secedit.exe in der CMD

Autor: Mark Heitbrink - vom 09.01.2013 - Kategorie(n): Anleitungen

Zurücksetzen des kompletten Systems (Dateisystem, Registry, Benutzerberechtigungen) auf Urzustand, nach Setup
secedit /configure /db %temp%\temp.sdb /cfg “%systemroot%\inf\defltwk.inf” 
 
Zurücksetzen der Default NTFS Berechtigungen auf dem Systemlaufwerk auf die Ursprungswerte des Setups. Kann auch benutzt werden, um eine nachträglich von FAT32 zu NTFS konvertierte Partition mit den passenden Sicherheitseinstellungen auszustatten.
 
für eine XP Workstation:
secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltwk.inf /areas filestore
 
für einen 2003 Server, dort ändert sich der letzte Namensanteil der Sicherheitsvorlage (*sv.inf anstelle von *wk.inf):
secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltsv.inf /areas filestore
 
Wie setzt sich obiger Befehl zusammen?

  • secedit ist der MS eigene Security Editor, der dir es ermöglicht Berechtigungen zu überprüfen und u.A. anhand von definierten Vorlagen zu vergleichen, bzw. auch diese Vorlagen anzuwenden.
  • /configure - die Anweisung dessen, was zu tun ist => "Konfigurieren"  ... und nicht vergleichen oder anderes ...
  • /db braucht man, um den aktuellen Zustand in eine Datenbank zu schreiben, damit das System weiß wo Änderungen zu erfolgen haben. Zuerst wird eine Analyse des IST-Zustandes durchgeführt, erst danach kommt die Konfiguration.
  • temp.mdb inkl. Pfad der Dateiname und Speicherpfad der mit /db angegebenen Datenbank ... könnte auch c:\irgendeinVerzeichnis\Dieter.mdb sein
  • die defltwk.inf ist die "Default Workstation Informationsdatei" Während der Installation eines Systems muss die Setup Routine ja wissen, welche Berechtigungen auf welche Datei und/oder der Registry geschrieben werden müssen. Diese Informationen  bekommt das Setup aus der defltwk.inf
  • /areas, jetzt geht es nur noch um welchen Bereich der Berechtigungen die neu gesetzt werden sollen. In diesem Fall "filestore"... der Dateibereich

 
 

 
Weitere Optionen für den Bereich AREA:

  • SECURITYPOLICY Umfasst Kontorichtlinien, Überwachungsrichtlinien, Ereignisprotokolleinstellungen und Sicherheitsoptionen.
  • GROUP_MGMT Umfasst Einstellungen für eingeschränkte Gruppen
  • USER_RIGHTS Umfasst Zuweisungen von Benutzerrechten
  • REGKEYS Umfasst Berechtigungen in der Registrierung
  • FILESTORE Umfasst Berechtigungen im Dateisystem
  • SERVICES Umfasst Einstellungen für Systemdienste 

 
 

 
Hauptsyntax und Möglichkeiten die secedit bietet.
secedit /analyze – reine Analyse des aktuellen System. Vergleich mit definierten Vorlagen um Unterschiede herauszufiltern, z.B.: Vergleich mit der hisecsv.inf, an welchen Stellen weiche meine Konfiguration von der „sicheren“ vordefinierten ab und wie, bzw. wo sollte ich evtl. noch verschärfte Einstellungen vornehmen.
 
secedit /configure – wie oben in den Beispielen gezeigt, Anwendung und Einsatz eines vorhandenen Templates.
 
secedit /export – Export der aktuellen Einstellungen. Damit die Möglichkeit diese Konfiguration auf einen anderen System via /import wieder zu implementieren
 
secedit /import – siehe Export
 
secedit /validate – Überprüfung der Syntax eines Security Templates
 
secedit /GenerateRollback – erst ab Windows XP/2003, Erstellung eines „Rollbacks“, wenn man so will ein Backup der aktuellen Einstellungen und die Möglichkeit nach Änderungen diese wieder zurückzusetzen