【系统审计】Windows安全审核导入导出及导出文件解读

最新推荐文章于 2022-11-14 02:27:31 发布
最新推荐文章于 2022-11-14 02:27:31 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 系统审计 文章标签: Windows 安全配置 导出 审计策略 密码策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982304/article/details/113704505
版权

一、导出导出命令

         1、导入

# 以管理员身份运行
# 管理员身份运行方式
# 进入C:\Windows\System32目录,找到cmd.exe 右键以管理员身份运行
secedit /configure /db temp.sdb /cfg c:\setup.inf

# c:\setup.inf 配置文件

         2、导出

# 以管理员身份运行
secedit /export /cfg c:\setup.inf

         3、参考文档:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit

二、导出文件解析

[Unicode]
Unicode=yes
[System Access]
MinimumPasswordAge = 0        # 密码最短使用期限
MaximumPasswordAge = 42       # 密码最长使用期限
MinimumPasswordLength = 0     # 最短密码长度
PasswordComplexity = 0        # 密码必须符合复杂性要求
PasswordHistorySize = 0       # 强制密码历史
LockoutBadCount = 0           # 账户锁定阈值
RequireLogonToChangePassword = 0        # 下次登录必须更改密码
ForceLogoffWhenHourExpire = 0           # 网络安全:在超过登录时间后强制注销
NewAdministratorName = "Administrator"  # 管理员账户名称
NewGuestName = "Guest"                  # 来宾账户名称
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 0         # administrator是否禁用
EnableGuestAccount = 0         # guest是否禁用
[Event Audit]       # 审核策略   0 无审核  1 成功   2 失败
AuditSystemEvents = 0      # 审核系统事件
AuditLogonEvents = 1       # 审核登录事件
AuditObjectAccess = 2      # 审核对象访问
AuditPrivilegeUse = 0      # 审核特权使用
AuditPolicyChange = 0      # 审核策略更改
AuditAccountManage = 3     # 审核账户管理
AuditProcessTracking = 0   # 审核进程跟踪
AuditDSAccess = 0          # 审核目录服务访问
AuditAccountLogon = 0      # 审核账户登录事件
[Registry Values]
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"10"
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,5
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,"0"
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin=4,5
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser=4,3
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,""
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ValidateAdminCodeSignatures=4,0
MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0
MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,536870912
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,536870912
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,0
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine=7,System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine=7,System\CurrentControlSet\Control\Print\Printers,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog
MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,0
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems\optional=7,
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes=7,
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,0
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1
[Privilege Rights]
SeNetworkLogonRight = *S-1-1-0,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551  # 允许网络登入 
SeBackupPrivilege = *S-1-5-32-544,*S-1-5-32-551
SeChangeNotifyPrivilege = *S-1-1-0,*S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551,*S-1-5-90-0
SeSystemtimePrivilege = *S-1-5-19,*S-1-5-32-544
SeCreatePagefilePrivilege = *S-1-5-32-544    # 创建一个页面文件
SeDebugPrivilege = *S-1-5-32-544             # 调试程序
SeRemoteShutdownPrivilege = *S-1-5-32-544    # 远程强制关机
SeAuditPrivilege = *S-1-5-19,*S-1-5-20
SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
SeIncreaseBasePriorityPrivilege = *S-1-5-32-544
SeLoadDriverPrivilege = *S-1-5-32-544                            # 加载和卸载设备驱动程序
SeBatchLogonRight = *S-1-5-32-544,*S-1-5-32-551,*S-1-5-32-559
SeServiceLogonRight = *S-1-5-80-0
SeInteractiveLogonRight = Guest,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551  # 本地登录
SeSecurityPrivilege = *S-1-5-32-544
SeSystemEnvironmentPrivilege = *S-1-5-32-544
SeProfileSingleProcessPrivilege = *S-1-5-32-544     # 配置文件单个进程
SeSystemProfilePrivilege = *S-1-5-32-544,*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420
SeAssignPrimaryTokenPrivilege = *S-1-5-19,*S-1-5-20
SeRestorePrivilege = *S-1-5-32-544,*S-1-5-32-551
SeShutdownPrivilege = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551   # 本地强制关机
SeTakeOwnershipPrivilege = *S-1-5-32-544                      # 取得文件或其他对象所有权
SeDenyNetworkLogonRight = Guest          
SeDenyBatchLogonRight = HomeGroupUser$
SeDenyInteractiveLogonRight = HomeGroupUser$,Guest
SeUndockPrivilege = *S-1-5-32-544,*S-1-5-32-545
SeManageVolumePrivilege = *S-1-5-32-544          # 执行卷维护任务
SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555   # 允许远程登录
SeImpersonatePrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-6
SeCreateGlobalPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-6
SeIncreaseWorkingSetPrivilege = *S-1-5-32-545,*S-1-5-90-0
SeTimeZonePrivilege = *S-1-5-19,*S-1-5-32-544,*S-1-5-32-545
SeCreateSymbolicLinkPrivilege = *S-1-5-32-544    # 创建符号链接
[Version]
signature="$CHICAGO$"
Revision=1

 

