現在オフラインです。再接続するためにインターネットの接続を待っています

お使いのブラウザーはサポートされていません

このサイトを利用するには、ブラウザーを更新する必要があります。

Internet Explorer を最新バージョンに更新する

既知の作業状態へのセキュリティ設定を復元する方法

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:313222
概要
期間中のオペレーティング システムのインストール、構成の変更は、オペレーティング システムやアプリケーションが正常に動作しないように発生します。過度に制限の厳しいセキュリティ設定に起因する可能性がある現象が含まれますが、これらに限定されません。
  • OS、サービス、またはアプリケーションの起動時のエラー
  • 認証または承認の失敗
  • ローカル コンピューターまたはリモート コンピューター上のリソース アクセス エラー
操作をセキュリティ設定に変更を加えることができますはこれらに限定されません。
  • OS のアップグレード、サービス パック、およびアプリケーションのインストールの QFE
  • グループ ポリシーの変更
  • ユーザー権利の割り当て
  • セキュリティ テンプレート
  • Active Directory およびレジストリ、およびその他のデータベースのセキュリティ設定の変更
  • AD は、ファイル システム、Windows レジストリ内のオブジェクトに対するアクセス許可の変更
ローカル、リモート コンピューターのローカル コンピューターとリモート コンピューターの間で、相互運用性の不一致上のセキュリティ設定を定義できることに注意してください。

うまく動いていたときにインストールが突然失敗した自然のトラブルシューティングの手順は、最後に、オペレーティング システム、サービス、またはアプリケーションの最終作業、時に存在して構成を返すまたは、極端な場合、オペレーティング システムに戻るのボックスの構成。

この資料では、サポート対象およびサポート非対象のメソッドを元に戻すまたはロールバックは、次の要素を変更します。
  • レジストリ、ファイル システム、およびサービスのアクセス許可
  • ユーザー権利の割り当て
  • セキュリティ ポリシー
  • グループのメンバーシップ
既定のセキュリティ テンプレートをインポートする制限。

この資料の以前のバージョンを使用する方法を示す、「secedit 設定」の手順で Windows をインストールすると予期しない結果が発生する可能性があります適用されているすべてのセキュリティ設定が復元されないことに注意してコマンド。

使用「secedit 設定」をデフォルトのセキュリティ テンプレートをインポートするには、dfltbase.inf ではサポートされていませんでも実行可能な Windows 7、Windows Vista で既定のセキュリティ アクセス許可を復元する方法 Windows Server 2008 と Windows Server 2008 R2 コンピューター。

Windows Vista オペレーティング システムのセットアップの変更中にセキュリティを適用する方法で開始します。具体的には、セキュリティの設定 deftbase.inf の強化、運用プロセスとサーバーの役割インストールによって適用される設定で定義されている設定で構成します。オペレーティング システムのセットアップを使用してアクセス許可を再生する、サポートされているプロセスがないため、"secedit/cfg %windir%\inf\defltbase.inf/db defltbase.sdb を設定/詳細」コマンド ・ ラインはすべて既定のセキュリティ設定をリセットすることと、オペレーティング システムが不安定になることもあります。

Microsoft Windows 2000、Windows XP または Windows Server 2003 コンピューターでの"secedit/cfg %windir%\repair\secsetup.inf/db secsetup.sdb の設定と詳細な」コマンドは、セキュリティの設定が、[secsetup.inf テンプレートを使用して復元する必要がある、非常にいくつかのシナリオではサポートされても。[Secsetup.inf またはその他のテンプレートをインポートして外部設定は復元されませんが、テンプレートで定義されているのみリセットされ、以降このメソッド可能性がありますもいない復元の互換性の問題の原因となり得るものも含めて、すべてのオペレーティング システムの既定。

使用「secedit 設定」ままのカスタム テンプレートをインポートするための完全にサポートします。

次の (優先順位の緩やかな順序) でサポートされているメソッドの一覧は、以前の操作に Windows システムの復元の状態。
  1. システムの状態を使用して復元:(すべての Windows クライアントまたはサーバー) について

    事故の前に特定の Windows システムに作成されたシステム状態のバックアップの場合は、同じセキュリティ設定を正常な状態に復元するに使用します。以来、システムの状態は、システム上のアプリケーションへの変更は、正常な回復を再適用する必要があります。これがあります役に立つ関連データまたはオペレーティング システム以外のファイルは、アプリケーションのセキュリティ設定を復元します。完全なシステム バックアップなどを復元するには、システム状態のバックアップを元の状態に必要があります。
  2. システムの復元を使って復元:(Windows クライアント オペレーティング システム用のみ)

