Instellingen voor het beveiligingsbeleid beheren
Van toepassing op: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Dit onderwerp voor IT-professionals wordt besproken verschillende methoden voor het beheren van instellingen voor het beveiligingsbeleid op de lokale computer of in een IT kleine of middelgrote organisatie met behulp vanWindows Server 2012enWindows 8.
Inleiding
Instellingen voor het beveiligingsbeleid moeten worden gebruikt als onderdeel van uw algehele implementatie van beveiliging om te helpen beveiligen-domeincontrollers, servers, clientcomputers en andere bronnen in uw organisatie.
Instellingen voor beveiligingsbeleid zijn regels die u op een computer of meerdere computers configureren kunt, ter bescherming van bronnen op een computer of netwerk. De extensie beveiligingsinstellingen van de module Editor voor lokaal groepsbeleid (Gpedit.msc) kunt u op beveiligingsconfiguraties definiëren als onderdeel van een Group Policy Object (GPO). De groepsbeleidsobjecten zijn gekoppeld aan Active Directory-containers zoals sites, domeinen en organisatie-eenheden en ze kunnen beheerders beveiligingsinstellingen voor meerdere computers beheren vanaf elke computer die lid is van het domein.
Beveiligingsinstellingen kunnen beheren:
Gebruikersverificatie met een netwerk of de computer.
De bronnen die gebruikers toegang krijgen tot zijn toegestaan.
Registreren van een gebruiker of groep's acties in het gebeurtenislogboek.
Lidmaatschap van een groep.
Zie voor meer informatie over elke instelling, beschrijvingen, standaardinstellingen, en beheer en beveiligingsoverwegingen, inclusief debeveiliging instellingen beleidsverwijzingin het Microsoft Download Center.
Zie voor meer informatie over de werking van de beveiliging instellingen-modules deBeveiligingsbeleid-instellingen technisch overzicht.
Als u wilt beheren op beveiligingsconfiguraties voor meerdere computers, kunt u een van de volgende opties:
Specifieke beveiligingsinstellingen in een groepsbeleidsobject bewerken.
Gebruik de module Beveiligingssjablonen om te maken van een beveiligingssjabloon met het beveiligingsbeleid die u wilt toepassen en vervolgens de sjabloon in een Group Policy Object te importeren. Een beveiligingssjabloon is een bestand met een beveiligingsconfiguratie en deze kan worden geïmporteerd naar een object, of toegepast op een lokale computer of kan worden gebruikt voor het analyseren van beveiliging.
Wat gewijzigd in hoe instellingen worden beheerd?
Gedurende een periode, nieuwe manieren voor het beheren van beleidsinstellingen geïntroduceerd, zoals nieuwe functies van het besturingssysteem en de toevoeging van nieuwe instellingen. De volgende tabel worden verschillende manieren van beveiligingsinstellingen beleidsinstellingen kunnen worden beheerd.
Hulpprogramma of functie |
Beschrijving en gebruik |
|---|---|
Met de module Lokaal beveiligingsbeleid |
Secpol.msc Ontworpen voor het beheren van alleen beleidsinstellingen MMC-module. |
Met behulp van het opdrachtregelprogramma Secedit |
Secedit.exe Geconfigureerd en geanalyseerd systeembeveiliging door uw huidige configuratie met opgegeven beveiligingssjablonen te vergelijken. |
Met behulp van de beveiligingsinstellingen van naleving |
Hulpprogramma voor downloaden Een Solution Accelerator die helpt u bij het plannen, implementeren, gebruiken en uw basislijnen beveiliging voor Windows-client en server-besturingssystemen, toepassingen en beheren. |
Met behulp van de Wizard Beveiliging configureren |
SCW.exe SCW is een beschikbaar op servers alleen rollen gebaseerd hulpprogramma: U kunt deze kunt gebruiken om een beleid waarmee services, firewallregels en instellingen die vereist voor een geselecteerde server zijn voor het uitvoeren van bepaalde functies te maken. |
Werken met de Security Configuration Manager |
Deze werkset kunt u maken en bewerken van de beveiliging voor de lokale computer, de organisatie-eenheid of het domein van toepassing. |
Werken met hulpprogramma's voor Groepsbeleid |
