Jak przywrócić ustawienia zabezpieczeń do znanego stanu roboczego?

Streszczenie

Przez cały okres eksploatacji instalacji systemu operacyjnego zmiany konfiguracji może wystąpić uniemożliwiających systemu operacyjnego lub aplikacji poprawne działanie. Symptomy, które mogą być spowodowane zbyt restrykcyjne ustawienia zabezpieczeń obejmują, ale nie są ograniczone do:
  • Błędy podczas uruchamiania systemu operacyjnego, usługi lub aplikacji
  • Niepowodzenia uwierzytelniania lub autoryzacji
  • Niepowodzenia dostępu do zasobów na lokalnym lub komputerem zdalnym
Operacje, które można wprowadzić zmiany w ustawieniach zabezpieczeń obejmują, ale nie są ograniczone do:
  • Uaktualnień systemu operacyjnego, instaluje pakiet i aplikacji usługi QFE
  • Zmiany zasad grupy
  • Przypisania praw użytkownika
  • Szablony zabezpieczeń
  • Modyfikacja ustawień zabezpieczeń w usłudze Active Directory i rejestru oraz innych baz danych
  • Modyfikacja uprawnień do obiektów w Reklamie, systemu plików, rejestru systemu Windows
Należy zauważyć, że ustawienia zabezpieczeń mogą być definiowane w lokalnym, komputer zdalny, niezgodność współdziałania między lokalnym i zdalnym.

Podczas pracy dawniej nagle nie powiedzie się, naturalne rozwiązywania problemów krok jest aby powrócić do ostatnio działającej konfiguracji, które istniały podczas ostatniego zatrudnienia systemu operacyjnego, usługi lub aplikacji lub w skrajnym przypadku powróci systemu operacyjnego do konfiguracji out-of--box.

W tym artykule opisano obsługiwane i nieobsługiwane metod, aby cofnąć lub wycofywania zmian następujących elementów:
  • Uprawnienia w rejestrze, System plików i usługi
  • Przypisania praw użytkownika
  • Zasady zabezpieczeń
  • Członkostwo w grupie
Ograniczenia przywozu domyślnych szablonów zabezpieczeń:

Poprzedniej wersji tego artykułu stanowi metodę "secedit / configure" polecenia z zastrzeżeniem procedury nie przywraca wszystkie ustawienia zabezpieczeń, które są stosowane podczas instalacji systemu Windows i może spowodować nieprzewidziane skutki.

Korzystanie z "secedit / configure" Aby zaimportować szablon zabezpieczeń domyślne, dfltbase.inf, nie jest obsługiwany ani nie jest dobrą metodą, aby przywrócić domyślne uprawnienia zabezpieczeń na komputerach z Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2.

Począwszy od systemu Windows Vista, metoda stosowania ustawień zabezpieczeń podczas instalacji systemu operacyjnego, zmienione. W szczególności ustawienia zabezpieczeń składała się z ustawień zdefiniowanych w pliku deftbase.inf przez ustawienia zastosowane przez eksploatacji instalacji roli instalacji procesu i serwera. Ponieważ nie ma obsługiwanego procesu odtwarzania uprawnień tworzonych w programie konfiguracji systemu operacyjnego, korzystanie z "secedit / configure/cfg %windir%\inf\defltbase.inf /db defltbase.sdb / verbose" wiersza polecenia nie jest już Umożliwia zresetowanie wszystkich domyślnych ustawień zabezpieczeń, a nawet może prowadzić do systemu operacyjnego, staje się niestabilny.

Dla systemu Microsoft Windows 2000, Windows XP lub systemu Windows Server 2003 komputerów "secedit / configure/cfg %windir%\repair\secsetup.inf /db secsetup.sdb / verbose" polecenie jest nadal obsługiwane w bardzo niewielu scenariuszach, gdzie trzeba przywrócić szablon secsetup.inf przy użyciu ustawień zabezpieczeń. Ponieważ tylko importowanie pliku Secsetup.inf lub każdy inny szablon resetuje co jest zdefiniowany w szablonie i nie przywraca ustawienia zewnętrznego, ta metoda nadal może nie przywrócić wszystkie domyślne systemu operacyjnego, łącznie z tymi, które mogą być przyczyną problemów ze zgodnością.

