Утилита командной строки secedit
Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне. Загруженные новые настройки безопасности начинают работать в следующих случаях:
После перезагрузки машины.
Когда администратор конфигурирует систему с помощью оснастки
Анализ и настройка безопасности
(режим
Настроить компьютер
(Configure Computer Now)).
Существуют следующие варианты синтаксиса команды secedit:
Для выполнения анализа безопасности введите команду:
eecedit /analyze /DB ймя_файла [/CFG
Имя_файла]
[/log
Путь_к_журналу ]
[/verbose] [/quiet]
где
/db
имя_файла —
путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным.
/cfg
имя_файла —
имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение
Имя_файла
в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа.
/log
путь_к_журналу —
путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь
%SystemRoot%\Security\
Logs\Scesrv.log.
/verbose — в журнал должна быть занесена подробная информация о ходе анализа.
/quiet — ничего не заносить в журнал и не выводить на экран.
Для выполнения конфигурации безопасности введите команду:
secedit /configure /DB
Имя_файла
[/CFG
Иня_файла]
[/overwrite] [/areas Области...] [/log
Путь_к_журналу]
[/verbose] [/quiet]
- где
/db
имя_файла —
путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным. /cfg
имя_файла —
значение
Имя_файла
определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности.
/overwrite — применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных./areas
области... —
определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра:
securitypolicy — определяет локальную политику и политику домена, применяемые к данной системе.
group_mgmt — настройки групп с ограниченным членством.
user_rights — привилегии пользователей при регистрации и работе с объектами Active Directory.
regkeys — разделы реестра.
filestore — безопасность локально хранимых файлов.
services — настройки безопасности для всех служб.
/log
Путь_к_журналу —
путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь
%SystemRoot98\Secur\ty\
Logs\Scesrv.log.
/verbose — в журнал должна быть занесена детальная информация, /quiet — ничего не заносить в журнал и не выводить на экран.
Для обновления политики введите команду:
secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce]
где
machine_policy — обновляемая политика для локальной машины.
oser_policy — обновляемая политика для зарегистрировавшегося пользователя.
/enforce — предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений.
Для проверки целостности базы данных введите команду: secedit /validate
Имя_файла
где
Имя_файла
— имя файла базы данных, целостность которой необходимо проверить.
