Иллюстрированный самоучитель по Microsoft Windows 2000

Утилита командной строки secedit

Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне.

Загруженные новые настройки безопасности начинают работать в следующих случаях:

  • После перезагрузки машины.
  • Когда администратор конфигурирует систему с помощью оснастки Анализ и настройка безопасности (режим Настроить компьютер (Configure Computer Now)).

Существуют следующие варианты синтаксиса команды secedit.

Для выполнения анализа безопасности введите команду:

eecedit /analyze /DB ймя_файла [/CFG Имя_файла] [/log Путь_к_журналу ] [/verbose] [/quiet]

Где:

  • /db имя_файла – путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным.
  • /cfg имя_файла – имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение Имя_файла в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа.
  • /log путь_к_журналу – путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь %SystemRoot%\Security\Logs\Scesrv.log.
  • /verbose – в журнал должна быть занесена подробная информация о ходе анализа.
  • /quiet – ничего не заносить в журнал и не выводить на экран.

Для выполнения конфигурации безопасности введите команду:

secedit /configure /DB Имя_файла [/CFG Имя_файла] [/overwrite] [/areas Области…]
[/log Путь_к_журналу] [/verbose] [/quiet]

Где:

  • /db имя_файла – путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным.
  • /cfg имя_файла – значение Имя_файла определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности.
  • /overwrite – применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных.
  • /areas области… – определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра:
    • securitypolicy – определяет локальную политику и политику домена, применяемые к данной системе.
    • group_mgmt – настройки групп с ограниченным членством.
    • user_rights – привилегии пользователей при регистрации и работе с объектами Active Directory.
    • regkeys – разделы реестра.
    • filestore – безопасность локально хранимых файлов.
    • services – настройки безопасности для всех служб.
  • /log Путь_к_журналу – путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь %SystemRoot98\Secur\ty\Logs\Scesrv.log.
  • /verbose – в журнал должна быть занесена детальная информация, /quiet – ничего не заносить в журнал и не выводить на экран.

Для обновления политики введите команду:

secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce]

Где:

  • machine_policy – обновляемая политика для локальной машины.
  • oser_policy – обновляемая политика для зарегистрировавшегося пользователя.
  • /enforce – предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений.

Для проверки целостности базы данных введите команду:

secedit /validate Имя_файла

Где:

Имя_файла – имя файла базы данных, целостность которой необходимо проверить.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.