GPMC.msc en Gpedit.msc Group Policy Management Console maakt gebruik van de Group Policy Object editor om weer te geven van de lokale beveiligingsopties kunnen vervolgens worden opgenomen in de Group Policy Objects voor distributie in het hele domein. De Editor voor lokaal Groepsbeleid voert vergelijkbare functies op de lokale computer. |
Beleid voor softwarebeperking ZieBeleid voor Software-beperking beherenin de TechNet-bibliotheek. |
Gpedit.msc Beperking beleid (SRP) is een functie op basis van Groepsbeleid waarmee programma's uitvoeren op computers in een domein en Hiermee kunt u de mogelijkheid van deze programma's worden uitgevoerd. |
AppLocker ZieAppLocker beherenin de TechNet-bibliotheek. |
Gpedit.msc Wordt voorkomen dat schadelijke software (malware) en niet-ondersteunde toepassingen van invloed is op computers in uw omgeving en kunnen gebruikers in uw organisatie van de installatie en het gebruik van niet-geautoriseerde toepassingen. |
Met de module Lokaal beveiligingsbeleid
De module Lokaal beveiligingsbeleid (Secpol.msc) is alleen de weergave van het beleid voor lokale objecten het volgende beleid en functies:
Accountbeleid
Lokaal beleid
Windows Firewall met geavanceerde beveiliging
Lijst met netwerkbeheerder-beleid
Beleid voor openbare sleutel
Beleid voor softwarebeperking
Toepassingsbeleid van het besturingselement
IP-beveiligingsbeleid op de lokale Computer
Configuratie van geavanceerde Audit-beleid
Lokaal beleid kunnen worden overschreven als de computer is toegevoegd aan het domein.
De module Lokaal beveiligingsbeleid maakt deel uit van de Security Configuration Manager-werkset. Zie voor meer informatie over andere hulpprogramma's in deze hulpprogrammasetWerken met de Security Configuration Managerin dit onderwerp.
Met behulp van het opdrachtregelprogramma Secedit
Het opdrachtregelprogramma Secedit werkt met beveiligingssjablonen en biedt zes primaire functies:
DeConfigureparameter helpt u bij het oplossen van beveiligingsproblemen tussen servers door de juiste sjabloon toepassen op de server onjuiste.
DeAnalyzeparameter beveiligingsconfiguratie van de server met de geselecteerde sjabloon worden vergeleken.
DeImportparameter kunt u een database te maken van een bestaande sjabloon. Het hulpprogramma Beveiligingsconfiguratie en analyse wordt ook.
DeExportparameter kunt u de instellingen uit een database exporteren naar een beveiligingssjabloon instellingen.
DeValidateparameter kunt u de syntaxis van elke of eventuele regels van de tekst die u hebt gemaakt of toegevoegd aan een beveiligingssjabloon valideren. Dit zorgt ervoor dat als de sjabloon niet syntaxis toepassen, de sjabloon niet zal het probleem.
DeGenerate Rollbackparameter slaat huidige beveiligingsinstellingen van de server in een beveiligingssjabloon zodat het kan worden gebruikt voor het merendeel van de beveiligingsinstellingen van de server naar een bekende status herstellen. Uitzonderingen zijn die, wanneer toegepast, de sjabloon voor ongedaan maken wordt niet gewijzigd access control keuzelijst op bestanden of registervermeldingen die zijn gewijzigd door de meest recent sjabloon toegepast.
Zie voor meer informatie over het hulpprogramma Secedit.exeSecedit [LH].
Met behulp van de beveiligingsinstellingen van naleving
De beveiligingsinstellingen van de compatibiliteit is een downloadbare hulpprogramma waarmee u van plan bent, te implementeren, gebruiken en uw basislijnen beveiliging voor Windows-client en server-besturingssystemen en voor Microsoft-toepassingen beheren. Bevat een volledige database met de aanbevolen beveiligingsinstellingen, methoden om aan te passen uw basislijnen en de optie voor het implementeren van deze instellingen in verschillende indelingen, waaronder XLS, groepsbeleidsobjecten gewenst Configuratiebeheer (GCB) packs of beveiliging inhoud Automation-Protocol (SCAP). De beveiligingsinstellingen van naleving wordt gebruikt om de basislijnen exporteren naar uw omgeving om de beveiliging basislijn implementatie en naleving verificatieprocedure automatiseren.
Beveiligingsbeleid beheren met behulp van de beveiligingsinstellingen van naleving
Download de meest recente versie van deSecurity naleving Managerin het Microsoft Download Center.
