獲取本地安全策略,可以通過命令導(dǎo)出,程序讀取文件
secedit /export /cfg d:\policy.cfg /areas USER_RIGHTS
上面是一個例子粤策,格式應(yīng)該是:
secedit /export[/DBFileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/logFileName] [/quiet]
參數(shù)如下:
/db FileName
指定用于配置安全性的數(shù)據(jù)庫型奥。
/mergedpolicy
合并并導(dǎo)出域和本地策略安全性。
/CFG FileName
指定要將設(shè)置導(dǎo)出到的模板倍靡。
/areas Area1 Area2 ...
指定將被導(dǎo)出到模板的安全區(qū)域猴伶。如果沒有指定區(qū)域,則所有區(qū)域都將被導(dǎo)出塌西。每個區(qū)域應(yīng)通過空格分隔他挎。
區(qū)域參數(shù)包含以下幾種:
| 區(qū)域名稱 | 描述 |
|---|---|
| SECURITYPOLICY | 包括帳戶策略、審核策略雨让、事件日志設(shè)置和安全選項 |
| GROUP_MGMT | 包括受限組的配置 |
| USER_RIGHTS | 包括用戶權(quán)限分配 |
| REGKEYS | 包括注冊表權(quán)限 |
| FILESTORE | 包括文件系統(tǒng)權(quán)限 |
| SERVICES | 包括系統(tǒng)服務(wù)設(shè)置 |
secedit /export /cfg d:\securityPolicy.cfg /areas SECURITYPOLICY
/log FileName
指定記錄導(dǎo)出進(jìn)程狀態(tài)的文件雇盖。如果不指定該文件,則采用默認(rèn)設(shè)置記錄到 %windir%\security\logs\scesrv.log栖忠。
/quiet
指定該配置進(jìn)程應(yīng)在不提示用戶的情況下進(jìn)行崔挖。
示例
以下是如何使用該命令的一個示例:
secedit /export /db hisecws.inf /log hisecws.log
賬戶策略贸街,審核策略相關(guān)的內(nèi)容注釋如下:
MinimumPasswordAge = 0 //密碼最短留存期
MaximumPasswordAge = 42 //密碼過期時間
MinimumPasswordLength = 0 //密碼長度最小值
PasswordComplexity = 0 //密碼必須符合復(fù)雜性要求
PasswordHistorySize = 0 //強(qiáng)制密碼歷史 N個記住的密碼
LockoutBadCount = 5 //賬戶鎖定閾值
ResetLockoutCount = 30 //賬戶鎖定時間
LockoutDuration = 30 //復(fù)位賬戶鎖定計數(shù)器
RequireLogonToChangePassword = 0 *下次登錄必須更改密碼
ForceLogoffWhenHourExpire = 0 *強(qiáng)制過期
NewAdministratorName = "Administrator" *管理員賬戶名稱
NewGuestName = "Guest" *來賓賬戶名稱
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1 //administrator是否禁用
EnableGuestAccount = 0 //guest是否禁用
[Event Audit]
AuditSystemEvents = 3 //審核系統(tǒng)事件 成功、失敗
AuditLogonEvents = 3 //審核登錄事件 成功狸相、失敗
AuditObjectAccess = 3 //審核對象訪問 成功薛匪、失敗
AuditPrivilegeUse = 0 //審核特權(quán)使用 不審核
AuditPolicyChange = 3 //審核策略更改 成功、失敗
AuditAccountManage = 3 //審核賬戶管理 成功脓鹃、失敗
AuditProcessTracking = 2 //審核過程追蹤 失敗
AuditDSAccess = 2 //審核目錄服務(wù)訪問 失敗
AuditAccountLogon = 1 //審核賬號登錄事件 成功
用戶權(quán)限分配策略相關(guān)(部分逸尖,其他的有待大神補(bǔ)充)
SeNetworkLogonRight //允許網(wǎng)絡(luò)登入
SeBackupPrivilege
SeChangeNotifyPrivilege
SeSystemtimePrivilege
SeCreatePagefilePrivilege //創(chuàng)建一個頁面文件
SeDebugPrivilege //調(diào)試程序
SeRemoteShutdownPrivilege //遠(yuǎn)程強(qiáng)制關(guān)機(jī)
SeAuditPrivilege
SeIncreaseQuotaPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege //加載和卸載設(shè)備驅(qū)動程序
SeBatchLogonRight
SeServiceLogonRight
SeInteractiveLogonRight //本地登錄
SeSecurityPrivilege
SeSystemEnvironmentPrivilege
SeProfileSingleProcessPrivilege //配置文件單個進(jìn)程
SeSystemProfilePrivilege
SeAssignPrimaryTokenPrivilege
SeRestorePrivilege
SeShutdownPrivilege //本地強(qiáng)制關(guān)機(jī)
SeTakeOwnershipPrivilege //取得文件或其他對象所有權(quán)
SeDenyNetworkLogonRight = Guest
SeDenyInteractiveLogonRight = Guest
SeUndockPrivilege
SeManageVolumePrivilege //執(zhí)行卷維護(hù)任務(wù)
SeRemoteInteractiveLogonRight //允許遠(yuǎn)程登錄
SeImpersonatePrivilege
SeCreateGlobalPrivilege
SeIncreaseWorkingSetPrivilege
SeTimeZonePrivilege
SeCreateSymbolicLinkPrivilege //創(chuàng)建符號鏈接
至于用戶權(quán)限分配的權(quán)限值,即擁有本權(quán)限的組或用戶瘸右,顯示的則是對應(yīng)的SID娇跟,可以通過前面介紹的SID方法來確定是哪些用戶或組
