24h購物| | PChome| 登入
2011-01-15 21:16:24 | 人氣700| 回應0 | 上一篇 | 下一篇
推薦 0 收藏 0 轉貼0 訂閱站台

命令行下操作组策略找工具

組策略是建立Windows安全環境的重要手段,尤其是在Windows域環境下。一個出色的系統管理員,應該能熟練地掌握並應用組策略。在窗口界面下訪問組策略用gpedit.msc,命令行下用secedit.exe。 http://blog.zxlm.cn/2007/12/secedit 先看secedit命令語法: secedit /analyze secedit /configure secedit /export secedit /validate secedit /refreshpolicy 5個命令的功能分別是分析組策略、配置組策略、導出組策略、驗證模板語法和更新組策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。這些命令具體的語法自己在命令行下查看就知道了。 與訪問註冊表只需reg文件不同的是,訪問組策略除了要有個模板文件(還是inf),還需要一個安全數據庫文件(sdb)。要修改組策略,必須先將模板導入安全數據庫,再通過應用安全數據庫來刷新組策略。來看個例子: 假設我要將密碼長度最小值設置為6,並啟用「密碼必須符合複雜性要求」,那麼先寫這麼一個模板: [version] signature="$CHICAGO$" [System Access] MinimumPasswordLength = 6 PasswordComplexity = 1 保存為gp.inf,然後導入: secedit /configure /db gp.sdb /cfg gp.inf /quiet 這個命令執行完成後,將在當前目錄產生一個gp.sdb,它是「中間產品」,你可以刪除它。 /quiet參數表示「安靜模式」,不產生日誌。但根據我的試驗,在2000sp4下該參數似乎不起作用,XP下正常。日誌總是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日誌以便隨後刪除它。比如: secedit /configure /db gp.sdb /cfg gp.inf /log gp.log del gp.* 另外,在導入模板前,還可以先分析語法是否正確: secedit /validate gp.inf 那麼,如何知道具體的語法呢?當然到MSDN裡找啦。也有偷懶的辦法,因為系統自帶了一些安全模板,在%windir%\security\templates目錄下。打開這些模板,基本上包含了常用的安全設置語法,一看就懂。 再舉個例子——關閉所有的「審核策略」。(它所審核的事件將記錄在事件查看器的「安全性」裡)。 echo版: echo [version] >1.inf echo signature="$CHICAGO$" >>1.inf echo [Event Audit] >>1.inf echo AuditSystemEvents=0 >>1.inf echo AuditObjectAccess=0 >>1.inf echo AuditPrivilegeUse=0 >>1.inf echo AuditPolicyChange=0 >>1.inf echo AuditAccountManage=0 >>1.inf echo AuditProcessTracking=0 >>1.inf echo AuditDSAccess=0 >>1.inf echo AuditAccountLogon=0 >>1.inf echo AuditLogonEvents=0 >>1.inf secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet del 1.* 也許有人會說:組策略不是保存在註冊表中嗎,為什麼不直接修改註冊表?因為不是所有的組策略都保存在註冊表中。比如「審核策略」就不是。你可以用 regsnap比較修改該策略前後註冊表的變化。我測試的結果是什麼都沒有改變。只有「管理模板」這一部分是完全基於註冊表的。而且,知道了具體位置,用哪個方法都不複雜。 比如,XP和2003的「本地策略」-》「安全選項」增加了一個「本地帳戶的共享和安全模式」策略。XP下默認的設置是「僅來賓」。這就是為什麼用管理員帳號連接XP的ipc$仍然只有Guest權限的原因。可以通過導入reg文件修改它為「經典」: echo Windows Registry Editor Version 5.00 >1.