Відновлення настройок безпеки до відомих робочого стану

Підтримку Windows XP припинено

8 квітня 2014 р. корпорація Майкрософт припинила підтримку Windows XP. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 313222
Підсумки
Протягом терміну установку операційної системи зміни в конфігурації може статися, що перешкоджає операційної системи, або програмами, працює належним чином. Ознаки, які можуть виникати через занадто обмежувальний параметрів включають, але не обмежується:
  • Неполадки для запуску операційної системи, службою або програми
  • Автентифікація або Авторизація неполадки.
  • Помилки доступу до ресурсів, на локальному або віддаленому комп'ютері
Операції, які можна вносити зміни до настройок безпеки включають, але не обмежується:
  • Оновлення для операційної системи, QFE пакета оновлень і програми інсталяції
  • Групова політика зміни
  • Призначення прав користувачів
  • Шаблони безпеки
  • Зміни до настройок безпеки служба Active Directory та реєстру та інші бази даних
  • Внесення змін дозволів для об'єктів AD, файлова система, реєстр Windows
Зверніть увагу, що можна визначити параметри безпеки на локальному, віддаленого комп'ютера, на сумісність невідповідність місцевих і віддаленого комп'ютера.

Під Вільний час роботи раніше раптом не вдається виконати інсталяцію, природним виправлення неполадок крок, щоб повернутися до останнього робочу конфігурацію, який існував одразу після того, як операційної системи, служби або застосування останніх працює, або у крайньому випадку повертає операційну систему, її конфігурації, з вікна.

У цій статті описано, підтримуваних і непідтримуваних способів, щоб скасувати, або відкотити зміни у таких елементів:
  • Дозволи, реєстру, файлову систему та служби
  • Призначення прав користувачів
  • Політика безпеки
  • Членства в групах
Обмеження імпортування за промовчанням, шаблони безпеки:

Попередня версія цієї статті зазначається, спосіб перенесення на "secedit / того, як налаштувати" з застереження, що процедура не відновлює всі параметри безпеки, які застосовуються під Вільний час інсталяції Windows і може призвести до непередбачені наслідки.

сценарій виконання "secedit / того, як настроїти", щоб імпортувати шаблон безпеки за промовчанням, dfltbase.inf, не підтримується не є доцільно спосіб відновлення дозволів за промовчанням, у Windows 7, Windows Vista Комп'ютери з Windows Server 2008 і Windows Server 2008 R2.

Починаючи з Windows Vista, спосіб, щоб застосувати безпеки під Вільний час інсталяції операційної системи, змінено. Зокрема, визначені в deftbase.inf, розширеної настройки, які застосовуються роботи установки процес і сервер роль інсталяція входили параметри безпеки. Через те, що не підтримуються процес повторити дозволи, зроблені для інсталяції операційної системи, сценарій виконання в "secedit /, налаштування /cfg %windir%\inf\defltbase.inf /db-defltbase.sdb / детального" більше не здатна скидання всіх безпеки за промовчанням. командний рядок і навіть може спричинити операційної системи, порушенню.

Для Microsoft Windows 2000, Windows XP або Windows Server 2003 на комп'ютерах з "secedit /, налаштування /cfg %windir%\repair\secsetup.inf /db-secsetup.sdb / детального" команда підтримується лише деякі сценарії, де параметри безпеки, необхідно відновити сценарій виконання шаблону secsetup.inf. Так, як імпортувати до Secsetup.inf або будь-який інший шаблон лише скидає те, що визначено в шаблоні і не відновлює зовнішні настройки, цей спосіб може не відновити всі операційної системи за промовчанням, включаючи ті, які можуть викликати проблеми сумісності.

сценарій виконання "secedit /, налаштування" залишається, які підтримуються для імпорту користувацьких шаблонів.

Нижче наведено перелік підтримуваних способів (у вільно порядку переваги), для Відновлення системи Windows, його раніше роботи стану.
  1. Відновлення з використанням стану системи: (Для всіх клієнтів Windows/серверів)

    За наявності резервної копії стану системи, створеної для певної системи Windows до цього інциденту, використовувати той же відновлення настройок безпеки до робочого стану. Будь-які зміни для програм у системі, оскільки стану системи, можливо, потрібно буде повторно виконано відновлення. Це може бути корисно відновити параметри безпеки для застосунків, пов'язаних даних або будь-які файли для операційної системи. У разі потреби повна система резервного копіювання у тому числі стану системи, щоб відновити її, повернутися до початкового стану.
  2. Відновлення, використавши: (Для клієнта операційних системний інтегратор Windows лише)

