Сброс локальных политик безопасности

От:

Сбросить политики можно при помощи команды

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Для начала предлагаю разобраться, что это за команда, её возможности и в каких случаях может пригодиться.

Разъяснение команды secedit

Эта утилита использует утилиту secedit.exe (Конфигурация и анализ безопасности), которая является частью Windows и предназначена для настройки и анализа параметров безопасности системы. Она позволяет применять шаблоны безопасности, проводить текущие настройки безопасности, а также анализировать и исправлять несоответствия.

Разбор параметров команды:

  • secedit: Вызывает утилиту secedit.exe.
  • /configure : это основной параметр, указывающий, что мы хотим применить настройки безопасности из открытой конфигурации файла.
  • /cfg %windir%\repair\secsetup.inf : Указывает путь к файлу конфигурации безопасности, который будет использоваться.
    • %windir%- это переменная среда Windows, которая автоматически подставляется в путь к системной папке Windows (например, C:\Windows).
    • \repair\secsetup.inf- этот файл содержит базовые (заводские) настройки безопасности. Он хранится в repair системных папках Windows. Этот файл представляет собой своего рода «резервную копию» стандартных настроек безопасности, относящимся «из коробки».
    • Таким образом,  /cfg %windir%\repair\secsetup.infпредлагается seceditприменить настройки безопасности в этом базовом файле.
  • /db secsetup.sdb : Указывает путь к базе безопасности данных, который будет использоваться. secsetup.sdb- это база данных, куда импортируются настройки безопасности secsetup.inf для последующего применения. Эта база данных создается (или перезаписывается, если она уже существует) во время выполнения команды.
  • /verbose : Указывает, что secedit необходимо предоставить подробный отчет о процессе применения настроек безопасности. Это полезно для отладки и понимания того, что происходит.

Что делает команду в целом?

Команда secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verboseвыполняет следующие действия:

  1. Импортирует настройки безопасности из файла secsetup.inf (базовые настройки безопасности Windows) в базы данных secsetup.sdb.
  2. Применяет эти настройки безопасности к локальной системе, перезаписывая текущие настройки локальной политики безопасности.
  3. Выводит подробный отчет о процессе применения настроек.

Когда эта команда может быть применена?

Это полезно в следующих комплектах:

  • Сброс локальных политик безопасности: если локальные политики безопасности были изменены и возникли проблемы (например, ограничения доступа к сети, невозможность запуска определенных программ), эта команда может вернуть их к базовым настройкам.
  • Вывод компьютера из домена: При выводе компьютера из домена групповая политика домена больше не применяется. Однако настройки некоторых, внесенных групповыми политиками, могут остаться на компьютере в виде локальных политик. Эта может помочь сбросить эти «остаточные» настройки.
  • Устранение неполадок, связанных с безопасностью: Если вы подозреваете, что проблемы с системой вызваны некорректными настройками безопасности, сброс к базовым настройкам может помочь диагностировать и решить проблему.
  • После вирусной атаки: Вредоносное ПО изменяет настройки безопасности. Команда может помочь восстановить базовые параметры безопасности.

Важные предостережения:

  • Резервное копирование: Перед выполнением этой команды рекомендуется создать резервную копию важных данных и, если возможно, создать точку восстановления системы. Это позволит вам вернуться к предыдущему состоянию системы, если что-то пойдет не так.
  • Знайте, что делаете: Убедитесь, что вы понимаете, что делает эта команда, прежде чем ее выполнять. Неправильное использование secedit может привести к нежелательным последствиям.
  • Помните о домене: если компьютер по-прежнему находится в домене, групповая политика домена может снова переопределить локальную политику безопасности после выполнения этой команды.
  • Альтернативы: В некоторых случаях для сброса настроек безопасности достаточно использовать оснастку «Локальная политика безопасности» ( secpol.msc) вместо полного сброса с помощью secedit.

В заключение, команда secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verboseявляется мощной для управления настройками безопасности Windows, но требует осторожности и понимания ее работы.

Место ввода команды:

Команду secedit необходимо ввести в командную строку Windows, запущенную с правами администратора.

  1. В открывшемся окне командной строки введите следующую команду:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

  1. Нажмите кнопку Ввод

Что произойдет после ввода команды:

  • Командная строка начнет отображать информацию о процессе применения настроек безопасности. Вы покажете сообщения о том, какие параметры безопасности изменяются.
  • В зависимости от скорости вашего компьютера процесс может занять некоторое время (от нескольких секунд до нескольких минут).
  • В конце процесса вы должны увидеть сообщение об успешном завершении (или сообщения об ошибках, если что-то пошло не так). Внимательно изучите все сообщения, чтобы убедиться, что ошибок не было.

После выполнения команды:

  • Перезагрузите компьютер: После завершения работы в некоторых случаях secedit рекомендуется перезагрузить компьютер, чтобы изменения вступили в силу.
  • Проверьте результат: после перезагрузки проверьте, решена ли проблема, для решения которой вы сбрасывали локальную политику безопасности.

Комментарии закрыты