Restaurar arquivos e diretórios
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Restaurar arquivos e diretórios.
Referência
Esta configuração de segurança determina quais usuários podem ignorar arquivo, pasta, Registro e outras permissões de objeto persistentes quando restauram arquivos e diretórios armazenados em backup e determina quais usuários podem definir entidades de segurança válidas como o proprietário de um objeto.
Conceder esse direito de usuário a uma conta é semelhante a conceder à conta as seguintes permissões para todos os arquivos e pastas do sistema:
Desviar pasta/executar arquivo
Gravar
Constante: SeRestorePrivilege
Valores possíveis
Lista de contas definida pelo usuário
Padrões
Não definido
Práticas recomendadas
- Os usuários com esse direito de usuário podem substituir as configurações do Registro, ocultar dados e obter a propriedade de objetos do sistema, de maneira a atribuir esse direito de usuário apenas a usuários confiáveis.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, esse direito é concedido aos grupos de administradores, operadores de backup e operadores de servidor em controladores de domínio, além dos grupos de administradores e operadores de backup em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
|
Política do Controlador de Domínio Padrão |
Administradores Operadores de Backup Operadores de Servidor |
Configurações Padrão de Servidor Autônomo |
Administradores Operadores de Backup |
Configurações padrão efetivas do controlador de domínio |
Administradores Operadores de Backup Operadores de Servidor |
Configurações padrão efetivas do servidor membro |
Administradores Operadores de Backup |
Configurações Padrão Efetivas do Computador Cliente |
Administradores Operadores de Backup |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar essa política.
Não é necessário reiniciar o computador para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Um invasor com o direito de usuário Restaurar arquivos e pastas pode restaurar dados confidenciais em um computador e substituir os dados mais recentes, o que pode levar à perda de dados importantes, corrupção de dados ou uma condição de negação de serviço. Os invasores podem substituir arquivos executáveis usados por administradores legítimos ou serviços do sistema com versões que incluem software mal-intencionado para conceder a si privilégios elevados, comprometer dados ou instalar programas que dão acesso contínuo ao dispositivo.
Observação
Mesmo que as contramedidas a seguir sejam configuradas, um invasor pode restaurar dados em um computador em um domínio controlado pelo invasor. Portanto, é fundamental que as empresas protejam cuidadosamente a mídia usada para fazer backup dos dados.
Contramedida
Assegure-se de que somente o grupo local Administradores receba o direito de usuário Restaurar arquivos e pastas, a menos que a organização tenha funções claramente definidas para pessoal de backup e restauração.
Impacto em potencial
Caso você remova o direito de usuário Restaurar arquivos e pastas do grupo Operadores de Backup e de outras contas, os usuários que não são membros do grupo local Administradores não conseguem carregar backups de dados. Caso a restauração de backups seja delegada a um subconjunto de equipe de TI na organização, você deve verificar se essa alteração não afeta negativamente a capacidade do pessoal da organização realizar os trabalhos.