurazione del sistema operativo, l'uso della riga di comando "secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose" non è più in grado di reimpostare tutte le impostazioni predefinite di protezione e può anche causare instabilità nel sistema operativo.

Per computer con Microsoft Windows 2000, Windows XP o Windows Server 2003, il comando "secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose" è ancora supportato in rari scenari nei quali è necessario ripristinare le impostazioni di protezione utilizzando il modello secsetup.inf. Dal momento che l'importazione del Secsetup.inf o qualsiasi altro modello reimposta solo ciò che è definito nel modello e non ripristina le impostazioni esterne, tale metodo può anche non ripristinare tutto il sistema operativo predefinito, incluse le impostazioni che possono causare un problema di compatibilità.

L'uso di "secedit / configure" rimane pienamente supportato per l'importazione di modelli personalizzati.

Il seguente è un elenco di metodi supportati (in ordine sparso) per ripristinare il sistema di Windows al suo stato precedente.
  1. Ripristino utilizzando lo Stato di sistema: Per tutti i client e server Windows

    Se si dispone di un backup dello stato del sistema, creato per il determinato sistema di Windows prima dell'evento imprevisto, utilizzare lo stesso per ripristinare le impostazioni di protezione a uno stato funzionante. Con le eventuali modifiche alle applicazioni del sistema, è necessario riapplicare lo stato del sistema per un ripristino corretto. È possibile che tale passaggio non sia utile per ripristinare le impostazioni di protezione sui dati relativi all'applicazione o su qualsiasi file di sistema non operativo. È necessario eseguire un backup completo del sistema, compreso lo stato del sistema, per ripristinarlo al suo stato originale.
  2. Ripristino utilizzando Ripristino configurazione di sistema: (soltanto per sistemi operativi client Windows)

    La funzionalità integrata Ripristino configurazione di sistema crea automaticamente punti di ripristino, a intervalli regolari e mentre le applicazioni vengono aggiunte tramite i metodi di installazione supportati. Ciascun punto di ripristino contiene le informazioni necessarie per ripristinare il sistema allo stato di sistema scelto. È possibile utilizzare tale metodo per ripristinare il sistema a uno stato specifico. Come accennato per il metodo precedente, è possibile che tale metodo non sia utile per ripristinare le impostazioni di protezione sui dati delle applicazioni, di conseguenza potrebbe essere necessario un backup completo del sistema.
  3. Ripristino utilizzando un modello preconfigurato:

    Per i sistemi costruiti con un modello, è possibile utilizzare una configurazione guidata impostazioni di protezione nel caso in cui un modello è stato creato per i problemi del computer.
  4. Ripristino esclusivo per le autorizzazioni dei file:

    Per le autorizzazioni dei file, è possibile utilizzare lo strumento incorporato della riga di comando ICACLS per ripristinare la protezione di un file, di cui è stato eseguito il backup scegliendo l'opzione Salva sullo stesso computer da un precedente stato in funzione. È possibile utilizzare tale metodo per confrontare i risultati di uno stesso computer funzionante con uno malfunzionante.

    Quando nessuno dei metodi illustrati è utile o non è disponibile alcun backup per ripristinare, annullare la modifica seguendo l'elenco di controllo delle modifiche oppure fare riferimento alla sezione di questo articolo Risoluzione dei problemi per una specifica impostazione di protezione o un processo di eliminazione.

    Di seguito viene riportata una tabella in cui si confrontano i metodi illustrati in precedenza:
    MetodoSistemi operativi supportatiAspetti positiviAspetti negativiPrelavorazione necessaria
    Windows BackupPer tutti i server e i client WindowsPuò essere utilizzato per il backup dei dati e per il ripristino dello stato del sistemaDati, potenzialmente di grandi dimensioni, impostati per la gestione. Potrebbe inoltre essere necessario ripetere le modifiche dopo aver ripristinato il backup.