Lees de relevante beveiliging basislijn documentatie die in dit hulpprogramma is opgenomen.
Downloaden en de relevante beveiliging basislijnen importeren. Het installatieproces begeleidt u bij de selectie van de basislijn.
De Help openen en volg de instructies aanpassen, vergelijken of samenvoegen van de beveiliging basislijnen voordat u deze basislijnen.
Met behulp van de Wizard Beveiliging configureren
Security Configuration Wizard (SCW) helpt u bij het maken, bewerken, toepassen of een beveiligingsbeleid terugdraaien. Een beveiligingsbeleid die u met de wizard maakt is een XML-bestand dat wordt toegepast, configureert u services, netwerkbeveiliging, specifieke registerwaarden en audit beleid. SCW is een hulpprogramma op basis van een rol: U kunt deze kunt gebruiken om een beleid waarmee services, firewallregels en instellingen die vereist voor een geselecteerde server zijn voor het uitvoeren van bepaalde functies te maken. Een server zijn mogelijk een bestandsserver, afdrukserver of een domeincontroller.
Hier volgen overwegingen voor het gebruik van de wizard Beveiliging configureren:
SCW schakelt u onnodige services en Windows Firewall biedt ondersteuning voor geavanceerde beveiliging.
Beveiligingsbeleid die zijn gemaakt met de wizard zijn niet hetzelfde als beveiligingssjablonen bestanden met de extensie zijn. Beveiligingssjablonen bevatten meer beveiligingsinstellingen dan die kunnen worden ingesteld met de wizard. Het is echter een beveiligingssjabloon in een bestand SCW beveiligingsbeleid opnemen.
U kunt implementeren beveiligingsbeleid die u met de wizard Beveiliging configureren maakt met Groepsbeleid.
SCW niet installeren of verwijderen van de functies die nodig zijn voor de server een rol uitvoeren. U kunt specifieke functies via Serverbeheer installeren.
SCW detecteert rolafhankelijkheden. Als u een rol selecteert, wordt het afhankelijke rollen automatisch geselecteerd.
Alle toepassingen die gebruikmaken van IP-protocol en poorten moeten op de server worden uitgevoerd wanneer u de wizard Beveiliging configureren uitvoert.
In sommige gevallen moet u verbonden met Internet via de koppelingen in de Help van de wizard Beveiliging configureren.
Notitie
De wizard Beveiliging configureren is alleen beschikbaar op Windows Server en alleen van toepassing op de server-installaties.
De wizard Beveiliging configureren is toegankelijk via Serverbeheer of door het uitvoeren van Scw.exe. De wizard begeleidt u bij de server beveiligingsconfiguratie naar:
Maak een beveiligingsbeleid dat kan worden toegepast op elke server in uw netwerk.
Een bestaand beveiligingsbeleid bewerken.
Een bestaand beveiligingsbeleid toepassen.
De laatst toegepaste beveiligingsbeleid terugdraaien.
De Wizard beveiligingsbeleid configureert u services en netwerkbeveiliging op basis van de rol van de server, evenals controle en de registerinstellingen configureert.
Zie voor meer informatie over de wizard Beveiliging configureren, inclusief procedures, deSecurity Configuration Wizard.
Werken met de Security Configuration Manager
De Security Configuration Manager-werkset kunt u maken en bewerken van de beveiliging voor de lokale computer, de organisatie-eenheid of het domein van toepassing.
Zie voor instructies over het gebruik van de Security Configuration ManagerSecurity Configuration Manager.
De volgende tabel bevat de functies van de Security Configuration Manager.
Security Configuration Manager-hulpprogramma 's |
Beschrijving |
|---|---|
Beveiligingsconfiguratie en analyse |
Definieert een beveiligingsbeleid in een sjabloon. Deze sjablonen kunnen worden toegepast op Groepsbeleid of op de lokale computer. |
Beveiligingssjablonen |
Definieert een beveiligingsbeleid in een sjabloon. Deze sjablonen kunnen worden toegepast op Groepsbeleid of op de lokale computer. |
Uitbreiding Beveiligingsinstellingen voor Groepsbeleid |
Hiermee kunt u afzonderlijke beveiligingsinstellingen op een domein, site of organisatie-eenheid bewerken. |
Lokaal beveiligingsbeleid |
Hiermee kunt u afzonderlijke beveiligingsinstellingen op de lokale computer bewerken. |
Automatiseert beveiligingsconfiguratietaken naar de opdrachtprompt. |
Beveiligingsconfiguratie en analyse
Beveiligingsconfiguratie en analyse is een MMC-module voor het analyseren en configureren van beveiliging van het lokale systeem.
