Come ripristinare le impostazioni di protezione a uno stato funzionante noto?

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 313222
Sommario
Per tutta la durata di un'installazione del sistema operativo, le modifiche di configurazione si possono impedire al sistema operativo o il corretto funzionamento di applicazioni. I sintomi che possono essere causati da impostazioni di protezione eccessivamente restrittivi includono ma non sono limitati a:
  • Errori di avvio del sistema operativo, servizio o applicazione
  • Errori di autenticazione o autorizzazione
  • Errori di accesso delle risorse sul computer locale o a un computer remoto
Le operazioni che è possono apportare modifiche alle impostazioni di protezione includono ma non sono limitate a:
  • Gli aggiornamenti del sistema operativo, installa Service pack e l'applicazione del servizio QFE
  • Modifiche dei criteri di gruppo
  • Assegnazione diritti utente
  • Modelli di protezione
  • La modifica delle impostazioni di protezione in Active Directory e Registro di sistema e altri database
  • La modifica delle autorizzazioni sugli oggetti in Active Directory, il file system, Registro di sistema
Si noti che è possono definire le impostazioni di protezione locale, un computer remoto, una mancata corrispondenza di interoperabilità tra locale e un computer remoto.

Quando in precedenza si installazione improvvisamente non riesce, un naturale la risoluzione dei problemi è necessario tornare all'ultima configurazione funzionante che erano presenti quando il sistema operativo, servizio o applicazione ultima modifica o nei casi estremi, riportare il sistema operativo alla configurazione out-of-the-box.

In questo articolo vengono descritti i metodi supportati e non supportati per annullare o modifica di rollback per i seguenti elementi:
  • Autorizzazioni del Registro di sistema, File System e servizi
  • Assegnazione diritti utente
  • Criteri di protezione
  • Appartenenza al gruppo
Limitazioni di importazione di modelli di protezione predefiniti:

La versione precedente di questo articolo è indicato un metodo da utilizzare il "secedit /configure" comando tenendo presente che la procedura non consente di ripristinare tutte le impostazioni di protezione che vengono applicate quando si installa Windows e può comportare conseguenze impreviste.

L'utilizzo di "secedit /configure" per importare il modello di protezione predefinito, non è supportato dfltbase.inf, non è un metodo consigliato per ripristinare le autorizzazioni di protezione predefinite in Windows Vista, Windows 7, Computer Windows Server 2008 e Windows Server 2008 R2.

A partire da Windows Vista, il metodo per applicare la protezione durante l'installazione del sistema operativo modificato. In particolare, le impostazioni di protezione è costituita da impostazioni definite in deftbase.inf, completando le impostazioni applicate per il sistema operativo installazione process e server di installazione del ruolo. Perché nessun processo è supportato per riprodurre apportate dal programma di installazione del sistema operativo, l'utilizzo di autorizzazioni di "secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose" riga di comando non è in grado di reimpostare tutte le impostazioni predefinite di protezione e può comportare anche il sistema operativo diventi instabile.

Per Microsoft Windows 2000, Windows XP o Windows Server 2003 computer, il "secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup. sdb /verbose" comando è ancora supportato in pochi scenari in cui è necessario ripristinare il modello secsetup. inf utilizzando le impostazioni di protezione. Poiché l'importazione di secsetup. inf o qualsiasi altro modello Reimposta solo ciò che è definito nel modello e non Ripristina impostazioni esterne, questo metodo potrebbe non ripristinare comunque tutti i predefiniti di sistema operativo, inclusi quelli che potrebbero causare un problema di compatibilità.

L'utilizzo di "secedit /configure" rimane completamente supportate per l'importazione di modelli personalizzati.

Di seguito è un elenco dei metodi supportati (in un separato ordine di preferenza) per ripristinare il sistema di Windows per il relativo utilizzo in precedenza lo stato.
  1. Eseguire il ripristino utilizzando lo stato del sistema: (Per tutti i client/server Windows)

    Se si dispone di un backup dello stato del sistema che è stato creato per il particolare sistema di Windows prima dell'incidente, è possibile utilizzare lo stesso per ripristinare le impostazioni di protezione a uno stato funzionante. Le modifiche alle applicazioni del sistema, poiché lo stato del sistema potrebbe essere necessario riapplicare per il ripristino corretto. Questo potrebbe non essere utile per ripristinare le impostazioni di protezione dell'applicazione relativi dati o qualsiasi file del sistema operativo. È un sistema completo backup tra cui eseguire il backup dello stato del sistema per ripristinarlo allo stato originale.
  2. Eseguire il ripristino utilizzando Ripristino configurazione di sistema: (Per i sistemi operativi client Windows solo)