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg echo "forceguest"=dword:00000000 >>1.reg regedit /s 1.reg del 1.reg 而相應的用inf,應該是: echo [version] >1.inf echo signature="$CHICAGO$" >>1.inf echo [Registry Values] >>1.inf echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf secedit /configure /db 1.sdb /cfg 1.inf /log 1.log del 1.* 關於命令行下讀取組策略的問題。系統默認的安全數據庫位於%windir%\security\database\secedit.sdb,將它導出至inf文件: secedit /export /cfg gp.inf /log 1.log 沒有用/db參數指定數據庫就是採用默認的。然後查看gp.inf。 不過,這樣得到的只是組策略的一部分(即「Windows設置」)。而且,某個策略如果未配置,是不會被導出的。比如「重命名系統管理員帳戶」,只有被定義了才會在inf文件中出現NewAdministratorName="xxx"。對於無法導出的其他的組策略只有通過訪問註冊表來獲得了。 此辦法在XP和2003下無效——可以導出但內容基本是空的。原因不明。根據官方的資料,XP和2003顯示組策略用RSoP(組策略結果集)。相應的命令行工具是gpresult。但是,它獲得的是在系統啟動時被附加(來自域)的組策略,單機測試結果還是「空」。所以,如果想知道某些組策略是否被設置,只有先寫一個inf,再用secedit /analyze,然後查看日誌了。 http://www.lob.cn/win2008/system/2057.shtml Secedit 通過將當前配置與至少一個模板比較,配置和分析系統安全性。 要查看該命令語法,請單擊以下命令: ‧ secedit /analyze ‧ secedit /configure ‧ secedit /export ‧ secedit /import ‧ secedit /validate ‧ secedit /GenerateRollback secedit /analyze 可通過將其與數據庫中的基本設置相比較,分析一台計算機上的安全設置。 語法 secedit /analyze /db FileName .sdb[/cfgFileName] [/overwrite] [/logFileName] [/quiet] 參數 /db FileName.sdb 指定用於進行分析的數據庫。 /cfg FileName 指定在進行分析前要導入到數據庫中的安全性模板。使用安全模板管理單元創建安全模板。 /log FileName 指定記錄配置進程狀態的文件。如果未指定,則將配置數據記錄到 %windir%\security\logs 目錄下的 scesrv.log 文件。 /quiet 指定分析過程不進行進一步註釋。註釋 ‧ 可在安全配置和分析 中查看分析的結果。 示例 以下是如何使用該命令的一個示例: secedit /analyze /db hisecws.sdb secedit /configure 通過應用存儲在數據庫中的設置配置本地計算機的安全性設置。 語法 secedit /configure /db FileName[/cfg FileName ] [/overwrite][/areasArea1 Area2 ...] [/logFileName] [/quiet] 參數 /db FileName 指定用於進行安全配置的數據庫。 /cfg FileName 指定在配置計算機前要導入到數據庫中的安全性模板。使用安全模板管理單元創建安全模板。 /overwrite 指定在導入安全模板之前應清空數據庫。如果未指定該參數,安全模板中的設置將累計到數據庫中。如果未指定該參數且數據庫和當前導入的模板之間存在配置衝突,則模板配置具有優先權。 /areas Area1 Area2 ... 指定應用到系統中的安全區域。如果未指定參數,所有在數據庫中定義的安全性設置都將應用到該系統。要配置多個區域,請使用空格分隔每一區域。支持以下安全區域:區域名稱描述SECURITYPOLICY包括帳戶策略、審核策略、事件日誌設置和安全選項。GROUP_MGMT包括受限組的配置USER_RIGHTS包括用戶權限分配REGKEYS包括註冊表權限FILESTORE包括文件系統權限SERVICES包括系統服務設置 /log FileName 指定記錄配置進程狀態的文件。如果未指定,則將配置數據記錄到 %windir%\security\logs 目錄下的 scesrv.log 文件。 /quiet 指定該配置進程應在不提示用戶的情況下進行。示例 以下是如何使用該命令的示例: secedit /configure /db hisecws.sdb /cfg hisecws.inf /overwrite /log hisecws.log secedit /export 可將存儲在數據庫中的安全性設置導出。 