配置本地计算机安全有两种方法使用命令行和Windows 图形界面。这里主要介绍前者。Windows命令行最大的一个特点就是对网络管理的便宜性，管理员只需在命令行窗口输入几个命令，就可以完成诸多繁杂的操作，达到预期的目的。而且可以通过一些命令工具判断网络内部的物理故障以及网络安全问题，实现网络管理的自动化和批量化。

　　Windows 9X 下的DOS 与Windows NT/2000/XP/2003 下的命令行，虽然提供的都是黑白分明的字符界面，但其本质还是有所区别的。原因在于Windows NT/2000/XP/2003 已经彻底脱离了DOS 的桎梏，DOS 只是作为操作系统所提供的虚拟机而存在，换句说，命令行已经不再是基础，而成为了一种工具。然而，我们却不能因此而小觑了这些貌似简单的命令行工具。原因很简单，命令行仍然是我们解决棘手的问题的首先。

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要参数:

　　/db FileName :指定用于执行此次分析的数据库。

　　/cfg FileName :指定在执行分析前要导入到数据库中的安全模板。安全模板是使用安全模板管理单元创建的。

　　/log FileName :指定一个文件，用于记录配置过程所处的状态。如果未指定，配置数据将被记录在 %windir%\security\logs 文件夹的 Scesrv.log 中。

　　/quiet :指定在执行分析过程时不作更多参与。

　　/log logpath : 指定一个文件，该文件用于记录配置过程所处的状态。如未指定，配置数据将被记录在 %windir%\Security\Logs 文件夹的 scesrv.log 文件中。

　　/quiet :指定应该在不提示用户的情况下进行配置。

　　使用Secedit 命令行工具建立模板。通过在批处理文件或自动任务计划程序的命令提示符下调用 Secedit.exe 工具，可以自动创建和应用模板，以及分析系统的安全性。也可以从命令提示符下动态运行该命令。当必须分析或配置多台计算机的安全性，并且需要在非工作时间执行任务时，Secedit.exe 很有用。要查看该命令的完整语法，请在命令提示符下输入:secedit /? ，见图1 。

图1 secedit命令的完整语法

　　下面简单介绍以下子命令:

　　l secedit /analyze :可通过将其与数据库中的基本设置相比较，分析一台计算机上的安全设置。

　　l secedit /configure :通过应用存储在数据库中的设置配置本地计算机的安全性设置。

　　l secedit /export :可将存储在数据库中的安全性设置导出。

　　l secedit /import :可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。

　　l secedit /validate :验证要导入到分析数据库或系统应用程序的安全模板的语法。

　　l secedit /GenerateRollback: 可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时，可以选择创建回滚模板，该模板在应用时会将安全性设置重置为应用配置模板前的值。