secedit 命令

通过将当前安全配置与指定安全模板进行比较来配置和分析系统安全性。

注意

Microsoft 管理控制台 (MMC) 以及“安全配置和分析”管理单元在服务器核心上不可用。

语法

secedit /analyze
secedit /configure
secedit /export
secedit /generaterollback
secedit /import
secedit /validate

参数

参数 说明
secedit /analyze 允许根据存储在数据库中的基线设置来分析当前系统设置。 分析结果存储在数据库的一个单独区域中,并且可以在“安全配置和分析”管理单元中查看。
secedit /configure 允许使用存储在数据库中的安全设置来配置系统。
secedit /export 允许导出存储在数据库中的安全设置。
secedit /generaterollback 允许生成关于配置模板的回滚模板。
secedit /import 允许将安全模板导入数据库,以便模板中指定的设置可以应用于系统或根据系统进行分析。
secedit /validate 允许验证安全模板的语法。

备注

  • 如果未指定文件路径,则所有文件名都将默认为当前目录。

  • 分析结果存储在数据库的一个单独区域中,并且可以在 MMC 的“安全配置和分析”管理单元中查看。

  • 如果使用“安全模板”管理单元创建安全模板,并且针对这些模板运行“安全配置和分析”管理单元,则会创建以下文件:

    文件 说明
    scesrv.log
    • 位置%windir%\security\logs
    • 创建者:操作系统
    • 文件类型:文本
    • 刷新频率:在运行 secedit analyzesecedit configuresecedit exportsecedit import 时覆盖
    • 内容:包含按策略类型分组的分析结果
    user-selected name.sdb
    • 位置%windir%\<user account>\Documents\Security\Database
    • 创建方式:运行“安全配置和分析”管理单元
    • 文件类型:专有
    • 刷新频率:每当创建新的安全模板时都会更新
    • 内容:本地安全策略和用户创建的安全模板
    user-selected name.log
    • 位置:用户定义,但默认为 %windir%\<user account>\Documents\Security\Logs
    • 创建方式:运行 secedit analyzesecedit configure 命令,或使用“安全配置和分析”管理单元
    • 文件类型:文本
    • 刷新频率:在运行 secedit analyzesecedit configure 时,或者使用“安全配置和分析”管理单元覆盖
    • 内容:日志文件名称、日期和时间,以及分析或调查的结果
    user-selected name.inf
    • 位置%windir%\*<user account>\Documents\Security\Templates
    • 创建方式:运行“安全模板”管理单元
    • 文件类型:文本
    • 刷新频率:每次更新安全模板时覆盖
    • 内容:包含使用管理单元选择的每个策略的模板的设置信息