Настройка и анализ с помощью командной строки
Операции настройки и анализа, доступные из оснастки Анализ и настройка безопасности (Security Configuration and Analysis), также могут быть выполнены с использованием утилиты командной строки Secedit.exe. Использование командной строки позволяет выполнять операции анализа и настройки безопасности совместно с другими административными инструментами, такими, как Microsoft Systems Management Server или Планировщик заданий (Task Scheduler), входящий в поставку Windows 2000. Утилита Secedit.exe также предлагает ряд возможностей, не доступных в графическом интерфейсе пользователя.
Просмотр справки утилиты Secedit.exe
Интерактивная справка, поставляемая с утилитой Secedit.exe, описывает синтаксис используемых команд.
Чтобы отобразить текст справки:
- В меню Пуск (Start) выберите Выполнить (Run) и введите CMD. Нажмите OK.
- Введите Secedit и нажмите Enter, чтобы увидеть интерактивную справку для этой команды.
Утилита предлагает пять высокоуровневых операций:
- Analyze
- Configure
- Export
- RefreshPolicy
- Validate
Analyze и Configure соответствуют таким же задачам, доступным при использовании оснастки Анализ и настройка безопасности (Security Configuration and Analysis).
Export служит для экспорта сохраненного шаблона из базы данных безопасности в файл (.inf) шаблона безопасности. Эта возможность также доступна из контекстного меню оснастки Анализ и настройка безопасности после открытия базы данных безопасности.
RefreshPolicy позволяет Вам принудительно применить групповую политику, которая по умолчанию всегда обновляется при загрузке системы, каждые 60-90 минут в фоновом режиме, а также когда локальная политика безопасности изменяется при использовании расширения Параметры безопасности (Security Settings) для групповой политики (как описано в данном руководстве). Когда применение политики инициировано, ее распространение можно ускорить при помощи соответствующих расширений групповой политики (в данном случае расширения "Параметры безопасности"). Чтобы принудительно обновить политику вне зависимости от того, была ли она изменена, используйте параметр /Enforce вместе с параметром /RefreshPolicy.
Validate проверяет синтаксис шаблона безопасности, созданного при помощи оснастки Шаблоны безопасности (Security Templates).
Как было описано ранее в этой статье, все операции анализа и настройки управляются базой данных. Следовательно, Secedit.exe поддерживает параметры для указания базы данных (/db), а также шаблона безопасности (/cfg), который должен быть импортирован в базу данных перед выполнением операций настройки. По умолчанию файл конфигурации присоединен к базе данных. Для замещения существующей в базе данных конфигурационной информации, используйте параметр /overwrite. Так же, как и в оснастке, Вы можете указать файл журнала (/log). Кроме того, Secedit.exe позволяет записывать в журнал более детальную информацию (/verbose). Обратите внимание, что, если оснастка каждый раз настраивает все параметры безопасности одновременно, Secedit.exe позволяет Вам выбирать области безопасности (/areas) для настройки. Если области безопасности не определены параметром /areas, они будут проигнорированы, даже если в базе данных содержатся необходимые параметры безопасности.
Настройка безопасности с использованием Secedit.exe
Следующий пример переназначает только конфигурацию файловой системы, определенную в Mysecure.inf.
Чтобы настроить безопасность файловой системы при помощи Secedit.exe:
- Перейдите в каталог %windir%\security\database (где %windir% – это путь к Вашему каталогу Windows). Например, в командной строке введите следующее:
cd\c:\windir\security\logs
- Введите следующее:
secedit /configure /db mysecure.sdb /areas FILESTORE /log %windir% \security\logs\Mysecure.log /verbose
Где %windir% – это путь к Вашему каталогу Windows (например, C:\WINNT).
Так как база данных уже существует и содержит информацию о настройках, ранее импортированных из шаблона Mysecure.inf, нет необходимости указывать параметр /cfg. Также обратите внимание на то, что пути для ключей /db, /cfg, и /log отличаются от текущего каталога и должны быть абсолютными.
- Введите:
%windir%\security\logs\Mysecure.log
Обратите внимание на то, что предыдущие параметры настраивали все области безопасности, в то время, как последний относится только к безопасности файлов.