Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen beschrieben.
Referenzen
Mit der Richtlinieneinstellung Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen legen Sie fest, ob die Verwendung aller Benutzerrechte, einschließlich Sichern und Wiederherstellen, überwacht werden soll, wenn die Richtlinieneinstellung Rechteverwendung überwachen aktiviert ist. Wenn Sie beide Richtlinieneinstellung aktivieren, wird bei jeder Sicherung oder Wiederherstellung einer Datei ein Überwachungsereignis generiert.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Deaktivieren Sie die Einstellung Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen. Wenn Sie diese Richtlinieneinstellung aktivieren, wird möglicherweise eine große Anzahl von Sicherheitsereignissen generiert. Dies kann dazu führen, dass Server langsam reagieren und im Sicherheitsereignisprotokoll zahlreiche unbedeutende Ereignisse aufgezeichnet werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Computers in Kraft.
Überwachung
Wenn Sie diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung Richtlinienverwendung überwachen aktivieren, werden alle Instanzen ausgeführter Benutzerrechte im Sicherheitsprotokoll aufgezeichnet. Wenn Sie Rechteverwendung überwachen aktiviert, aber Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen deaktiviert haben und Benutzer Sicherungs- und Wiederherstellungsrechte verwenden, werden diese Ereignisse nicht überwacht.
Wenn Sie diese Richtlinieneinstellung zusammen mit der Richtlinieneinstellung Rechtsverwendung überwachen aktivieren, wird bei jeder Sicherung oder Wiederherstellung einer Datei ein Überwachungsereignis generiert. Dies kann es Ihnen erleichtern, einen Administrator zu ermitteln, der versehentlich oder böswillig Daten auf unbefugte Weise wiederherstellt.
Sie können auch die erweiterte Überwachungsrichtlinie Sensible Verwendung von Rechten überwachen verwenden, um die Anzahl der generierten Ereignisse zu begrenzen.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn Sie die Sicherungs- und Wiederherstellungsfunktion verwenden, wird eine Kopie des Dateisystems erstellt, die mit dem Ziel der Sicherung identisch ist. Das regelmäßige Erstellen von Sicherungs- und Wiederherstellungsvolumen ist ein wichtiger Bestandteil Ihrer Sicherheitsstrategien. Allerdings kann ein böswilliger Benutzer mithilfe einer legitimen Sicherungskopie Zugriff auf Informationen erlangen oder die Identität einer legitimen Netzwerkressource annehmen, um Ihr Unternehmen zu kompromittieren.
Gegenmaßnahme
Aktivieren Sie die Einstellung Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen. Sie können auch eine automatische Protokollsicherung implementieren, indem Sie den Registrierungsschlüssel AutoBackupLogFiles konfigurieren. Wenn Sie diese Option zusammen mit der Einstellung Rechteverwendung überwachen aktivieren, wird bei jedem Sichern oder Wiederherstellen einer Datei ein Überwachungsereignis generiert. Diese Informationen kann es Ihnen erleichtern, ein Konto zu identifizieren, mit dem Daten versehentlich oder böswillig unbefugterweise wiederhergestellt wurden.
Weitere Informationen zum Konfigurieren dieses Schlüssels finden Sie im Microsoft Knowledge Base-Artikel 100879.
Mögliche Auswirkung
Wenn Sie diese Richtlinieneinstellung aktivieren, wird möglicherweise eine große Anzahl von Sicherheitsereignissen generiert. Dies kann dazu führen, dass Server langsam reagieren und im Sicherheitsereignisprotokoll zahlreiche unbedeutende Ereignisse aufgezeichnet werden. Wenn Sie die Größe des Sicherheitsereignisprotokolls erhöhen, um ein Herunterfahren des Systems nach Möglichkeit zu vermeiden, kann durch eine extrem große Protokolldatei die Systemleistung beeinträchtigt werden.