    Ripristino configurazione di sistemaTutti i client Windows: Windows XP, Windows Vista, Windows 7È possibile configurare Windows Backup per eseguire i backup automatici dello stato del sistemaNon ripristina i dati delle applicazioni modificati involontariamente.
    Configurazione guidata impostazioni di protezioneWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2In grado di fornire un modello per ripristinare o applicare la protezione Applica o visualizza esclusivamente dati contenuti nel modello utilizzato
    ICACLS per il ripristinoWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Utile per il backup delle autorizzazioni dei file NTFS, da riutilizzare in seguito a seconda delle necessitàAttualmente non fornisce autorizzazioni di salvataggio per ulteriori percorsi come il Registro di sistema, i servizi o altro.
    Metodi di risoluzione dei problemiWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Utile quando nessuno degli strumenti o backup descritti è disponibileTale metodo potrebbe non essere in grado di riportare l'intera configurazione del computer al suo stato originale, prima che si siano modificate le autorizzazioni. Inoltre, annullando tali cambiamenti, è possibile che la risoluzione dei problemi interrompa le dipendenze impostate da un'applicazione o un componente del sistema operativo.No
Informazioni
È necessario che i seguenti parametri di protezione siano utilizzati per risolvere il problema delle autorizzazioni. Di seguito vengono riportati i parametri definiti all'interno dei modelli di protezione:
Nome area Descrizione
SECURITYPOLICY Criterio locale e criterio di dominio per il sistema. Sono inclusi i criteri account, i criteri di controllo e altri.
GROUP_MGMT Impostazioni dei gruppi con restrizioni per tutti i gruppi specificati nel modello di protezione.
USER_RIGHTS Diritti di accesso degli utenti e concessione di autorizzazioni.
REGKEYS Protezione delle chiavi del Registro di sistema locale.
FILESTORE Protezione dell'archivio file locale.
SERVICES Protezione di tutti i servizi definiti.
I seguenti strumenti sono disponibili per la risoluzione dei problemi
nelle diverse aree di protezione:
  1. SecurityPolicy (criteri account, criteri di controllo, impostazioni del registro eventi e opzioni di sicurezza):
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. Filestore
  6. Servizi
Di seguito sono riportati alcuni ulteriori dettagli riguardanti l'utilizzo di ognuno degli strumenti sopra elencati.

Gruppo di criteri risultante (Resultant Set of Policy - RSOP)

Il Gruppo di criteri risultante si aggiunge ai Criteri di gruppo ed è volto a facilitare l'implementazione e la risoluzione dei problemi relativi ai criteri. RSoP è un modulo di gestione query che esegue il polling dei criteri esistenti e pianificati e genera report con i risultati di tali query. Il polling dei criteri esistenti può essere eseguito a livello di sito, dominio, controller di dominio o unità organizzativa. Il Gruppo di criteri risultante raccoglie queste informazioni dal database CIMON (Common Information Management Object Model), anche noto come repository di oggetti compatibili CIM, utilizzando Strumentazione gestione Windows o WMI.

Gruppo di criteri risultante

http://technet.microsoft.com/it-it/library/cc758010(WS.10).aspx

Utilizzo dello strumento Gruppo di criteri risultante

http://technet.microsoft.com/it-it/library/cc782663(WS.10).aspx

Si tratta di uno snap-in integrato "rsop.msc", disponibile per tutti i sistemi operativi supportati, Windows XP o versione successiva.

Analisi e configurazione della protezione

L'analisi e configurazione della sicurezza è uno strumento per analizzare e configurare la sicurezza del sistema locale. L'analisi e configurazione di protezione consente di rivedere rapidamente i risultati delle analisi di protezione e configurare direttamente la protezione del sistema locale. Dispone segnalazioni parallelamente alle impostazioni di sistema correnti e utilizza contrassegni visivi o osservazioni per evidenziare le aree in cui le impostazioni correnti non corrispondano al livello proposto di protezione. L'analisi e configurazione di protezione offre la possibilità di risolvere eventuali discrepanze rivelate dall'analisi. Attraverso i database personali, è possibile importare i modelli di protezione creati con Modelli di protezione e applicare tali modelli al computer locale. Ciò configura immediatamente la protezione del sistema con i livelli specificati nel modello.