    組み込みシステムの復元機能は自動的に定期的に、インストーラーがサポートされているメソッドを使用して、アプリケーションが追加されると復元ポイントを作成します。各復元ポイントにシステムを選択した状態にシステムを復元するために必要な必要な情報が含まれています。このメソッドは、特定の状態にシステムを回復する使用できます。システム全体のバックアップが必要なく、同じ前の方法で前述したように、これがありますアプリケーション データのセキュリティの設定を復元するのに役立ちます.
  3. 構成済みのテンプレートを使用して復元します。

    問題のマシンのテンプレートを作成した場合、テンプレートに組み込まれているシステムでは、セキュリティの構成ウィザードを使用できます。
  4. ファイルのアクセス許可を復元します。

    ファイルのアクセス許可を使用できます組み込みコマンド ライン ツールのスイッチの ICACLS/復元にはバックアップされて、/save を使用して、復元ファイルのセキュリティを以前の作業状態を同じコンピューター上で。このメソッドで障害が発生する、同一のコンピューターからの結果を比較することができます 1 つです。

    上記の方法のいずれも適用または復元元のバックアップはありません、してください、コントロール ボックスの一覧で、変更を元に戻すまたはを参照してください、 トラブルシューティング 特定のセキュリティ設定または予選のプロセスでは、この資料の「。

    前に説明した方法の比較表を次に示します。
    メソッドサポートされているオペレーティング システムPro詐欺準備作業が必要
    Windows バックアップすべての Windows サーバ/クライアントデータをバックアップして & システム状態を復元に使用できます。可能性のある大規模なデータ セットを管理します。また、復元された、バックアップ後に変更を再生する必要があります。

    [はい]
    システムの復元すべての Windows クライアント – Windows XP の場合 Windows Vista, Windows 7自動のシステム状態のバックアップを実行するように構成できます。アプリケーションのデータが誤って変更された可能性がありますを復元しません。[はい]
    セキュリティの構成ウィザードWindows XP、Windows Vista では、Windows 7、Windows Server 2003、Windows Server 2003 R2 は、Windows Server 2008 では、Windows Server 2008 R2 の復元/セキュリティを適用するテンプレートを提供することができます。 使用するテンプレート内に含まれるデータを表示、またはのみ適用されます。[はい]
    ICACLS/RestoreWindows XP、Windows Vista では、Windows 7、Windows Server 2003、Windows Server 2003 R2 は、Windows Server 2008 では、Windows Server 2008 R2 の必要な場合は、後で再利用するための NTFS ファイルのアクセス許可をバックアップするために便利です。それ現在は提供していないレジストリなど他の場所のアクセス許可を保存するサービスなど。[はい]
    トラブルシューティング方法Windows XP、Windows Vista では、Windows 7、Windows Server 2003、Windows Server 2003 R2 は、Windows Server 2008 では、Windows Server 2008 R2 の上記のツールとバックアップがないときに便利です。アクセス許可の変更が発生する前に元の状態に、コンピューター全体の構成を追加この可能性があります。また、このような変更を元に戻す設定によって、アプリケーションや OS コンポーネントの依存関係が壊れる可能性があります。いいえ
詳細
セキュリティの次のパラメーターは、アクセス許可の問題を解決するために対処する必要があります。セキュリティ テンプレートで定義されているパラメーターを次に示します。
エリア名 説明
SECURITYPOLICY ローカル ポリシーとドメイン ポリシー、システムを。アカウント ポリシー、監査ポリシー、およびその他のポリシーが含まれます。
GROUP_MGMT- セキュリティ テンプレートで指定されているすべてのグループに関する制限されたグループの設定します。
USER_RIGHTS ユーザー ログオンの権利とアクセス許可を付与します。
レジストリ ローカル レジストリ キーのセキュリティを指定します。
ファイルストア ローカル ファイル記憶域のセキュリティ。
サービス 定義されているすべてのサービスのセキュリティ。
次のツールは、トラブルシューティングに使用できます。
別のセキュリティ領域:
  1. SecurityPolicy の (アカウント ポリシー、監査ポリシー、イベント ログ設定、およびセキュリティ オプション)。
  2. Group_mgmt-
  3. User_Rights
  4. レジストリ
  5. ファイルストア
  6. サービス
いくつかの上記のツールの使用方法についての詳細を次に示します。

RSOP (ポリシーの結果セット)

ポリシーの結果セット (RSoP) はグループ ポリシーの実装およびトラブルシューティングを容易にするポリシーを追加します。RSoP は既存のポリシーや計画されたポリシーをポーリングし、それらのクエリの結果を報告するクエリ エンジンです。既存のポリシーをサイト、ドメイン、ドメイン コント ローラー、および組織単位に基づいてポーリングされます。RSoP は Windows 管理インストルメンテーション (WMI) からに (CIM 準拠のオブジェクト リポジトリとも呼ばれます)、共通情報管理オブジェクト モデル (CIMOM) データベースからこの情報を収集します。

