Аудит: аудит использования привилегии на архивацию и восстановление
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Аудит: аудит использования привилегии на архивацию и восстановление.
Справочные материалы
Параметр политики Аудит: аудит использования привилегии на архивацию и восстановление определяет, будет ли выполняться аудит использования всех прав пользователя, в том числе "Архивация и восстановление", когда настроен параметр политики Аудит использования привилегий. Включение обоих параметров создает событие аудита для каждого файла, над которым выполнялись операции резервного копирования или восстановления.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Задайте для параметра Аудит: аудит использования привилегии на архивацию и восстановление значение "Отключено". Включение этого параметра политики может создать большое количество событий безопасности, что может стать причиной увеличения времени отклика серверов и записи в журналы событий безопасности большого количества малозначимых событий.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Аудит
Включение этого параметра политики вместе с параметром политики Аудит использования привилегий записывает все случаи использования прав пользователя в журнал безопасности. Если параметр Аудит использования привилегий включен, а параметр Аудит: аудит использования привилегии на архивацию и восстановление отключен, то когда пользователи используют права "Архивация и восстановление", аудит этих событий не выполняется.
Включение этого параметра политики, когда также включен параметр Аудит использования привилегий, создает событие аудита для каждого файла, над которым выполнялись операции резервного копирования или восстановления. Это поможет отследить администратора, который случайно или преднамеренно восстанавливает данные запрещенным способом.
Либо можно использовать расширенную политику аудита Аудит использования привилегий, затрагивающих конфиденциальные данные, которая позволит управлять количеством создаваемых событий.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Во время использования функция резервного копирования и восстановления создается копия файловой системы, которая идентична цели резервного копирования. Регулярное выполнение операций резервного копирования и восстановления является важной частью плана реагирования на инциденты. Однако злоумышленник может использовать достоверную резервную копию, чтобы получить доступ к информации или действовать под видом реального сетевого ресурса для нарушения безопасности предприятия.
Меры противодействия
Включите параметр Аудит: аудит использования привилегии на архивацию и восстановление. Кроме того, включите автоматическое резервное копирование журнала, настроив раздел реестра AutoBackupLogFiles. Если этот параметр включен, когда также включен параметр Аудит использования привилегий, создается событие аудита для каждого файла, над которым выполнялись операции резервного копирования или восстановления. Эта информация поможет определить учетную запись, которая использовалась для случайного или преднамеренного восстановления данных запрещенным способом.
Дополнительные сведения о настройке этот раздела см. в статье 100879 базы знаний Майкрософт.
Возможные последствия
Если этот параметр политики включен, может создаваться большое количество событий безопасности, что может стать причиной увеличения времени отклика серверов и записи в журнал безопасности большого количества малозначимых событий. Если увеличить размер журнала событий безопасности для снижения вероятности завершения работы системы, чрезмерно большой файл журнала может отрицательно повлиять на быстродействие системы.