Beveiliging analyseren
De status van het besturingssysteem en toepassingen op een computer is dynamisch. U wilt bijvoorbeeld beveiligingsniveau tijdelijk wijzigt, zodat u een beheer- of netwerkprobleem onmiddellijk kunt oplossen. Maar deze wijziging vaak niet teruggedraaid. Dit betekent dat een computer mogelijk niet meer voldoet aan de vereisten van de onderneming.
Normale analyse kan een beheerder bijhouden en controleer of voldoende beveiliging op elke computer als onderdeel van een programma enterprise risico management. Een beheerder kan de niveaus afstemmen en belangrijker nog, eventuele beveiligingsfouten opsporen die in het systeem gedurende een periode optreden.
Beveiligingsconfiguratie en analyse kunt u snel analyseresultaten bekijken. Het geeft aanbevelingen naast huidige systeeminstellingen en maakt gebruik van visuele vlaggen of opmerkingen gebieden waar de huidige instellingen niet overeen met de voorgestelde beveiligingsniveau gemarkeerd. Beveiligingsconfiguratie en analyse biedt tevens de mogelijkheid om op te lossen eventuele verschillen die analyse blijkt.
Beveiligingsconfiguratie
Beveiligingsconfiguratie en analyse kan ook rechtstreeks configureren van beveiliging van het lokale systeem worden gebruikt. Dankzij het gebruik van persoonlijke databases, kunt u beveiligingssjablonen die zijn gemaakt met behulp van beveiligingssjablonen en deze toepassen op de lokale computer importeren. Hiermee configureert u onmiddellijk de beveiliging van het systeem met de niveaus die is opgegeven in de sjabloon.
Beveiligingssjablonen
Met de module Beveiligingssjablonen voor Microsoft Management Console kunt u een beveiligingsbeleid maken voor uw computer of het netwerk. Er is een centraal punt van waaruit het volledige bereik van de beveiliging van het systeem rekening kan worden genomen. De module Beveiligingssjablonen introduceert u geen nieuwe security parameters, gewoon worden alle bestaande security kenmerken geordend op één centrale plaats beveiligingsbeheer vereenvoudigt.
Een beveiligingssjabloon importeren in een Group Policy Object vereenvoudigt domeinbeheer door het configureren van beveiliging voor een domein of organisatie-eenheid tegelijk.
Als u wilt een beveiligingssjabloon toepassen op de lokale computer, kunt u Beveiligingsconfiguratie en -analyse of het opdrachtregelprogramma Secedit.
Beveiligingssjablonen kunnen worden gebruikt om te definiëren:
Accountbeleid
Wachtwoordbeleid
Vergrendelingsbeleid
Kerberos-beleid
Lokaal beleid
Auditbeleid
Toewijzing van gebruiksrecht
Beveiligingsopties
Gebeurtenislogboek: Instellingen voor gebeurtenislogboeken toepassing, systeem en beveiliging
Beperkte groepen: Lidmaatschap van beveiligingsgroepen
Systeemservices: Opstarten en machtigingen voor systeemservices
Register: Machtigingen voor registersleutels
Bestandssysteem: Machtigingen voor bestanden en mappen
Elke sjabloon wordt opgeslagen als een op tekst gebaseerde .inf-bestand. Hiermee kunt u te kopiëren, plakken, importeren of exporteren van de sjabloonkenmerken. Met uitzondering van IP-beveiliging en beleid voor openbare sleutel, kunnen alle beveiligingskenmerken worden opgenomen in een beveiligingssjabloon.
Uitbreiding Beveiligingsinstellingen voor Groepsbeleid
Organisatie-eenheden, domeinen en sites zijn gekoppeld aan de Group Policy Objects. Het hulpprogramma beveiligingsinstellingen kunt dat u wijzigen de configuratie van de beveiliging van de Group Policy Object op hun beurt betrekking op meerdere computers. U kunt met de beveiligingsinstellingen voor de beveiligingsinstellingen van vele computers, afhankelijk van de Group Policy Object wijzigen, vanaf één computer is toegevoegd aan een domein wijzigen.
