locked
grupo operadores de copia ¿Inseguro?? RRS feed

  • Pregunta

  • Hola amigos, quisiera saber si es normal este comportamiento.

    Se trata de un usuario en Xp al que se le mete en el grupo "operadores de copia". El caso es que usando esa cuenta, hace una copia de seguridad de una carpeta a la que antes no tenía acceso. Una vez que este usuario, la restaura, puede leer los datos perfectamente.

    Yo pensaba, que al agregarlo, sólo podía copiar o restaurar, pero sin por ello LEER EL CONTENIDO de lo restaurado.

    Me lo podrían aclarar.

    Gracias


    JPF
    • Cambiado Guillermo Delprato [] jueves, 9 de septiembre de 2010 11:29 (De:Entrenamiento y Certificación (España))
    jueves, 9 de septiembre de 2010 10:06

Respuestas

  • Pertenecer al grupo Operadores de Copia en realidad da implícitamente privilegios de modificar todo.

    El derecho de hacer copia de seguridad, permite hacerlo sobre lo que no tiene privilegios de lectura
    Y el derecho de restaurar, permite escribir donde no tiene permisos de escritura.

    Así que por ejemplo, si yo tengo privilegios de Operador de Copia de un equipo, puedo sacar datos. Luego restauro datos en mi equipo, y los altero.
    Luego los copio desde mi equipo, y los restauro modificados en el equipo original

    En ambientes de mediana segurida en adelante son muy pocos los que están en ese grupo.

    Para bajar el riesgo, se crean dos grupos, uno con privilegios de copia, y otro con privilegios de restauración. Y un usuario no pertenece a ambos simultánemente.

    Muevo el hilo al foro de XP, que no tiene que ver el tema con Entrenamiento y Certificación

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jesús Guibert miércoles, 15 de septiembre de 2010 1:56
    jueves, 9 de septiembre de 2010 11:29
  • A ver si puedo expresarme mejor :-)

    El grupo Operadores de Copia, es local en cada máquina.
    Si un administrador pone una cuenta en este grupo, esta cuenta puede hacer backup de la misma, aunque no leer el contenido de los datos

    Pero, si esa persona tiene una copia de backup, nada impide que la pueda recupera en *su máquina* en la que es administrador, tomar posesión de los datos, y darse los permisos que quiera. Con lo cual puede alterar los datos.

    Luego, en *su máquina*, vuelve a hacer backup (con los datos ya alterados)

    Y finalmente regresa a la máquina original, y hace el restore de los datos alterados. En esta máquina no podrá ni leerlos ni modificarlos, pero ya están alterados.

    Resumiendo, la pertenencia al grupo Operadores de Copia da muchos privilegios, y queda reservada sólo a algunos usuarios muy confiables, los administradores por ejemplo.
    Para los backups diarios, se puede crear por ejemplo un grupo Backupeadores, y darle solamente el derecho de Backup, pero no Restore.
    Por otro lado se crea un grupo Restauradores, al que se le da el derecho de Restore, pero que no contienene a la primera cuenta.
    Por lo menos se van a tener que poner de acuerdo ;-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jesús Guibert miércoles, 15 de septiembre de 2010 1:56
    viernes, 10 de septiembre de 2010 11:09
  • El que pertenezca al grupo Administadores, ya tiene los derechos de Backup y Restore, no se necesita agregarlo al grupo Operadores de Copia

    Además los administradores siempre tienen permiso de tomar posesión y de cualquier tipo de elemento, ya que de otra forma no podrían resolver algunos problemas. Los administradores tienen "control total sobre todo" pues para eso son los "administradores".

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jesús Guibert miércoles, 15 de septiembre de 2010 1:56
    viernes, 10 de septiembre de 2010 11:50

Todas las respuestas

  • Pertenecer al grupo Operadores de Copia en realidad da implícitamente privilegios de modificar todo.

    El derecho de hacer copia de seguridad, permite hacerlo sobre lo que no tiene privilegios de lectura
    Y el derecho de restaurar, permite escribir donde no tiene permisos de escritura.

