Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm cách nào để khôi phục thiết đặt bảo mật về trạng thái làm việc đã xác định?

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.




Tóm tắt
Trong quá trình cài đặt hệ điều hành, những thay đổi cấu hình có thể xảy ra ngăn chặn hệ điều hành hoặc các ứng dụng thực hiện đúng chức năng. Các hiện tượng có thể xảy ra do việc thiết đặt bảo mật hạn chế quá mức, bao gồm nhưng không giới hạn ở:



· Lỗi khởi động hệ điều hành, dịch vụ hoặc ứng dụng

· Lỗi xác thực hoặc ủy quyền

· Lỗi truy nhập tài nguyên trên máy tính cục bộ hoặc máy tính từ xa


Các hoạt động có thể làm thay đổi thiết đặt bảo mật bao gồm nhưng không giới hạn ở:



· Nâng cấp hệ điều hành, cài đặt ứng dụng và gói dịch vụ QFE

· Thay đổi chính sách nhóm

· Gán quyền của người dùng

· Các mẫu bảo mật

· Sửa đổi thiết đặt bảo mật trong Active Directory và sổ đăng ký cũng như các cơ sở dữ liệu khác

· Sửa đổi các quyền trên các đối tượng trong Active Directory (AD), hệ thống tệp và sổ đăng ký của Windows



Chú ý rằng thiết đặt bảo mật có thể được xác định trên máy tính cục bộ, máy tính từ xa, sự không tương hoạt giữa máy tính cục bộ và máy tính từ xa.



Khi cài đặt trước đây vẫn hoạt động bị hỏng đột ngột, bước khắc phục sự cố một cách tự nhiên là trở lại cấu hình hoạt động gần nhất đã tồn tại khi hệ điều hành, dịch vụ hoặc ứng dụng đã hoạt động trước đó hoặc trong trường hợp nghiêm trọng, hãy đưa hệ điều hành trở về cấu hình không cần cài đặt thêm.


Bài viết này mô tả các phương pháp được hỗ trợ và không được hỗ trợ để hoàn tác hoặc hồi sửa cho các thành phần sau:

· Các quyền trong Sổ đăng ký, Hệ thống Tệp và Dịch vụ.

· Gán quyền của người dùng

· Chính sách bảo mật

· Tư cách thành viên nhóm



Giới hạn nhập mẫu bảo mật mặc định:

Phiên bản trước của bài viết này đưa ra một phương pháp sử dụng lệnh “secedit /configure” kèm theo khuyến cáo rằng quy trình này không khôi phục tất cả thiết đặt bảo mật được áp dụng khi bạn cài đặt Windows và có thể gây ra hậu quả khó lường.



Việc sử dụng lệnh “secedit /configure” để nhập mẫu bảo mật mặc định, dfltbase.inf không được hỗ trợ và đây cũng không phải là phương pháp cần thiết để khôi phục các quyền bảo mật mặc định trên các máy tính dùng Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2.

Bắt đầu với Windows Vista, phương pháp áp dụng bảo mật trong quá trình thiết lập hệ điều hành đã thay đổi. Cụ thể, thiết đặt bảo mật bao gồm các thiết đặt được xác định trong deftbase.inf được bổ sung bởi các thiết đặt áp dụng trong quy trình cài đặt điều hành và cài đặt vai trò của máy chủ. Do không có quy trình hỗ trợ để phát lại các quyền được thực hiện trong thiết lập hệ điều hành, việc sử dụng dòng lệnh “secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose” không còn có thể đặt lại tất cả mặc định bảo mật và thậm chí có thể khiến cho hệ điều hành trở nên không ổn định.

Đối với các máy tính dùng Microsoft Windows 2000, Windows XP hoặc Windows Server 2003, lệnh “secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose” vẫn được hỗ trợ trong rất ít trường hợp mà thiết đặt bảo mật cần được khôi phục bằng mẫu secsetup.inf. Do việc nhập Secsetup.inf hoặc bất kỳ mẫu khác chỉ đặt lại những gì đã được xác định trong mẫu và không khôi phục thiết đặt bên ngoài, phương pháp này có thể vẫn không khôi phục tất cả mặc định trong hệ điều hành, bao gồm những mặc định có thể gây ra sự cố về tương thích.



Việc sử dụng “secedit /configure” vẫn được hỗ trợ hoàn toàn đối với nhập các mẫu tùy chỉnh.





Dưới đây là danh sách các phương pháp được hỗ trợ (theo thứ tự ưu không cố định) để khôi phục hệ thống Windows về trạng thái hoạt động trước đó.