Beveiligingsinstellingen of beveiligingsbeleid zijn regels die op een of meerdere computers voor het beschermen van bronnen op een computer of netwerk zijn geconfigureerd. Beveiligingsinstellingen kunnen beheren:
Hoe gebruikers worden geverifieerd op een netwerk of de computer.
Welke bronnen gebruikers mogen gebruiken.
Al dan niet een van de gebruiker of groep van acties worden vastgelegd in het gebeurtenislogboek.
Lidmaatschap van de groep.
U kunt de configuratie van de beveiliging op meerdere computers op twee manieren wijzigen:
Een beveiligingsbeleid maken via een beveiligingssjabloon met beveiligingssjablonen en vervolgens de sjabloon via beveiligingsinstellingen in een Group Policy Object importeren.
Enkele instellingen wijzigen met beveiligingsinstellingen.
Lokaal beveiligingsbeleid
Een beveiligingsbeleid is een combinatie van beveiligingsinstellingen die van invloed op de beveiliging op een computer. U kunt het lokale beveiligingsbeleid bewerken account en lokaal beleid op de lokale computer.
U kunt met het lokale beveiligingsbeleid bepalen:
Die toegang tot uw computer.
Welke bronnen gebruikers mogen gebruiken op uw computer.
Al dan niet een van de gebruiker of groep van acties worden vastgelegd in het gebeurtenislogboek.
Als uw lokale computer is toegevoegd aan een domein, bent u een het beveiligingsbeleid van het domein of van het beleid van een organisatie-eenheid die u lid van zijn afhankelijk. Als u een beleid van meer dan één bron steeds, worden conflicten opgelost in de volgorde van prioriteit.
Organisatie-eenheid
Beleid van het domein
Sitebeleid
Beleid voor lokale computer
Als u de beveiligingsinstellingen op de lokale computer wijzigen in het lokale beveiligingsbeleid, klikt u vervolgens wijzigt u rechtstreeks de instellingen op uw computer. Daarom moeten de instellingen van kracht, maar dit kan alleen worden tijdelijk. De instellingen blijven van kracht op de lokale computer tot de beveiligingsinstellingen voor Groepsbeleid wordt vernieuwd wanneer de beveiligingsinstellingen die afkomstig zijn van Groepsbeleid hebben voorrang op uw lokale instellingen worden.
Met behulp van de Security Configuration Manager
Zie voor instructies over het gebruik van de Security Configuration ManagerSecurity Configuration Manager How To. Deze sectie bevat informatie in dit onderwerp over:
Beveiligingsinstellingen toepassen
Importeren en exporteren van beveiligingssjablonen
Beveiliging analyseren en de resultaten weergeven
Beveiligingsproblemen oplossen
Beveiligingsconfiguratietaken automatiseren
Beveiligingsinstellingen toepassen
Nadat u de beveiligingsinstellingen hebt bewerkt, worden de instellingen op de computers in de organisatie-eenheid gekoppeld aan uw Group Policy Object vernieuwd:
Wanneer een computer opnieuw is opgestart, kunt u de instellingen op die computer wordt vernieuwd.
Een computer wilt afdwingen voor het vernieuwen van de beveiligingsinstellingen, evenals alle instellingen voor Groepsbeleid, Zie deGpupdate [LH]opdrachtregelprogramma.
Prioriteit van een beleid als meer dan één beleid wordt toegepast op een computer
Voor de beveiligingsinstellingen die zijn gedefinieerd door meer dan één beleid, wordt de volgorde van prioriteit waargenomen:
Organisatie-eenheid
Beleid van het domein
Sitebeleid
Beleid voor lokale computer
Een werkstation dat is gekoppeld aan een domein wordt bijvoorbeeld de lokale beveiligingsinstellingen genegeerd door het domeinbeleid voor het waar er een conflict is. Op dezelfde manier als hetzelfde werkstation lid is van een organisatie-eenheid, vervangen de instellingen van het beleid van de organisatie-eenheid toegepast het domein en de lokale instellingen. Als het werkstation deel uitmaakt van meer dan een organisatie-eenheid, heeft de organisatie-eenheid waarin het werkstation de hoogste volgorde van prioriteit.
