Архивация файлов и каталогов
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Архивация файлов и каталогов.
Справочные материалы
Это право пользователя определяет, какие пользователи могут обходить разрешения для файлов, каталогов, реестра и других постоянных объектов с целью резервного копирования системы. Это право пользователя действует, только когда приложение пытается получить доступ через API-интерфейс резервного копирования NTFS с использованием средства резервного копирования, например NTBACKUP.EXE. В противном случае применяются стандартные разрешения для файлов и каталогов.
Это право пользователя аналогично предоставлению следующих разрешений выбранным пользователю и группе для всех файлов и папок в системе.
Обзор папок/выполнение файлов.
Содержание папки/чтение данных.
Чтение атрибутов.
Чтение расширенных атрибутов.
Чтение разрешений.
Является значением по умолчанию на рабочих станциях и серверах для групп.
Администраторы.
Операторы архива.
Является значением по умолчанию на контроллерах домена для следующих групп.
Администраторы.
Операторы архива.
Операторы сервера.
Константа: SeBackupPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
Назначайте право Архивация файлов и каталогов членам ИТ-группы, которые должны выполнять резервное копирование данных предприятия в рамках своих ежедневных должностных обязанностей. Поскольку невозможно точно знать, что именно пользователь делает с данными, — создает резервную копию, крадет или копирует с целью распространения — назначайте это право только доверенным пользователям.
Если вы используете программное обеспечение для резервного копирования, которое работает с использованием определенных учетных записей, право пользователя Архивация файлов и каталогов должны иметь именно эти учетные записи (а не ИТ-специалисты).
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию это право предоставляется администраторам и операторам архива на рабочих станциях и серверах. На контроллерах домена это право имеют администраторы, операторы архива и операторы сервера.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы Операторы архива Операторы сервера |
Параметры автономного сервера по умолчанию |
Администраторы Операторы архива |
Действующие параметры контроллера домена по умолчанию |
Администраторы Операторы архива Операторы сервера |
Действующие параметры рядового сервера по умолчанию |
Администраторы Операторы архива |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Операторы архива |
Управление политикой
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователи, которые выполняют резервное копирование данных устройства, могут перенести архивный носитель на компьютер, не входящий в состав домена, на котором они имеют права администратора, а затем восстановить данные. Они могут стать владельцами файлов и просматривать все незашифрованные данные, находящиеся в наборе архивации.
Меры противодействия
Назначайте право Архивация файлов и каталогов членам ИТ-группы, которые должны выполнять резервное копирование данных предприятия в рамках своих ежедневных должностных обязанностей. Если вы используете программное обеспечение для резервного копирования, которое работает с использованием определенных учетных записей, право пользователя Архивация файлов и каталогов должны иметь именно эти учетные записи (а не ИТ-специалисты).
Возможные последствия
Изменение членства групп, имеющих право Архивация файлов и каталогов, может ограничить возможности пользователей, которым назначены конкретные роли администрирования в вашей среде. Вы должны удостовериться, что авторизованные администраторы архива могут по-прежнему выполнять операции резервного копирования.