Я хотел бы знать, как ограничить одного пользователя (не администратора) от использования конкретных команд из командной строки.
Например: dir
должно быть разрешено, но shutdown
должен быть заблокирован.
В качестве бонуса это возможно в белом списке (т. е. все команды заблокированы, кроме dir
)?
как ограничить определенные команды cmd
2 ответа
в отличие от операционных систем UNIX/Linux, Windows имеет два типа команд: внутренние и внешние. Команды вроде dir
,cd
,rd
,copy
,del
, etc. встроены в интерпретатор команд и являются, таким образом, внутренними командами. Все остальные утилиты командной строки (например,net
,shutdown
,telnet
,ftp
, etc.) внешние команды-они связаны .файл EXE. Вы можете получить список внутренних команд, набрав help
в командной строке.
внутренние команды все-или-ничего. Если вы предоставляете доступ к командной строке, вы предоставляете доступ к ним всем. Внешние команды - это просто программы, как и любые другие, так что если вы не хотите, чтобы пользователь запускал ipconfig
команда, вы можете просто отменить разрешения на чтение для этого пользователя.
однако, вы должны знать, что командная строка-это не магия. Он не может и не позволяет пользователю делать то, что они обычно не могли бы сделать. Функции, предоставляемые командной строкой все еще управляется системой безопасности. Пользователь, не имеющий доступа на чтение и запись к папке, не может использовать rd
или del
, чтобы удалить его. Если у них нет доступа для чтения к папке, они не могут cd
в нее.
я бы посоветовал вам думать о том, что вы пытаетесь достичь. Блокировка команды - это как снятие дверной ручки. Это не мешает открыть дверь. Если бы вы хотели запереть дверь, вы бы заперли ее.
Допустим, вы хотите заблокировать доступ к shutdown
команда для пользователей. Это не останавливает их от выключения системы. Есть буквально дюжина способов выключить компьютер. Все, что вы делаете блокирует один конкретный способ. Вместо этого следует использовать политику безопасности, чтобы запретить пользователям право выключать компьютер. Таким образом, любая попытка выключить машину будет заблокирована-независимо от того, как они пытаются это сделать. Это политика по умолчанию на серверах.
изменение разрешения безопасности по умолчанию в каталоге Windows, как правило, также плохая идея. Это может иметь последствия, о которых вы даже не подумаете. И они могут быть не сразу очевидны.
запустите редактор, набрав secpol.msc в диалоге запуска и перехода к политикам управления приложениями, а затем AppLocker и исполняемые правила
щелкните правой кнопкой мыши и создать исполняемые правила и далее и выберите пользователей, которых вы хотите разрешить или запретить. Затем путь к файлу, а затем просматривать файлы и использовать *.*
. Вы можете дать ему имя и комментарий, нажав кнопку Далее или просто нажмите кнопку Создать.
вы также можете сказать запретить пользователь X для *.*
файл/папка/путь. Тем не менее,тогда вам придется белый список всех приложений, включая word, firefox, и даже стандартные инструменты windows.
сказать да для создания правил по умолчанию.
вам нужно переместить новые правила в начало списка, чтобы они имели приоритет над другими правилами.
Примечание: Shutdown является EXE, так что он будет блокировать его. Однако собственные команды DOS,такие как CD,MD, RD, являются частью DOS, поэтому они не будут заблокированы таким образом. Разрешение только для чтения файла может блокировать их на файлы / папки, которые не должны иметь разрешения на запись.
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]