使用DOC命令采集windows本地安全策略
2018-08-16 本文已影响0人
东方欲晓_莫道君行早
获取本地安全策略,可以通过命令导出,程序读取文件
secedit /export /cfg d:\policy.cfg /areas USER_RIGHTS
上面是一个例子,格式应该是:
secedit /export[/DBFileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/logFileName] [/quiet]
参数如下:
/db FileName
指定用于配置安全性的数据库。
/mergedpolicy
合并并导出域和本地策略安全性。
/CFG FileName
指定要将设置导出到的模板。
/areas Area1 Area2 ...
指定将被导出到模板的安全区域。如果没有指定区域,则所有区域都将被导出。每个区域应通过空格分隔。
区域参数包含以下几种:
| 区域名称 | 描述 |
|---|---|
| SECURITYPOLICY | 包括帐户策略、审核策略、事件日志设置和安全选项 |
| GROUP_MGMT | 包括受限组的配置 |
| USER_RIGHTS | 包括用户权限分配 |
| REGKEYS | 包括注册表权限 |
| FILESTORE | 包括文件系统权限 |
| SERVICES | 包括系统服务设置 |
secedit /export /cfg d:\securityPolicy.cfg /areas SECURITYPOLICY
/log FileName
指定记录导出进程状态的文件。如果不指定该文件,则采用默认设置记录到 %windir%\security\logs\scesrv.log。
/quiet
指定该配置进程应在不提示用户的情况下进行。
示例
以下是如何使用该命令的一个示例:
secedit /export /db hisecws.inf /log hisecws.log
账户策略,审核策略相关的内容注释如下:
MinimumPasswordAge = 0 //密码最短留存期
MaximumPasswordAge = 42 //密码过期时间
MinimumPasswordLength = 0 //密码长度最小值
PasswordComplexity = 0 //密码必须符合复杂性要求
PasswordHistorySize = 0 //强制密码历史 N个记住的密码
LockoutBadCount = 5 //账户锁定阈值
ResetLockoutCount = 30 //账户锁定时间
LockoutDuration = 30 //复位账户锁定计数器
RequireLogonToChangePassword = 0 *下次登录必须更改密码
ForceLogoffWhenHourExpire = 0 *强制过期
NewAdministratorName = "Administrator" *管理员账户名称
NewGuestName = "Guest" *来宾账户名称
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1 //administrator是否禁用
EnableGuestAccount = 0 //guest是否禁用
[Event Audit]
AuditSystemEvents = 3 //审核系统事件 成功、失败
AuditLogonEvents = 3 //审核登录事件 成功、失败
AuditObjectAccess = 3 //审核对象访问 成功、失败
AuditPrivilegeUse = 0 //审核特权使用 不审核
AuditPolicyChange = 3 //审核策略更改 成功、失败
AuditAccountManage = 3 //审核账户管理 成功、失败
AuditProcessTracking = 2 //审核过程追踪 失败
AuditDSAccess = 2 //审核目录服务访问 失败
AuditAccountLogon = 1 //审核账号登录事件 成功
用户权限分配策略相关(部分,其他的有待大神补充)
SeNetworkLogonRight //允许网络登入
SeBackupPrivilege
SeChangeNotifyPrivilege
SeSystemtimePrivilege
SeCreatePagefilePrivilege //创建一个页面文件
SeDebugPrivilege //调试程序
SeRemoteShutdownPrivilege //远程强制关机
SeAuditPrivilege
SeIncreaseQuotaPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege //加载和卸载设备驱动程序
SeBatchLogonRight
SeServiceLogonRight
SeInteractiveLogonRight //本地登录
SeSecurityPrivilege
SeSystemEnvironmentPrivilege
SeProfileSingleProcessPrivilege //配置文件单个进程
SeSystemProfilePrivilege
SeAssignPrimaryTokenPrivilege
SeRestorePrivilege
SeShutdownPrivilege //本地强制关机
SeTakeOwnershipPrivilege //取得文件或其他对象所有权
SeDenyNetworkLogonRight = Guest
SeDenyInteractiveLogonRight = Guest
SeUndockPrivilege
SeManageVolumePrivilege //执行卷维护任务
SeRemoteInteractiveLogonRight //允许远程登录
SeImpersonatePrivilege
SeCreateGlobalPrivilege
SeIncreaseWorkingSetPrivilege
SeTimeZonePrivilege
SeCreateSymbolicLinkPrivilege //创建符号链接
至于用户权限分配的权限值,即拥有本权限的组或用户,显示的则是对应的SID,可以通过前面介绍的SID方法来确定是哪些用户或组
