既知の稼働状態をセキュリティの設定を復元する方法

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:313222
概要
期間中のオペレーティング システム インストール、構成の変更に、オペレーティング システムまたはアプリケーションが正常に動作を防ぐために発生します。過度に厳しいセキュリティ設定によって発生する現象を含むものがありますに。
  • OS、サービスまたはアプリケーションの起動時のエラー
  • 認証または承認の失敗
  • ローカル コンピューターまたはリモート コンピューター上のリソース アクセスの障害
セキュリティ設定に変更を加える操作を含むものがありますに。
  • OS のアップグレード、QFE のサービス パック、アプリケーションのインストール
  • グループ ポリシーの変更
  • ユーザー権利の割り当て
  • セキュリティ テンプレート
  • Active Directory とレジストリやその他のデータベース内のセキュリティ設定の変更
  • AD、ファイル システム、Windows レジストリ内のオブジェクトに対するアクセス許可の変更
ローカル、リモート コンピューター、ローカル コンピューターとリモート コンピューター間の相互運用性不一致のセキュリティ設定を定義することに注意してください。

うまく動いていたときに突然は、自然なトラブルシューティングの手順で最後のとき、オペレーティング システム、サービスまたはアプリケーションの最終作業、作業構成を返したり、極端な場合、オペレーティング システムを標準の構成に戻すには。

元に戻すサポート対象およびサポート非対象のメソッドをこの資料で説明またはロールバックは、次の要素を変更します。
  • レジストリ、ファイル システム、サービスのアクセス許可
  • ユーザー権利の割り当て
  • セキュリティ ポリシー
  • グループのメンバーシップ
既定のセキュリティ テンプレートのインポートの制限:

この資料の以前のバージョンを使用する方法を示す、"secedit 構成/」コマンド、プロシージャが Windows をインストールし、予期しない結果が生じるときに適用されるすべてのセキュリティ設定を復元していない点にします。

使用"secedit 構成/"既定のセキュリティ テンプレートをインポートするには、dfltbase.inf ではサポートされていません、Windows Vista、Windows 7 の既定のセキュリティ アクセス許可を復元するのには実行可能な方法でもありません Windows Server 2008 と Windows Server 2008 R2 コンピューターです。

Windows Vista では、オペレーティング システムのセットアップの変更中に、セキュリティを適用する方法を開始します。具体的には、セキュリティの設定は、動作のインストール プロセスとサーバーの役割のインストールによって適用される設定により強化 deftbase.inf で定義された設定を行いました。オペレーティング システムのセットアップを使用してアクセス許可を再生するのにはサポートされているプロセスがないため、"secedit/cfg %windir%\inf\defltbase.inf/db defltbase.sdb の構成/詳細/」コマンド ・ ラインは、すべての既定のセキュリティをリセットすることが不要になったと、オペレーティング システムが不安定になる場合でも、可能性があります。

Microsoft Windows 2000、Windows XP または Windows Server 2003 コンピューターでの"secedit/cfg %windir%\repair\secsetup.inf/db secsetup.sdb を構成すると詳細/"secsetup.inf テンプレートを使用して復元する必要があるセキュリティの設定はほとんどのシナリオでは、コマンドはサポートされても。Secsetup.inf をまたはその他のテンプレートをインポートする元に戻るだけどのようなテンプレートで定義されていて、外部の設定は復元されません、ためこのメソッド可能性がありますまだ復元の互換性の問題の原因となっているものも含めて、すべてのオペレーティング システムの既定です。

使用"secedit 構成/」カスタム テンプレートをインポートするため完全にサポートされているままです。

(優先度の緩やかな順序) でサポートされているメソッドの一覧の以前の動作を Windows のシステムを復元するのには状態です。
  1. システムの状態を使用して復元:(のすべての Windows クライアント/サーバー)

    事故の前に特定の Windows システムで作成されたシステム状態のバックアップがある場合は、同じを使用して、セキュリティ設定を作業状態に復元します。システム状態からは、システム上のアプリケーションへの変更は、回復を正常に再適用する必要があります。これは、有用となる可能性がありますしないデータまたはオペレーティング システム以外のすべてのファイルを関連アプリケーションのセキュリティ設定を復元します。完全なシステム バックアップを含む元の状態に復元するシステム状態バックアップを作成する必要があります。
  2. システムの復元を使用して復元:(Windows クライアント オペレーティング システム用のみ)

    組み込みシステムの復元機能は、定期的に、インストーラーがサポートされているメソッドを使用してアプリケーションを追加するときに自動的に復元ポイントを作成します。各復元ポイントには、選択されたシステムの状態にシステムを復元するために必要な必要な情報が含まれています。特定の状態にシステムを回復するのには、このメソッドを使用できます。前述の前のメソッドをこのできない場合がありますアプリケーション ・ データのセキュリティの設定を復元するのには役に立つと同じにはシステム全体のバックアップが必要です。
  3. 構成済みのテンプレートを使用して復元します。