Korzystanie z "secedit / configure" pozostaje w pełni obsługiwane przez importowanie szablonów niestandardowych.

Oto lista obsługiwanych metod (w kolejności luźne preferencji) do przywrócenia systemu Windows do wcześniejszego, działającego stanu.
  1. Przywracanie stanu systemu przy użyciu: (Dla wszystkich klientów systemu Windows/serwerów)

    Jeśli masz kopię zapasową stanu systemu, który został utworzony dla danego systemu Windows przed zdarzeniem, korzystają z jednego, aby przywrócić ustawienia zabezpieczeń do stanu pracy. Wszelkie zmiany do aplikacji w systemie, ponieważ może być konieczne zostanie zastosowana do odzyskania stanu systemu. Nie może to być przydatne do przywracania ustawień zabezpieczeń w aplikacji związanych z danych lub plików systemu operacyjnego. Może być konieczne kompletny System tworzenia kopii zapasowych w tym stanu systemu, aby przywrócić go z powrotem do pierwotnego stanu.
  2. Przywracania za pomocą narzędzia Przywracanie systemu: (Dla klienta tylko systemy operacyjne Windows)

    Wbudowana funkcja Przywracanie systemu automatycznie tworzy punkty przywracania w regularnych odstępach czasu i kiedy aplikacje są dodawane za pomocą Instalatora obsługiwanych metod. Każdy punkt przywracania zawiera niezbędne informacje potrzebne do przywrócenia systemu do stanu wybranego systemu. Ta metoda może służyć do Przywracanie systemu do konkretnego Państwa. Jak wspomniano wcześniej w poprzedniej metody, to może okazać się pomocne w celu przywrócenia ustawień zabezpieczeń na dane aplikacji i kopii zapasowej całego systemu, mogą być potrzebne dla tego samego.
  3. Przywracanie przy użyciu wstępnie skonfigurowanego szablonu:

    Dla systemów utworzona za pomocą szablonu można użyć Kreatora konfiguracji zabezpieczeń, jeśli szablon został utworzony dla maszyny problem.
  4. Przywróć tylko uprawnienia do plików:

    Aby uzyskać uprawnienia do plików służy wbudowanego w narzędziu wiersza polecenia ICACLS/Przywróć, aby przywrócić zabezpieczenia plików z kopii przy użyciu/Save przełączyć się na tym samym komputerze z poprzedniego stanu pracy. Ta metoda może służyć do porównywania wyników z identyczne stanowiska pracy na awarię jednego.

    Gdy żaden z powyższych metod lub kopia zapasowa nie jest dostępna, z którego mają być przywrócone, cofnąć zmianę wykonując swoje listy kontrolnej zmian lub zapoznaj się z sekcją Rozwiązywanie problemów z tego artykułu, ustawienia zabezpieczeń lub przez proces eliminacji.

    Poniżej znajduje się tabela porównanie metod wspomnianych wcześniej:
    MetodaObsługiwane systemy operacyjneDla informatykówCONProwadzenie prac wstępnych
    Kopia zapasowa systemu WindowsWszystkie serwery/klientów systemu WindowsMoże służyć do tworzenia kopii zapasowych danych i przywracanie stanu systemuPotencjalnie duży zestaw danych do zarządzania. Ponadto może być konieczne odtworzenia zmian po wykonaniu kopii zapasowej, który został przywrócony.

    Tak
    Przywracanie systemuWszyscy klienci systemu Windows — Windows XP, Windows Vista, Windows 7Może być skonfigurowany do wykonywania kopii zapasowych stanu systemu automatycznegoNie przywrócić dane aplikacji, które mogą przypadkowo zmienione.Tak
    Kreator konfiguracji zabezpieczeńWindows XP, Windows Vista, Windows 7, systemów Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Udostępniania szablonu do przywracania lub stosowania zabezpieczeńTylko stosuje się lub wejścia danych zawartych na szablon używanyTak
    ICACLS/RestoreWindows XP, Windows Vista, Windows 7, systemów Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Przydatne do tworzenia kopii zapasowych uprawnienia plików systemu NTFS do ponownego wykorzystania później w razie potrzebyObecnie nie oferuje zapisywanie uprawnień dla innych lokalizacji, takich jak rejestr, usługi itp.Tak
    Metody rozwiązywania problemówWindows XP, Windows Vista, Windows 7, systemów Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Przydaje się, gdy żaden z wyżej wymienionych narzędzi i kopii nie jest dostępneTo nie umieszczać całej konfiguracji komputera w stanie pierwotnym zanim nastąpiła zmiana uprawnień. Ponadto cofanie takich zmian może spowodować przerwanie zależności ustawiona przez aplikację lub składnik systemu operacyjnego.Nie

