Fazer backup de arquivos e pastas
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Fazer backup de arquivos e pastas.
Referência
Esse direito de usuário determina quais usuários podem ignorar permissões de arquivo e diretório, Registro e outras permissões de objetos persistentes para fazer backup do sistema. Esse direito de usuário é eficaz somente quando o aplicativo tenta acessar a interface de programação de aplicativos (API) de backup NTFS por meio de uma ferramenta de backup, como NTBACKUP.EXE. Caso contrário, as permissões de diretório e arquivo padrão se aplicam.
Esse direito de usuário é semelhante à concessão das seguintes permissões para o usuário ou grupo que você selecionou em todos os arquivos e pastas do sistema:
Desviar Pasta/Executar Arquivo
Listar Pasta/Ler Dados
Ler Atributos
Ler atributos estendidos
Ler permissões
Padrão em estações de trabalho e servidores:
Administradores
Operadores de Backup
Padrão em controladores de domínio:
Administradores
Operadores de Backup
Operadores de Servidor
Constante: SeBackupPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
Restrinja o direito de usuário Fazer backup de arquivos e pastas aos membros da equipe de TI que devem fazer backup dos dados organizacionais como parte de suas responsabilidades diárias. Como não há maneira de verificar se um usuário está fazendo backup dos dados, roubando dados ou copiando dados para distribuí-los, atribua esse direito de usuário apenas a usuários de confiança.
Se você estiver usando um software de backup que é executado em contas de serviço específicas, somente essas contas (e não a equipe de TI) deverão ter o direito de usuário Fazer backup de arquivos e pastas.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, esse direito é concedido a Administradores e Operadores de Backup em servidores e estações de trabalho. Em controladores de domínio, Administradores, Operadores de Backup e Operadores de Servidor têm esse direito.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de domínio padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Administradores Operadores de Backup Operadores de Servidor |
Configurações Padrão de Servidor Autônomo |
Administradores Operadores de Backup |
Configurações Padrão Efetivas do Controlador de Domínio |
Administradores Operadores de Backup Operadores de Servidor |
Configurações Padrão Efetivas do Servidor Membro |
Administradores Operadores de Backup |
Configurações Padrão Efetivas do Computador Cliente |
Administradores Operadores de Backup |
Gerenciamento de políticas
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez em que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Os usuários que podem fazer backup dos dados de um dispositivo podem levar a mídia de backup para um computador sem domínio onde eles tenham privilégios administrativos e restaurar os dados. Eles poderiam se apropriar dos arquivos e ver os dados não criptografados contidos no conjunto de backup.
Contramedida
Restrinja o direito de usuário Fazer backup de arquivos e pastas aos membros da equipe de TI que devem fazer backup dos dados organizacionais como parte de suas responsabilidades diárias. Se você estiver usando um software de backup que é executado em contas de serviço específicas, somente essas contas (e não a equipe de TI) deverão ter o direito de usuário Fazer backup de arquivos e pastas.
Impacto em potencial
As alterações na associação dos grupos que têm o direito de usuário Fazer backup de arquivos e pastas podem limitar a capacidade dos usuários que têm funções administrativas específicas em seu ambiente. Você deve confirmar se os administradores de backup autorizados ainda podem executar operações de backup.