Wiederherstellen von Dateien und Verzeichnissen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Wiederherstellen von Dateien und Verzeichnissen beschrieben.
Referenzen
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Berechtigungen für Dateien und Verzeichnisse, die Registrierung und andere beständige Objekte umgehen können, wenn sie gesicherte Dateien und Verzeichnisse wiederherstellen. Außerdem bestimmt sie, welche Benutzer gültige Sicherheitsprinzipale als Besitzer eines Objekts festlegen können.
Wenn Sie einem Konto dieses Benutzerrecht gewähren, ist dies so, als würden Sie dem Konto die folgenden Berechtigungen für alle Dateien und Ordner im System gewähren:
Ordner durchsehen/Datei ausführen
Schreiben
Konstante: SeRestorePrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Standardwerte
Nicht definiert
Bewährte Methoden
- Da Benutzer mit diesem Recht Registrierungseinstellungen überschreiben, Daten ausblenden und in den Besitz von Systemobjekten gelangen können, sollte dieses Benutzerrecht nur vertrauenswürdigen Benutzern zugewiesen werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Dieses Recht wird standardmäßig den Gruppen „Administratoren“, „Sicherungsoperatoren“ und „Serveroperatoren“ auf Domänencontrollern und den Gruppen „Administratoren“ und „Sicherungsoperatoren“ auf eigenständigen Servern gewährt.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
|
Standardrichtlinie für Domänencontroller |
Administratoren Sicherungsoperatoren Serveroperatoren |
Standardeinstellungen für eigenständige Server |
Administratoren Sicherungsoperatoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Sicherungsoperatoren Serveroperatoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Sicherungsoperatoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Sicherungsoperatoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Angreifer mit dem Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen könnte sensible Daten auf einem Computer wiederherstellen und neuere Daten überschreiben. Dies könnte zum Verlust wichtiger Daten, einer Datenbeschädigung oder einer Denial-of-Service-Bedingung führen. Angreifer könnten von legitimen Administratoren oder Systemdiensten verwendete ausführbare Dateien mit Versionen überschreiben, die Schadsoftware enthalten, um sich erhöhte Rechte zu gewähren, Daten zu kompromittieren oder Programme zu installieren, die dauerhaften Zugriff auf das Gerät gewähren.
Hinweis
Selbst wenn die folgende Gegenmaßnahme konfiguriert ist, könnte ein Angreifer Daten auf einem Computer in einer Domäne wiederherstellen, die vom Angreifer kontrolliert wird. Daher ist es wichtig, dass Organisationen die zum Sichern von Daten verwendeten Medien wirkungsvoll schützen.
Gegenmaßnahme
Stellen Sie sicher, dass nur der lokalen Administratorgruppe das Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen gewährt wird, es sei denn, die Benutzerrollen für die Sicherung und Wiederherstellung sind in Ihrer Organisation eindeutig definiert.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen aus der Gruppe „Sicherungsoperatoren“ und anderen Konten entfernen, können Benutzer, die nicht Mitglied der lokalen Administratorgruppe sind, keine Datensicherungen laden. Wenn das Wiederherstellen von Sicherungen an eine Teilmenge der IT-Mitarbeiter in Ihrer Organisation delegiert wird, sollten Sie sicherstellen, dass sich diese Änderung nicht negativ auf die Mitarbeiter in Ihrer Organisation auswirkt und sie daran hindert, ihren Aufgaben nachzukommen.