    La funzionalità incorporata di ripristino configurazione di sistema crea automaticamente punti di ripristino ad intervalli regolari e quando le applicazioni vengono aggiunti tramite i metodi di installazione supportati. Ciascun punto di ripristino contiene le informazioni necessarie, necessari per ripristinare il sistema allo stato di sistema scelto. Questo metodo può essere utilizzato per ripristinare il sistema in uno stato specifico. Come accennato in precedenza nel metodo precedente, questo potrebbe non essere utile per ripristinare le impostazioni di protezione sui dati dell'applicazione e un backup completo del sistema potrebbero essere necessari per lo stesso.
  3. Eseguire il ripristino utilizzando un modello preconfigurato:

    Per sistemi basati su un modello, è possibile utilizzare Configurazione guidata impostazioni di sicurezza, se è stato creato un modello per la macchina del problema.
  4. Ripristinare solo le autorizzazioni di file:

    Per le autorizzazioni di file, è possibile utilizzare incorporato nello strumento della riga di comando ICACLS/ripristino per Ripristino configurazione di protezione di file che è stato eseguito il backup utilizzando il /save passare sullo stesso computer da uno stato funzionante precedente. Questo metodo può essere utilizzato per confrontare i risultati da un computer di lavoro identici a guasti uno.

    Quando nessuno dei metodi sopra applica o non è disponibile da cui ripristinare i backup, annullare le modifiche seguendo l'elenco di controllo di modifica o consultare la risoluzione dei problemi sezione di questo articolo per un'impostazione di protezione specifici o dal processo di eliminazione.

    Di seguito è riportata una tabella di confronto tra metodi menzionati in precedenza:
    MetodoSistemi operativi supportatiProDella conOperazioni preliminari necessarie
    Windows BackupTutti i server/client di WindowsPuò essere utilizzato per eseguire il backup dei dati & di ripristinare lo stato del sistemaSet di dati potenzialmente grande per la gestione. Inoltre, potrebbe essere necessario riprodurre le modifiche dopo che è stato ripristinato il backup.

    Ripristino configurazione di sistemaTutti i client Windows: Windows XP, Windows Vista, Windows 7Può essere configurato per eseguire i backup dello stato del sistema automaticoNon ripristinare i dati delle applicazioni possono essere modificati inavvertitamente.
    Configurazione guidata impostazioni di sicurezzaWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Possibile fornire un modello per applicare/ripristino di protezione Si applica solo o Visualizza i dati contenuti all'interno del modello utilizzato
    ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Utile per il backup delle autorizzazioni del file system NTFS per il riutilizzo in un secondo momento se necessarioAttualmente non offre il salvataggio delle autorizzazioni per altri luoghi come Registro di sistema, servizi e così via.
    Metodi di risoluzione dei problemiWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Utile quando il backup/strumenti sopra menzionato, non sono più disponibiliQuesto non può inserire la configurazione del computer intero nello stato originale prima della modifica delle autorizzazioni. Inoltre, annullando le modifiche venga interrotti dipendenze impostate da un'applicazione o componente del sistema operativo.No
Informazioni
I seguenti parametri di protezione potrebbero essere necessario risolvere per risolvere un problema di autorizzazioni. Si tratta di parametri definiti all'interno di modelli di protezione:
Nome dell'area Descrizione
SECURITYPOLICY Criteri locali e criteri di dominio per il sistema. Questo include criteri account, criteri di controllo e altri criteri.
GROUP_MGMT Impostazioni di gruppo con restrizioni per tutti i gruppi specificati nel modello di protezione.
USER_RIGHTS Diritti di accesso e concessione di autorizzazioni.
REGKEYS Protezione sulle chiavi del Registro di sistema locale.
NELLA CACHE DEI FILE Protezione archivio file locale.
SERVIZI Protezione per tutti i servizi definiti.
I seguenti strumenti sono disponibili per la risoluzione dei problemi
le diverse aree di protezione:
  1. SecurityPolicy (criteri di Account, criteri di controllo, impostazioni del registro eventi e opzioni di protezione):
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. Nella cache dei file
  6. Servizi
Di seguito sono riportati alcuni dettagli aggiuntivi relativi all'utilizzo di tutti gli strumenti elencati in precedenza.

RSOP (gruppo di criteri risultante)

Gruppo di criteri risultante (RSoP) è un'aggiunta ai criteri di gruppo che consente l'implementazione di criteri e la risoluzione dei problemi più semplici. RSoP è un motore di query che esegue il polling dei criteri esistenti e pianificati e vengono restituiti i risultati delle query. L'esame sui criteri esistenti che si basa sul sito, dominio, controller di dominio e unità organizzativa. RSoP raccoglie queste informazioni dal database CIMOM Common Information Management Object Model (), altrimenti noto come archivio di oggetti compatibili CIM, tramite Strumentazione gestione Windows (WMI).

Che cos'è gruppo di criteri risultante?

http://technet.microsoft.com/en-us/library/cc758010 (WS.10).aspx

Utilizzo di RSoP

http://technet.microsoft.com/en-us/library/cc782663 (WS.10).aspx

È incorporato snap-in "RSoP. msc" disponibile per tutti i sistemi operativi supportati, Windows XP o versione successiva.