    テンプレートを使用して構築されたシステムでは、問題のマシンのテンプレートが作成されている場合、セキュリティの構成ウィザードを使用できます。
  4. ファイルのアクセス許可のみをリストアします。

    ファイルのアクセス許可を使用できます組み込み ICACLS または復元されたバックアップが、/save を使用して復元ファイルのセキュリティをスイッチの前の稼働状態から同じコンピューターでコマンド ライン ツールで。このメソッドを使用する比較の結果を同一のコンピューターから、障害が発生した 1 つ。

    上記の方法の適用、または復元元のバックアップがないと、してください、コントロール ボックスの一覧を次の変更を元に戻すかを参照してください、 トラブルシューティング 特定のセキュリティ レベルを設定するか、消去法では、この資料のセクションです。

    前述のメソッドの比較表を以下に示します。
    メソッドサポートされているオペレーティング システムPro詐欺師準備作業が必要
    Windows バックアップすべての Windows サーバ/クライアントデータをバックアップ & システム状態の復元に使用できます。管理する可能性のある大規模なデータ セットです。また、復元されたバックアップ以降後の変更を再生する必要があります。

    [はい]
    システムの復元すべての Windows クライアント-Windows XP では、 Windows Vista の場合, Windows 7 の場合自動システム状態のバックアップを実行するように構成できます。誤って変更される可能性がありますアプリケーション データを復元します。[はい]
    セキュリティの構成ウィザードWindows XP、Windows Vista では、Windows 7、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 では、Windows Server 2008 R2リストアとセキュリティを適用するテンプレートを提供することができます。 適用するか、使用するテンプレートに含まれるデータの表示のみ[はい]
    ICACLS/RestoreWindows XP、Windows Vista では、Windows 7、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 では、Windows Server 2008 R2必要な場合は、後で再利用できるように、NTFS ファイルのアクセス許可をバックアップするのに便利です。それは現時点では、レジストリなどの他の場所に対するアクセス許可の保存などのサービスです。[はい]
    トラブルシューティング方法Windows XP、Windows Vista では、Windows 7、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 では、Windows Server 2008 R2上記のツールとバックアップの [なし] が利用できる場合に役立ちます。アクセス許可の変更が発生する前に元の状態で、マシン全体の構成この配置可能性があります。また、このような変更を元に戻すと、アプリケーションまたは OS コンポーネントによって設定の依存関係が壊れる可能性があります。No
詳細
次のセキュリティ ・ パラメーターは、アクセス許可の問題を解決するのに対処する必要があります。セキュリティ テンプレート内で定義されているパラメーターがあります。
領域名 説明
SECURITYPOLICY ローカル ポリシーとドメイン ポリシー、システムをします。これには、アカウント ポリシー、監査ポリシー、およびその他のポリシーが含まれます。
GROUP_MGMT- セキュリティ テンプレートで指定されているグループに対する制限されたグループ設定します。
USER_RIGHTS ユーザー ログオンの権利とアクセス許可を付与します。
レジストリ ローカル レジストリ キーのセキュリティ。
ファイルストア ローカル ファイル記憶域のセキュリティです。
サービス 定義されているすべてのサービスのセキュリティ。
次のツールは、トラブルシューティングに使用できます。
別のセキュリティ領域:
  1. SecurityPolicy の (アカウント ポリシー、監査ポリシー、イベント ログの設定、およびセキュリティ オプション)。
  2. Group_mgmt-
  3. User_Rights
  4. レジストリ
  5. ファイルストア
  6. サービス
上記ツールの使用法に関する追加の詳細情報を次に示します。

RSOP (ポリシーの結果セット)

ポリシーの結果セット (RSoP) は、ポリシーの実装およびトラブルシューティングを容易には、グループ ポリシーに追加します。RSoP は、既存のポリシーおよび計画済みのポリシーをポーリングし、それらのクエリの結果を報告するクエリ エンジンです。サイト、ドメイン、ドメイン コント ローラー、および組織単位に基づいて既存ポリシーをポーリングします。RSoP は、Windows 管理インストルメンテーション (WMI) を (CIM 準拠のオブジェクト リポジトリとも呼ばれます) の一般的な情報の管理オブジェクト モデル (CIMOM) データベースからこの情報を収集します。