    Вбудована функція Відновлення системи автоматично створює контрольні точки відновлення, проміжки часу, і коли додаються застосунків за допомогою інсталятора, підтримувані способи. Кожен контрольна точка відновлення, містить необхідну інформацію, яку потрібно відновити систему до стану системи, вибраної. Цей спосіб можна використовувати для Відновлення системи певного стані. Як зазначено вище в попередній спосіб, це може бути корисним, щоб відновити параметри безпеки для застосування даних і до повної резервної копії системи можуть знадобитися для однаково.
  3. Відновлення з використанням попередньо шаблону:

    Для системний інтегратор з шаблону можна використовувати майстер настроювання безпеки, якщо шаблон, було створено для машинного проблему.
  4. Відновіть дозволи на доступ лише:

    Для доступ до файлів ви можете використовувати вбудований в інструмент командний рядок, які ICACLS/відновлення, щоб відновити файл безпеки, який містить архівувати створено сценарій виконання в /save, перейдіть на цьому ж комп'ютері з до попереднього робочого стану. Цей спосіб можна використовувати, щоб порівняти результати в однакових робочої машини-в іншому один.

    Жодне з наведених вище способів застосування або архівувати не доступна, з якого потрібно відновити, будь ласка, скасувати зміни, дотримуючись змінити список керування або зверніться до на виправлення неполадок розділ цієї статті, параметр безпеки або процедури вилучення.

    Нижче наведено в таблиці, способи, описані вище в порівнянні.
    СпосібПідтримувані операційні системиПеревагиПротиПопередній роботі, необхідно
    Резервного копіювання WindowsВсі сервери та клієнти WindowsМожна використовувати для резервного копіювання на даних & відновлення стану системиВеликих набору даних для керування. Крім того, може знадобитися повторити зміни після створення резервної копії, які було відновлено.

    Так
    Засіб Відновлення системиУсі клієнти для Windows-Windows XP Windows Vista, Windows 7Можна настроїти на виконання резервні копії стану системи на автоматичнийНе, відновити застосунок даних, який ненавмисно змінено.Так
    майстер настроювання безпекиWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 і Windows Server 2008 R2Надаємо шаблон для відновлення й застосувати безпеки Лише застосовується або подання елементів даних, які містяться в шаблон, який використовуєтьсяТак
    ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 і Windows Server 2008 R2Корисна для створення резервної копії дозволів NTFS для повторного пізніше, якщо необхідноЦе наразі не пропонує збереження дозволи на доступ до інших розташувань, наприклад, реєстр, служб і т. д.Так
    Способи виправлення неполадокWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 і Windows Server 2008 R2Корисним, коли жодної з вищенаведених згадується, засоби/резервне копіювання доступніЦе не розмістив всієї машини конфігурації в початкового стану, перш ніж зміну дозволів. Крім того, скасування змін можуть бути пошкоджені залежність завдання, встановлені програми або компонента в ОС.Ні
Додаткові відомості
Наступні параметри безпеки, можливо, доведеться вирішити, щоб вирішити проблеми з дозволами. Це параметри, визначені у шаблони безпеки:
Область імені. Опис
SECURITYPOLICY Локальна політика і політики домену, для системи. Це стосується, що обліковий запис А комп'ютера політики аудиту політики та інших.
GROUP_MGMT Обмежена Група параметри для груп, яких указано в шаблоні безпеки.
USER_RIGHTS Права входу до системи та надання дозволів.
REGKEYS Безпека на локальних у реєстрі.
FILESTORE Безпека на локальних файлів.
СЛУЖБИ Безпеки для всіх певних служб.
Такі засоби, доступні для виправлення неполадок
області безпеки:
  1. SecurityPolicy (політики облікових записів, аудит політики журналу настройки та параметри безпеки):
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. Filestore
  6. Служби
Нижче наведено перелік, деякі додаткові відомості про використання кожного інструмента, описані вище дії.

RSOP (результуючий набір політик)

Результуючий набір політик (RSoP) – це доповнення до групової політики, що робить реалізації політики та виправлення неполадок, легше. RSoP-це засіб обробки запиту, опитування наявні заплановані політики й і повідомляє результатів цих запитів. Це опитування наявні політики на основі сайту, домену, контролеру домену та організаційного підрозділу. RSoP збирає відомості з бази даних Загальні відомості про керування об'єктної моделі (CIMOM) (в іншому випадку, відомий як CIM-сумісних об'єкт-сховища) через інструментарію керування Windows (WMI).

Те, що є результуючий набір політики

http://TechNet.Microsoft.com/EN-US/Library/cc758010 (WS.10).aspx

Використання RSoP

http://TechNet.Microsoft.com/EN-US/Library/cc782663 (WS.10).aspx

Це вбудований оснащення "rsop.msc", доступні для всіх підтримуваних операційні системи-Windows XP або пізнішої версії.

