Восстановление файлов и каталогов — параметр политики безопасности Restore files and directories — security policy setting

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра политики безопасности «Восстановление файлов и каталогов». Describes the best practices, location, values, policy management, and security considerations for the Restore files and directories security policy setting.

Справочные материалы Reference

Этот параметр безопасности определяет, какие пользователи могут обходить разрешения файлов, каталогов, реестра и других постоянных объектов при восстановлении архивных файлов и каталогов, а также определяет, какие пользователи могут устанавливать допустимых участников безопасности в качестве владельца объекта. This security setting determines which users can bypass file, directory, registry, and other persistent object permissions when they restore backed up files and directories, and it determines which users can set valid security principals as the owner of an object.

Предоставление этому пользователю прав на учетную запись аналогично предоставлению учетной записи следующих разрешений для всех файлов и папок в системе: Granting this user right to an account is similar to granting the account the following permissions to all files and folders on the system:

• Файл «Обход папки/ выполнения» Traverse folder / execute file
• Write Write

Константа: SeRestorePrivilege Constant: SeRestorePrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Значения по умолчанию Defaults
• Не определено Not Defined

Рекомендации Best practices

• Пользователи с этим правом пользователя могут переописывать параметры реестра, скрывать данные и получать право собственности на системные объекты, поэтому назначать это право только доверенным пользователям. Users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, so only assign this user right to trusted users.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию это право предоставляется группам «Администраторы», «Операторы резервного копирования» и «Операторы сервера» на контроллерах домена, а также группам администраторов и операторов резервного копирования на автономных серверах. By default, this right is granted to the Administrators, Backup Operators, and Server Operators groups on domain controllers, and to the Administrators and Backup Operators groups on stand-alone servers.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO)	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators Операторы архива Backup Operators Операторы сервера Server Operators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators Операторы архива Backup Operators
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators Операторы архива Backup Operators Операторы сервера Server Operators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators Операторы архива Backup Operators
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators Операторы архива Backup Operators

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики, который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object, which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Злоумышленник с **** правом пользователя на восстановление файлов и каталогов может восстановить конфиденциальные данные на компьютере и переписать более новые данные, что может привести к потере важных данных, повреждения данных или условию отказа в обслуживании. An attacker with the Restore files and directories user right could restore sensitive data to a computer and overwrite data that is more recent, which could lead to loss of important data, data corruption, or a denial-of-service condition. Злоумышленники могут переоформить исполняемые файлы, используемые законными администраторами или системными службами, с версиями, которые включают вредоносное ПО, для предоставления себе повышенных привилегий, компрометации данных или установки программ, которые обеспечивают постоянный доступ к устройству Attackers could overwrite executable files that are used by legitimate administrators or system services with versions that include malicious software to grant themselves elevated privileges, compromise data, or install programs that provide continued access to the device

Примечание. Даже если настроена следующая меры противодействия, злоумышленник может восстановить данные на компьютере в домене, который контролируется злоумышленником. Note: Even if the following countermeasure is configured, an attacker could restore data to a computer in a domain that is controlled by the attacker. Таким образом, очень важно, чтобы организации тщательно защищают носителю, используемую для хранения данных. Therefore, it is critical that organizations carefully protect the media that are used to back up data.

Противодействие Countermeasure

Убедитесь, что только локальной группе **** администраторов назначено право на восстановление файлов и каталогов, если в организации нет четко определенных ролей для резервного копирования и для персонала восстановления. Ensure that only the local Administrators group is assigned the Restore files and directories user right unless your organization has clearly defined roles for backup and for restore personnel.

Возможное влияние Potential impact

Если удалить **** пользователя восстановления файлов и каталогов прямо из группы «Операторы резервного копирования» и других учетных записей, пользователи, которые не являются членами локальной группы администраторов, не смогут загружать резервные копии данных. If you remove the Restore files and directories user right from the Backup Operators group and other accounts, users who aren’t members of the local Administrators group can’t load data backups. Если восстановление резервных копий делегировано подмножество ИТ-специалистов в организации, следует убедиться, что это изменение не отрицательно влияет на способность персонала организации выполнять свою работу. If restoring backups is delegated to a subset of IT staff in your organization, you should verify that this change does not negatively affect the ability of your organization’s personnel to do their jobs.

Как восстановить файлы, удаленные «Защитником Windows»

Встроенная система защиты Windows удалила ценные данные или поместила их в карантин? Сегодня мы расскажем про способы восстановления удаленных данных, разберем куда деваются перемещенные файлы, а также приведем оптимальные настройки встроенного защитника ОС.

Содержание:

Система защиты Windows является встроенным антивирусным ПО, которое позволяет избегать проникновению и распространению вредоносных программ по компьютеру пользователя.

Антивирус в Windows 10 — достаточно мощный защитник системы, не поддающийся для взлома даже опытным хакерам. Именно поэтому самыми частыми жертвами взломов становятся пользователи, использующие более старые версии операционных систем, а также те, кто отключили антивирус, выбрав защиту от сторонних производителей.

Несмотря на свою эффективность встроенная защита Windows не идеальна, поэтому некоторые пользователи могут столкнутся с тем, что антивирус удалил важные данные, приняв их за потенциальную угрозу. Ниже мы разберем основные способы того, как вернуть утерянную информацию, удаленную защитой ОС.

Как настроить, включить или отключить встроенную защиту?

В настройках встроенной защиты пользователь сможет отключить, включить или настроить «Защитник Windows» под свои нужды.

Важно! Мы настоятельно не рекомендуем отключать защиту системы на длительный период. Это следует делать только перед установкой сторонних антивирусных программ, чтобы избежать конфликтов двух систем защиты.

