24/04/2023
I Windows-økosystemet findes der en række indbyggede brugergrupper, som er designet til at delegere specifikke administrative opgaver. En af de mest misforståede og potentielt farlige grupper er Backup Operators. På overfladen lyder dens formål harmløst: at give brugere mulighed for at tage backup og gendanne filer. Men under overfladen gemmer denne gruppe på vidtrækkende rettigheder, der, hvis de udnyttes, kan omgå almindelige sikkerhedsforanstaltninger og i værste fald føre til en fuldstændig kompromittering af et helt domæne. Denne artikel dykker ned i, hvad Backup Operators-gruppen er, hvilke beføjelser den har, og hvorfor den udgør en alvorlig sikkerhedsrisiko, som enhver systemadministrator bør være opmærksom på.
Hvad er Backup Operators Gruppen?
Backup Operators er en standard sikkerhedsgruppe, der har eksisteret i Windows i mange år. Microsofts officielle beskrivelse er, at medlemmer af denne gruppe kan tage backup og gendanne alle filer på en computer, uanset de tilladelser, der beskytter disse filer. De kan også logge på computeren og lukke den ned. Gruppen kan ikke omdøbes, slettes eller fjernes.
Det afgørende element her er "uanset de tilladelser, der beskytter disse filer". Det betyder, at en Backup Operator kan læse enhver fil på systemet, selvom deres brugerkonto eksplicit er blevet nægtet adgang via standard NTFS-tilladelser. Denne evne er nødvendig for at sikre, at et komplet backup kan tages, men det er også her, den potentielle fare ligger. Som standard er denne gruppe tom; ingen brugere er medlemmer fra starten. Det er op til administratorer at tilføje konti til gruppen, enten manuelt eller via scripts.
Kernen i Rettighederne: SeBackupPrivilege og SeRestorePrivilege
Magten hos en Backup Operator stammer primært fra to specifikke brugerrettigheder (privilegier), der tildeles gruppen:
- SeBackupPrivilege: Giver brugeren ret til at læse enhver fil eller mappe, idet den omgår de normale adgangskontrollister (ACLs). Dette er nødvendigt for at kunne kopiere filer til et backupmedie.
- SeRestorePrivilege: Giver brugeren ret til at skrive til enhver fil eller mappe, igen ved at omgå ACLs. Dette er nødvendigt for at kunne gendanne filer fra en backup.
Selvom en bruger er medlem af Backup Operators-gruppen, er disse privilegier ikke aktiveret som standard i deres session. En proces skal eksplicit anmode om at aktivere dem. Backup-software gør dette automatisk, men en ondsindet aktør kan også aktivere dem for at få adgang til følsomme systemfiler.
Rettigheder vs. Begrænsninger: En Oversigt
For at forstå gruppens fulde omfang er det vigtigt at kende både dens beføjelser og dens begrænsninger. Selvom den er magtfuld, er den ikke en fuldgyldig administratorkonto.
| Tildelte Rettigheder | Begrænsninger |
|---|---|
| Kan sikkerhedskopiere og gendanne alle filer og mapper, uanset tilladelser. | Kan ikke starte visse tjenester (f.eks. TSM Client Acceptor, TSM Journal Service). |
| Kan logge på systemet lokalt og lukke det ned. | Kan ikke installere og konfigurere klienttjenester eller software. |
| Kan oprette en systembackup. | Kan ikke bruge 'Open File Support' til at tage backup af filer, der er i brug. |
| Kan gendanne systemtilstanden (kun på ældre Windows-versioner som XP/2003). | Kan ikke sikkerhedskopiere eller gendanne system-images. |
| Kan starte TSM Scheduler-tjenesten. | For at gendanne systemtilstanden på nyere Windows (Vista/7/8/10/Server 2008+), kræves også medlemskab af Administrator-gruppen. |
Den Store Sikkerhedsrisiko: Vejen til Domæneeskalering
Den reelle fare ved Backup Operators-gruppen opstår, når den anvendes i et Active Directory-miljø. Hvis en angriber får kontrol over en brugerkonto, der er medlem af Backup Operators-gruppen på en domænecontroller, har de en direkte vej til at kompromittere hele domænet. Dette fænomen kaldes domæneeskalering.
Processen fungerer således:
- Adgang til Følsomme Filer: Med SeBackupPrivilege kan angriberen omgå filsystemets sikkerhed på domænecontrolleren. Dette giver dem mulighed for at læse kritiske systemfiler, som normalt er låst og utilgængelige for alle undtagen SYSTEM-kontoen.
- Udtrækning af Registry Hives: De mest værdifulde mål er de såkaldte 'registry hives'. Specifikt er der tale om:
- SAM (Security Account Manager): Indeholder hashes af adgangskoderne for alle lokale brugerkonti på serveren, inklusiv den lokale administratorkonto.
- SYSTEM: Indeholder systemets boot-nøgle, som er nødvendig for at dekryptere SAM-databasen.
- SECURITY: Indeholder LSA-hemmeligheder, som kan inkludere cachede domæneoplysninger og tjenestekontoadgangskoder.