Notitie
Gebruik deGpresult [LH]opdrachtregelprogramma wilt weten welke beleidsregels worden toegepast op een computer en in welke volgorde.
Voor domeinaccounts, kunnen er slechts één accountbeleid met wachtwoordbeleid, accountvergrendeling en Kerberos-beleid.
Beveiligingsinstellingen behouden
Beveiligingsinstellingen voor kunnen blijven zelfs als een instelling niet meer is gedefinieerd in het beleid dat deze oorspronkelijk werd toegepast.
Beveiligingsinstellingen behouden treedt op wanneer:
De instelling heeft geen eerder gedefinieerd voor de computer.
De instelling is voor een registerobject.
De instelling wordt gebruikt voor een bestandssysteemobject.
Alle instellingen toegepast via lokaal beleid of een Group Policy Object worden opgeslagen in een lokale database op uw computer. Wanneer een beveiligingsinstelling is gewijzigd, slaat de computer de waarde van de beveiliging op de lokale database, een geschiedenis van de instellingen die zijn toegepast op de computer. Als een beleid definieert eerst een beveiligingsinstelling en vervolgens deze instelling niet meer definieert, neemt de instelling van de vorige waarde in de database. Als een vorige waarde niet in de database bestaat, klikt u vervolgens de instelling niet geconverteerd en behoudt als gedefinieerd. Dit probleem wordt ook wel "tatoeëring."
Register- en -instellingen behouden toegepast via beleid totdat deze is ingesteld op andere waarden.
Beveiligingsinstellingen filteren op basis van groepslidmaatschap
U kunt aangeven welke gebruikers of groepen wel of geen een Group Policy Object toegepast ongeacht de computer waarop ze zijn aangemeld op het weigeren van de toepassing Groepsbeleid lezen machtiging of op die Group Policy Object. Beide machtigingen zijn vereist voor het toepassen van Groepsbeleid.
Importeren en exporteren van beveiligingssjablonen
Beveiligingsconfiguratie en analyse biedt de mogelijkheid om te importeren en exporteren van beveiligingssjablonen in of uit een database.
Als u wijzigingen hebt aangebracht in de analysedatabase, kunt u deze instellingen opslaan door deze te exporteren naar een sjabloon. De functie Exporteren biedt de mogelijkheid om de analyse database-instellingen opslaan als een nieuw sjabloonbestand. Dit sjabloonbestand kan vervolgens worden gebruikt om te analyseren of configureren van een systeem of een Group Policy Object kunnen worden geïmporteerd.
Beveiliging analyseren en de resultaten weergeven
Beveiligingsconfiguratie en analyse kunt u de beveiliging analyseren door te vergelijken met de huidige status van de beveiliging van het systeem tegen eenanalysis-database. De analysedatabase gebruikt tijdens het maken van ten minste één beveiligingssjabloon. Als u meer dan een beveiligingssjabloon importeert, wordt de database samenvoegen van de verschillende sjablonen en één samengestelde sjabloon. Dit oplost conflicten in volgorde van invoer; prioriteit van de laatste sjabloon die is geïmporteerd.
Beveiligingsconfiguratie en analyse geeft de analyseresultaten door beveiligingsgebied wijzen op problemen met visuele vlaggen. De huidige systeem en base configuratie-instellingen voor elk kenmerk wordt weergegeven op het gebied van beveiliging. Met de rechtermuisknop op de vermelding voor de analysis-database-instellingen wijzigt, en klik vervolgens opeigenschappen.
Visuele markering |
Betekenis |
|---|---|
Rode X |
De vermelding in de analysedatabase en op het systeem is gedefinieerd, maar de waarden van de beveiligingsinstellingen komen niet overeen. |
Groen vinkje |
De vermelding is gedefinieerd in de analysedatabase en op het systeem en de waarden voor de instelling. |
Vraagteken |
De vermelding is niet gedefinieerd in de analysedatabase en daarom niet is geanalyseerd. Als een vermelding niet wordt geanalyseerd, kan het zijn dat deze niet is gedefinieerd in de analysedatabase of de gebruiker die de analyse wordt uitgevoerd hebt niet voldoende machtigingen voor analyse op een bepaald object of gebied. |
Gaat |
Dit item is gedefinieerd in de analysedatabase, maar bestaat niet op het systeem. Bijvoorbeeld, kan er een beperkte groep die is gedefinieerd in de analysedatabase maar niet bestaat op het systeem geanalyseerd. |
Er is geen markeren |
Het item is niet gedefinieerd in de analysedatabase of op het systeem. |
Als u de huidige instellingen accepteert, wordt de bijbehorende waarde in de basisconfiguratie gewijzigd zodat ze overeenkomen met. Als u het systeem instellen voor een overeenkomst met de basisconfiguratie wijzigt, wordt de wijziging wordt vermeld bij het configureren van het systeem met Beveiligingsconfiguratie en -analyse.
