Утилита командной строки secedit

Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне. Загруженные новые настройки безопасности начинают работать в следующих случаях:

После перезагрузки машины.

Когда администратор конфигурирует систему с помощью оснастки

Анализ и настройка безопасности

(режим

Настроить компьютер

(Configure Computer Now)).

Существуют следующие варианты синтаксиса команды secedit:

Для выполнения анализа безопасности введите команду:

eecedit /analyze /DB ймя_файла [/CFG

Имя_файла]

[/log

Путь_к_журналу ]

[/verbose] [/quiet]

где

/db

имя_файла —

путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным.

/cfg

имя_файла —

имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение

Имя_файла

в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа.

/log

путь_к_журналу —

путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь

%SystemRoot%\Security\

Logs\Scesrv.log.

/verbose — в журнал должна быть занесена подробная информация о ходе анализа.

/quiet — ничего не заносить в журнал и не выводить на экран.

Для выполнения конфигурации безопасности введите команду:

secedit /configure /DB

Имя_файла

[/CFG

Иня_файла]

[/overwrite] [/areas Области...] [/log

Путь_к_журналу]

[/verbose] [/quiet]

- где

/db

имя_файла —

путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным. /cfg

имя_файла —

значение

Имя_файла

определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности.

/overwrite — применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных.

/areas

области... —

определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра:

securitypolicy — определяет локальную политику и политику домена, применяемые к данной системе.

group_mgmt — настройки групп с ограниченным членством.

user_rights — привилегии пользователей при регистрации и работе с объектами Active Directory.

regkeys — разделы реестра.

filestore — безопасность локально хранимых файлов.

services — настройки безопасности для всех служб.

/log

Путь_к_журналу —

путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь

%SystemRoot98\Secur\ty\

Logs\Scesrv.log.

/verbose — в журнал должна быть занесена детальная информация, /quiet — ничего не заносить в журнал и не выводить на экран.

Для обновления политики введите команду:

secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce]

где

machine_policy — обновляемая политика для локальной машины.

oser_policy — обновляемая политика для зарегистрировавшегося пользователя.

/enforce — предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений.

Для проверки целостности базы данных введите команду: secedit /validate

Имя_файла

где

Имя_файла

— имя файла базы данных, целостность которой необходимо проверить.

Содержание раздела