Więcej informacji

Następujące parametry zabezpieczeń może być konieczne skierowane do rozwiązania problemu związanego z uprawnieniami. Są to parametry, które są zdefiniowane w ramach szablonów zabezpieczeń:
Nazwa obszaruOpis
SECURITYPOLICYZasady lokalne i zasady domeny dla systemu. Obejmuje zasady kont, zasady inspekcji i inne.
GROUP_MGMTUstawienia grup z ograniczeniami dla dowolnych grup określonych w szablonie zabezpieczeń.
USER_RIGHTSPrawa użytkownika do logowania i udzielanie uprawnień.
REGKEYSZabezpieczenia lokalnych kluczy rejestru.
FILESTOREZabezpieczenia plików przechowywanych lokalnie.
USŁUGIZabezpieczenia dla wszystkich zdefiniowanych usług.
Służą następujące narzędzia do rozwiązywania problemów z kolejne obszary zabezpieczeń:
  1. SecurityPolicy (w tym zasady kont, zasady inspekcji, ustawienia dziennika zdarzeń i opcje zabezpieczeń):
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. FILESTORE
  6. Usługi
Oto niektóre dodatkowe szczegóły dotyczące użytkowania każdego z narzędzi wymienionych powyżej.

Przystawka RSOP (wynikowego zestawu zasad)
Wynikowy zestaw zasad (RSoP) stanowi dodatek do zasady grupy, która sprawia, że implementację zasad i rozwiązywanie problemów. Przystawka RSoP jest aparatem kwerend, który sonduje istniejące i planowane zasady, a następnie przedstawia wyniki tych kwerend. Przystawka sonduje istniejące zasady dotyczące witryny, domeny, kontrolera domeny i jednostki organizacyjnej. Przystawka RSoP zbiera te informacje z bazy danych Common Information Management Object Model (CIMOM) (znany także jako repozytorium obiektów zgodnych z modelem CIM), za pomocą Instrumentacji zarządzania Windows (WMI).

Co to jest Wynikowy zestaw zasad?

http://technet.microsoft.com/en-us/library/cc758010(WS.10).aspx

Za pomocą przystawki RSoP

http://technet.microsoft.com/en-us/library/cc782663(WS.10).aspx

Dla wszystkich obsługiwanych systemów operacyjnych jest wbudowane przystawki "rsop.msc" dostępna-Windows XP lub nowszym.

Konfiguracja i analiza zabezpieczeń
Konfiguracja i analiza zabezpieczeń jest narzędziem służącym do analizowania i konfigurowania lokalnych zabezpieczeń systemu. Konfiguracja i analiza zabezpieczeń umożliwia szybkie przeglądanie wyników analizy zabezpieczeń i bezpośredniego konfigurowania zabezpieczeń systemu lokalnego. Przedstawia zalecenia wraz z bieżącymi ustawieniami systemu i używa wizualnych flag do wyróżnienia wszelkich obszarów, gdzie bieżące ustawienia nie odpowiadają proponowanemu poziomowi zabezpieczeń. Konfiguracja i analiza zabezpieczeń oferuje również możliwość usuwania niezgodności, które analiza wykaże. Używając osobistych baz danych można importować szablony zabezpieczeń utworzone przy użyciu przystawki Szablony zabezpieczeń i stosować je do komputera lokalnego. Natychmiast konfigurowane są zabezpieczenia systemu poziomy określone w szablonie.