1. Khôi phục bằng cách sử dụng Trạng thái Hệ thống:(Đối với tất cả máy khách/máy chủ dùng Windows)

Nếu bạn có một bản sao lưu Trạng thái Hệ thống được tạo riêng cho hệ thống Windows trước khi xảy ra sự cố, hãy sử dụng phương pháp tương tự để khôi phục thiết đặt bảo mật về một trạng thái hoạt động. Mọi thay đổi đối với các ứng dụng trên hệ thống kể từ trạng thái hệ thống này có thể cần được áp dụng lại để khôi phục thành công. Cách này có thể không hữu ích để khôi phục thiết đặt bảo mật đối với dữ liệu liên quan đến ứng dụng hoặc mọi tệp hệ thống không hoạt động. Bạn có thể cần bản sao lưu Đầy đủ của Hệ thống bao gồm trạng thái hệ thống để khôi phục về trạng thái ban đầu

2. Khôi phục bằng cách Khôi phục Hệ thống:(Chỉ với hệ điều hành của máy khách dùng Windows)

Tính năng Khôi phục Hệ thống cài sẵn tự động tạo các điểm khôi phục trong các khoảng thời gian thông thường và khi các ứng dụng được thêm qua các phương pháp sử dụng trình cài đặt được hỗ trợ. Mỗi điểm khôi phục có thông tin cần thiết để khôi phục hệ thống về trạng thái hệ thống đã chọn. Phương pháp này có thể được sử dụng để khôi phục hệ thống trở về một trạng thái cụ thể. Như đã đề cập trong phương pháp trước, phương pháp này có thể không hữu ích để khôi phục thiết đặt bảo mật trên dữ liệu ứng dụng và bản sao lưu Đầy đủ của Hệ thống có thể cần cho phương pháp tương tự.

3. Khôi phục bằng cách sử dụng mẫu đã cấu hình trước:

Đối với các hệ thống được xây dựng bằng mẫu, bạn có thể sử dụng Bảng Cài đặt Cấu hình Bảo mật nếu một mẫu được tạo cho máy gặp sự cố.

4. Chỉ khôi phục các quyền của tệp:

Đối với các quyền của tệp, bạn có thể sử dụng công cụ dòng lệnh ICACLS/restore cài sẵn để khôi phục bảo mật cho tệp đã được sao lưu bằng cách sử dụng khóa chuyển đổi/save trên cùng một máy từ trạng thái hoạt động trước đó. Phương pháp này có thể được sử dụng để so sánh các kết quả của máy hoạt động giống như vậy với một máy bị hỏng.



Khi không có phương pháp nào trong các phương pháp trên được áp dụng hoặc không có sẵn bản sao lưu nào để khôi phục, vui lòng hoàn tác thay đổi bằng cách làm theo danh sách điều khiển thay đổi của bạn hoặc tham khảo phần khắc phục sự cố trong bài viết này cho một thiết đặt bảo mật cụ thể hoặc bằng quá trình loại bỏ.





Đây là bảng so sánh các phương pháp được đề cập trước đó.



Phương phápHệ điều hành được hỗ trợƯu điểmNhược điểmChuẩn bị cần thiết
Bản sao lưu của WindowsTất cả Máy chủ/Máy khách dùng WindowsCó thể được sử dụng để sao lưu dữ liệu & khôi phục trạng thái hệ thốngDữ liệu có Tiềm năng Lớn được thiết lập để quản lý. Đồng thời, bạn có thể cần phát lại những thay đổi sau khi bản sao lưu được khôi phục.

Có
Khôi phục Hệ thốngTất cả máy khách dùng Windows –Windows XP, Windows Vista, Windows 7Có thể được cấu hình để thực hiện sao lưu trạng thái hệ thống tự độngKhông khôi phục dữ liệu ứng dụng mà có thể bị thay đổi mà không cố ý.Có
Bảng Cài đặt Cấu hình Bảo mậtWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Có thể cung cấp một mẫu để khôi phục/áp dụng bảo mật Chỉ áp dụng hoặc xem dữ liệu chứa trong mẫu được sử dụngCó
ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Hữu ích cho việc sao lưu các quyền của tệp NTFS để sử dụng lại sau này nếu cầnHiện tại không có các quyền lưu cho các vị trí khác, chẳng hạn như sổ đăng ký, các dịch vụ v.v.Có
Các phương pháp khắc phục sự cốWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Hữu ích khi không có bản sao lưu/công cụ nào được đề cập ở trên khả dụngViệc này có thể không đưa toàn bộ cấu hình máy về trạng thái ban đầu trước khi xảy ra thay đổi các quyền. Đồng thời, việc không hoàn tác những thay đổi này có thể ngắt các phụ thuộc được đặt bởi một ứng dụng hoặc cấu phần hệ điều hành.Không