Om te voorkomen blijven markeringen instellingen die u hebt onderzocht en vastgesteld dat redelijkerwijs, kunt u de basisconfiguratie wijzigen. De wijzigingen worden aangebracht in een kopie van de sjabloon.
Beveiligingsproblemen oplossen
U kunt de verschillen tussen de instellingen voor en het systeem door oplossen:
Accepteren of enkele of alle waarden die zijn gemarkeerd of niet opgenomen in de configuratie wijzigen als u vaststelt dat de niveaus voor lokaal systeem geldig als gevolg van de context (of de rol) van de computer zijn. Deze kenmerkwaarden verwerkt in de database en toegepast op het systeem als u opComputer nu configureren.
Het systeem configureren met de waarden voor de analyse, als u vaststelt dat het systeem is niet voldoen aan de geldige niveaus.
Een meer relevante sjabloon voor de rol van de computer in de database importeren als nieuwe basisconfiguratie en op het systeem toepassen.
Wijzigingen in de analysedatabase zijn aangebracht in de sjabloon is opgeslagen in de database, niet naar het bestand van de sjabloon voor beveiliging. Beveiligingsbestand van de sjabloon wordt alleen worden gewijzigd als u terug naar beveiligingssjablonen en die sjabloon bewerken of de opgeslagen configuratie naar dit bestand exporteren.
U moet gebruikenComputer nu configurerenalleen voor beveiligingsgebieden wijzigennietbeïnvloed door de instellingen voor Groepsbeleid, zoals beveiliging voor lokale bestanden en mappen, registersleutels en systeemservices. Anders is als de instellingen voor Groepsbeleid worden toegepast, het voorrang boven lokale instellingen, zoals een accountbeleid. In het algemeen gebruik geenComputer nu configurerenbij het analyseren van beveiliging voor clients op basis van een domein, aangezien u moet elke client afzonderlijk configureren. In dit geval moet u terug naar beveiligingssjablonen, de sjabloon wijzigen en opnieuw te toepassen op de juiste Group Policy Object.
Beveiligingsconfiguratietaken automatiseren
Door het hulpprogramma Secedit.exe aanroepen naar de opdrachtprompt vanuit een batchbestand of automatische Taakplanner, kunt u automatisch sjablonen maken en toepassen met en systeembeveiliging analyseren. U kunt het programma ook dynamisch uitvoeren vanaf de opdrachtprompt.
Secedit.exe is handig als u meerdere computers waarop beveiliging moet worden geanalyseerd of geconfigureerd en moet u deze taken kantooruren hebt.
Werken met hulpprogramma's voor Groepsbeleid
Groepsbeleid is een infrastructuur waarmee u beheerde configuraties voor gebruikers en computers via Groepsbeleid instellingen en voorkeuren voor Groepsbeleid opgeven. Instellingen voor Groepsbeleid die invloed hebben op een lokale computer of een gebruiker, kunt u de Editor voor lokaal groepsbeleid. U kunt Groepsbeleid instellingen en voorkeuren voor Groepsbeleid beheren in een omgeving met Active Directory Domain Services (AD DS) via de Group Policy Management Console (console Groepsbeleidsbeheer). Group Policy-beheerhulpprogramma's worden ook opgenomen in het pack externe-serverbeheerprogramma's te bieden de mogelijkheid om u voor het beheren van Groepsbeleid instellingen van uw bureaublad.
Om te beginnen met het beheer van de beveiligingsinstellingen met Groepsbeleid, ZieOverzicht van groepsbeleid.
Om te beginnen met de Group Policy Management Console, Zie de Help voor deGroup Policy Management Consolein de TechNet-bibliotheek.
Om te beginnen met behulp van de Editor voor lokaal groepsbeleid, Zie de Help voor deEditor voor lokaal groepsbeleid.