Fazer backup de arquivos e pastas

  • Artigo

Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Fazer backup de arquivos e pastas.

Referência

Esse direito de usuário determina quais usuários podem ignorar permissões de arquivo e diretório, Registro e outras permissões de objetos persistentes para fazer backup do sistema. Esse direito de usuário é eficaz somente quando o aplicativo tenta acessar a interface de programação de aplicativos (API) de backup NTFS por meio de uma ferramenta de backup, como NTBACKUP.EXE. Caso contrário, as permissões de diretório e arquivo padrão se aplicam.

Esse direito de usuário é semelhante à concessão das seguintes permissões para o usuário ou grupo que você selecionou em todos os arquivos e pastas do sistema:

  • Desviar Pasta/Executar Arquivo

  • Listar Pasta/Ler Dados

  • Ler Atributos

  • Ler atributos estendidos

  • Ler permissões

Padrão em estações de trabalho e servidores:

  • Administradores

  • Operadores de Backup

Padrão em controladores de domínio:

  • Administradores

  • Operadores de Backup

  • Operadores de Servidor

Constante: SeBackupPrivilege

Valores possíveis

  • Lista de contas definida pelo usuário

  • Não definido

Práticas recomendadas

  1. Restrinja o direito de usuário Fazer backup de arquivos e pastas aos membros da equipe de TI que devem fazer backup dos dados organizacionais como parte de suas responsabilidades diárias. Como não há maneira de verificar se um usuário está fazendo backup dos dados, roubando dados ou copiando dados para distribuí-los, atribua esse direito de usuário apenas a usuários de confiança.

  2. Se você estiver usando um software de backup que é executado em contas de serviço específicas, somente essas contas (e não a equipe de TI) deverão ter o direito de usuário Fazer backup de arquivos e pastas.

Local

Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário

Valores padrão

Por padrão, esse direito é concedido a Administradores e Operadores de Backup em servidores e estações de trabalho. Em controladores de domínio, Administradores, Operadores de Backup e Operadores de Servidor têm esse direito.

A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.

Tipo de servidor ou GPO Valor padrão

Política de domínio padrão

Não definido

Política do Controlador de Domínio Padrão

Administradores

Operadores de Backup

Operadores de Servidor

Configurações Padrão de Servidor Autônomo

Administradores

Operadores de Backup

Configurações Padrão Efetivas do Controlador de Domínio

Administradores

Operadores de Backup

Operadores de Servidor

Configurações Padrão Efetivas do Servidor Membro

Administradores

Operadores de Backup

Configurações Padrão Efetivas do Computador Cliente

Administradores

Operadores de Backup

 

Gerenciamento de políticas

Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.

Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez em que o proprietário da conta fizer logon.

Política de Grupo

As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:

  1. Configurações de política local

  2. Configurações de política de site

  3. Configurações de política de domínio

  4. Configurações de política de UO

Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.

Considerações sobre a segurança

Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.

Vulnerabilidade

Os usuários que podem fazer backup dos dados de um dispositivo podem levar a mídia de backup para um computador sem domínio onde eles tenham privilégios administrativos e restaurar os dados. Eles poderiam se apropriar dos arquivos e ver os dados não criptografados contidos no conjunto de backup.

Contramedida

Restrinja o direito de usuário Fazer backup de arquivos e pastas aos membros da equipe de TI que devem fazer backup dos dados organizacionais como parte de suas responsabilidades diárias. Se você estiver usando um software de backup que é executado em contas de serviço específicas, somente essas contas (e não a equipe de TI) deverão ter o direito de usuário Fazer backup de arquivos e pastas.

Impacto em potencial

As alterações na associação dos grupos que têm o direito de usuário Fazer backup de arquivos e pastas podem limitar a capacidade dos usuários que têm funções administrativas específicas em seu ambiente. Você deve confirmar se os administradores de backup autorizados ainda podem executar operações de backup.

Tópicos relacionados

Atribuição de Direitos de Usuário