Похожие вопросы

7-Zip не запрашивает пароль для ZIP-файла, который я зашифровал, дважды щелкнув его
как перемещаться в диапазоне родительской папки без полного пути?
Solaris 9-команда подсчета слов (wc) дает неправильный вывод
E: пакет 'libtool-bin' не имеет кандидата на установку
Сетчатая польза LPT2: порт принтера
Не могу удалить раздел в diskpart - недопустимый аргумент?
Запуск командной строки от имени администратора по умолчанию в Windows 10
Как конвертировать HTML в бесконечный одностраничный PDF через wkhtmltopdf?
Где указан путь java jre в Windows 7?
Включение Wi-Fi через командную строку
Как запустить команду " cat " в фоновом режиме внутри скрипта
Как запустить несколько пакетных файлов с одним главным пакетным файлом
Как сделать масштабирование интерфейса в Windows 10 при установке дисплея неактивна
Я получаю ошибку" SC OpenService Failed Access is denied " при использовании команды sc config.
Я пытаюсь проснуться в локальной сети, но получаю ошибку ethtool: command not found

как ограничить определенные команды cmd

Я хотел бы знать, как ограничить одного пользователя (не администратора) от использования конкретных команд из командной строки.
Например: dir должно быть разрешено, но shutdown должен быть заблокирован.
В качестве бонуса это возможно в белом списке (т. е. все команды заблокированы, кроме dir)?

5
задан Ploni
источник

2 ответов

в отличие от операционных систем UNIX/Linux, Windows имеет два типа команд: внутренние и внешние. Команды вроде dir,cd,rd,copy,del, etc. встроены в интерпретатор команд и являются, таким образом, внутренними командами. Все остальные утилиты командной строки (например,net,shutdown,telnet,ftp, etc.) внешние команды-они связаны .файл EXE. Вы можете получить список внутренних команд, набрав help в командной строке.

внутренние команды все-или-ничего. Если вы предоставляете доступ к командной строке, вы предоставляете доступ к ним всем. Внешние команды - это просто программы, как и любые другие, так что если вы не хотите, чтобы пользователь запускал ipconfig команда, вы можете просто отменить разрешения на чтение для этого пользователя.

однако, вы должны знать, что командная строка-это не магия. Он не может и не позволяет пользователю делать то, что они обычно не могли бы сделать. Функции, предоставляемые командной строкой все еще управляется системой безопасности. Пользователь, не имеющий доступа на чтение и запись к папке, не может использовать rd или del, чтобы удалить его. Если у них нет доступа для чтения к папке, они не могут cd в нее.

я бы посоветовал вам думать о том, что вы пытаетесь достичь. Блокировка команды - это как снятие дверной ручки. Это не мешает открыть дверь. Если бы вы хотели запереть дверь, вы бы заперли ее.

Допустим, вы хотите заблокировать доступ к shutdown команда для пользователей. Это не останавливает их от выключения системы. Есть буквально дюжина способов выключить компьютер. Все, что вы делаете блокирует один конкретный способ. Вместо этого следует использовать политику безопасности, чтобы запретить пользователям право выключать компьютер. Таким образом, любая попытка выключить машину будет заблокирована-независимо от того, как они пытаются это сделать. Это политика по умолчанию на серверах.

изменение разрешения безопасности по умолчанию в каталоге Windows, как правило, также плохая идея. Это может иметь последствия, о которых вы даже не подумаете. И они могут быть не сразу очевидны.

3
отвечен Wes Sayeed 2015-09-08 08:08:27
источник

запустите редактор, набрав secpol.msc в диалоге запуска и перехода к политикам управления приложениями, а затем AppLocker и исполняемые правила

щелкните правой кнопкой мыши и создать исполняемые правила и далее и выберите пользователей, которых вы хотите разрешить или запретить. Затем путь к файлу, а затем просматривать файлы и использовать *.*. Вы можете дать ему имя и комментарий, нажав кнопку Далее или просто нажмите кнопку Создать.

вы также можете сказать запретить пользователь X для *.* файл/папка/путь. Тем не менее,тогда вам придется белый список всех приложений, включая word, firefox, и даже стандартные инструменты windows.

сказать да для создания правил по умолчанию.

вам нужно переместить новые правила в начало списка, чтобы они имели приоритет над другими правилами.

Примечание: Shutdown является EXE, так что он будет блокировать его. Однако собственные команды DOS,такие как CD,MD, RD, являются частью DOS, поэтому они не будут заблокированы таким образом. Разрешение только для чтения файла может блокировать их на файлы / папки, которые не должны иметь разрешения на запись.

0
отвечен cybernard 2015-09-08 03:15:44
источник

Другие вопросы command-line restrictions windows