Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно

Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Управление системой

Безопасность необходимо обеспечивать не только при установке и настройке системы, о ней следует помнить и при выполнении ежедневных операций. Возможно, наилучшим образом это сможет делать администратор, внимательно следящий за своими системами. Имея это в виду, следует упомянуть о некоторых действиях, которые можно выполнять в системе Windows 2000 для повышения вероятности обнаружения администратором потенциальных проблем, связанных с безопасностью.

Команда secedit

Windows 2000 содержит утилиту secedit.exe, которая используется для управления политикой безопасности при большом количестве систем. Secedit предоставляет следующие возможности.

  • Анализ. Политика рассматриваемой системы анализируется и сопоставляется с предоставленной политикой.
  • Конфигурация. Политика рассматриваемой системы изменяется для соответствия предоставленной политике.
  • Утверждение. Файл конфигурации безопасности может быть утвержден.
  • Обновление. Политика заново применяется к системе.
  • Экспорт. Сохраненный шаблон из базы данных безопасности системы экспортируется в виде файла шаблона безопасности.

В следующих разделах будет рассмотрено, как эти возможности используются для управления безопасностью систем Windows 2000.

Анализ

С помощью secedit можно сопоставлять имеющуюся политику в системе с Windows 2000 c политикой, соответствующей данной системе. Для этого нужно ввести в командной строке следующую команду:

Secedit /analyze [/DB имя файла базы данных] 
   [/CFG имя файла конфигурации]
   [/log имя файла журнала]   [/verbose] [/quiet]

В команде можно указывать следующие параметры:

  • /DB имя файла базы данных. Указывает путь к файлу базы данных, который содержит сохраненную конфигурацию для анализа. Если имя файла указывает на новый файл, также необходимо использовать параметр /CFG.
  • /CFG имя файла конфигурации. Указывает путь к шаблону безопасности, который будет импортирован в базу данных. При отсутствии этого параметра будет использоваться конфигурация, сохраненная в базе данных.
  • /log имя файла журнала. Указывает путь к файлу журнала, который будет создан в результате выполнения команды. Файл журнала содержит всю информацию, полученную в ходе анализа.
  • /verbose. Этот параметр обеспечивает отображение детальной информации при выполнении команды.
  • /quiet. Отключает вывод данных на экран в процессе выполнения.

После выполнения команды файл журнала можно проанализировать для определения того, соответствует ли система политике организации.

Конфигурация

Secedit также позволяет конфигурировать систему. Синтаксис команды для выполнения этой операции выглядит следующим образом.

Secedit /configure   [/DB имя файла базы данных] [/CFG имя файла конфигурации]   [/overwrite] [/areas area1 area2:] [/log имя файла журнала] 
[/verbose] [/quiet

В команде можно указывать следующие параметры:

  • /DB имя файла базы данных. Указывает путь к базе данных, содержащей необходимый для использования шаблон.
  • /CFG имя файла конфигурации. Указывает путь к шаблону безопасности, который можно импортировать в базу данных и затем установить в системе.
  • /overwrite. Указывает необходимость перезаписи политики в шаблоне безопасности, определенном командой /CFG, поверх политики в базе данных.
  • /areas. Указывает области безопасности шаблона, которые следует применить к системе. Этими областями являются: Securitypolicy, Group_mgmt, User_rights, Regkeys, Filestore, Services. Если ни одна область не указана, то по умолчанию используются все области.
  • /log имя файла журнала. Указывает путь к файлу журнала, который будет создан в результате выполнения команды.
  • /verbose. Сообщает команде secedit о том, что необходимо отображать детальные сведения во время выполнения.
  • /quiet. Отключает вывод данных на экран в процессе выполнения.

Данная команда может использоваться для принудительного применения конкретной конфигурации безопасности в системе.

Утверждение

Secedit может использоваться для утверждения файла конфигурации. При этом происходит проверка корректности синтаксиса файла. Для выполнения этой операции необходимо выполнить следующую команду:

Secedit /validate имя_файла

Обновление

Опция обновления команды secedit представляет собой механизм обновления политики безопасности организации. Эта команда заново применяет политику безопасности к локальному компьютеру. Синтаксис этой команды таков:

Secedit /refreshpolicy [machine_policy или user_policy] [/enforce]

Здесь могут использоваться следующие параметры:

  • Machine_policy. Указывает, что необходимо обновить политику безопасности для локального компьютера.
  • User_policy. Указывает, что необходимо обновить параметры безопасности локального пользователя, который в данный момент находится в системе.
  • /enforce. Указывает, что политика должна быть обновлена, даже если в нее не внесено никаких изменений.

Эта команда обеспечивает тот факт, что в системе действует нужная политика безопасности.

Экспорт

Secedit применяется также для экспорта конфигурации из базы данных безопасности в шаблон безопасности, что позволяет использовать шаблон безопасности на других компьютерах. Соответствующая команда имеет вид:

Secedit /export  [/MergedPolicy] [/DB имя файла базы данных] 
   [/CFG имя файла  конфигурации] 
 [/areas area1 area2:] [/log имя файла журнала]  
   [/verbose] [/quiet].

В данной команде могут использоваться следующие параметры:

  • MergedPolicy. Указывает, что secedit должна экспортировать как доменную, так и локальную политику.
  • /DB имя файла базы данных. Указывает путь к базе данных, содержащей конфигурацию, которую необходимо экспортировать.
  • /CFG имя файла конфигурации. Указывает путь сохранения шаблона безопасности.
  • /areas. Указывает области безопасности шаблона, которые должны быть применены к системе. Этими областями являются: Securitypolicy, Group_mgmt, User_rights, Regkeys, Filestore, Services. Если ни одна область не указана, то по умолчанию используются все области.
  • /log имя файла журнала. Указывает путь к файлу журнала, который будет создан в результате выполнения команды.
  • /verbose. Сообщает команде secedit о том, что необходимо отображать детальные сведения во время выполнения.
  • /quiet. Отключает вывод данных на экран в процессе выполнения.

Результаты выполнения этой команды можно сравнить с результатами выполнения других команд, чтобы обеспечить действие одной и той же политики по всему домену.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Евгений Рогонков
Евгений Рогонков
Россия, Гремячево, Гремячевская СОШ, 2008