Sichern von Dateien und Verzeichnissen

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Sichern von Dateien und Verzeichnissen beschrieben.

Referenzen

Mit diesem Benutzerrecht legen Sie fest, ob Benutzer zum Sichern des Systems Datei-, Verzeichnis-, Registrierungs- und sonstige geltenden Objektberechtigungen umgehen dürfen. Dieses Benutzerrecht tritt nur in Kraft, wenn eine Anwendung einen Zugriffsversuch über die NTFS-Sicherung Anwendungsprogrammierschnittstelle (API) für NTFS-Sicherungen mithilfe eines Sicherungstools wie NTBACKUP.EXE unternimmt. Andernfalls gelten die Standardberechtigungen für Dateien und Verzeichnisse.

Dieser Benutzerrechte ähnelt dem Erteilen der folgenden Berechtigungen für die Benutzer und Gruppen, die Sie für alle Dateien und Ordner auf dem System ausgewählt haben:

  • Ordner durchsehen/Datei ausführen

  • Ordner auflisten/Daten lesen

  • Attribute lesen

  • Erweiterte Attribute lesen

  • Berechtigungen lesen

Standardeinstellung auf Arbeitsstationen und Servern:

  • Administratoren

  • Sicherungsoperatoren

Standardeinstellung auf Domänencontrollern:

  • Administratoren

  • Sicherungsoperatoren

  • Serveroperatoren

Konstante: SeBackupPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Nicht definiert

Bewährte Methoden

  1. Schränken Sie das Benutzerrecht Sichern von Dateien und Verzeichnissen auf Mitglieder des IT-Teams ein, die im Rahmen ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Da nicht verhindert werden kann, dass ein Benutzer Daten sichert, stiehlt oder kopiert und verteilt, sollten Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zuweisen.

  2. Wenn Sie Sicherungssoftware verwenden, die unter bestimmten Dienstkonten ausgeführt wird, sollte das Benutzerrecht Sichern von Dateien und Verzeichnissen nur diesen Konten (und nicht den IT-Mitarbeitern) zugewiesen werden.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Standardmäßig wird dieses Recht Administratoren und Sicherungsoperatoren auf Arbeitsstationen und Servern gewährt. Auf Domänencontroller verfügen Administratoren, Sicherungsoperatoren und Serveroperatoren über dieses Recht.

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Administratoren

Sicherungsoperatoren

Serveroperatoren

Standardeinstellungen für eigenständige Server

Administratoren

Sicherungsoperatoren

Effektive Standardeinstellungen für Domänencontroller

Administratoren

Sicherungsoperatoren

Serveroperatoren

Effektive Standardeinstellungen für Mitgliedsserver

Administratoren

Sicherungsoperatoren

Effektive Standardeinstellungen für Clientcomputer

Administratoren

Sicherungsoperatoren

 

Richtlinienverwaltung

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Benutzer, die Daten von einem Gerät sichern können, könnten die Daten auf dem Sicherungsmedium auf einem Nicht-Domänencomputer wiederherstellen, auf dem sie Administratorrechte haben. Sie könnten auf diese Weise sämtliche unverschlüsselten Daten in den Sicherungsdateien anzeigen.

Gegenmaßnahme

Schränken Sie das Benutzerrecht Sichern von Dateien und Verzeichnissen auf Mitglieder des IT-Teams ein, die im Rahmen ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Wenn Sie Sicherungssoftware verwenden, die unter bestimmten Dienstkonten ausgeführt wird, sollte das Benutzerrecht Sichern von Dateien und Verzeichnissen nur diesen Konten (und nicht den IT-Mitarbeitern) zugewiesen werden.

Mögliche Auswirkung

Indem Sie die Mitgliedschaft der Gruppen mit dem Benutzerrecht Sichern von Dateien und Verzeichnissen ändern, können Sie die Berechtigungen der Benutzer, denen in Ihrer Umgebung spezielle Verwaltungsrollen zugewiesen wurden, einschränken. Stellen Sie sicher, dass autorisierte Sicherungsadministratoren weiterhin Sicherungsvorgänge ausführen können.

Verwandte Themen

Zuweisen von Benutzerrechten