- Offline Analyse: Angriberen kopierer disse filer (f.eks. `C:\Windows\System32\config\SAM` og `SYSTEM`) til deres egen maskine. Da filerne nu er offline, kan specialværktøjer som `impacket-secretsdump` bruges til at udtrække adgangskode-hashes fra SAM-filen ved hjælp af SYSTEM-filen som nøgle.
- Kompromittering: Med adgangskode-hashet for domænecontrollerens maskinkonto eller lokale administrator kan angriberen udføre avancerede angreb som "Pass-the-Hash" for at autentificere sig som denne konto. Ofte kan maskinkontoens hash bruges til at udføre et DCSync-angreb, hvor angriberen efterligner en domænecontroller og anmoder om adgangskode-data for enhver bruger i domænet – inklusiv domæneadministratorer.
Resultatet er en total kompromittering af Active Directory. Angriberen har nu nøglerne til kongeriget og kan oprette sine egne administratorer, stjæle data og bevæge sig frit i netværket.
Sådan Tilføjer du en Bruger til Backup Operators
Hvis du, trods risiciene, har et legitimt behov for at tilføje en bruger til denne gruppe (f.eks. en tjenestekonto for backup-software), gøres det typisk via 'Computer Management'.
- Åbn 'Computer Management' (compmgmt.msc).
- Naviger til `Local Users and Groups` -> `Groups`.
- Dobbeltklik på gruppen `Backup Operators`.
- Klik på `Add...`.
- Indtast navnet på den bruger eller tjenestekonto, du vil tilføje, og klik på `Check Names` for at validere.
- Klik på `OK` for at tilføje brugeren.
- Klik på `Apply` og derefter `OK` for at lukke dialogboksen.
Husk, at dette kun bør gøres efter nøje overvejelse, og medlemskabet bør overvåges nøje.
Bedste Praksis for Sikker Administration
For at mindske risikoen forbundet med Backup Operators-gruppen, bør følgende principper følges:
- Princippet om Færrest Mulige Rettigheder: Tildel kun medlemskab til konti, der absolut har brug for det, såsom dedikerede tjenestekonti til backup-løsninger. Undgå at give almindelige brugerkonti eller administratorer medlemskab.
- Regelmæssig Auditering: Gennemgå jævnligt medlemskabet af Backup Operators-gruppen på alle servere, især på domænecontrollere. Enhver uventet konto skal undersøges øjeblikkeligt.
- Overvågning: Implementer overvågning for brug af `SeBackupPrivilege`. Logning af hændelser kan advare dig, hvis en konto forsøger at få adgang til følsomme systemfiler uden for et normalt backup-vindue.
- Behandl Gruppen som Privilegeret: Backup Operators-gruppen bør betragtes som en høj-privilegeret gruppe, på linje med Domain Admins eller Enterprise Admins. Beskyt konti i denne gruppe med stærke adgangskoder, multifaktor-autentificering (MFA) hvor muligt, og begrænset adgang.
Ofte Stillede Spørgsmål (FAQ)
Er Backup Operators-gruppen farlig i sig selv?
Ikke i sig selv. Den er et nødvendigt værktøj for visse funktioner. Faren opstår, når medlemskabet ikke administreres korrekt, eller når en konto i gruppen bliver kompromitteret. Dens evne til at omgå filsystemets rettigheder gør den til et attraktivt mål for angribere.
Hvem bør være medlem af denne gruppe?
Ideelt set kun dedikerede tjenestekonti, der bruges af velrenommeret backup-software. Menneskelige brugere bør sjældent, hvis nogensinde, være permanente medlemmer. Hvis en administrator har brug for rettighederne, bør det være midlertidigt og under opsyn.
Hvordan kan jeg se, hvem der er medlem af Backup Operators?
Du kan bruge 'Computer Management' som beskrevet ovenfor. På et domæneniveau kan du bruge 'Active Directory Users and Computers' til at tjekke gruppens medlemskab på domænecontrollere. Fra kommandolinjen kan du bruge kommandoen: `net localgroup "Backup Operators"`.
Er det sandt, at gruppen har mistet nogle beføjelser i nyere Windows-versioner?
Ja, specifikt retten til at gendanne systemtilstanden. På Windows Vista/Server 2008 og nyere er det også påkrævet, at brugeren er medlem af den lokale Administrator-gruppe for at udføre en fuld systemgendannelse. Dette mindsker risikoen en smule, men fjerner ikke den primære trussel, som er adgangen til at læse alle filer via `SeBackupPrivilege`.
Konklusion
Backup Operators-gruppen er et klassisk eksempel på et tveægget sværd i Windows-administration. Den tilbyder nødvendig funktionalitet til databeskyttelse, men dens magtfulde rettigheder udgør en betydelig sikkerhedsrisiko, hvis de ikke styres med omhu. Ved at forstå, hvordan disse rettigheder kan misbruges til domæneeskalering, og ved at implementere strenge kontrol- og overvågningsprocedurer, kan organisationer udnytte gruppens fordele uden at udsætte deres netværk for unødig fare. Husk altid: I IT-sikkerhed er viden om potentielle svagheder det første og vigtigste skridt mod en robust beskyttelse.
Hvis du vil læse andre artikler, der ligner Backup Operators: Rettigheder og Risici i Windows, kan du besøge kategorien Sundhed.