語法 secedit /export[/DBFileName] [/mergedpolicy] [/CFG FileName] [/areasArea1 Area2 ...] [/logFileName] [/quiet] 參數 /db FileName 指定用於配置安全性的數據庫。 /mergedpolicy 合併並導出域和本地策略安全性。 /CFG FileName 指定要將設置導出到的模板。 /areas Area1 Area2 ... 指定將被導出到模板的安全區域。如果沒有指定區域,則所有區域都將被導出。每個區域應通過空格分隔。區域名稱描述SECURITYPOLICY包括帳戶策略、審核策略、事件日誌設置和安全選項。GROUP_MGMT包括受限組的配置USER_RIGHTS包括用戶權限分配REGKEYS包括註冊表權限FILESTORE包括文件系統權限SERVICES包括系統服務設置 /log FileName 指定記錄導出進程狀態的文件。如果不指定該文件,則採用默認設置記錄到 %windir%\security\logs\scesrv.log。 /quiet 指定該配置進程應在不提示用戶的情況下進行。示例 以下是如何使用該命令的一個示例: secedit /export /db hisecws.inf /log hisecws.log secedit /import 可將安全性模板導入到數據庫以便模板中指定的設置可應用到系統或作為分析系統的依據。 語法 secedit /import /db FileName .sdb /cfg FileName.inf [/overwrite] [/areasArea1 Area2 ...] [/logFileName] [/quiet] 參數 /db FileName .sdb 指定要將安全性模板設置導入到的數據庫。 /CFG FileName 指定要導入到數據庫中安全性模板。使用安全模板管理單元創建安全模板。 /overwrite FileName 指定在導入安全模板之前應清空數據庫。如果未指定該參數,安全模板中的設置將累計到數據庫中。如果未指定該參數且數據庫和當前導入的模板之間存在配置衝突,則模板配置具有優先權。 /areas Area1 Area2 ... 指定將被導出到模板的安全區域。如果沒有指定區域,則所有區域都將被導出。每個區域應通過空格分隔。區域名稱描述SECURITYPOLICY包含帳戶策略、審核策略、事件日誌設置及安全選項。GROUP_MGMT包括受限組的配置USER_RIGHTS包括用戶權限分配REGKEYS包括註冊表權限FILESTORE包括文件系統權限SERVICES包括系統服務設置 /log FileName 指定記錄導出進程狀態的文件。如果不指定該文件,則採用默認設置記錄到 %windir%\security\logs\scesrv.log。 /quiet 指定該配置進程應在不提示用戶的情況下進行。示例 以下是如何使用該命令的一個示例: secedit /import /db hisecws.sdb /cfg hisecws.inf /overwrite secedit /validate 驗證要導入到分析數據庫或系統應用程序的安全模板的語法。 語法 secedit /validate FileName 參數 FileName 指定使用安全模板創建的安全模板文件名。示例 以下是如何使用該命令的一個示例: secedit /validate /cfg filename secedit /GenerateRollback 可根據配置模板生成一個回滾模板。在將配置模板應用到計算機上時,可以選擇創建回滾模板,該模板在應用時會將安全性設置重置為應用配置模板前的值。 語法 secedit /GenerateRollback /CFG FileName.inf /RBK SecurityTemplatefilename.inf [/logRollbackFileName.inf] [/quiet] 參數 /CFG FileName 指定要為其創建回滾模板的安全性模板的文件名。 /RBK FileName 指定將創建為回滾模板的安全性模板的文件名。註釋 ‧ secedit /refreshpolicy 已經被 gpupdate 替代。有關如何更新安全性設置的信息,請參閱「相關主題」。

台長: Kenny
人氣(700) | 回應(0)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 數位資訊(科技、網路、通訊、家電) | 個人分類: 網路相關 |
此分類下一篇:Domain Users要給什麼樣的權限(最小)他才能加入退出domain

是 (若未登入"個人新聞台帳號"則看不到回覆唷!)
* 請輸入識別碼:
請輸入圖片中算式的結果(可能為0) 
(有*為必填)
TOP
詳全文