Analizowanie zabezpieczeń systemu

http://technet.microsoft.com/en-us/library/cc776590(WS.10).aspx

Najważniejsze wskazówki dotyczące Konfiguracja i analiza zabezpieczeń

http://technet.microsoft.com/en-us/library/cc757894(WS.10).aspx Secedit /ExportSecedit.exe jest narzędziem wiersza polecenia wbudowane, które można wyeksportować zasady lokalne lub zasady scalone z komputera systemu Windows. Można wyeksportować stan zasad z komputera w stanie pracy, a następnie użyć / configure przełącznika, aby ponownie zastosować szablon do komputera w stanie problem.

Informacje o składni i dodatkowe informacje można znaleźć tego.

NTrights.exejest narzędziem wiersza polecenia resource kit umożliwiające użytkownikowi udzielić lub odwołać prawa użytkownika na komputerze z systemem Windows, lokalnie lub zdalnie.

Jak ustawić prawa użytkownika logowania przy użyciu narzędzia NTRights

http://support.microsoft.com/kb/315276

Ntrights.exe jest częścią narzędzia resource kit, które można pobrać tutaj .

Monitor procesujest jednym z narzędzi Sysinternals, które pozwala na monitorowanie działanie systemu plików, rejestru, proces, Wątek i biblioteki DLL w czasie rzeczywistym. Umożliwia filtrowanie wyników, a także zapisać wyniki w pliku do późniejszego przeglądu. Tego narzędzia można rozwiązywać problemy dotyczące zabezpieczeń dostępu do plików i rejestru. Na przykład: dla prób "odmowy" można filtrować "wynik".

Aby uzyskać dodatkowe informacje przeczytaj poniższe łącze:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Pobierz tutaj lub Uruchom Monitor procesu teraz z Live.Sysinternals.com

Funkcja AccessCheckjest to program wiersza polecenia, który może służyć do sprawdzania, jakie rodzaju uzyskuje dostęp do określonych użytkowników lub grup trzeba zasobów, takich jak klucze rejestru pliki/katalogi, obiekty globalne i usług systemu Windows. Kliknij łącze poniżej, aby uzyskać szczegółowe informacje:

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

Pobierz tutaj

AccessEnumzapewnia widok pełnej ścieżki systemu plików i ustawienia zabezpieczeń gałęzi rejestru pomaga dla luki w zabezpieczeniach i blokowania uprawnienia, w miarę potrzeby.

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

Pobierz tutaj

SC.exe jest narzędziem wiersza polecenia wbudowane, który komunikuje się z Menedżera sterowania usługami. Może służyć do wyświetlania informacji o wartości początkowej usługi, zmiany lub je wyłączyć. W kontekście niniejszego artykułu, można użyć polecenia "sc sdshow nazwa_usługi" uprawnienia w usłudze. Po uzyskaniu danych wyjściowych można użyć następujący artykuł bazy wiedzy, aby zinterpretować taki sam

Wyświetla listę najlepszych praktyk i wskazówki dotyczące modułów zapisujących usługi arbitralnej kontroli dostępu http://support.microsoft.com/kb/914392

Ponadto można uruchomić polecenie "sc sdset nazwa_usługi poufna_lista_kontroli_dostępu_w_formacie_sddl" do modyfikowania uprawnień.

Dodatkowe informacje na ten temat można znaleźć w następujących łączy:

http://support.microsoft.com/kb/251192

http://technet.microsoft.com/en-us/Magazine/dd296748.aspxIcacls.exeIcacls.exe to narzędzie wiersza polecenia wbudowane, które pozwala do wyświetlania lub modyfikowania list kontroli dostępu (DACL) na określonych plików/katalogów. "ICACLS nazwa_ścieżki/save plik_list_kontroli_dostępu" można używać do eksportowania dla nazwy ścieżce odpowiednimi ACL do pliku tekstowego i również służyć do przywrócenia plików za pomocą polecenia "ICACLS nazwa_ścieżki/Restore plik_list_kontroli_dostępu"

Dodatkowe informacje na ten temat można znaleźć w następujących łączy:

http://support.microsoft.com/kb/919240

http://technet.microsoft.com/en-us/library/cc753525(WS.10).aspx
Właściwości

Identyfikator artykułu: 313222 — ostatni przegląd: 16.02.2017 — zmiana: 2

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

Opinia