Zurück

secedit.exe in der CMD

09.01.2013 | Autor: Mark Heitbrink

Zurücksetzen des kompletten Systems (Dateisystem, Registry, Benutzerberechtigungen) auf Urzustand, nach Setup

 

secedit /configure /db %temp%\temp.sdb /cfg “%systemroot%\inf\defltwk.inf”

 

Zurücksetzen der Default NTFS Berechtigungen auf dem Systemlaufwerk auf die Ursprungswerte des Setups. Kann auch benutzt werden, um eine nachträglich von FAT32 zu NTFS konvertierte Partition mit den passenden Sicherheitseinstellungen auszustatten.

für eine XP Workstation:

 

secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltwk.inf /areas filestore

 

für einen 2003 Server, dort ändert sich der letzte Namensanteil der Sicherheitsvorlage (*sv.inf anstelle von *wk.inf):

 

secedit /configure /db %temp%\temp.sdb /cfg %systemroot%\inf\defltsv.inf /areas filestore

 

Wie setzt sich obiger Befehl zusammen?

  • secedit ist der MS eigene Security Editor, der dir es ermöglicht Berechtigungen zu überprüfen und u.A. anhand von definierten Vorlagen zu vergleichen, bzw. auch diese Vorlagen anzuwenden.
  • /configure - die Anweisung dessen, was zu tun ist => "Konfigurieren"  ... und nicht vergleichen oder anderes ...
  • /db braucht man, um den aktuellen Zustand in eine Datenbank zu schreiben, damit das System weiß wo Änderungen zu erfolgen haben. Zuerst wird eine Analyse des IST-Zustandes durchgeführt, erst danach kommt die Konfiguration.
  • temp.mdb inkl. Pfad der Dateiname und Speicherpfad der mit /db angegebenen Datenbank ... könnte auch c:\irgendeinVerzeichnis\Dieter.mdb sein
  • die defltwk.inf ist die "Default Workstation Informationsdatei" Während der Installation eines Systems muss die Setup Routine ja wissen, welche Berechtigungen auf welche Datei und/oder der Registry geschrieben werden müssen. Diese Informationen  bekommt das Setup aus der defltwk.inf
  • /areas, jetzt geht es nur noch um welchen Bereich der Berechtigungen die neu gesetzt werden sollen. In diesem Fall "filestore"... der Dateibereich

 Weitere Optionen für den Bereich AREA:

  • SECURITYPOLICY Umfasst Kontorichtlinien, Überwachungsrichtlinien, Ereignisprotokolleinstellungen und Sicherheitsoptionen.
  • GROUP_MGMT Umfasst Einstellungen für eingeschränkte Gruppen
  • USER_RIGHTS Umfasst Zuweisungen von Benutzerrechten
  • REGKEYS Umfasst Berechtigungen in der Registrierung
  • FILESTORE Umfasst Berechtigungen im Dateisystem
  • SERVICES Umfasst Einstellungen für Systemdienste

Hauptsyntax und Möglichkeiten die secedit bietet.
secedit /analyze – reine Analyse des aktuellen System. Vergleich mit definierten Vorlagen um Unterschiede herauszufiltern, z.B.: Vergleich mit der hisecsv.inf, an welchen Stellen weiche meine Konfiguration von der „sicheren“ vordefinierten ab und wie, bzw. wo sollte ich evtl. noch verschärfte Einstellungen vornehmen.

secedit /configure – wie oben in den Beispielen gezeigt, Anwendung und Einsatz eines vorhandenen Templates.

secedit /export – Export der aktuellen Einstellungen. Damit die Möglichkeit diese Konfiguration auf einen anderen System via /import wieder zu implementieren

secedit /import – siehe Export

secedit /validate – Überprüfung der Syntax eines Security Templates

secedit /GenerateRollback – erst ab Windows XP/2003, Erstellung eines „Rollbacks“, wenn man so will ein Backup der aktuellen Einstellungen und die Möglichkeit nach Änderungen diese wieder zurückzusetzen

Ähnliche Artikel

31.07.2014 Domänenrichtlinien an Standalone Workgroup Client (NonDomain Joined) übergeben
15.01.2013 Zentrale Vergabe lokaler Berechtigungen
13.01.2013 gpedit.msc - (Multi) Lokale Richtlinien Standalone ohne Server ohne AD