ポリシーの結果セットとは

http://technet.microsoft.com/en-us/library/cc758010 (WS.10).aspx

RSoP を使用してください。

http://technet.microsoft.com/en-us/library/cc782663 (WS.10).aspx

サポートされているすべてのオペレーティング システムの組み込みスナップイン使用可能な「rsop.msc」は-Windows XP またはそれ以降です。

セキュリティの構成と分析

セキュリティの構成と分析は、分析とローカル システムのセキュリティを構成するためのツールです。セキュリティの構成と分析を使用すると、セキュリティ分析の結果を簡単に確認して、ローカル システムのセキュリティを直接構成します。示し、現在のシステム設定と並んで推奨フラグまたは注釈を使用して、現在の設定は、提示されたセキュリティ レベルが一致しない領域が強調表示されます。セキュリティの構成と分析は分析で判明した矛盾を解決する機能も提供します。個人用データベースを使うからセキュリティ テンプレートで作成されているし、これらのテンプレートをローカル コンピューターに適用するセキュリティ テンプレートをインポートできます。これはすぐにテンプレートで指定されているレベルでシステム セキュリティを構成します。

システム セキュリティを分析します。

http://technet.microsoft.com/en-us/library/cc776590 (WS.10).aspx

セキュリティの構成と分析に関するヒント集

http://technet.microsoft.com/en-us/library/cc757894 (WS.10).aspxSecedit の/ExportSecedit.exe
Windows コンピューターから、ローカル ポリシーまたは結合されたポリシーをエクスポートするのに使用できる組み込みのコマンド ライン ツールです。マシンの作業状態で、ポリシーの状態をエクスポートし、使用して、問題の状態の場合に、コンピューターにテンプレートを再適用するスイッチを設定します。

構文やその他の情報を参照してください。 この.

NTrights.exe
許可または、ローカルまたはリモートの Windows コンピューターでユーザー権限を失効することができますコマンドラインのリソース キット ツールです。

NTRights ユーティリティを使用してログオン ユーザーの権限を設定する方法

http://support.microsoft.com/kb/315276

Ntrights.exeは、リソース キット ツールをダウンロードすることができますの一部 ここでは .

プロセスのモニター
リアルタイムでのファイル システム、レジストリ、プロセス、スレッド、および DLL 活動の監視のための Sysinternals ユーティリティの 1 つです。後で、校閲用のファイルに保存するだけでなく、結果をフィルター処理することができます。このツールは、ファイルとレジストリのアクセス権を持つセキュリティ上の問題のトラブルシューティングを行うには使用できます。例:「拒否」試行の結果」をフィルター処理できます。

詳細については、次のリンクを参照してください。

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

ダウンロードからここでまたは Live.Sysinternals.com のこれからのプロセス モニターの実行

AccessCheck
ファイル/ディレクトリとレジストリ キー、グローバル オブジェクトや Windows サービスなどのリソースを特定のユーザーまたはグループにアクセスするものの種類を確認するのに使用できるコマンド ライン プログラムが必要です。詳細については、以下のリンクをクリックします。

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

ダウンロードします。 ここでは

AccessEnum
ファイル システムのパス、レジストリ ハイブのセキュリティ設定が必要な場合のセキュリティ ホールやアクセス許可のロックダウンを支援の全体ビューできます。

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

ダウンロードします。 ここでは

Sc.exe
サービス コントロール マネージャーと通信する組み込みのコマンド ライン ツールです。サービス開始の値に関する情報を表示、変更、または無効にできます。コマンド」表サービス名」を使用するこの資料では、サービスのアクセス許可を出力します。次の KB 資料を使用して同じ解釈を出力しました。

サービスの随意アクセス制御のためのガイダンスとベスト ・ プラクティスの一覧を表示します。http://support.microsoft.com/kb/914392

コマンド「sc sdset service_name DACL_in_SDDL_format」を実行するも、アクセス許可を変更します。

詳細については、以下のリンクにあります。

http://support.microsoft.com/kb/251192

http://technet.microsoft.com/en-us/magazine/dd296748.aspx
Icacls.exeIcacls.exe は、組み込みのコマンド ライン ユーティリティが表示または変更、随意アクセス制御リスト (Dacl) で指定したファイルまたはディレクトリです。「ICACLS path_name aclfile を保存"を使用して ACL 用の関連パス name(files/directories) をテキスト ファイル エクスポートを使用することも、コマンド「ICACLS path_name/restore aclfile」を使用して、ファイルに復元することができます

詳細については、以下のリンクにあります。

http://support.microsoft.com/kb/919240

http://technet.microsoft.com/en-us/library/cc753525 (WS.10).aspx
セキュリティ

警告: この記事は自動翻訳されています

プロパティ

文書番号:313222 - 最終更新日: 04/02/2015 02:00:00 - リビジョン: 1.0

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • kbenv kbhowtomaster kbmt KB313222 KbMtja
フィードバック
+ (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");