Windowsコマンド集
コマンド集(機能別) | コマンド集(アルファベット順)

secedit  システム・セキュリティの構成/分析 (標準)

 構文 
SECEDIT [/configure | /analyze | /import | /export | /validate | /generaterollback]
SECEDIT /configure /db ファイル名 [/cfg ファイル名] [/overwrite][/areas 領域1 領域2...] [/log ファイル名] [/quiet]
SECEDIT /analyze /db ファイル名 [/cfg ファイル名 ] [/overwrite] [/log ファイル名] [/quiet]
SECEDIT /import /db ファイル名 /cfg ファイル名 [/overwrite][/areas 領域1 領域2...] [/log ファイル名] [/quiet]
SECEDIT /export [/db ファイル名] [/mergedpolicy] /cfg ファイル名 [/areas 領域1 領域2...] [/log ファイル名]
SECEDIT /validate /cfg ファイル名
SECEDIT /generaterollback /cfg ファイル名 /rbk ファイル名 [/log ファイル名] [/quiet]

 オプション 
/configureデータベースに格納されている設定値を適用し、ローカルコンピュータのセキュリティ設定を構築する。
/analyzeコンピュータの現在のセキュリティ設定を、データベースに保存されているベースライン設定と比較し、分析する。
/importセキュリティ・テンプレートをデータベースにインポートし、テンプレートで指定されている設定をシステムに適用したり、システムとの照合や分析ができるようにする。
/exportデータベースに格納されているセキュリティ設定をエクスポートする。
/validate分析やシステムへの適用のために、データベースにインポートするセキュリティ・テンプレートの構文チェックをおこなう。
/generaterollback構成テンプレートに関連するロールバックテンプレートを生成できるようにする。コンピュータに構成テンプレートを適用する際、そのセキュリティ設定を、構成テンプレート適用前の値にリセットするロールバックテンプレート作成オプションを選択できる。
/configureオプションの場合
/db ファイル名セキュリティの構成に使用するデータベースを指定する。
/cfg ファイル名コンピュータの構成前に、データベースにインポートするセキュリティ・テンプレートを指定する。セキュリティ・テンプレートの作成には、セキュリティ・テンプレートスナップインを使用する。
/overwriteセキュリティ・テンプレートのインポート前に、データベースを空にするよう指定する。このパラメータを指定しなければ、セキュリティ・テンプレートの設定がデータベースに累積される。ただし、このパラメータを指定しなくても、データベース設定が競合していてテンプレートがインポートされる場合は、そのテンプレート設定が使用される。
/areasシステムに適用するセキュリティ領域を指定する。このパラメータを指定しないと、データベースで定義されたセキュリティ設定がすべてシステムに適用される。複数の領域を構成するには各領域をスペースで区切る。サポートされているセキュリティ領域は次の通り。
SECURITYPOLICY:アカウント ポリシー、監査ポリシー、イベント・ログの設定およびセキュリティ・オプションが含まれる。
GROUP_MGMT:制限付きグループの設定が含まれる。
USER_RIGHTS:ユーザー権限の割り当てが含まれる。
REGKEYS:レジストリのアクセス許可が含まれる。
FILESTORE:ファイル・システムのアクセス許可が含まれる。
SERVICES:システム・サービスの設定が含まれる。
/log ファイル名指定されたログファイルに、処理の経過や結果を保存する。
/quietユーザーに確認することなく構成処理をおこなう。
/analyzeオプションの場合
/db ファイル名分析に使用するデータベースを指定します。
/cfg ファイル名分析を実行する前にデータベースにインポートするセキュリティ テンプレートを指定します。セキュリティ テンプレートはセキュリティ テンプレート スナップインを使用して作成します。
/log ファイル名構成処理の状態のログを記録するファイルを指定します。指定されない場合、構成処理に関する情報のログは %windir%\\security\\logs ディレクトリにある scesrv.log ファイルに記録されます。
/quietユーザーに確認することなく構成処理をおこなう。
/importオプションの場合
/db ファイル名セキュリティ・テンプレートの設定をインポートするデータベースを指定する。
