你目前正处于脱机状态,正在等待 Internet 重新连接

如何将安全设置还原到已知的工作状态?

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 313222
概要
整个生命周期中操作系统安装,配置更改会阻止操作系统或应用程序的正常工作。可能由安全设置过于严格的症状包括但不是限于 ︰
  • 操作系统、 服务或应用程序启动失败
  • 身份验证或授权失败
  • 在本地计算机或远程计算机上的资源的访问失败
可以对安全设置进行更改的操作包括但不是限于 ︰
  • 操作系统升级、 QFE 服务包和应用程序安装
  • 组策略更改
  • 用户权限分配
  • 安全模板
  • 修改活动目录和注册表和其他数据库中的安全设置
  • 对广告、 文件系统、 Windows 注册表中的对象上的权限修改
请注意,可以在本地计算机和远程计算机之间的互操作性不匹配本地远程计算机上定义的安全设置。

以前工作时安装突然出现故障,自然的故障排除步骤是返回到最后时操作系统、 服务或应用程序最后一次过,存在的有效配置,或在极端的情况下,将操作系统恢复到其全新的配置。

本文介绍了支持的和不受支持的方法,以撤消或回退更改为以下元素 ︰
  • 在注册表、 文件系统和服务的权限
  • 用户权限分配
  • 安全策略
  • 组成员身份
导入默认安全模板的限制 ︰

这篇文章的前一版本说明使用方法"secedit / 配置"命令与该过程不会恢复所有安装 Windows 并可能会导致无法预料的后果时,将应用安全设置时应注意。

使用"secedit / 配置"要导入的默认安全模板,dfltbase.inf,不支持也不是可行的方法来还原 Windows Vista 中,Windows 7 的默认安全权限 Windows Server 2008 和 Windows Server 2008 R2 的计算机。

Windows Vista 中,要更改操作系统安装过程中应用的安全性的方法开始。具体而言,加强应用的操作系统的安装进程和服务器角色安装设置的 deftbase.inf 中定义的设置包括安全设置。因为没有受支持的进程要重播的权限由操作系统设置,使用"secedit / 配置 /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose"命令行不再重置所有安全默认设置的能力,甚至可能会导致操作系统不稳定。

对于 Microsoft Windows 2000,Windows XP 或 Windows Server 2003 的计算机,"secedit / 配置 /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose"命令仍然支持在很少情况下需要恢复使用 secsetup.inf 模板安全设置。由于导入 Secsetup.inf 或任何其他模板仅重置内容模板中定义并不会恢复外部设置,此方法仍可能无法还原所有操作系统默认值,包括那些可能会导致兼容性问题。

使用"secedit / 配置"仍然完全支持将自定义模板导入。

以下是受支持的方法 (松首选项的顺序) 的列表将 Windows 系统恢复到其以前的工作状态。
  1. 使用系统状态还原 ︰(适用于所有 Windows 客户端/服务器)

    如果您为特定的 Windows 系统事件之前创建系统状态备份,则可使用相同将安全设置还原到工作状态。对系统上的应用程序,因为系统状态的任何更改可能需要重新应用成功恢复。这可能不是很有帮助来还原应用程序的安全设置相关的数据或任何非操作系统文件。您可能需要完整的系统备份包括系统状态以将其还原回其原始状态。
  2. 将恢复使用系统还原:(对于 Windows 客户端操作系统只)

    在一定的时间间隔和受支持的安装方法通过添加应用程序时,内置的系统还原功能自动创建还原点。每个还原点包含将系统还原到选定的系统状态所需的必要信息。此方法可以用于恢复系统的特定状态。前一种方法在前面已提到,这可能有助于恢复应用程序数据上的安全设置和完整的系统备份,可能需要为同一。
  3. 恢复使用预配置的模板 ︰

    对于使用模板生成的系统,如果为问题计算机中创建的模板,可以使用安全配置向导。
  4. 仅恢复文件权限:

    文件权限,您可以使用内置在 ICACLS/还原到恢复文件的安全性已备份使用 /save 切换从一个以前的工作状态的同一计算机的命令行工具。此方法可用于比较通过相同的工作计算机出故障的结果之一。

    在应用上述的方法都不能或没有备份可用于还原时,请按照您更改控件列表中撤消更改,或参考 故障排除 本文对特定的安全设置或通过排除法部分。

    下面是前面提到的方法的比较表 ︰
    方法支持的操作系统Pro 的Con的所需的准备工作
    Windows 备份所有 Windows 服务器/客户端可用于备份数据 & 还原系统状态可能比较大的数据集来管理。此外,您可能需要更改已还原备份后重放。