Чтобы попасть в меню ручного управления встроенной защитой Windows необходимо:

Шаг 1. Нажать правой кнопкой мыши по «Пуск» и в открывшемся окне выбрать пункт «Параметры».

Шаг 2. В открывшемся меню настроек переходим в пункт «Обновление и безопасность».

Шаг 3. В следующем окне выбираем пункт «Безопасность Windows» и нажимаем по кнопке «Открыть службу «Безопасность защитника Windows»».

Шаг 4. В Центре безопасности защитника, переходим в нижний левый угол окна и нажимаем по шестеренке, после чего нажимаем по кнопке «Управление поставщиками».

Шаг 5. В открывшемся меню нажимаем по кнопке «Открыть приложение».

Шаг 6. Здесь находится вкладка «Параметры защиты от вирусов и угроз». Нажимаем по кнопке «Управление настройками».

Шаг 7. В открывшемся окне присутствует три направления работы встроенной защиты. Для полного отключения «Защитника Windows» достаточно перевести все пункты в режим «Выключено».

Как восстановить файл из карантина встроенного «защитника Windows»

«Защитник Windows» работает в автоматическом режиме, поэтому все подозрительные файлы и данные автоматически помещаются в карантин.

Система защиты работает по принципу сравнения подозрительных данных с информацией о вирусном ПО, которая хранится на сервере Microsoft. Это позволяет выявлять вредоносные программы с максимальной точностью, поэтому файлы, занесенные в карантин, могут являться реальной угрозой системы. Мы не рекомендуем восстанавливать те файлы, в которых нет уверенности, что они не причинят вред компьютеру.

Существует два способа просмотра файлов, попавших в карантин. Первый – через «Центр безопасности Windows», второй – через Проводник. Первый способ предоставляет максимальную безопасность и дает полный отчет, почему файл был помещен в карантин.

Второй способ – небезопасен, поскольку пользователь сможет взаимодействовать с исполняемыми файлами вируса, что непременно привет к заражению.

Чтобы попасть в карантин через проводник, достаточно просто пройти по пути проводника «C:\ProgramData\Microsoft\Windows Defender\Quarantine» и включить отображение скрытых папок и системных файлов.

Для того, чтобы открыть карантин в «Центре безопасности», необходимо:

Шаг 1. Зайти в «Центр безопасности» способом, описанным выше, после чего выбрать пункт с эмблемой щита «Защита от вирусов и угроз».

Шаг 2. В открывшемся окне выбираем пункт «Журнал угроз».

Шаг 3. В открывшемся окне можно увидеть все угрозы, которые были помещены в зону карантина. Подозрительные файлы можно удалить или восстановить в данном окне.

Как настроить исключения для системы защиты?

Находясь в Центре безопасности Windows можно установить исключения для определенных файлов. Данные, занесенные в исключения не будут проверятся встроенной системой защиты и их можно будет использовать в обычном режиме.

Для этого необходимо:

Шаг 1. Как и в предыдущем пункте, открываем графу с изображением щита «Защита от вирусов и угроз», после чего в следующем окне нажимаем по кнопке «Управление настройками», которая расположена под графой «Параметры защиты от вирусов и других угроз».

Шаг 2. В открывшемся окне опускаемся в самый низ настроек и переходим в пункт «Добавление или удаление исключений».

Шаг 3. В данном меню можно выбрать исключения для файлов, нажав по кнопке «Добавить исключения».

Что делать если важные данные были удалены системой защиты?

Встроенная система защиты Windows может удалить потенциально вредоносные файлы, в список которых могут случайно попасть личные документы, фотографии, файлы программ или любая другая ценная информация. В таком случае лучшим выходом будет использование специализированного программного обеспечения для восстановления удаленной информации.

В данный момент самым оптимальным средством для восстановления информации являются утилиты от компании Recovery Software.

В зависимости от типа и вида утерянной информации, Вы можете воспользоваться одним из перечисленных средств:

• RS Photo Recovery – утилита для быстрого восстановления удаленных, отформатированных или уничтоженных вирусами фотографий и файлов изображений.
• RS Partition Recovery – утилита для комплексного восстановления удаленных данных с отформатированных носителей и дисков, где была изменена их логическая структура и файловая система.
• RS Word Recovery – специализированный инструмент для быстрого восстановления текстовых данных и документов любых типов.
• RS File Recovery и RS File Repair – комплексное восстановление структуры утерянной и поврежденной информации.

Для восстановления информации, удаленной защитником, достаточно выбрать одну из программ, скачать и запустить утилиту, провести глубокое сканирование системного диска, после чего восстановить нужные файлы из карантинной зоны по пути:

«C:\ProgramData\Microsoft\Windows Defender\Quarantine»

Часто задаваемые вопросы

Это сильно зависит от емкости вашего жесткого диска и производительности вашего компьютера. В основном, большинство операций восстановления жесткого диска можно выполнить примерно за 3-12 часов для жесткого диска объемом 1 ТБ в обычных условиях.

Если файл не открывается, это означает, что файл был поврежден или испорчен до восстановления.

Используйте функцию «Предварительного просмотра» для оценки качества восстанавливаемого файла.

Когда вы пытаетесь получить доступ к диску, то получаете сообщение диск «X: \ не доступен». или «Вам нужно отформатировать раздел на диске X:», структура каталога вашего диска может быть повреждена. В большинстве случаев данные, вероятно, все еще остаются доступными. Просто запустите программу для восстановления данных и отсканируйте нужный раздел, чтобы вернуть их.

Пожалуйста, используйте бесплатные версии программ, с которыми вы можете проанализировать носитель и просмотреть файлы, доступные для восстановления.

Сохранить их можно после регистрации программы – повторное сканирование для этого не потребуется.