Восстановление файлов и каталогов
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Восстановление файлов и каталогов.
Справочные материалы
Этот параметр безопасности определяет, могут ли пользователи обходить постоянные разрешения на доступ к файлам, каталогам, реестрам и прочим объектам при восстановлении файлов и каталогов из резервных копий, а также указывает, какие пользователи могут задавать допустимые субъекты безопасности, являясь владельцем объекта.
Предоставление этого права пользователя учетной записи аналогично предоставлению учетной записи следующих разрешений на все файлы и папки в системе.
Обзор папок / выполнение файлов
Запись
Константа: SeRestorePrivilege
Возможные значения
Пользовательский список учетных записей
По умолчанию
Не определено
Рекомендации
- Пользователи с этим правом пользователя могут перезаписывать параметры реестра, скрывать данные и получать право владельца на объекты системы, поэтому это право пользователя следует предоставлять только доверенным пользователям.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию это право предоставлено группам «Администраторы», «Операторы архива» и «Операторы сервера» на контроллерах домена и группам «Администраторы» и «Операторы архива» на автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
|
Политика контроллера домена по умолчанию |
Администраторы Операторы архива Операторы сервера |
Параметры автономного сервера по умолчанию |
Администраторы Операторы архива |
Действующие параметры контроллера домена по умолчанию |
Администраторы Операторы архива Операторы сервера |
Действующие параметры рядового сервера по умолчанию |
Администраторы Операторы архива |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Операторы архива |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Злоумышленник с правом пользователя Восстановление файлов и каталогов может восстановить конфиденциальные данные на компьютере и перезаписать более актуальные данные, что может привести к потере важных данных, повреждению данных или отказу в обслуживании. Злоумышленники могут перезаписать исполняемые файлы, которые используются законными администраторами или системными службами, заменив их на версии, включающие вредоносное ПО, что позволит этим злоумышленникам получить повышенные привилегии, испортить данные или установить программы, которые предоставят постоянный доступ к устройству.
Примечание
Даже в случае настройки указанной ниже меры противодействия злоумышленник может восстановить данные на компьютере в домене, который управляется злоумышленником. Поэтому для организаций очень важно тщательно защищать носитель, который используется для резервного копирования данных.
Меры противодействия
Убедитесь, что право Восстановление файлов и каталогов назначено только локальной группе «Администраторы», если только в вашей организации не назначены четкие роли для резервного копирования и восстановления.
Возможные последствия
Если удалить право Восстановление файлов и каталогов для группы «Операторы архива» и других учетных записей, пользователи, не являющиеся членами локальной группы «Администраторы», не смогут загружать резервные копии данных. Если право на восстановление резервных копий назначено ограниченному ряду ИТ-сотрудников в вашей организации, необходимо убедиться, что это изменение не скажется негативно на возможности выполнения своих должностных обязанностей персоналом организации.