Конфігурація безпеки та аналізу

Конфігурація безпеки та аналізу-це інструмент для аналізу і настроювання локальної системи безпеки. Конфігурація безпеки та аналізу, що дає змогу швидко, перегляньте безпеки аналіз результатів а також безпосередньо з настроювання локальної системи безпеки. Наведено рекомендації з поточні настройки в системі і використовує візуальні позначки або зауваження, щоб виділити будь-якої області, де поточні настройки не відповідає запропонованих рівня безпеки. Конфігурація безпеки та аналізу пропонує можливості для усунення невідповідностей, які аналіз виявляє. Завдяки використанню особистих даних можна імпортувати шаблони безпеки, створені шаблони безпеки, а також застосовуються такі шаблони на локальному комп'ютері. Це негайно настроювання системи безпеки рівнів, зазначених у шаблоні.

Аналіз системи безпеки

http://TechNet.Microsoft.com/EN-US/Library/cc776590 (WS.10).aspx

Практичні рекомендації щодо конфігурації безпеки та аналізу

http://TechNet.Microsoft.com/EN-US/Library/cc757894 (WS.10).aspxSECEDIT /ExportSecedit.exe
це інструмент вбудованого командного рядка, який можна використовувати для експорту, локальні політики або до злиття з Windows машини. Експортувати стан політики з комп'ютера, у стані робота та скористайтеся на / і настроїти параметр для повторного шаблону, на комп'ютері, у проблемному стані.

Синтаксис та додаткові відомості див. Це.

NTrights.exe
це інструмент набір ресурсів командного рядка, яка дає змогу надати або скасувати права користувача, на комп'ютері з Windows, локально або віддалено.

Як налаштувати права входу до системи за допомогою програми NTRights

http://support.Microsoft.com/kb/315276

Ntrights.exe входить до складу знаряддями набору ресурсів, які можна завантажити тут .

Процес монітора
є одним із Sysinternals утиліти, що дозволяє для моніторингу файлової системи, реєстр, процесу, потоку і DLL активності в режимі реального часу. Це дозволяє фільтрувати результати, а також зберегти результати в файл для перегляду пізніше. Цей засіб можна використовувати для виправлення неполадок з доступом до файлів і реєстру безпеки. Наприклад: "результат" можна фільтрувати дані для того, як "відмовлено" спроб.

Щоб отримати додаткові відомості див. за посиланням нижче:

http://TechNet.Microsoft.com/EN-US/SysInternals/bb896645.aspx

Завантажити з тут або запустити процес монітора, тепер з Live.Sysinternals.com

AccessCheck
це програма командного рядка, які можна використовувати, щоб перевірити, що різновид матиме доступ до певних користувачів і групи повинні ресурси, наприклад розділи файли, папки, реєстру, глобального об'єктів і служб Windows. Виберіть посилання нижче, щоб переглянути докладні відомості.

http://TechNet.Microsoft.com/EN-US/SysInternals/bb664922.aspx

Завантажити тут

AccessEnum
дає повне уявлення про системний шлях і куща реєстру параметри безпеки допомагає скороченню та блокування дозволів у разі потреби.

http://TechNet.Microsoft.com/EN-US/SysInternals/bb897332.aspx

Завантажити тут

SC.exe
це інструмент вбудованого командного рядка, який взаємодіє з диспетчера керування службами. Можна використовувати для відображення відомостей про значення запуску служби, змінювати або вимкнути його. У зв'язку з цієї статті, можна використовувати до команди "sc sdshow Service_Name" для виводу дозволи від служби. Після виходу інтерпретація, те ж саме можна використовувати таку статтю бази Знань

Практичні поради й рекомендації для авторів керування доступом, додаткові спискиhttp://support.Microsoft.com/kb/914392

Крім того, можна запустити до команди "sc sdset service_name DACL_in_SDDL_format", щоб змінити дозволи.

Щоб отримати додаткові відомості про це можна знайти в наведених нижче посилань:

http://support.Microsoft.com/kb/251192

http://TechNet.Microsoft.com/EN-US/Magazine/dd296748.aspx
Icacls.exeIcacls.exe є вбудована інструмент дозволяє для перегляду та зміни керування доступом, додаткові списки, (DACLs) на вказаний файлів і каталогів. "ICACLS path_name/зберегти aclfile" можна використовувати, щоб експортувати ACL для відповідних шлях-name(files/directories) в текстовий файл а також можна використовувати, щоб повернути їх назад на файли, використовуючи до команди "ICACLS path_name /restore aclfile"

Щоб отримати додаткові відомості про це можна знайти в наведених нижче посилань:

http://support.Microsoft.com/kb/919240

http://TechNet.Microsoft.com/EN-US/Library/cc753525 (WS.10).aspx
Безпека

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 313222 – останній перегляд: 08/05/2016 07:42:00 – виправлення: 2.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster kbmt KB313222 KbMtuk
Зворотний зв’язок