    系统还原所有 Windows 客户端 – Windows XP 中, Windows Vista, Windows 7可以将配置为执行自动的系统状态备份不能还原应用程序可能会无意中更改的数据。
    安全配置向导Windows XP 中,Windows Vista 中,Windows 7,Windows Server 2003,Windows Server 2003 R2,Windows Server 2008 中,Windows Server 2008 R2可以提供要还原/应用安全模板 仅适用或查看使用该模板中包含的数据
    ICACLS /RestoreWindows XP 中,Windows Vista 中,Windows 7,Windows Server 2003,Windows Server 2003 R2,Windows Server 2008 中,Windows Server 2008 R2如果需要备份,以备将来使用 NTFS 文件权限很有用它目前并不提供保存权限的其他位置,如注册表、 服务等。
    故障排除方法Windows XP 中,Windows Vista 中,Windows 7,Windows Server 2003,Windows Server 2003 R2,Windows Server 2008 中,Windows Server 2008 R2如果没有可用的上述工具备份非常有用权限更改发生之前,这可能将整个计算机配置放在其原始状态。此外,撤消这些更改可能会破坏应用程序或操作系统组件设置的依赖项。
更多信息
下面的安全参数可能需要解决要解决权限问题。这些都在安全模板中定义的参数 ︰
区域名称 说明
SECURITYPOLICY 本地策略和域策略的系统。这包括帐户策略、 审核策略和其他策略。
GROUP_MGMT 在安全模板中指定的任何组的受限的组设置。
USER_RIGHTS 用户登录权限和授予的权限。
REGKEYS 本地注册表项的安全性。
文件存储 本地文件存储的安全性。
服务 所有定义的服务的安全性。
下面的工具都可用于故障诊断
不同的安全区域 ︰
  1. SecurityPolicy (,帐户策略、 审核策略、 事件日志设置并安全选项) ︰
  2. Group_Mgmt
  3. User_Rights
  4. RegKeys
  5. 文件存储
  6. 服务
以下是一些有关每个工具上面列出的用法的其他详细信息。

RSOP (策略的结果集)

策略的结果集 (RSoP) 是新增对组策略进行策略的实现和故障排除更加容易。RSoP 是一个查询引擎,可以轮询现有的策略和计划的策略,然后报告查询结果。它会轮询现有的策略,根据站点、 域、 域控制器和组织单位。RSoP 收集该信息 (也称为符合 CIM 标准的对象存储库) 的通用信息管理对象模型 (CIMOM) 数据库通过 Windows 管理规范 (WMI)。

什么是策略的结果集?

http://technet.microsoft.com/en-us/library/cc758010 (WS.10).aspx

在使用 RSoP

http://technet.microsoft.com/en-us/library/cc782663 (WS.10).aspx

它是内置管理单元"rsop.msc"可用于所有支持的操作系统的 Windows XP 或更高版本。

安全配置和分析

安全配置和分析是分析和配置本地系统安全性的一个工具。安全配置和分析使您能够快速复查安全分析结果和直接配置本地系统安全性。它提供当前系统设置的建议,并使用可视标志或备注加以突出显示当前设置与建议的安全级别不匹配。安全配置和分析也提供了解决分析显示的任何矛盾的功能。通过使用个人数据库,可以导入安全模板创建的安全模板并将这些模板应用到本地计算机。这立即与模板中指定的级别中配置系统安全性。

分析系统安全性

http://technet.microsoft.com/en-us/library/cc776590 (WS.10).aspx

安全配置和分析的最佳做法

http://technet.microsoft.com/en-us/library/cc757894 (WS.10).aspxSecedit /ExportSecedit.exe
是一种内置命令行工具,可用于导出从 Windows 计算机的本地策略或合并的策略。您可以从中其工作状态的计算机中导出的策略状态,然后使用 / 配置交换机重新应用到计算机处于故障状态时的模板。

有关语法和其他信息,请参阅 .

NTrights.exe
是一个命令行资源工具包工具,使您可以授予或撤消用户权限的 Windows 计算机上本地或远程。

如何使用 NTRights 实用程序来设置登录的用户权限

http://support.microsoft.com/kb/315276

Ntrights.exe是可以下载的资源工具包工具的一部分 此处 .

进程监视器
是一种 Sysinternals 实用程序,它允许对文件系统、 注册表、 进程、 线程和 DLL 活动进行实时的监视。它允许我们筛选结果,以及将结果保存在文件中以供将来查看。此工具可用于解决安全问题的文件和注册表访问。例如 ︰ 您可以筛选"结果",为"已拒绝"的尝试。

有关其他信息,请参阅下面的链接 ︰

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

从这里下载或从 Live.Sysinternals.com 立即运行进程监视器

访问权限检查
是命令行程序,可以用来检查哪些类型的访问特定的用户组对文件/目录/注册表项、 全局对象和 Windows 服务等资源。请单击下面的链接以了解详细信息 ︰

http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx

从下载 此处

AccessEnum
为您提供了您的文件系统路径和注册表配置单元安全性设置,在必要时帮助您查找安全漏洞和锁定权限的完整视图。

http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx

从下载 此处

Sc.exe
是与服务控制管理器进行通信的内置命令行工具。它可以用于显示信息服务起始值、 更改或禁用它。在这篇文章的上下文中,您可以使用命令"sc sdshow Service_Name"输出上服务的权限。输出后,您可以使用下面的知识库文章来解释相同

最佳做法和指南的编写器的服务自由访问控制列表http://support.microsoft.com/kb/914392

此外,还可以运行命令"sc sdset service_name DACL_in_SDDL_format"要修改的权限。

以下链接中找不到有关此附加信息 ︰

http://support.microsoft.com/kb/251192

http://technet.microsoft.com/en-us/magazine/dd296748.aspx
Icacls.exeIcacls.exe 是一个内置命令行实用程序可显示或修改自由访问控制列表 (Dacl) 上指定的文件目录。"ICACLS path_name/保存 aclfile"可用于导出到文本文件中的 ACL 的相关路径 name(files/directories),也可用于还原回使用命令"ICACLS path_name /restore aclfile"的文件

以下链接中找不到有关此附加信息 ︰

http://support.microsoft.com/kb/919240

http://technet.microsoft.com/en-us/library/cc753525 (WS.10).aspx
安全

警告:本文已自动翻译

属性

文章 ID:313222 - 上次审阅时间:06/12/2016 10:42:00 - 修订版本: 3.0

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows Vista Home Basic, Windows Vista Home Premium, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 Scalable Networking Pack, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbenv kbhowtomaster kbmt KB313222 KbMtzh
反馈