ファイルとディレクトリのバックアップ
[ファイルとディレクトリのバックアップ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このユーザー権限は、どのユーザーがファイルとディレクトリ、レジストリ、およびその他の永続的なオブジェクトのアクセス許可をシステムのバックアップのためにバイパスできるかを決定します。このユーザー権限は、NTBACKUP.EXE などのバックアップ ツールを通じてアプリケーションが NTFS バックアップ アプリケーション プログラミング インターフェイス (API) からのアクセスを試みた場合にのみ有効になります。それ以外の場合、標準的なファイルとディレクトリのアクセス許可が適用されます。
このユーザー権限は、システム上のすべてのファイルとフォルダーについて、選択したユーザーまたはグループに次のアクセス許可を与えることに似ています。
フォルダーのスキャン/ファイルの実行
フォルダーの一覧表示/データの読み取り
属性の読み取り
拡張属性の読み取り
アクセス許可の読み取り
ワークステーションとサーバーの既定:
Administrators
Backup Operators
ドメイン コントローラーの既定:
Administrators
Backup Operators
Server Operators
定数: SeBackupPrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
[ファイルとディレクトリのバックアップ] ユーザー権限は、担当する日常業務の一部として組織のデータをバックアップする必要がある IT チームのメンバーに限定します。ユーザーによるデータのバックアップ、データの盗難、または配布するデータのコピーを確認する方法がないため、このユーザー権限は信頼されたユーザーにのみ割り当てます。
特定のサービス アカウントで実行されるバックアップ ソフトウェアを使っている場合、これらのアカウントのみが [ファイルとディレクトリのバックアップ] ユーザー権限を持つ必要があります (IT スタッフは持たないようにします)。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、この権限はワークステーションとサーバーの Administrators と Backup Operators に付与されます。ドメイン コントローラーでは、Administrators、Backup Operators、Server Operators がこの権限を持っています。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Backup Operators Server Operators |
スタンドアロン サーバーの既定の設定 |
Administrators Backup Operators |
ドメイン コントローラーの有効な既定の設定 |
Administrators Backup Operators Server Operators |
メンバー サーバーの有効な既定の設定 |
Administrators Backup Operators |
クライアント コンピューターの有効な既定の設定 |
Administrators Backup Operators |
ポリシー管理
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
デバイスからデータをバックアップできるユーザーが、管理者特権を持つドメイン外のコンピューターにバックアップ メディアを持ち込み、データを復元する可能性があります。彼らがファイルの所有権を獲得し、バックアップ セット内に含まれている暗号化されていないデータを表示できる可能性があります。
対策
[ファイルとディレクトリのバックアップ] ユーザー権限は、担当する日常業務の一部として組織のデータをバックアップする必要がある IT チームのメンバーに限定します。特定のサービス アカウントで実行されるバックアップ ソフトウェアを使っている場合、これらのアカウントのみが [ファイルとディレクトリのバックアップ] ユーザー権限を持つ必要があります (IT スタッフは持たないようにします)。
考えられる影響
[ファイルとディレクトリのバックアップ] ユーザー権限を持つグループのメンバーシップの変更が、環境内の特定の管理役割に割り当てられているユーザーの能力を制限する可能性があります。承認されたバックアップ管理者がバックアップ操作を引き続き実行できることを確認する必要があります。