Wiederherstellen von Dateien und Verzeichnissen

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Wiederherstellen von Dateien und Verzeichnissen beschrieben.

Referenzen

Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Berechtigungen für Dateien und Verzeichnisse, die Registrierung und andere beständige Objekte umgehen können, wenn sie gesicherte Dateien und Verzeichnisse wiederherstellen. Außerdem bestimmt sie, welche Benutzer gültige Sicherheitsprinzipale als Besitzer eines Objekts festlegen können.

Wenn Sie einem Konto dieses Benutzerrecht gewähren, ist dies so, als würden Sie dem Konto die folgenden Berechtigungen für alle Dateien und Ordner im System gewähren:

  • Ordner durchsehen/Datei ausführen

  • Schreiben

Konstante: SeRestorePrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Standardwerte

  • Nicht definiert

Bewährte Methoden

  • Da Benutzer mit diesem Recht Registrierungseinstellungen überschreiben, Daten ausblenden und in den Besitz von Systemobjekten gelangen können, sollte dieses Benutzerrecht nur vertrauenswürdigen Benutzern zugewiesen werden.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Dieses Recht wird standardmäßig den Gruppen „Administratoren“, „Sicherungsoperatoren“ und „Serveroperatoren“ auf Domänencontrollern und den Gruppen „Administratoren“ und „Sicherungsoperatoren“ auf eigenständigen Servern gewährt.

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Standardrichtlinie für Domänencontroller

Administratoren

Sicherungsoperatoren

Serveroperatoren

Standardeinstellungen für eigenständige Server

Administratoren

Sicherungsoperatoren

Effektive Standardeinstellungen für Domänencontroller

Administratoren

Sicherungsoperatoren

Serveroperatoren

Effektive Standardeinstellungen für Mitgliedsserver

Administratoren

Sicherungsoperatoren

Effektive Standardeinstellungen für Clientcomputer

Administratoren

Sicherungsoperatoren

 

Richtlinienverwaltung

In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.

Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Ein Angreifer mit dem Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen könnte sensible Daten auf einem Computer wiederherstellen und neuere Daten überschreiben. Dies könnte zum Verlust wichtiger Daten, einer Datenbeschädigung oder einer Denial-of-Service-Bedingung führen. Angreifer könnten von legitimen Administratoren oder Systemdiensten verwendete ausführbare Dateien mit Versionen überschreiben, die Schadsoftware enthalten, um sich erhöhte Rechte zu gewähren, Daten zu kompromittieren oder Programme zu installieren, die dauerhaften Zugriff auf das Gerät gewähren.

Hinweis  

Selbst wenn die folgende Gegenmaßnahme konfiguriert ist, könnte ein Angreifer Daten auf einem Computer in einer Domäne wiederherstellen, die vom Angreifer kontrolliert wird. Daher ist es wichtig, dass Organisationen die zum Sichern von Daten verwendeten Medien wirkungsvoll schützen.

 

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Administratorgruppe das Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen gewährt wird, es sei denn, die Benutzerrollen für die Sicherung und Wiederherstellung sind in Ihrer Organisation eindeutig definiert.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen aus der Gruppe „Sicherungsoperatoren“ und anderen Konten entfernen, können Benutzer, die nicht Mitglied der lokalen Administratorgruppe sind, keine Datensicherungen laden. Wenn das Wiederherstellen von Sicherungen an eine Teilmenge der IT-Mitarbeiter in Ihrer Organisation delegiert wird, sollten Sie sicherstellen, dass sich diese Änderung nicht negativ auf die Mitarbeiter in Ihrer Organisation auswirkt und sie daran hindert, ihren Aufgaben nachzukommen.

Verwandte Themen

Zuweisen von Benutzerrechten