Secedit 通过将当前配置与至少一个模板比较,配置和分析系统安全性。
该命令语法如下:
secedit /analyze
secedit /configure
secedit /export
secedit /import
secedit /validate
secedit /GenerateRollback
secedit /analyze 可通过将其与数据库中的基本设置相比较,分析一台计算机上的安全设置。
语法
secedit /analyze /db FileName .sdb[/cfgFileName] [/overwrite] [/logFileName] [/quiet]
参数
/db FileName.sdb
指定用于进行分析的数据库。
/cfg FileName
指定在进行分析前要导入到数据库中的安全性模板。使用安全模板管理单元创建安全模板。
/log FileName
指定记录配置进程状态的文件。如果未指定,则将配置数据记录到 %windir%\security\logs 目录下的 scesrv.log 文件。
/quiet
指定分析过程不进行进一步注释。
注释
可在安全配置和分析 中查看分析的结果。
示例以下是如何使用该命令的一个示例:
secedit /analyze /db hisecws.sdb
secedit /configure
通过应用存储在数据库中的设置配置本地计算机的安全性设置。
语法
secedit /configure /db FileName[/cfg FileName ] [/overwrite][/areasArea1 Area2 ...] [/logFileName] [/quiet]
参数
/db FileName
指定用于进行安全配置的数据库。
/cfg FileName
指定在配置计算机前要导入到数据库中的安全性模板。使用安全模板管理单元创建安全模板。
/overwrite
指定在导入安全模板之前应清空数据库。如果未指定该参数,安全模板中的设置将累计到数据库中。如果未指定该参数且数据库和当前导入的模板之间存在配置冲突,则模板配置具有优先权。
/areas Area1 Area2 ...
指定应用到系统中的安全区域。如果未指定参数,所有在数据库中定义的安全性设置都将应用到该系统。要配置多个区域,请使用空格分隔每一区域。支持以下安全区域:区域名称描述SECURITYPOLICY包括帐户策略、审核策略、事件日志设置和安全选项。GROUP_MGMT包括受限组的配置USER_RIGHTS包括用户权限分配REGKEYS包括注册表权限FILESTORE包括文件系统权限SERVICES包括系统服务设置
/log FileName
指定记录配置进程状态的文件。如果未指定,则将配置数据记录到 %windir%\security\logs 目录下的 scesrv.log 文件。
/quiet
指定该配置进程应在不提示用户的情况下进行。
示例
以下是如何使用该命令的示例:
secedit /configure /db hisecws.sdb /cfg
hisecws.inf /overwrite /log hisecws.log
secedit /export
可将存储在数据库中的安全性设置导出。
语法
secedit /export[/DBFileName] [/mergedpolicy] [/CFG FileName] [/areasArea1 Area2 ...] [/logFileName] [/quiet]
参数
/db FileName
指定用于配置安全性的数据库。
/mergedpolicy
合并并导出域和本地策略安全性。
/CFG FileName
指定要将设置导出到的模板。
/areas Area1 Area2 ...
指定将被导出到模板的安全区域。如果没有指定区域,则所有区域都将被导出。每个区域应通过空格分隔。
区域名称 描述
SECURITYPOLICY 包括帐户策略、审核策略、事件日志设置和安全选项。
GROUP_MGMT包括受限组的配置
USER_RIGHTS包括用户权限分配
REGKEYS包括注册表权限
FILESTORE 包括文件系统权限
SERVICES 包括系统服务设置
/log FileName
指定记录导出进程状态的文件。如果不指定该文件,则采用默认设置记录到 %windir%\security\logs\scesrv.log。
/quiet
指定该配置进程应在不提示用户的情况下进行。
示例
以下是如何使用该命令的一个示例:
secedit /export /db hisecws.inf /log hisecws.log
secedit /import
可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。
语法
secedit /import /db FileName .sdb /cfg FileName.inf [/overwrite] [/areasArea1 Area2 ...] [/logFileName] [/quiet]
参数
/db FileName .sdb
指定要将安全性模板设置导入到的数据库。
/CFG FileName
指定要导入到数据库中安全性模板。使用安全模板管理单元创建安全模板。
/overwrite FileName
指定在导入安全模板之前应清空数据库。如果未指定该参数,安全模板中的设置将累计到数据库中。如果未指定该参数且数据库和当前导入的模板之间存在配置冲突,则模板配置具有优先权。
/areas Area1 Area2 ...
指定将被导出到模板的安全区域。如果没有指定区域,则所有区域都将被导出。每个区域应通过空格分隔。
区域名称 描述
SECURITYPOLICY 包含帐户策略、审核策略、事件日志设置及安全选项。
GROUP_MGMT 包括受限组的配置
USER_RIGHTS 包括用户权限分配
REGKEYS 包括注册表权限
FILESTORE 包括文件系统权限
SERVICES 包括系统服务设置
/log FileName
指定记录导出进程状态的文件。如果不指定该文件,则采用默认设置记录到 %windir%\security\logs\scesrv.log。
/quiet
指定该配置进程应在不提示用户的情况下进行。
示例
以下是如何使用该命令的一个示例:
secedit /import /db hisecws.sdb /cfg hisecws.inf /overwrite
secedit /validate
验证要导入到分析数据库或系统应用程序的安全模板的语法。
语法
secedit /validate FileName
参数
FileName
指定使用安全模板创建的安全模板文件名。
示例
以下是如何使用该命令的一个示例:
secedit /validate /cfg filename
secedit /GenerateRollback
可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时,可以选择创建回滚模板,该模板在应用时会将安全性设置重置为应用配置模板前的值。
语法
secedit /GenerateRollback /CFG FileName.inf /RBK SecurityTemplatefilename.inf [/logRollbackFileName.inf] [/quiet]
参数
/CFG FileName
指定要为其创建回滚模板的安全性模板的文件名。
/RBK FileName
指定将创建为回滚模板的安全性模板的文件名。
注释
secedit /refreshpolicy 已经被 gpupdate 替代。有关如何更新安全性设置的信息,请参阅“相关主题”。
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。
先看secedit命令语法:
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。
与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略。来看个例子:
假设我要将密码长度最小值设置为6,并启用“密码必须符合复杂性要求”,那么先写这么一个模板:
[version]
signature="$CHICAGO$"
[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1
保存为gp.inf,然后导入:
secedit /configure /db gp.sdb /cfg gp.inf /quiet
这个命令执行完成后,将在当前目录产生一个gp.sdb,它是“中间产品”,你可以删除它。
/quiet参数表示“安静模式”,不产生日志。但根据我的试验,在2000sp4下该参数似乎不起作用,XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如:
secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*
另外,在导入模板前,还可以先分析语法是否正确:
secedit /validate gp.inf
那么,如何知道具体的语法呢?当然到MSDN里找啦。也有偷懒的办法,因为系统自带了一些安全模板,在%windir%\security\templates目录下。打开这些模板,基本上包含了常用的安全设置语法,一看就懂。
用/export来导出策略
看一下策略有没有导出来,运行type secedit.inf
删除del secedit.inf
