Momentan sunteți offline, așteptați să vă reconectați la internet

Cum pot restaura setările de securitate la o stare de funcționare cunoscute?

Asistența pentru Windows XP s-a încheiat

Microsoft a încheiat asistența pentru Windows XP la data de 8 aprilie 2014. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 313222
Rezumat
Prin ciclului de viață a instala un sistem de operare, poate apărea modificări de configurație care împiedică sistemul de operare sau aplicații să funcționeze corect. Simptome care pot fi cauzate de setările de securitate foarte restrictivă includ, dar nu sunt limitate la:
  • Erori de pornire OS, consolidare servicii sau aplicații
  • Erori de autentificare sau de autorizare
  • Resurse accesul erorile de pe unitatea locală sau pe un computer la distanţă
Operațiuni care puteți să modificați setările de securitate includ, dar nu sunt limitate la:
  • Upgrade-urile de sistem de operare, QFE pachet Service Pack și aplicația se instalează
  • Modificări de politică de grup
  • Atribuirile de drepturi de utilizator
  • Șabloane de securitate
  • Modificare setări de securitate în Active Directory și registry și alte baze acoperire de date
  • Modificarea permisiunile pentru obiectele în AD, sistemul de fișiere, Windows registry
Rețineți că setările de securitate poate fi definit pe unitatea locală, un computer la distanţă, o nepotrivire de interoperabilitate între locale și un computer la distanţă.

Atunci când un lucru anterior instalarea se blochează neașteptat, natural de depanare pas este pentru a reveni la ultima configurație funcțională, care exista la sistemul de operare, consolidare servicii sau aplicație a lucrat ultima dată, sau într-un caz extrem, readuce sistemul de operare la configurația out-of-box.

Acest articol descrie metode acceptate și neacceptate pentru a anula sau modificări de revenire la următoarele elemente:
  • Permisiuni în Registry, sistemul de fișiere și consolidare servicii
  • Atribuirile de drepturi de utilizator
  • politică de securitate
  • Apartenență la grup
Limite de importul șabloanele de securitate implicite:

Versiunea anterioară a acestui articol afirmă o metodă de a utiliza "secedit / configure" cu avertisment ca procedura nu restaurează toate setările de securitate care se aplică atunci când instalați Windows și poate duce la consecinţele neprevăzute.

Utilizarea "secedit / configure" pentru a importa șablonul implicit de securitate, dfltbase.inf, nu este acceptată nu este o metodă de vedere pentru a restaura implicit permisiunile de securitate pentru Windows Vista, Windows 7, Computerele Windows Server 2008 şi Windows Server 2008 R2.

Începând cu Windows Vista, metodă pentru a aplica de securitate în timpul instalării sistemului de operare modificat. Mai precis, setările de securitate a constat setările definite în deftbase.inf de setările aplicate de operare instalare proces și server rolul instalarea. Deoarece nu există nici un proces acceptat pentru a reda permisiunile de configurarea sistemului de operare, utilizarea "secedit / configure/cfg %windir%\inf\defltbase.inf /db defltbase.sdb / verbose" linia Către de comandă nu mai este capabil să reinițializați toate setările de securitate implicite și chiar și poate duce la sistemul de operare să devină instabil.

Pentru Microsoft Windows 2000, Windows XP sau Windows Server 2003 computere, "secedit / configure/cfg %windir%\repair\secsetup.inf /db secsetup.sdb / verbose" este încă acceptată în scenarii foarte puțini în cazul în care setările de securitate trebuie să fi restaurat utilizând şablonul secsetup.inf. Deoarece importul Secsetup.inf sau orice alt șablon resetează numai ceea ce este definit în șablonul și restabilește setările extern, această metodă poate încă nu restaurați toate sistemul de operare implicit, inclusiv pe cele care pot cauza o problemă de compatibilitate.

Utilizarea "secedit / configure" rămâne suport complet pentru importul șabloane particularizate.

Mai jos se află o listă de metode acceptate (într-o ordine desprins de preferință) pentru a restaura sistemul Windows să sale anterior de lucru stare.
  1. Restaurarea stării sistemului utilizând: (Pentru clienții Windows toate/servere)

    Dacă aveți o copiere de rezervă stării sistemului, care a fost creat pentru sistemul Windows înainte de incident, utilizați același pentru a restabili setările de securitate de la o stare de funcționare. Modificări la aplicații pe sistem din starea de sistem poate fi necesar să reutilizată pentru recuperare cu succes. Acest lucru nu poate fi util pentru a restabili setările de securitate pe aplicație legate acoperire de date sau toate fișierele de sistem de operare. Poate fi necesară o copiere de rezervă, sistem complet inclusiv stării sistemului pentru a restaura înapoi la starea sa inițială.
  2. Restaurare utilizând restaurare sistem: (Pentru client de sisteme de operare Windows numai)