/cfg ファイル名データベースにインポートするセキュリティ・テンプレートを指定する。セキュリティ・テンプレートの作成には、セキュリティ・テンプレートスナップインを使用する。
/overwriteセキュリティ・テンプレートのインポート前に、データベースを空にするよう指定する。このパラメータを指定しなければ、セキュリティ・テンプレートの設定がデータベースに累積される。ただし、このパラメータを指定しなくても、データベース設定が競合していてテンプレートがインポートされる場合は、そのテンプレート設定が使用される。
/areasセキュリティ・テンプレートの設定をインポートする領域を指定する。このパラメータを省略すると、すべてのセキュリティ設定がインポートされる。特定の領域のみインポートするには、各領域をスペースで区切る。インポートするセキュリティ領域は次の通り。
SECURITYPOLICY:アカウント・ポリシー、監査ポリシー、イベント ログの設定およびセキュリティ・オプションが含まれる。
GROUP_MGMT:制限付きグループの設定が含まれる。
USER_RIGHTS:ユーザー権限の割り当てが含まれる。
REGKEYS:レジストリのアクセス許可が含まれる。
FILESTORE:ファイル・システムのアクセス許可が含まれる。
SERVICES:システム・サービスの設定が含まれる。
/log ファイル名指定されたログファイルに、インポート処理の経過や結果を保存する。ファイル名を省略すると%windir%\\security\\logsディレクトリの「scesrv.log」というファイルに記録される。
/quietユーザーに確認することなく構成処理をおこなう。
/exportオプションの場合
/db ファイル名エクスポートするデータが保存されているデータベースを指定する。諸略されるとシステムセキュリティデータベースが対象となる。
/cfg ファイル名データベースの内容をエクスポートする、セキュリティ・テンプレートを指定する。
/mergedpolicyドメインおよびローカルポリシーのセキュリティ設定について、結合やエクスポートをおこなう。
/areasエクスポートするセキュリティ領域を指定する。このパラメータを省略すると、データベースで定義されたセキュリティ設定がすべてエクスポートされる。特定の領域をエクスポートする際は、各領域をスペースで区切る。エクスポートされるセキュリティ領域は次の通り。
SECURITYPOLICY:アカウント・ポリシー、監査ポリシー、イベント・ログの設定とセキュリティ・オプションが含まれる。
GROUP_MGMT:制限されたグループの設定が含まれる。
USER_RIGHTS:ユーザー権限の割り当てが含まれる。
REGKEYS:レジストリのアクセス許可が含まれる。
FILESTORE:ファイル・システムのアクセス許可が含まれる。
SERVICES:システム・サービスの設定が含まれる。
/log ファイル名指定されたログファイルに、エクスポート処理の経過や結果を保存する。ファイル名を省略すると%windir%\\security\\logsディレクトリの「scesrv.log」というファイルに記録される。
/validateオプションの場合
/cfg ファイル名検証するセキュリティ・テンプレートを指定する。セキュリティ・テンプレートの作成には、セキュリティ・テンプレートスナップインを使用する。
/generaterollbackオプションの場合
/db ファイル名ロールバックに使用するデータベースを指定する。
/cfg ファイル名ロールバック テンプレートが生成されたセキュリティ・テンプレートを指定する。セキュリティ・テンプレートの作成には、セキュリティ・テンプレートスナップインを使用する。
/rbk ファイル名ロールバック情報が書き込まれるセキュリティ・テンプレートを指定する。セキュリティ・テンプレートの作成には、セキュリティ・テンプレートスナップインを使用する。
/log ファイル名指定されたログファイルに、ロールバック処理の経過や結果を保存する。ファイル名を省略すると%windir%\\security\\logsディレクトリの「scesrv.log」というファイルに記録される。
/quietユーザーに確認することなく構成処理をおこなう。

 利用環境  
NT/2000/XP/2003

 説明  
セキュリティ・テンプレートとコンピュータのセキュリティ設定とを比較し、システム・セキュリティの構成や分析をする。

 使用例  
「hisecws.sdb」データベースにセキュリティ・テンプレート「hisecws.inf」をインポートし、そのセキュリティ設定に基づいてシステムを構成する。また、セキュリティの構成を「hisecws.log」というログファイルに記録する。
secedit /configure /db hisecws.sdb /cfg hisecws.inf /overwrite /log hisecws.log

 関連事項  
なし