Thông tin thêm
Có thể cần các tham số Bảo mật sau để giải quyết vấn đề về quyền. Đây là những tham số được xác định trong các mẫu bảo mật:

Tên Khu vực Mô tả
SECURITYPOLICY Chính sách cục bộ và chính sách tên miền cho hệ thống. Chính sách này bao gồm các chính sách tài khoản, chính sách kiểm toán và các chính sách khác.
GROUP_MGMT Thiết đặt nhóm bị hạn chế đối với các nhóm được chỉ định trong mẫu bảo mật.
USER_RIGHTS Quyền đăng nhập của người dùng và việc cấp quyền đăng nhập.
REGKEYS Bảo mật trên các khóa trong sổ đăng ký cục bộ.
FILESTORE Bảo mật trên kho lưu trữ tệp cục bộ.
DỊCH VỤ Bảo mật cho tất cả các dịch vụ được xác định.


Các công cụ sau khả dụng cho khắc phục sự cố
các khu vực bảo mật khác nhau:

1. SecurityPolicy (Chính sách Tài khoản, Chính sách Kiểm toán, Thiết đặt Nhật ký Sự kiện và Tùy chọn Bảo mật):

a) RSOP

b) Phân tích và Cấu hình Bảo mật

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) Phân tích và Cấu hình Bảo mật

c) Ntrights

4. RegKeys

a) RSOP

b) Phân tích và Cấu hình Bảo mật

c) Giám sát Quy trình

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) Phân tích và Cấu hình Bảo mật

c) Giám sát Quy trình

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Dịch vụ

a) RSOP

b) Phân tích và Cấu hình Bảo mật

c) Giám sát Quy trình

d) Sc

e) AccessChk

f) Subinacl



Sau đây là một số chi tiết bổ sung liên quan tới cách sử dụng từng công cụ được liệt kê ở trên.

RSOP (Bộ Chính sách Tổng hợp)


Bộ Chính sách Tổng hợp (RSoP) được thêm vào Chính sách của Tập đoàn nhằm giúp cho việc thực hiện chính sách và khắc phục sự cố trở nên dễ dàng hơn. RSoP là một công cụ truy vấn nhằm kiểm tra các chính sách hiện hành và các chính sách dự kiến và báo cáo kết quả của những truy vấn đó. Công cụ này kiểm tra các chính sách hiện hành dựa trên vị trí, miền, bộ điểu khiển miền và đơn vị tổ chức. RSoP thu thập thông tin này từ cơ sở dữ liệu của Mô hình Đối tượng Quản lý Thông tin Chung (CIMOM) (còn được gọi là kho lưu trữ đối tượng tuân thủ-CIM) thông qua Phương tiện Quản lý của Windows (WMI).

Bộ Chính sách Tổng hợp là gì?

http://technet.microsoft.com/vi-vn/library/cc758010(WS.10).aspx

Sử dụng RSoP

http://technet.microsoft.com/vi-vn/library/cc782663(WS.10).aspx

Đây là một phần đính vào cài sẵn “rsop.msc” cho tất cả hệ điều hành được hỗ trợ -Windows XP hoặc phiên bản mới hơn.

Phân tích và Cấu hình Bảo mật


Phân tích và Cấu hình Bảo mật là công cụ dùng để phân tích và cấu hình bảo mật hệ thống cục bộ. Phân tích và Cấu hình Bảo mật cho phép bạn xem lại nhanh chóng các kết quả phân tích bảo mật và cấu hình trực tiếp bảo mật hệ thống cục bộ. Công cụ này cung cấp những khuyến nghị bên cạnh thiết đặt hệ thống hiện tại và sử dụng cờ hiển thị hoặc ghi chú để đánh dấu bất kỳ khu vực nào mà thiết đặt hiện tại không khớp với mức bảo mật được đề xuất. Phân tích và Cấu hình Bảo mật cũng cung cấp khả năng xử lý bất kỳ sự không thống nhất nào được phát hiện qua quá trình phân tích. Thông qua việc sử dụng các cơ sở dữ liệu cá nhân, bạn có thể nhập các mẫu bảo mật đã được tạo bằng Mẫu Bảo mật và áp dụng những mẫu này cho máy tính cục bộ. Việc này cấu hình ngay lập tức bảo mật hệ thống với các mức được chỉ định trong mẫu đó.