    Caracteristica Restaurare sistem încorporat creează automat puncte de restaurare la intervale regulate și când aplicațiile sunt adăugate prin metode acceptate de instalare. Fiecare punct de restabilire conține informațiile necesare necesare pentru a restaura sistemul la starea sistemului ales. Această metodă poate fi utilizat pentru recuperarea sistemului la o stare specifice. Așa cum am menționat mai devreme în metoda anterioară, acest lucru nu poate fi util pentru a restabili setările de securitate pe aplicație date și o copiere de rezervă completă de sistem pot fi necesare pentru același.
  3. Restabilire utilizând un şablon preconfigurate:

    Pentru sisteme încorporate cu un șablon, utilizați expertul de configurare securitate dacă s-a creat un șablon pentru mașina problema.
  4. Restaurare permisiunile de fișiere:

    Pentru permisiunile de fișiere, se poate utiliza construit în instrumentul de linia Către de comandă ICACLS/restaurare pentru restaurare securitate de fișier care a fost copia de rezervă utilizând /save comutați pe același computer dintr-o stare anterioară funcțională. Această metodă poate fi folosit pentru a compara rezultatele de la o mașină de lucru identice la o defecțiune unul.

    Atunci când se aplică niciuna dintre metodele de mai sus sau backup nu este disponibil pentru a restabili, vă rugăm să anulați modificările urmând Listă tabel de control de modificare sau se referă la depanare secțiune a acestui articol pentru a o setare de securitate specifice sau de proces de eliminare.

    Iată un tabel compararea metodele menționate mai sus:
    MetodaSisteme de operare acceptateProCon pePre-lucru este necesar
    Copiere de rezervă WindowsToate serverele/clienții WindowsPoate fi utilizat pentru copierea de rezervă date & restaurarea stării sistemuluiSet acoperire de date mari pentru a gestiona. De asemenea, trebuie să reluarea modificările după copierea de rezervă care s-a restabilit.

    Da
    Restaurare sistemToți clienții Windows-Windows XP Windows Vista, Windows 7Poate fi configurat pentru a efectua backup de sistem de stare automatNu restaurați datele aplicației, care poate fi modificată din greșeală.Da
    Expert de configurare securitateWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Poate furniza un șablon pentru a restabili/aplica de securitate Numai se aplică sau vizualizează datele conținute în șablonul utilizatDa
    ICACLS/RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Util pentru copierea de rezervă permisiunile de fișiere NTFS pentru reutilizare mai târziu, dacă este necesarÎn prezent nu oferă salvarea permisiunile pentru alte locații, cum ar fi registry, consolidare servicii etc.Da
    Metode de depanareWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Util atunci când niciuna dintre cele de mai sus menționate instrumente/copie de rezervă sunt disponibileAcest lucru să nu pună configurația întreaga machine în starea sa originală dinaintea producerii modificarea permisiunilor. De asemenea, anularea astfel de modificări să întrerupeți dependențele de o aplicație sau o componentă de sistem de operare.No
Informaţii suplimentare
Următorii parametri de securitate poate fi necesar să fi tratate pentru a rezolva o problemă de permisiuni. Acestea sunt parametrii care sunt definite în șabloane de securitate:
nume de domeniu Descrierea
SECURITYPOLICY Politica locală și politica de domeniu pentru sistem. Aceasta include politicile de cont, politici de audit și alte politici.
GROUP_MGMT Restricționat grup setări pentru orice grupuri care sunt specificate în șablonul de securitate.
USER_RIGHTS Drepturi de conecta utilizator și acordarea de permisiuni.
REGKEYS Securitate cheile de local registry.
FILESTORE Securitate stocarea fișierelor locale.
consolidare servicii Securitate pentru Toate serviciile definite.
Următoarele instrumente sunt disponibile pentru depanare
zonele de securitate diverse:
  1. SecurityPolicy (cont politici, politici de Audit, jurnal de evenimente setările și opțiunile de securitate):
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. Filestore
  6. consolidare servicii
Iată câteva detalii suplimentare privind modul de utilizare a fiecare dintre instrumentele enumerate mai sus.

RSOP (Set de politică rezultat)

Rezultate setul de politici (RSoP) este o politică de grup care face politica de implementarea și mai ușor de depanare. RSoP este un motor de interogare care sondează politicile existente și planificate politicile și raportează rezultatele interogărilor respective. Sondaje de politicile existente pe site-ul, domeniu, controlerul de domeniu și unitate organizațională. RSoP colectează aceste informații din baza acoperire de date comune informații Management Object Model (CIMOM) (cunoscute și ca depozit de obiecte CIM compatibil cu) prin Instrumentație de Management Windows (WMI).

Ce este setat de politica de rezultat?

http://technet.Microsoft.com/en-us/library/cc758010 (WS.10).aspx

Utilizarea RSoP

http://technet.Microsoft.com/en-us/library/cc782663 (WS.10).aspx

Aceasta este o încorporat de completare snap-in "rsop.msc" disponibil pentru toate versiunile de sisteme de operare-Windows XP sau o versiune ulterioară.