Analisi della protezione del sistema

http://technet.microsoft.com/it-it/library/cc776590(WS.10).aspx

Procedure consigliate per l'analisi e configurazione della protezione

http://technet.microsoft.com/it-it/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe
è uno strumento a riga di comando integrato che può essere utilizzato per esportare i criteri locali o i criteri uniti da un computer con Windows. È possibile esportare lo stato del criterio dal computer nel suo stato in funzione e quindi utilizzare l'opzione Configura per riapplicare il modello sul computer che presenta problemi.

Per la sintassi e ulteriori informazioni, fare riferimento a questa sezione.

NTrights.exe
è una strumento a riga di comando del Resource Kit che consente di concedere o revocare i diritti utente su un computer Windows locale o in remoto.

Impostazione dei diritti di accesso utente mediante l'utilità NTRights

http://support.microsoft.com/it-it/kb/315276

Ntrights.exe è compreso negli strumenti del Resource Kit e può essere scaricato qui.

Monitoraggio dei processi
è una delle utilità Sysinternals che consente il monitoraggio di elementi quali il file system, il Registro di sistema, i processi, i thread e l'attività DLL in tempo reale. Tale utilità permette di filtrare i risultati e salvarli in un file per la revisione successiva. È possibile utilizzare questo strumento per risolvere i problemi di protezione con accesso ai file e al Registro di sistema. Ad esempio: È possibile filtrare il risultato dopo vari tentativi negati.

Per ulteriori informazioni, visitare il seguente collegamento:

http://technet.microsoft.com/it-it/sysinternals/bb896645.aspx

Scaricare da qui oppure eseguire il monitoraggio processi da Live.Sysinternals.com

AccessCheck
è un programma a riga di comando che può essere utilizzato per verificare i gruppi o gli utenti specifici che dispongono di un determinato tipo di accessi a risorse quali file, directory, chiavi del Registro di sistema, oggetti globali e servizi di Windows. Fare clic sui collegamenti riportati di seguito per i dettagli:

http://technet.microsoft.com/it-it/sysinternals/bb664922.aspx

Scaricare qui

AccessEnum
offre una visualizzazione completa del percorso del file system e delle impostazioni di sicurezza relative all'hive del Registro di sistema, individuando i problemi nel sistema di sicurezza e bloccando le autorizzazioni a seconda delle necessità.

http://technet.microsoft.com/it-it/sysinternals/bb897332.aspx

Scaricare qui

Sc.exe
è uno strumento integrato a riga di comando che comunica con la Gestione controllo servizi. Può essere utilizzato per visualizzare informazioni su un valore iniziale di servizio, in modo da modificarlo o disattivarlo. In questo articolo è possibile utilizzare il comando "sc sdshow Service_Name" per assegnare le autorizzazioni sul servizio. Una volta eseguita l'operazione, è possibile utilizzare il seguente articolo della Microsoft Knowledge Base per l'interpretazione.

Procedure consigliate e informazioni aggiuntive per gli autori di elenchi di controllo di accesso discrezionale (DACL) e i servizihttp://support.microsoft.com/it-it/kb/914392

È possibile inoltre eseguire il comando "sc sdset service_name DACL_in_SDDL_format" per modificare le autorizzazioni.

Le informazioni aggiuntive sono reperibili ai seguenti collegamenti:

http://support.microsoft.com/it-it/kb/251192

http://technet.microsoft.com/it-it/magazine/dd296748(en-us).aspx
Icacls.exeIcacls.exe è una utilità a riga di comando integrata che consente di visualizzare o modificare gli elenchi di controllo di accesso discrezionale (DACL) su file o directory specificati. È possibile utilizzare "ICACLS percorso_nome/salva fileACL" per esportare gli ACL al nome del percorso relativo (file e cartelle) in un file di testo e, inoltre, per ripristinarlo di nuovo sui file tramite il comando "ICACLS percorso/ripristina file ACL"

Le informazioni aggiuntive sono reperibili ai seguenti collegamenti:

http://support.microsoft.com/it-it/kb/919240

http://technet.microsoft.com/it-it/library/cc753525(WS.10).aspx
security
Proprietà

ID articolo: 313222 - Ultima revisione: 08/19/2015 21:54:00 - Revisione: 14.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster KB313222
Feedback
ent.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> 1&t=">