SECEDIT in der CMD
Zurücksetzen des kompletten Systems (Dateisystem, Registry, Benutzerberechtigungen) auf Urzustand, nach Setup
secedit /configure /db %temp%\temp.sdb /cfg “%systemroot%\security\templates\setup security.inf”
Zurücksetzen
der Default NTFS Berechtigungen auf dem
Systemlaufwerk auf die Ursprungswerte des Setups. Kann auch benutzt werden, um
eine nachträglich von FAT32 zu NTFS konvertierte Partition mit den passenden
Sicherheitseinstellungen auszustatten.
für eine XP Workstation:
secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltwk.inf /areas filestore
für einen 2003
Server, dort ändert sich der letzte Namensanteil der Sicherheitsvorlage (*sv.inf
anstelle von *wk.inf):
secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltsv.inf /areas filestore
Erklärungshinweise
zum oberen Befehl:
| - |
secedit ist der MS eigene Security Editor, der dir es ermöglicht Berechtigungen zu überprüfen und u.A. anhand von definierten Vorlagen zu vergleichen, bzw. auch diese Vorlagen anzuwenden. |
| - |
/configure - die Anweisung dessen, was zu tun ist => "Konfigurieren" ... und nicht vergleichen oder anderes ... |
| - |
/db braucht man, um den aktuellen Zustand in eine Datenbank zu schreiben, damit das System weiß wo Änderungen zu erfolgen haben. Zuerst wird eine Analyse des IST-Zustandes durchgeführt, erst danach kommt die Konfiguration. |
| - | temp.mdb inkl. Pfad der Dateiname und Speicherpfad der mit /db angegebenen Datenbank ... könnte auch c:\irgendeinVerzeichnis\Dieter.mdb sein |
| - | die defltwk.inf ist die "Default Workstation Informationsdatei" Während der Installation eines Systems muss die Setup Routine ja wissen, welche Berechtigungen auf welche Datei und/oder der Registry geschrieben werden müssen. Diese Informationen bekommt das Setup aus der defltwk.inf |
| - | /areas, jetzt geht es nur noch um welchen Bereich der Berechtigungen die neu gesetzt werden sollen. In diesem Fall "filestore"... der Dateibereich. |
|
Weitere Optionen für den Bereich AREA: SECURITYPOLICY Umfasst Kontorichtlinien, Überwachungsrichtlinien, Ereignisprotokolleinstellungen und Sicherheitsoptionen. GROUP_MGMT Umfasst Einstellungen für eingeschränkte Gruppen USER_RIGHTS Umfasst Zuweisungen von Benutzerrechten REGKEYS Umfasst Berechtigungen in der Registrierung FILESTORE Umfasst Berechtigungen im Dateisystem SERVICES Umfasst Einstellungen für Systemdienste |
Aktualisierung
und erneute Anwendung der aktuellen Sicherheits- und Gruppenrichtlinien:
2K/Benutzer: secedit /refreshpolicy user_policy /enforce
2K/Computer: secedit /refreshpolicy machine_policy /enforce
XP/Benutzer: gpupdate /target:user /force /wait:0
XP/Computer: gpupdate /target:computer /force /wait:0
Hauptsyntax und Möglichkeiten die secedit bietet.
secedit /analyze – reine Analyse des aktuellen System. Vergleich mit definierten Vorlagen um Unterschiede herauszufiltern, z.B.: Vergleich mit der hisecsv.inf, an welchen Stellen weiche meine Konfiguration von der „sicheren“ vordefinierten ab und wie, bzw. wo sollte ich evtl. noch verschärfte Einstellungen vornehmen.
secedit /configure – wie oben in den Beispielen gezeigt, Anwendung und Einsatz eines vorhandenen Templates.
secedit /export – Export der aktuellen Einstellungen. Damit die Möglichkeit diese Konfiguration auf einen anderen System via /import wieder zu implementieren
secedit /import – siehe Export
secedit /validate – Überprüfung der Syntax eines Security Templates
secedit /GenerateRollback – erst ab Windows XP/2003, Erstellung eines „Rollbacks“, wenn man so will ein Backup der aktuellen Einstellungen und die Möglichkeit nach Änderungen diese wieder zurückzusetzen
secedit /refreshpolicy – Anwendung der aktuellen Sicherheits- und Gruppenrichtlinien Benutzer- oder Computerbezogen. Ist in Windows XP/2003 durch gpupdate ersetzt worden.
Hilfe und weitere Syntax und Beispiele über secedit /? In der internen Hilfe des Systems.
Windows 2000: ms-its:C:\WINNT\Help\secedit.chm::/sag_SECEDITHowToTN.htm
Windows 2003: ms-its:C:\WINDOWS\Help\ntcmds.chm::/secedit_cmds.htm