Plo*_*oni 3 windows command-line restrictions
我想知道如何限制单个(非管理员)用户从命令提示符使用特定命令。例如:dir应该被允许,但shutdown应该被阻止。作为奖励,这是否可能在白名单中(即所有命令都被阻止,除了dir)?
与 UNIX/Linux 操作系统不同,Windows 有两种类型的命令:内部命令和外部命令。命令等dir,cd,rd,copy,del,等内置于命令解释,并因此内部命令。所有其他命令行实用程序(如net、shutdown、telnet、ftp等)都是外部命令——它们具有关联的 .exe 文件。您可以通过help在命令行中键入来获取内部命令列表。
内部命令是一个全有或全无的交易。如果您授予对命令提示符的访问权限,则您授予对所有这些权限的访问权限。外部命令与其他任何程序一样,因此如果您不希望某个用户运行该ipconfig命令,您可以撤销该用户对其的读取权限。
但是,您应该知道命令行不是魔术。它不能也不允许用户做他们通常无法做的事情。命令行公开的功能仍然由系统上的安全性控制。对文件夹没有读/写权限的用户不能使用rd或del删除它。如果他们没有文件夹的读取权限,则无法cd进入该文件夹。
我建议你真正考虑一下你想要完成的事情。阻止命令就像取下门把手。它不会阻止门被打开。如果你想保护一扇门,你会锁上它。
假设您想阻止用户访问该shutdown命令。这并不能阻止他们关闭系统。有十几种方法可以关闭计算机。你所做的只是阻止一种特定的方式。相反,您应该使用安全策略来拒绝用户关闭计算机的权利。这样,任何关闭机器的尝试都将被阻止——无论他们如何尝试这样做。这是服务器上的默认策略。
更改 Windows 目录中的默认安全权限通常也是一个坏主意。它可能会产生你甚至想不到的后果。而且它们可能不会立即显现。
| 归档时间: |
|
| 查看次数: |
5890 次 |
| 最近记录: |