ポリシーの結果セットとは

http://technet.microsoft.com/en-us/library/cc758010 (WS.10).aspx

RSoP を使用してください。

http://technet.microsoft.com/en-us/library/cc782663 (WS.10).aspx

オペレーティング システムがサポートされているすべての組み込みスナップインで使用可能な「rsop.msc」は-Windows XP またはそれ以降です。

セキュリティの構成と分析

セキュリティの構成と分析は、分析とローカル システムのセキュリティを構成するためのツールです。セキュリティの構成と分析を使用すると、セキュリティの分析結果を簡単に確認し、ローカル システム セキュリティを直接構成できます。と共に現在のシステム設定の推奨事項を提示し、ビジュアル、フラグまたは注釈を使用して、現在の設定が提案されているセキュリティ レベルと一致している領域を強調表示します。セキュリティの構成と分析は、分析で判明した矛盾を解決する機能も提供します。個人用データベースを使うことによって、セキュリティ テンプレートで作成されているし、これらのテンプレートをローカル コンピューターに適用するセキュリティ テンプレートをインポートできます。これは、直後に、テンプレートで指定されたレベルを持つシステムのセキュリティを構成します。

システム セキュリティを分析します。

http://technet.microsoft.com/en-us/library/cc776590 (WS.10).aspx

セキュリティの構成と分析に関するヒント集

http://technet.microsoft.com/en-us/library/cc757894 (WS.10).aspxSecedit/ExportSecedit.exe
Windows マシンから、ローカル ポリシーまたは結合されたポリシーをエクスポートするのには使用できる組み込みのコマンド ライン ツールです。稼働状態のコンピューターからポリシーの状態をエクスポートし、使用して、問題の状態のときにコンピューターにテンプレートを再適用するスイッチを構成するとします。

構文と詳細については、次を参照してください。 この.

NTrights.exe
ローカルまたはリモート Windows コンピューター上のユーザー権利を与えたりできるようにするコマンド ライン リソース キット ツールです。

NTRights ユーティリティを使用してログオン ユーザーの権限を設定する方法

http://support.microsoft.com/kb/315276

Ntrights.exeは、ダウンロードできるリソース キット ツールの一部をします。 ここで .

プロセス モニター
ファイル、レジストリ、プロセス、スレッド、および DLL のアクティビティをリアルタイムで監視できる Sysinternals ユーティリティの 1 つです。結果を後で、校閲用のファイルに保存するとともに、結果をフィルター処理することができます。ファイルおよびレジストリのアクセスに関するセキュリティの問題のトラブルシューティングを行うには、このツールを使用できます。たとえば:「拒否」の試行の結果」をフィルター処理できます。

詳細については、次のリンクを参照してください。

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

ここまたは Live.Sysinternals.com から現在のプロセス モニターの実行からのダウンロードします。

AccessCheck
どのような種類の特定のユーザーまたはグループにアクセスするかを確認するために使用するコマンド ライン プログラムがファイル、ディレクトリ、またはレジストリ キー、グローバル オブジェクトや Windows サービスなどのリソースを必要があります。詳細については下のリンクをクリックします。

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

ダウンロードします。 ここで

AccessEnum
レジストリ ハイブのセキュリティ設定が必要なセキュリティ ホールとアクセス許可のロックダウンを支援すること、ファイル システム パスの完全なビューが表示されます。

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

ダウンロードします。 ここで

Sc.exe
サービス コントロール マネージャーに情報をやり取りする組み込みのコマンド ライン ツールです。サービス開始の値に関する情報を表示、変更、またはそれを無効にできます。コマンド「表サービス名」を使用する、この資料のコンテキストで、サービスのアクセス許可を出力します。同じを解釈するために以下の KB 資料を使用するには、出力を作成したら、

サービスの随意アクセス制御のためのガイダンスとベスト ・ プラクティスを一覧表示します。http://support.microsoft.com/kb/914392

コマンド「sc sdset サービス名 DACL_in_SDDL_format」を実行するも、アクセス許可を変更します。

これに関する追加情報は次のリンクにあります。

http://support.microsoft.com/kb/251192

http://technet.microsoft.com/en-us/magazine/dd296748.aspx
Icacls.exeIcacls.exe は、指定したファイル/ディレクトリのリスト (Dacl) を表示または随意アクセス制御を変更するための組み込みのコマンド ライン ユーティリティです。"ICACLS path_name/aclfile を保存」の関連するパスの name(files/directories) の ACL をテキスト ファイルにエクスポートし、コマンド「ICACLS path_name/restore aclfile」を使用してファイルを復元するにも使用するに使用できます

これに関する追加情報は次のリンクにあります。

http://support.microsoft.com/kb/919240

http://technet.microsoft.com/en-us/library/cc753525 (WS.10).aspx
セキュリティ

警告: この記事は自動翻訳されています

プロパティ

文書番号:313222 - 最終更新日: 08/06/2016 03:19:00 - リビジョン: 2.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster kbmt KB313222 KbMtja
フィードバック