Analisi e configurazione della protezione

Analisi e configurazione della protezione è uno strumento per l'analisi e configurazione della protezione del sistema locale. Analisi e configurazione della protezione consente di esaminare rapidamente i risultati dell'analisi e configurare direttamente la protezione del sistema locale. Esso presenta consigliate insieme alle impostazioni di sistema correnti e utilizza contrassegni visivi o note per evidenziare le aree in cui le impostazioni correnti non corrispondono al livello di sicurezza proposto. Analisi e configurazione della protezione offre la possibilità di risolvere eventuali discrepanze rilevate dall'analisi. Grazie all'utilizzo di database personali, è possibile importare modelli di protezione che sono stati creati con modelli di protezione e applicano al computer locale. Ciò consente di configurare immediatamente la protezione del sistema con i livelli specificati nel modello.

Analizzare la protezione del sistema

http://technet.microsoft.com/en-us/library/cc776590 (WS.10).aspx

Procedure consigliate per l'analisi e configurazione della protezione

http://technet.microsoft.com/en-us/library/cc757894 (WS.10).aspxSecedit /ExportSecedit.exe
è uno strumento della riga di comando incorporato che può essere utilizzato per esportare i criteri locali o criteri uniti da un computer Windows. È possibile esportare lo stato dei criteri dal computer nel suo stato di lavoro e quindi utilizzare il configurano switch per riapplicare il modello al computer in caso di problema.

Per la sintassi e ulteriori informazioni, vedere Questa operazione.

NTrights.exe
è uno strumento di kit di risorse della riga di comando che consente di concedere o revocare i diritti utente in un computer Windows locale o remoto.

Come impostare i diritti di accesso utente mediante l'utilità NTRights

http://support.microsoft.com/kb/315276

Ntrights.exe fa parte di strumenti di resource kit che può essere scaricato qui .

Process Monitor
è una delle utilità Sysinternals che consente il monitoraggio dell'attività File system, Registro di sistema, processi, Thread e DLL in tempo reale. Consente di filtrare i risultati, nonché salvare i risultati in un file per la revisione successiva. Questo strumento può essere utilizzato per risolvere i problemi di protezione di accesso a file e del Registro di sistema. Ad esempio: È possibile filtrare il risultato"" per tentativi "negate".

Per ulteriori informazioni, consultare il seguente collegamento:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Scaricare da o eseguire Process Monitor da Live.Sysinternals.com

AccessCheck
è un programma della riga di comando che può essere utilizzato per controllare il tipo di accede a specifici utenti o gruppi di risorse quali file/directory/chiavi, oggetti globali e i servizi di Windows. Fare clic sul collegamento riportato di seguito per informazioni dettagliate:

http://technet.microsoft.com/en-us/Sysinternals/bb664922.aspx

Scaricare dal qui

AccessEnum
fornisce una visualizzazione completa del percorso del file system e le impostazioni di protezione hive del Registro di sistema consentendo di violazioni della protezione e bloccare le autorizzazioni in caso di necessità.

http://technet.microsoft.com/en-us/Sysinternals/bb897332.aspx

Scaricare dal qui

Sc.exe
è uno strumento della riga di comando incorporato che comunica con Gestione controllo servizi. Può essere utilizzato per visualizzare informazioni su un valore di avvio del servizio, modificare o disattivarlo. Nel contesto di questo articolo, è possibile utilizzare il comando "sc sdshow NOME_SERVIZIO" per le autorizzazioni per il servizio di output. Dopo avere creato l'output, è possibile utilizzare il seguente articolo della Knowledge base per interpretare la stessa

Vengono elencate le procedure consigliate e linee guida per i writer del controllo di accesso discrezionale di serviziohttp://support.microsoft.com/kb/914392

È inoltre possibile eseguire il comando "sc sdset NOME_SERVIZIO DACL_in_SDDL_format" per modificare le autorizzazioni.

Ulteriori informazioni sono disponibili nei collegamenti seguenti:

http://support.microsoft.com/kb/251192

http://technet.microsoft.com/en-us/magazine/dd296748.aspx
Icacls.exeIcacls.exe è un'utilità della riga di comando incorporato che consente di visualizzare o modificare il controllo di accesso discrezionale (DACL) di elenchi su file e directory specificata. "ICACLS nome_percorso/Salva aclfile" può essere utilizzato per esportare l'ACL per name(files/directories) il percorso relativo in un file di testo e di essere utilizzato anche per ripristinarlo nuovamente al file utilizzando il comando "ICACLS nome_percorso /restore aclfile"

Ulteriori informazioni sono disponibili nei collegamenti seguenti:

http://support.microsoft.com/kb/919240

http://technet.microsoft.com/en-us/library/cc753525 (WS.10).aspx
protezione

Avviso: questo articolo è stato tradotto automaticamente

Właściwości

Identyfikator artykułu: 313222 — ostatni przegląd: 08/06/2016 03:19:00 — zmiana: 15.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster kbmt KB313222 KbMtit
Opinia