Restaurar archivos y directorios
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Restaurar archivos y directorios.
Referencia
Esta configuración de seguridad determina qué usuarios pueden omitir los permisos de archivo, directorio, registro y de otros objetos persistentes cuando restauran una copia de seguridad de archivos y directorios, además de determina qué usuarios pueden establecer entidades de seguridad válidas como el propietario de un objeto.
Conceder este derecho a una cuenta de usuario es similar a conceder a la cuenta los siguientes permisos para todos los archivos y carpetas del sistema:
Atravesar carpeta o ejecutar archivo
Escritura
Constante: SeRestorePrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Valores predeterminados
Sin definir
Procedimientos recomendados
- Los usuarios con este derecho de usuario pueden sobrescribir la configuración del registro, ocultar datos y obtener la propiedad de objetos del sistema, por lo que solo se debe asignar este derecho de usuario a usuarios de confianza.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
De forma predeterminada, este derecho se concede a los grupos Administradores, Operadores de copia de seguridad y Operadores de servidor en controladores de dominio y a los grupos Administradores y Operadores de copia de seguridad en servidores independientes.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
Tipo de servidor o GPO | Valor predeterminado |
---|---|
Directiva de dominio predeterminada |
|
Directiva de controlador de dominio predeterminada |
Administradores Operadores de copia de seguridad Operadores de servidor |
Configuración predeterminada del servidor independiente |
Administradores Operadores de copia de seguridad |
Configuración predeterminada eficaz del controlador de dominio |
Administradores Operadores de copia de seguridad Operadores de servidor |
Configuración predeterminada eficaz del servidor miembro |
Administradores Operadores de copia de seguridad |
Configuración predeterminada eficaz del equipo cliente |
Administradores Operadores de copia de seguridad |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración, como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Un atacante con el derecho de usuario Restaurar archivos y directorios puede restaurar los datos confidenciales en un equipo y sobrescribir los datos más recientes, lo que podría provocar pérdidas de datos importantes, dañar los datos o una condición de denegación de servicio. Los atacantes pueden sobrescribir archivos ejecutables que usan los administradores legítimos o los servicios del sistema con versiones que incluyen software malintencionado para concederse a sí mismos privilegios elevados, comprometer datos o instalar programas que proporcionen acceso continuado al dispositivo.
Nota
Incluso si se configura la siguiente contramedida, un atacante puede restaurar datos en un equipo de un dominio que está controlado por el atacante. Por lo tanto, es fundamental que las organizaciones protejan los soportes que se usan para hacer copia de seguridad de los datos.
Contramedidas
Asegúrate de que solo el grupo Administradores local tiene asignado el derecho de usuario Restaurar archivos y directorios a menos que la organización tenga roles claramente definidos para el personal de copia de seguridad y restauración.
Impacto potencial
Si quitas el derecho de usuario Restaurar archivos y directorios del grupo Operadores de copia de seguridad y otras cuentas, los usuarios que no son miembros del grupo Administradores locales no pueden cargar copias de seguridad de datos. Si la restauración de copias de seguridad se delega a un subconjunto del personal de TI de la organización, debes comprobar que este cambio no afecte negativamente a la capacidad del personal de la organización para realizar su trabajo.