O Comando SECEDIT no WINDOWS 2000

Por Fabiano de Santana, MCP - MCSA 2000 Security - MCSE 2000 Security - MCSA 2003 - MCSE 2003

O comando SECEDIT é utilizado para configurar os Modelos de Segurança e forçar a atualização das Diretivas de Grupo imediatamente.

Apresentamos abaixo alguns parâmetros que podem ser utilizados com o secedit:

  • Secedit /analyze - esse comando analisa a segurança do sistema. Podemos utilizar os seguintes parâmetros:

    • /db - Fornece o caminho para um banco de dados que contém a configuração armazenada, na qual a análise será executada. Esse é um argumento necessário.

    • /cfg - Este argumento é válido somente quando for utilizado com o parâmetro /db. É o caminho para o modelo de segurança que será importado no banco de dados para análise. Se este argumento não for especificado, a análise é executada em relação a qualquer configuração já armazenada no banco de dados.

    • /log - O caminho para o arquivo de log para o processo. Se este não for fornecido, o arquivo padrão é usado.

    • /verbose - Solicita informações de progresso mais detalhadas durante a análise.

    • /quiet - Suprime a saída de log e de tela. Você ainda poderá ver resultados da análise usando o console Configuração e análise de segurança.

  • Secedit /configure - esse comando configura a segurança do sistema aplicando um modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, e mais os seguintes parâmetros:

    • /overwrite - Este argumento é válido somente quando o parâmetro /CFG também for usado. Especifica se o modelo de segurança no argumento /CFG deve sobrescrever qualquer modelo ou modelo composto armazenado no banco de dados, em vez de acrescentar os resultados ao modelo armazenado. Se este argumento não for especificado, o modelo no argumento /CFG será acrescentado ao modelo armazenado.

    • /areas - Especifica as áreas de segurança a serem aplicadas ao sistema. O padrão é "todas as áreas". Cada área deve ser separada por um espaço. As areas podem ser:

      • SECURITYPOLICY - Diretiva local e diretiva de domínio para o sistema, incluindo diretivas de conta, de auditoria e assim por diante.

      • GROUP_MGMT - Definições de grupo restritas para quaisquer grupos especificados no modelo de segurança.

      • USER_RIGHTS - Direitos de logon de usuário e concessão de privilégios.

      • REGKEYS - Segurança em chaves de registro local.

      • FILESTORE - Segurança no armazenamento de arquivo local.

      • SERVICES - Segurança para todos os serviços definidos.

  • Secedit /refreshpolicy - esse comando atualiza a segurança do sistema, reaplicando as configurações de segurança. Podemos utilizar os seguintes parâmetros:

    • Machine_policy - Atualiza configurações de segurança em um computador local.

    • User_policy - Atualiza configurações de segurança para a conta de usuário local atualmente conectada ao computador.

    • /enforce - Atualiza configurações de segurança, mesmo que as configurações do objeto de diretiva de grupo não tenham sido alteradas.

  • Secedit /export - esse comando exporta um modelo armazenado em um banco de dados para um arquivo de modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, acrescido do parâmetro /areas, e mais o seguinte parâmetro:

    • /mergedpolicy - Mescla e exporta configurações de segurança de diretiva local e de domínio.
  • Secedit /validate - esse comando valida a sintaxe de um modelo de segurança que você deseja importar para um banco de dados para análise ou aplicação no sistema. O único parâmetro utilizado é:

    • Nome_do_arquivo: nome do arquivo do modelo de segurança.

Como já sabemos, as Diretivas de Grupo não são aplicadas imediatamente após suas configurações. Existe um tempo pré-configurado que define quando as Diretivas de Grupo são aplicadas. Em uma estação de trabalho Windows 2000 Professional, a diretiva "Intervalo de atualização de diretiva de grupo para usuários" é quem define o período de atualização.

Porém, existem casos onde necessitamos que as Diretivas de Grupo sejam atualizadas imediatamente após sua configuração. Para isso podemos utilizar o comando SECEDIT. A sintaxe do comando deve ser a seguinte:

  • SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE: Aplica imediatamente as configurações do objeto de Diretiva de Grupo encontradas na opção "Configuração do Computador".

    Cc716462.SECEDIT_01(pt-br,TechNet.10).jpg
    Figura 1 - Configuração do Computador

  • SECEDIT /REFRESHPOLICY USER_POLICY /ENFORCE: Aplica imediatamente as configurações do objeto de Diretiva de Grupo encontradas na opção "Configuração do Usuário".

    Cc716462.SECEDIT_02(pt-br,TechNet.10).jpg
    Figura 2 - Configuração do Usuário

Conclusão

Finalizamos aqui o artigo sobre o Comando SECEDIT.

Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br.