Phân tích bảo mật hệ thống

http://technet.microsoft.com/vi-vn/library/cc776590(WS.10).aspx

Cách thực hiện tốt nhất đối với Phân tích và Cấu hình Bảo mật

http://technet.microsoft.com/vi-vn/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe
là một công cụ dòng lệnh có thể được sử dụng để xuất chính sách cục bộ hoặc chính sách được kết hợp từ một máy dùng Windows. Bạn có thể xuất trạng thái của chính sách từ máy đang trong trạng thái làm việc và sau đó sử dụng khóa chuyển đổi/configure để áp dụng lại mẫu trên máy này khi trong trạng thái có sự cố.

Đối với cú pháp và thông tin bổ sung, hãy tham khảo đường dẫn này.

NTrights.exe
là một công cụ bộ tài nguyên dòng lệnh cho phép bạn cấp hoặc thu hồi quyền của người dùng trên một máy tính cục bộ hoặc máy tính từ xa dùng Windows.

Cách đặt quyền đăng nhập của người dùng bằng tiện ích NTRights

http://support.microsoft.com/kb/315276/vi-vn

Ntrights.exe là một phần của các công cụ bộ tài nguyên mà có thể được tải xuống tại đây .

Giám sát Quy trình
là một trong những tiện ích Sysinternals cho phép giám sát hệ thống Tệp, Sổ đăng ký, Quy trình, Luồng và hoạt động DLL trong thời gian thực. Tiện ích này cho phép chúng ta lọc các kết quả cũng như lưu chúng trong một tệp để xem lại sau này. Công cụ này có thể được sử dụng để khắc phục sự cố các vấn đề bảo mật bằng cách truy nhập vào tệp và sổ đăng ký. Ví dụ: Bạn có thể lọc "kết quả" cho các lần thử "bị từ chối".

Để biết thêm chi tiết, xin vui lòng tham khảo liên kết dưới đây:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Tải về từ đây hoặc Chạy Theo dõi Quy trình ngay bây giờ từ Live.Sysinternals.com

AccessCheck
là một chương trình dòng lệnh có thể được sử dụng để kiểm tra loại truy nhập cụ thể của người dùng/nhóm người có các tài nguyên như khóa trong sổ đăng ký/thư mục/tệp, các dịch vụ cho đối tượng toàn cầu và Windows. Nhấp vào liên kết dưới đây để biết chi tiết:

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

Tải về từ đây

AccessEnum
cho bạn xem toàn bộ đường dẫn của hệ thống tệp và thiết đặt bảo mật cho trung tâm Đăng ký giúp bạn xử lý các lỗ hổng trong việc bảo mật và khóa các quyền khi cần thiết.

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

Tải về từ đây

Sc.exe
là một công cụ dòng lệnh cài sẵn liên lạc với Trình quản lý Điều khiển Dịch vụ. Công cụ này có thể được sử dụng để hiển thị thông tin về một giá trị bắt đầu dịch vụ, thay đổi hoặc vô hiệu hóa dịch vụ. Trong ngữ cảnh của bài viết này, bạn có thể sử dụng lệnh “sc sdshow Service_Name” để đưa các quyền lên dịch vụ. Khi đã có kết quả, bạn có thể sử dụng bài viết KB sau để diễn giải dịch vụ tương tự

Cách thực hiện tốt nhất và hướng dẫn cho người viết danh sách kiểm soát truy nhập tùy quyền cho dịch vụhttp://support.microsoft.com/kb/914392 (Trang này có thể có bằng tiếng Anh)

Đồng thời, bạn có thể chạy lệnh “sc sdset service_name DACL_in_SDDL_format” để sửa đổi các quyền.

Bạn có thể tìm thấy thông tin bổ sung về lệnh này trong các liên kết sau:

http://support.microsoft.com/kb/251192 (Trang này có thể có bằng tiếng Anh)

http://technet.microsoft.com/en-us/magazine/dd296748.aspx
Icacls.exeIcacls.exe là một tiện ích dòng lệnh cài sẵn cho phép hiển thị hoặc sửa đổi các danh sách kiểm soát truy nhập tùy quyền (DACLs) trên các tệp/thư mục được chỉ định. “ICACLS path_name /save aclfile” có thể được sử dụng để xuất ACL’s cho tên đường dẫn liên quan(tệp/thư mục) thành một tệp văn bản và cũng được sử dụng để khôi phục nó trở về các tệp bằng lệnh “ICACLS path_name /restore aclfile”

Bạn có thể tìm thấy thông tin bổ sung về lệnh này trong các liên kết sau:

http://support.microsoft.com/kb/919240 (Trang này có thể có bằng tiếng Anh)

http://technet.microsoft.com/vi-vn/library/cc753525(WS.10).aspx
Giải pháp
security
Thuộc tính

ID Bài viết: 313222 - Xem lại Lần cuối: 07/25/2013 11:55:00 - Bản sửa đổi: 4.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster KB313222
Phản hồi
/script>