    Así que por ejemplo, si yo tengo privilegios de Operador de Copia de un equipo, puedo sacar datos. Luego restauro datos en mi equipo, y los altero.
    Luego los copio desde mi equipo, y los restauro modificados en el equipo original

    En ambientes de mediana segurida en adelante son muy pocos los que están en ese grupo.

    Para bajar el riesgo, se crean dos grupos, uno con privilegios de copia, y otro con privilegios de restauración. Y un usuario no pertenece a ambos simultánemente.

    Muevo el hilo al foro de XP, que no tiene que ver el tema con Entrenamiento y Certificación

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jesús Guibert miércoles, 15 de septiembre de 2010 1:56
    jueves, 9 de septiembre de 2010 11:29
  • Antes de nada, perdonar por publicar en el sitio que no correspondía.

    Hay algo que necesito aclarar:

    Se supone que un administrador mete en el grupo "operadores de copia" a un usuario, el cual no tiene acceso a una carpeta y sin embargo queremos que pueda hacer un backup de ésta.

    Mi duda (si voy bien en lo anterior, y sino por favor corregirme), es que cuando ese usuario que hizo la copia (que no tiene acceso a la carpeta), restaura la copia que hizo, una vez terminada la restauración, puede acceder a dichos datos y antes no lo hacía.

    Entonces mis dudas son:

    - ¿En que casos se usa el grupo "operadores de copia" si un usuario perteneciente a este grupo, una vez que restaura algo dónde antes no tenía acceso pasa a tenerlo (con la inminente "inseguridad")?.

    Mil gracias


    JPF
    viernes, 10 de septiembre de 2010 9:46
  • A ver si puedo expresarme mejor :-)

    El grupo Operadores de Copia, es local en cada máquina.
    Si un administrador pone una cuenta en este grupo, esta cuenta puede hacer backup de la misma, aunque no leer el contenido de los datos

    Pero, si esa persona tiene una copia de backup, nada impide que la pueda recupera en *su máquina* en la que es administrador, tomar posesión de los datos, y darse los permisos que quiera. Con lo cual puede alterar los datos.

    Luego, en *su máquina*, vuelve a hacer backup (con los datos ya alterados)

    Y finalmente regresa a la máquina original, y hace el restore de los datos alterados. En esta máquina no podrá ni leerlos ni modificarlos, pero ya están alterados.

    Resumiendo, la pertenencia al grupo Operadores de Copia da muchos privilegios, y queda reservada sólo a algunos usuarios muy confiables, los administradores por ejemplo.
    Para los backups diarios, se puede crear por ejemplo un grupo Backupeadores, y darle solamente el derecho de Backup, pero no Restore.
    Por otro lado se crea un grupo Restauradores, al que se le da el derecho de Restore, pero que no contienene a la primera cuenta.
    Por lo menos se van a tener que poner de acuerdo ;-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jesús Guibert miércoles, 15 de septiembre de 2010 1:56
    viernes, 10 de septiembre de 2010 11:09
  • Muchas gracias pr tu paciencia. Sólo una última cosa.

    ¿Qué sentido tendría agregar al administrador al grupo "operadores de copia", si éste tiene permisos sobre todo en Local?

    Sólo se me ocurre, que si no tine permisos para entrar a una carpeta, no tendría que tomar posesión para realizar la copia.

    Gracias


    JPF
    viernes, 10 de septiembre de 2010 11:19
  • El que pertenezca al grupo Administadores, ya tiene los derechos de Backup y Restore, no se necesita agregarlo al grupo Operadores de Copia

    Además los administradores siempre tienen permiso de tomar posesión y de cualquier tipo de elemento, ya que de otra forma no podrían resolver algunos problemas. Los administradores tienen "control total sobre todo" pues para eso son los "administradores".

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Jesús Guibert miércoles, 15 de septiembre de 2010 1:56
    viernes, 10 de septiembre de 2010 11:50
  • ok. gracias por tu ayuda
    JPF
    lunes, 13 de septiembre de 2010 8:47