Hacer copias de seguridad de los archivos y directorios
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Hacer copias de seguridad de archivos y directorios.
Referencia
Este derecho de usuario determina qué usuarios pueden omitir el archivo y directorio, el registro y otros permisos de objeto persistentes para los fines de copia de seguridad del sistema. Este derecho de usuario es eficaz solo cuando una aplicación intenta acceder mediante la interfaz de programación de aplicaciones (API) de copia de seguridad de NTFS mediante una herramienta de copia de seguridad como NTBACKUP.EXE. De lo contrario, se aplican los permisos de directorio y de archivo estándar.
Este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo que hayas seleccionado en todos los archivos y carpetas del sistema:
Atravesar carpeta o ejecutar archivo
Mostrar carpeta o leer datos
Atributos de lectura
Atributos extendidos de lectura
Permisos de lectura
Configuración predeterminada en los servidores y estaciones de trabajo:
Administradores
Operadores de copia de seguridad
Configuración predeterminada en controladores de dominio:
Administradores
Operadores de copia de seguridad
Operadores de servidor
Constante: SeBackupPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
Restringir el derecho de usuario Hacer copias de seguridad de los archivos y directorios a los miembros del equipo de TI que deben realizar una copia de datos de la organización como parte de sus responsabilidades laborales diarias. Como no hay ninguna manera de asegurarse de que un usuario está realizando copias de seguridad de datos, robando datos o copiando datos para distribuirlos, asigna este derecho de usuario solo a los usuarios de confianza.
Si estás usando un software de copia de seguridad que se ejecuta en cuentas de servicio específicas, solo estas cuentas (y no el personal de TI) deberían tener el derecho de usuario Hacer copias de seguridad de los archivos y directorios.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De forma predeterminada, este derecho se concede a los administradores y los operadores de copia de seguridad en los servidores y estaciones de trabajo. Los controladores de dominio, administradores, operadores de copia de seguridad y operadores de servidor tienen este derecho.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores Operadores de copia de seguridad Operadores de servidor |
Configuración predeterminada del servidor independiente |
Administradores Operadores de copia de seguridad |
Configuración predeterminada eficaz del controlador de dominio |
Administradores Operadores de copia de seguridad Operadores de servidor |
Configuración predeterminada eficaz del servidor miembro |
Administradores Operadores de copia de seguridad |
Configuración predeterminada eficaz del equipo cliente |
Administradores Operadores de copia de seguridad |
Administración de directivas
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe la manera en que un atacante podría aprovecharse de una característica o de su configuración, la forma de implementar la contramedida y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Los usuarios que pueden realizar una copia de seguridad de datos desde un dispositivo podrían llevar el medio de copia de seguridad a un equipo que no sea del dominio en el que tengan privilegios administrativos y, a continuación, restaurar los datos. Podrían tomar posesión de los archivos y ver todos los datos sin cifrar que se encuentren dentro del conjunto de copia de seguridad.
Contramedida
Restringir el derecho de usuario Hacer copias de seguridad de los archivos y directorios a los miembros del equipo de TI que deben realizar una copia de datos de la organización como parte de sus responsabilidades laborales diarias. Si estás usando un software de copia de seguridad que se ejecuta en cuentas de servicio específicas, solo estas cuentas (y no el personal de TI) deberían tener el derecho de usuario Hacer copias de seguridad de los archivos y directorios.
Impacto potencial
Los cambios en la pertenencia a los grupos que tengan el derecho de usuario Hacer copias de seguridad de los archivos y directorios podrían limitar las capacidades de los usuarios a los que se les han asignado roles administrativos específicos en tu entorno. Deberías confirmar que los administradores de copia de seguridad autorizados puedan seguir realizando operaciones de copia de seguridad.