Configurația de securitate și de analiză

Configurația de securitate și analiză este un instrument de analiză şi configurarea sistemul local de securitate. Configurația de securitate și analiză vă permite să examinați rapid rezultate de analiză de securitate și se configurează direct sistem local de securitate. Prezintă recomandări alături de setările curente de sistem şi utilizează semnalizări vizuale sau observaţii pentru a evidenția toate zonele unde setările curente nu corespund propusă nivelul de securitate. Configurația de securitate și de analiză, de asemenea, oferă posibilitatea de a rezolva orice diferență care analiza. Prin utilizarea sa de baze acoperire de date personale, puteți importa șabloane de securitate care au fost create cu securitate șabloane și se aplică aceste şabloane pe computer local. Acest lucru configurează imediat securitatea sistemului cu niveluri specificat în șablonul.

Analiza securitatea sistemului

http://technet.Microsoft.com/en-us/library/cc776590 (WS.10).aspx

Practici recomandate pentru configurația de securitate și de analiză

http://technet.Microsoft.com/en-us/library/cc757894 (WS.10).aspxSecedit /ExportSecedit.exe
este un instrument de linia Către de comandă încorporat, care pot fi utilizate pentru a exporta politica locală sau îmbinate politica de pe un computer Windows. Puteţi exporta politica stării de pe computerul în starea sa, apoi utilizați / configurare pentru a reaplica șablonul pe computerul în stare de problemă.

Sintaxă și informații suplimentare, consultați Acest lucru.

NTrights.exe
este un instrument de linia Către de comandă kit de resurse care vă permite să acorde sau revoca drepturi utilizator pe un computer Windows, fie local sau la distanță.

Cum se setează drepturi utilizator conecta utilizând utilitarul NTRights

http://support.Microsoft.com/kb/315276

Ntrights.exe face parte din instrumentele kituri de resurse care poate fi descărcat aici .

Process Monitor
este unul dintre utilitarele de Sysinternals care permite monitorizarea de fișiere de sistem, Registry, DLL, fir și proces activitate în marcă de timp real. Aceasta ne permite să filtraţi rezultatele, cât și salvați rezultatele într-un fișier de revizuire mai târziu. Acest instrument poate fi utilizat pentru a depana problemele de securitate cu acces la fișiere și registry. De exemplu: puteţi să filtraţi "rezultatul" pentru "refuzat" încearcă.

Pentru informații suplimentare, consultați linkul de mai jos:

http://technet.Microsoft.com/en-us/sysinternals/bb896645.aspx

Descărcați de aici sau executați Process Monitor acum de la Live.Sysinternals.com

AccessCheck
este un program de linia Către de comandă care pot fi utilizate pentru a verifica ce tip de accesează specifice/grupuri de utilizatori au la resursele de directoare/fişiere/registru chei, global obiecte și serviciile Windows. Faceți clic pe linkul de mai jos pentru detalii:

http://technet.Microsoft.com/en-us/sysinternals/bb664922.aspx

Descărcați de la aici

AccessEnum
vă oferă o vizualizare Proiect completă de cale de sistem de fișiere și Registry secțiunii setările de securitate ajutându-vă pentru găuri de securitate şi blocare în jos permisiuni, dacă este necesar.

http://technet.Microsoft.com/en-us/sysinternals/bb897332.aspx

Descărcați de la aici

SC.exe
este un instrument de linia Către de comandă încorporat care comunică cu managerul de Control al serviciului. Acesta poate fi utilizat pentru a afișa informații despre o valoare de pornire serviciu, modifica sau dezactivați-l. În cadrul acestui articol, aveți posibilitatea să utilizați comanda "sc sdshow Service_Name" la ieşire permisiunile pentru serviciul. După ce ați ieșire, utilizați următorul articol din baza de cunoștințe pentru a interpreta același

Listează cele mai bune practici și indicații pentru writers de serviciu de control al accesului deplinhttp://support.Microsoft.com/kb/914392

De asemenea, aveți posibilitatea să executați comanda "sc sdset service_name DACL_in_SDDL_format" pentru a modifica permisiunile.

Informații suplimentare despre această problemă pot fi găsite în următoarele linkuri:

http://support.Microsoft.com/kb/251192

http://technet.Microsoft.com/en-us/magazine/dd296748.aspx
Icacls.exeIcacls.exe este un utilitar de linia Către de comandă încorporată care permite afișarea sau modificarea control acces deplin listează (DACLs) fișierele/directoare specificat. "ICACLS path_name/salva aclfile" poate fi utilizat pentru a exporta ACL pentru name(files/directories) calea relevante într-un fișier text și utiliza, de asemenea, să-l restabili înapoi pe fișiere utilizând comanda "ICACLS path_name/Restore aclfile"

Informații suplimentare despre această problemă pot fi găsite în următoarele linkuri:

http://support.Microsoft.com/kb/919240

http://technet.Microsoft.com/en-us/library/cc753525 (WS.10).aspx
securitate

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 313222 - Ultima examinare: 04/02/2015 02:01:00 - Revizie: 1.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster kbmt KB313222 KbMtro
Feedback
"var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">