Sichern von Dateien und Verzeichnissen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Sichern von Dateien und Verzeichnissen beschrieben.
Referenzen
Mit diesem Benutzerrecht legen Sie fest, ob Benutzer zum Sichern des Systems Datei-, Verzeichnis-, Registrierungs- und sonstige geltenden Objektberechtigungen umgehen dürfen. Dieses Benutzerrecht tritt nur in Kraft, wenn eine Anwendung einen Zugriffsversuch über die NTFS-Sicherung Anwendungsprogrammierschnittstelle (API) für NTFS-Sicherungen mithilfe eines Sicherungstools wie NTBACKUP.EXE unternimmt. Andernfalls gelten die Standardberechtigungen für Dateien und Verzeichnisse.
Dieser Benutzerrechte ähnelt dem Erteilen der folgenden Berechtigungen für die Benutzer und Gruppen, die Sie für alle Dateien und Ordner auf dem System ausgewählt haben:
Ordner durchsehen/Datei ausführen
Ordner auflisten/Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Berechtigungen lesen
Standardeinstellung auf Arbeitsstationen und Servern:
Administratoren
Sicherungsoperatoren
Standardeinstellung auf Domänencontrollern:
Administratoren
Sicherungsoperatoren
Serveroperatoren
Konstante: SeBackupPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Schränken Sie das Benutzerrecht Sichern von Dateien und Verzeichnissen auf Mitglieder des IT-Teams ein, die im Rahmen ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Da nicht verhindert werden kann, dass ein Benutzer Daten sichert, stiehlt oder kopiert und verteilt, sollten Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zuweisen.
Wenn Sie Sicherungssoftware verwenden, die unter bestimmten Dienstkonten ausgeführt wird, sollte das Benutzerrecht Sichern von Dateien und Verzeichnissen nur diesen Konten (und nicht den IT-Mitarbeitern) zugewiesen werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Standardmäßig wird dieses Recht Administratoren und Sicherungsoperatoren auf Arbeitsstationen und Servern gewährt. Auf Domänencontroller verfügen Administratoren, Sicherungsoperatoren und Serveroperatoren über dieses Recht.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Sicherungsoperatoren Serveroperatoren |
Standardeinstellungen für eigenständige Server |
Administratoren Sicherungsoperatoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Sicherungsoperatoren Serveroperatoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Sicherungsoperatoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Sicherungsoperatoren |
Richtlinienverwaltung
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer, die Daten von einem Gerät sichern können, könnten die Daten auf dem Sicherungsmedium auf einem Nicht-Domänencomputer wiederherstellen, auf dem sie Administratorrechte haben. Sie könnten auf diese Weise sämtliche unverschlüsselten Daten in den Sicherungsdateien anzeigen.
Gegenmaßnahme
Schränken Sie das Benutzerrecht Sichern von Dateien und Verzeichnissen auf Mitglieder des IT-Teams ein, die im Rahmen ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Wenn Sie Sicherungssoftware verwenden, die unter bestimmten Dienstkonten ausgeführt wird, sollte das Benutzerrecht Sichern von Dateien und Verzeichnissen nur diesen Konten (und nicht den IT-Mitarbeitern) zugewiesen werden.
Mögliche Auswirkung
Indem Sie die Mitgliedschaft der Gruppen mit dem Benutzerrecht Sichern von Dateien und Verzeichnissen ändern, können Sie die Berechtigungen der Benutzer, denen in Ihrer Umgebung spezielle Verwaltungsrollen zugewiesen wurden, einschränken. Stellen Sie sicher, dass autorisierte Sicherungsadministratoren weiterhin Sicherungsvorgänge ausführen können.