使用DOC命令采集windows本地安全策略

获取本地安全策略，可以通过命令导出，程序读取文件
secedit /export /cfg d:\policy.cfg /areas USER_RIGHTS
上面是一个例子，格式应该是：
secedit /export[/DBFileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/logFileName] [/quiet]
参数如下：
/db FileName
指定用于配置安全性的数据库。
/mergedpolicy
合并并导出域和本地策略安全性。
/CFG FileName
指定要将设置导出到的模板。
/areas Area1 Area2 ...
指定将被导出到模板的安全区域。如果没有指定区域，则所有区域都将被导出。每个区域应通过空格分隔。

区域参数包含以下几种：

区域名称	描述
SECURITYPOLICY	包括帐户策略、审核策略、事件日志设置和安全选项
GROUP_MGMT	包括受限组的配置
USER_RIGHTS	包括用户权限分配
REGKEYS	包括注册表权限
FILESTORE	包括文件系统权限
SERVICES	包括系统服务设置

secedit /export /cfg d:\securityPolicy.cfg /areas SECURITYPOLICY

/log FileName
指定记录导出进程状态的文件。如果不指定该文件，则采用默认设置记录到 %windir%\security\logs\scesrv.log。
/quiet
指定该配置进程应在不提示用户的情况下进行。
示例
以下是如何使用该命令的一个示例：
secedit /export /db hisecws.inf /log hisecws.log

账户策略，审核策略相关的内容注释如下：

MinimumPasswordAge = 0  //密码最短留存期
MaximumPasswordAge = 42 //密码过期时间
MinimumPasswordLength = 0   //密码长度最小值
PasswordComplexity = 0  //密码必须符合复杂性要求
PasswordHistorySize = 0 //强制密码历史 N个记住的密码
LockoutBadCount = 5 //账户锁定阈值
ResetLockoutCount = 30  //账户锁定时间
LockoutDuration = 30    //复位账户锁定计数器
RequireLogonToChangePassword = 0 *下次登录必须更改密码
ForceLogoffWhenHourExpire = 0   *强制过期
NewAdministratorName = "Administrator" *管理员账户名称
NewGuestName = "Guest"  *来宾账户名称
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1  //administrator是否禁用
EnableGuestAccount = 0  //guest是否禁用
[Event Audit]
AuditSystemEvents = 3   //审核系统事件 成功、失败
AuditLogonEvents = 3    //审核登录事件 成功、失败
AuditObjectAccess = 3   //审核对象访问 成功、失败
AuditPrivilegeUse = 0   //审核特权使用 不审核
AuditPolicyChange = 3   //审核策略更改 成功、失败
AuditAccountManage = 3  //审核账户管理 成功、失败
AuditProcessTracking = 2    //审核过程追踪 失败
AuditDSAccess = 2   //审核目录服务访问 失败
AuditAccountLogon = 1 //审核账号登录事件 成功

用户权限分配策略相关（部分，其他的有待大神补充）

SeNetworkLogonRight                           //允许网络登入
SeBackupPrivilege 
SeChangeNotifyPrivilege 
SeSystemtimePrivilege
SeCreatePagefilePrivilege                     //创建一个页面文件
SeDebugPrivilege                              //调试程序
SeRemoteShutdownPrivilege                     //远程强制关机
SeAuditPrivilege
SeIncreaseQuotaPrivilege
SeIncreaseBasePriorityPrivilege 
SeLoadDriverPrivilege                         //加载和卸载设备驱动程序
SeBatchLogonRight 
SeServiceLogonRight 
SeInteractiveLogonRight                        //本地登录
SeSecurityPrivilege
SeSystemEnvironmentPrivilege 
SeProfileSingleProcessPrivilege                //配置文件单个进程
SeSystemProfilePrivilege 
SeAssignPrimaryTokenPrivilege
SeRestorePrivilege 
SeShutdownPrivilege                           //本地强制关机
SeTakeOwnershipPrivilege                     //取得文件或其他对象所有权
SeDenyNetworkLogonRight = Guest
SeDenyInteractiveLogonRight = Guest
SeUndockPrivilege 
SeManageVolumePrivilege                      //执行卷维护任务
SeRemoteInteractiveLogonRight                //允许远程登录
SeImpersonatePrivilege 
SeCreateGlobalPrivilege 
SeIncreaseWorkingSetPrivilege 
SeTimeZonePrivilege 
SeCreateSymbolicLinkPrivilege                //创建符号链接

至于用户权限分配的权限值，即拥有本权限的组或用户，显示的则是对应的SID，可以通过前面介绍的SID方法来确定是哪些用户或组