没枕头我咋睡觉
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统日志导出.zip
02-26
在这个特定的脚本中,它可能包含了如`wevtutil`这样的命令,这是一个Windows事件收集实用工具,能够用来导出导入、查询或者管理事件日志。脚本可能会指定要导出的日志类型(如应用程序、安全系统或设置日志),...
Hikvision配置文件解码器.zip
10-25
在使用这个程序时,用户可能需要了解基本的计算机操作,以及如何正确导入导出配置文件。此外,由于涉及到敏感的解密过程,用户也应遵循合法合规的使用原则,确保不侵犯他人隐私或触犯相关法律法规。 总的来说,这...
secedit.exe本地安全策略命令
热门推荐
迎风悟极道的专栏
07-09 4万+
Secedit 通过将当前配置与至少一个模板比较,配置和分析系统安全性。 要查看该命令语法,请单击以下命令: 复制代码 代码如下: secedit /analyze secedit /configure secedit /export secedit /import secedit /validate secedit /GenerateRollback se
最全面的window dos/bat 常用命令
最新发布
ljh_learn_from_base的博客
11-14 1836
史上最全面的window dos/bat 常用命令
SQLserver安装程序无法打开注册表项 解决办法
weixin_43999198的博客
05-12 7284
原文链接:https://blog.csdn.net/dopdkfsds/article/details/81204286 卸载SQL后重新安装出现问题 一、使用命令提示符解决 1.win+r打开运行对话框,输入cmd,管理员身份进入命令提示符 2.执行以下命令 secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose 3.运行完成重新安装 此方法只可解决部分人的问题,当出现下来情况时,表示此方法不起作用,使
【转+修改】Secedit:命令行下操作组策略
Mr. Cypress 柏树 先生
06-06 2万+
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。 先看secedit命令语法: secedit /analyze secedit /configure secedit /export  secedit /validate 。。
windows 个人证书的导出
wangsifu2009的专栏
05-29 5364
windows中,个人证书(带私钥)在导出时由以下几种情况: 1.导出时删除私钥信息,这时,证书库中的个人证书也同时被删除了。 2.导出时跳过设置保护口令阶段,这样导出的个人证书在安装后不能再导出私钥信息。 3.导出时在设置保护口令阶段,勾选设置私钥可导出标志,这样导出的个人证书在安装后也可继续导出私钥信息。 windows中,删除个人证书时,其对应的私钥信息不会被删除。
社保联网审计数据处理方法解读.pdf
08-15
异构数据转换模块确保数据能在不同数据库间顺利迁移,数据导入导出模块则能快速、安全地处理大规模数据的导入导出。增量数据采集模块则专注于找出新旧数据的差异,确保审计预警系统的准确性。 4. 大数据和数据...
运维安全审计堡垒机招标技术要求(完整资料).doc.pdf
07-10
8. **用户导入导出**:支持批量导入导出用户,以组节点进行,便于用户和分组管理。 9. **资源管理**:支持多种资源类型如UNIX、Windows、数据库等,并支持SSH、TELNET等多种协议,同时具备资源账号的自动抽取、推送...
PEDUMP 即PE文件解读的源程序, 可以获取所有的PE文件内容
11-04
Windows操作系统中,几乎所有的可执行文件(如.exe和.dll)都采用PE文件格式。PE文件结构包含了程序的代码、数据、资源以及元数据等重要信息。PEDUMP的工作原理是通过读取并解析这些文件的二进制数据,将内部的...
windows系统导出策略 secedit
董盼山的专栏
09-14 1281
导出 secedit /export /cfg d:\setup.inf
本地安全策略gpedit.msc详解
黄河涛涛h的博客
10-17 3078
执行命令secedit /export /cfg c:\gp.inf 在c盘找到文件,打开,记录下面英文的意思 [Unicode] Unicode=yes [System Access] MinimumPasswordAge = 0 MaximumPasswordAge = 42 MinimumPasswordLength = 0 PasswordComplexity = 0 Passwor...
Windows简单脚本
夜雨声声到天明
05-08 589
别问我为什么要写这么简单的脚本,问就是因为我懒,不想在windows上点来点去 1,新增用户并加入到管理员组 @echo off set yonghu= ...
计算机 本地用户命令行,命令行模式改变本地安全策略 -电脑资料
weixin_33321522的博客
06-24 1249
前几天在X小组的论坛上逛,看到有人出过一道题目,是这样的:*********************************************************题目:本地安全设置里设置为不允许任何人从本地登陆有输入法漏洞可以物理的使用电脑,但机箱打不开,光驱软驱不能用不知道计算机里面有多少帐号局域网没有主域控制器,要求:拿到最高权并从本地登陆到计算机******************...
【批处理】win2008 组策略导出导入secedit
shuishen49的专栏
05-03 6117
最近弄了win2008服务器,发现很多3366端口被攻击,而我也没有修改3366端口。 于是我在组策略进行了修改。修改后如何用dos 导出 然后又如何导入呢? 导出 secedit /export /cfg d:\setup.inf 导入 secedit /configure /db secedit.sdb /cfg d:\setup.in
本地组策略与安全策略的自动导入
求索
07-22 1万+
本地组策略与安全策略的自动导入
server2003服务器安全攻略
gd0568的专栏
06-02 1237
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全
组策略本地计算机策略导出,关于win10系统本地组策略备份和设置的详细步骤
weixin_35900054的博客
07-30 2593
系统备份对于win10的系统来说是很重要的,系统出现了一些问题的时候操作备份直接备份实现的,那在win10系统中有用户看到了对于备份和修改本地组策略的时候系统出现了警告的提示,导致我们编辑本地组策略的时候还原系统的操作无法实现了,对于这个打开的疑问今天小编就来跟大家分享一下关于win10系统本地组策略备份和设置的详细步骤。具体的方法和详细的步骤如下;在开始之前,先要提醒大家,请勿将通过运行 gpe...
如何做本地策略数据的导入导出
weixin_34277853的博客
05-09 961
策略的对象可以是计算机、用户或组,策略是的存放位置不是在文件夹中就是放在数据库中,针对域的策略是放在SYSVOL的一个文件夹中而本地策略是放在数据库中而本地策略是放在数据库中,放在文件夹中的比较容易修改,找到了策略文件修改其中的字段就可以了,这次我来尝试修改存放在数据库中的策略。试验环境如下所有计算机都在AD.COM域中 我们在BERLIN的本地策略中禁止域用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值