Архитектура параметров безопасности

Средства настройки и анализа параметров безопасности включают механизм настройки безопасности, который предоставляет локальный компьютер (не из домена) и групповую политику— конфигурацию и анализ политик параметров безопасности. Механизм настройки безопасности также поддерживает создание файлов политики безопасности. Основные функции ямы настройки безопасности scecli.dll и scesrv.dll.

В следующем списке описываются эти основные функции ямы конфигурации безопасности и другие связанные с ними параметры безопасности.

· scesrv.dll

Этот DLL-dll находится в services.exe и запускается в локальном контексте системы. scesrv.dll возможности диспетчера конфигураций безопасности, такие как импорт, настройка, анализ и распространение политик.

Scesrv.dll выполняет настройку и анализ различных системных параметров, связанных с безопасностью, путем вызова соответствующих системных API, включая LSA, SAM и реестр.

Scesrv.dll API, такие как импорт, экспорт, настройка и анализ. Он проверяет, выполнен ли запрос через LRPC (Windows XP) и не удается вызвать, если это не так.

Связь между частями расширения "Параметры безопасности" происходит с помощью следующих методов:

o Вызовы модели COM

o Локальный удаленный вызов процедур (LRPC)

o Протокол LDAP

o Интерфейсы службы Active Directory (ADSI)

o Блок сообщений сервера (SMB)

o API Win32

o Вызовы инструмента управления Windows (WMI)

На контроллерах домена scesrv.dll уведомления об изменениях SAM и LSA, которые необходимо синхронизировать между контроллерами домена. Scesrv.dll эти изменения включаются в GPO политики контроллера домена по умолчанию с помощью scecli.dll API изменения шаблона. Scesrv.dll также выполняет операции настройки и анализа.

· Scecli.dll

Это клиентский интерфейс или оболочка для scesrv.dll. scecli.dll загружается в Wsecedit.dll для поддержки оснастки MMC. Он используется программы установки для настройки системной безопасности и безопасности файлов, ключей реестра и служб, установленных INF-файлами API установки.

Версия конфигурации безопасности и анализа пользовательских интерфейсов в командной строке secedit.exe использует scecli.dll.

Scecli.dll реализует клиентский расширение для групповой политики.

Scesrv.dll использует scecli.dll для загрузки соответствующих файлов групповой политики из SYSVOL для применения параметров безопасности групповой политики к локальному устройству.

Scecli.dll записи применения политики безопасности в WMI (RSoP).

Scesrv.dll политики использует scecli.dll для обновления GPO политики контроллера домена по умолчанию при внесении изменений в SAM и LSA.

· Wsecedit.dll

Расширение параметров безопасности оснастки редактора объектов групповой политики. Это средство используется для настройки параметров безопасности в объекте групповой политики для сайта, домена или подразделения. Кроме того, с помощью параметров безопасности можно импортировать шаблоны безопасности в GPO.

· Secedit.sdb

Это постоянная системная база данных, используемая для распространения политики, включая таблицу постоянных параметров для отката.

· Пользовательские базы данных

Пользовательская база данных — это любая база данных, кроме системной, созданной администраторами для настройки или анализа безопасности.

·. Inf Templates

Это текстовые файлы, содержащие декларативные параметры безопасности. Они загружаются в базу данных перед настройкой или анализом. Политики безопасности групповой политики хранятся в INF-файлах в папке SYSVOL контроллеров домена, где они загружаются (с помощью копии файлов) и объединяются в системную базу данных во время распространения политики.