O comando SECEDIT é utilizado para configurar os Modelos de Segurança e forçar a atualização das Diretivas de Grupo imediatamente.

Apresentamos abaixo alguns parâmetros que podem ser utilizados com o secedit:

• Secedit /analyze – esse comando analisa a segurança do sistema. Podemos utilizar os seguintes parâmetros:
  • /db – Fornece o caminho para um banco de dados que contém a configuração armazenada, na qual a análise será executada. Esse é um argumento necessário.
  • /cfg – Este argumento é válido somente quando for utilizado com o parâmetro /db. É o caminho para o modelo de segurança que será importado no banco de dados para análise. Se este argumento não for especificado, a análise é executada em relação a qualquer configuração já armazenada no banco de dados.
  • /log – O caminho para o arquivo de log para o processo. Se este não for fornecido, o arquivo padrão é usado.
  • /verbose – Solicita informações de progresso mais detalhadas durante a análise.
  • /quiet – Suprime a saída de log e de tela. Você ainda poderá ver resultados da análise usando o console Configuração e análise de segurança.
• Secedit /configure – esse comando configura a segurança do sistema aplicando um modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, e mais os seguintes parâmetros:
  • /overwrite – Este argumento é válido somente quando o parâmetro /CFG também for usado. Especifica se o modelo de segurança no argumento /CFG deve sobrescrever qualquer modelo ou modelo composto armazenado no banco de dados, em vez de acrescentar os resultados ao modelo armazenado. Se este argumento não for especificado, o modelo no argumento /CFG será acrescentado ao modelo armazenado.
  • /areas – Especifica as áreas de segurança a serem aplicadas ao sistema. O padrão é "todas as áreas". Cada área deve ser separada por um espaço. As areas podem ser:
    • SECURITYPOLICY – Diretiva local e diretiva de domínio para o sistema, incluindo diretivas de conta, de auditoria e assim por diante.
    • GROUP_MGMT – Definições de grupo restritas para quaisquer grupos especificados no modelo de segurança.
    • SER_RIGHTS – Direitos de logon de usuário e concessão de privilégios.
    • REGKEYS – Segurança em chaves de registro local.
    • FILESTORE – Segurança no armazenamento de arquivo local.
    • SERVICES – Segurança para todos os serviços definidos.
• Secedit /refreshpolicy – esse comando atualiza a segurança do sistema, reaplicando as configurações de segurança. Podemos utilizar os seguintes parâmetros:
  • Machine_policy – Atualiza configurações de segurança em um computador local.
  • User_policy – Atualiza configurações de segurança para a conta de usuário local atualmente conectada ao computador.
  • /enforce – Atualiza configurações de segurança, mesmo que as configurações do objeto de diretiva de grupo não tenham sido alteradas.
• Secedit /export – esse comando exporta um modelo armazenado em um banco de dados para um arquivo de modelo de segurança. Podemos utilizar todos os parâmetros utilizados no comando secedit /analyze, acrescido do parâmetro /areas, e mais o seguinte parâmetro:
  • /mergedpolicy – Mescla e exporta configurações de segurança de diretiva local e de domínio.
• Secedit /validate – esse comando valida a sintaxe de um modelo de segurança que você deseja importar para um banco de dados para análise ou aplicação no sistema. O único parâmetro utilizado é:
  • Nome_do_arquivo: nome do arquivo do modelo de segurança.

Como já sabemos, as Diretivas de Grupo não são aplicadas imediatamente após suas configurações. Existe um tempo pré-configurado que define quando as Diretivas de Grupo são aplicadas. Em uma estação de trabalho Windows 2000 Professional, a diretiva “Intervalo de atualização de diretiva de grupo para usuários” é quem define o período de atualização.

Porém, existem casos onde necessitamos que as Diretivas de Grupo sejam atualizadas imediatamente após sua configuração. Para isso podemos utilizar o comando SECEDIT. A sintaxe do comando deve ser a seguinte:

• SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE: Aplica imediatamente as configurações do objeto de Diretiva de Grupo encontradas na opção “Configuração do Computador”.

• SECEDIT /REFRESHPOLICY USER_POLICY /ENFORCE: Aplica imediatamente as configurações do objeto de Diretiva de Grupo encontradas na opção “Configuração do Usuário”.

Conclusão

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.

Autor: Fabiano Santana – MVP, MCP, MCDST, MCSA Security, MCSE Security