cmd.exe

[markusblattner 10]

ich schon wieder :cool:

 

frage (bin ja neu bei 2003 server):

 

ich will den usern das zubehör unter start\programme ausblenden, wie mach ich das?

 

ausserdem: und noch viel wichtiger:

 

cmd.exe NUR für administratoren ausführen lassen, muss ich das lokal bei den ntfs berechtigungen machen, oder gehts über das AD?

 

dank im vorraus!

[R.Ralle 10]

Hi,

 

das und noch viel mehr kannst du alles über GPO`s mache!

 

gruß

ralle

[markusblattner 10]

hi ralle, kurze hilfe? wär nett (kann noch keine PN oder mails über das forum schicken)

[R.Ralle 10]

was für ne hilfe braucht du denn ?

[Operator 10]

Hi,

 

für das Ausführen der cmd.exe gibt es eine Richtlinie:

Benutzerkonfiguration / Administrative Vorlagen / System / Zugriff auf Eingabeaufforderung verhindern

 

Für dein "Zubehör" Problem kannst Du am einfachsten ein Anmeldescript schreiben, das entweder den Ordner löscht oder auf versteckt setzt. Dann musst Du aber dafür sorgen, daß deine User versteckte Dateien auch nicht angezeigt bekommen.

 

Das Script könnte so aussehen:

 

del /s /q "%userprofile%\Startmenü\Programme\Zubehör"

 

Wie Du Scripts über die Domain/GPOs ausführen lassen kannst findest Du über die Boardsuche.

 

Andre

[markusblattner 10]

super andre vielen dank! hat geholfen, noch nen tip wie ich regedit sperren kann? (man kanns über ein script öffnen, ausführen ist gesperrt)

[Operator 10]

Hi,

 

such mal ein wenig selber in den Gruppenrichtlinien. Da gibts auf jeden Fall auch eine Richtlinie für.

Kann nie schaden mal alle gelesen zu haben ;-)

 

Lesen ist Macht!

 

Andre

[R.Ralle 10]

Hi,

 

ich hab gerade kein 2k3 server hier, aber guck mal hier:

http://www.elmaida.de/registry/ttseite1.htm#t21

 

ralle

[markusblattner 10]

@andre: ;) mach ich gerade danke trotzdem, falls ich doch fragen hab, frag ich nochmal hier nach!

[Finanzamt 73]

Hi,

Du hast geschrieben, Du wollest die NichtAdmins von CMD fernhalten. Vielleicht mußt Du noch mehr berücksichtigen ("Vielleicht", weil ich das Folgende nur aus NT4/W2K kenne und es der Verifikation durch XP/2003-Kenner bedarf):

Wenn man die CMD-Ausführung verbietet, selbst wenn man "Ausführen..." unterbindet, bleibt den Usern i.d.R. ihr HomeDir mit vollem Zugriff. Und da habe ich in einer Schule erlebt, daß sich die Lümmels einen Links auf COMMAND.COM gelegt haben. Unter W2K/NT4 ist das eingebaut ... und entsprechend viel Unsinn kann dann über die Konsole gemacht werden. Wenn die sich übers Internet noch alternative "CMDs" ins HomeDir laden können, gibt es wohl noch weitere Probleme. Kurzer Sinn der langen Schreibe: Allein durch CMD-Ausschluß bekommst Du nur eine trügerische Sicherheit.

Aber: Warte noch auf Beiträge kompetenterer Leute!

Gegrüßt!

[markusblattner 10]

cmd.exe wird auch durch links gesperrt! für regedit hab ich no nix gefunden, bin aber am suchen

[Finanzamt 73]

Klar, CMD.EXE läßt sich nicht linken. Aber meine Warnung ging an COMMAND.COM. Und das ist bei W2K eingebaut und damit kann man fast genausoviel Unsinn anstellen wie mit CMD. Also, wenn es auch in XP/2003 drin ist ....

Gegrüßtet

[Operator 10]

@Finanzamt...

Stimmt da kann man immer viel Unsinn mit treiben und der einzig wirksame Schutz unter W2k3/XP ist das Führen einer Positivliste der erlaubten Anwendungen und somit der Sperrung aller anderen Dateien.

Die Prüfung lässt sich bei w2k nur anhand des Pfad/Dateinamens festlegen, also wenn winword.exe erlaubt brauchte ich nur cmd.exe nach winword.exe kopieren und alles war in Ordnung und ich konnte wieder Dummfug machen.

Bei w2k3 wird bei Bedarf zusätzlich die Checksumme der Datei abgespeichert und bei Ausführung erneut berechnet und kontrolliert.

Das ist die einzige, wenn auch sehr wirksame Möglichkeit gegen sowas vorzugehen.

Nur ich vertraue bei meinen Usern schön auf die Unwissenheit.

 

Was bei w2k/xp auch noch toll ist, ist die Sache mit der sekundären Anmeldung.

Bei allen Usern hab ich eine Verknüpfung ins Programme-Menü gepackt, die cmd.exe aufruft. Allerdings wird vorher nach dem Benutzernamen gefragt. Als User kommt mit der besagten Richtlinie eine kurze Verweigerungsmeldung. Gebe ich Admin-Daten an, funktioniert das Ausführen der cmd.exe. (Ist ne Einstellung in der Verknüpfung: Unter anderen Anmeldeinformationen ausführen).

 

@markusblattner

Und zur Vollständigkeit hier der Pfad zur Registry-Sperre... Hilft aber auch nur gegen den Windows-eigenen Registry-Editor.

 

Genau einen Punkt unter der Sperre für die Eingabeaufforderung befindet sich der Punkt "Zugriff auf Programme zur Bearbeitung der Registrierung verhindern". (wenn man nach Namen sortiert)

Also hast du entweder nur flüchtig geguckt, oder gar nicht :) Behaupte ich mal...

 

So.. alles klar jetzt? :P

 

Andre

[markusblattner 10]

@andre:

 

habs gestern 2 sekunden nach meinem post gefunden! danke trotzdem!