Powershell
如何找到組策略設置的系統資料庫項?
如何找到以下值的系統資料庫項
- 執行卷維護任務
- 鎖定記憶體中的頁面
下
Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\User Rights Management
。我嘗試了以下3種方法。
- 找到相應組策略的系統資料庫項:(1)最終連結斷開(2)無法在參考指南或 MSDN 文件中找到上面的位置。
- 組策略對象修改哪些系統資料庫設置:Procmon 中沒有與策略相關的系統資料庫項
- 如何儲存設置:.ini 文件中沒有任何深刻的內容。
最終目標是通過 Powershell [
Set-ItemProperty
]自動化配置
正如您在 組策略設置參考指南中看到的(請參閱您的第一個連結;特別是
Windows10andWindowsServer2016PolicySettings.xlsx
文件),大多數安全設置(例如使用者權限、密碼策略、審核策略等)不是系統資料庫項。這些都儲存在Secedit.sdb
數據庫中。對於您的任務,您可以使用 Microsoft 的
secedit
命令行工具(至少,導出和導入):退休
通過將目前配置與指定的安全模板進行比較來配置和分析系統安全。
句法
secedit [/analyze /db <database file name> /cfg <configuration file name> [/overwrite] /log <log file name> [/quiet]] [/configure /db <database file name> [/cfg <configuration filename>] [/overwrite] [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>] [/quiet]] [/export /db <database file name> [/mergedpolicy] /cfg <configuration file name> [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>]] [/generaterollback /db <database file name> /cfg <configuration file name> /rbk <rollback file name> [/log <log file name>] [/quiet]] [/import /db <database file name> /cfg <configuration file name> [/overwrite] [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>] [/quiet]] [/validate <configuration file name>]
參數
- Secedit:
analyze
允許您根據儲存在數據庫中的基線設置分析目前系統設置。分析結果儲存在數據庫的單獨區域中,可以在“安全配置和分析”管理單元中查看。- Secedit:
configure
允許您使用儲存在數據庫中的安全設置來配置系統。- Secedit:
export
允許您導出儲存在數據庫中的安全設置。- Secedit:
generaterollback
允許您針對配置模板生成回滾模板。- Secedit:
import
允許您將安全模板導入數據庫,以便可以將模板中指定的設置應用於系統或針對系統進行分析。- Secedit:
validate
允許您驗證安全模板的語法。答案:在導出的配置文件部分下查找以下鍵/條目
[Privilege Rights]
(您可以使用 Powershell 輕鬆添加/更改它們):
SeLockMemoryPrivilege
鎖定記憶體中的頁面SeManageVolumePrivilege
執行卷維護任務閱讀(並遵循)Windows 安全基線:
安全基線是一組 Microsoft 推薦的配置設置,用於解釋其安全影響。這些設置基於 Microsoft 安全工程團隊、產品組、合作夥伴和客戶的回饋。