Kommandozeile per Gruppenrichtlinie verbieten
Hallo,
häufig möchte man als Admin, insbesondere in Terminalserver-Umgebungen, den Zugriff auf die Kommandozeile verhindern. Dies geht auch über Gruppenrichtlinien, startet nun jemand die cmd.exe, so kommt die Meldung "Der Zugriff wurde durch den Administrator deaktiviert".
Diese Einstellung funktioniert aber nicht für die command.com, schlimmer noch: per command.com kann man auch auf Laufwerk C: rumfuhrwerken, wenn der Zugriff auf C: für den Explorer gesperrt ist.
Möchte man also wirklich keine User, die per Kommandozeile Schabernack auf C: treiben, empfiehlt es sich, die überflüssige command.com zu löschen.
Es gibt mehrere Möglichkeiten, trotz gesperrter C:-Partition den Pfad zur command.com anzusprechen, also bietet die Explorer-Sperre auch keine Sicherheit.
Die meisten werden jetzt sagen: wissen wir doch alle, da ich aber schon zwei große TS-Umgebungen mit durchaus sensiblen Datenbeständen gesehen habe, in denen dies nicht umgesetzt wurde...
häufig möchte man als Admin, insbesondere in Terminalserver-Umgebungen, den Zugriff auf die Kommandozeile verhindern. Dies geht auch über Gruppenrichtlinien, startet nun jemand die cmd.exe, so kommt die Meldung "Der Zugriff wurde durch den Administrator deaktiviert".
Diese Einstellung funktioniert aber nicht für die command.com, schlimmer noch: per command.com kann man auch auf Laufwerk C: rumfuhrwerken, wenn der Zugriff auf C: für den Explorer gesperrt ist.
Möchte man also wirklich keine User, die per Kommandozeile Schabernack auf C: treiben, empfiehlt es sich, die überflüssige command.com zu löschen.
Es gibt mehrere Möglichkeiten, trotz gesperrter C:-Partition den Pfad zur command.com anzusprechen, also bietet die Explorer-Sperre auch keine Sicherheit.
Die meisten werden jetzt sagen: wissen wir doch alle, da ich aber schon zwei große TS-Umgebungen mit durchaus sensiblen Datenbeständen gesehen habe, in denen dies nicht umgesetzt wurde...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 117011
Url: https://administrator.de/knowledge/kommandozeile-per-gruppenrichtlinie-verbieten-117011.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
26 Kommentare
Neuester Kommentar
Hallo ,
so jetzt aber..,war schon mal am Tippern,musste dann aber in die Sitzung rein...,also..dass Problem mit der Gruppenrichtlinie kenne ich von der Schule an der ich mitunter tätig bin,die Kids lassen sich oftmals viel und noch mehr ienfallen udn mit der Gruppenrichtlinie ist man dort nicht weit gekommen,weil wie du schon selber erkannt hast gibt es noch andere Wege in die Kommandozeile zu kommen.
Das was dir aber weiterhilft ist per Registry die Kommandozeile zu verhindern,das kannst du auf zwei ebenen machen,zum einem kannst du ein Profil vorbereiten,welches für alle genutzt wird,änderst dort den Registry key und machst aus .dat ein .man und fixt somit dass Profil.
Das hat den Voteil,dass man,wenn man sich Lokal als Admin anmelden muss noch die CMD nutzen kann.
Alternativ könntest du es jetzt auch Lokal an dem Rechner selber verhindern,das hat den vorteil,dass dan dort keiner mehr auf die CMD zugreifen kann,aber ist mit dem Nachteil behaftet,dass du Als Adin,wenn du dich Lokal anmeldest auch die CMD nicht mehr nutzen kannst.
schau dir mal diese beiden Links an http://www.wintotal.de/Tipps/index.php?id=516 und http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1052.h ... und wenn du mehr darüber wissen,einfach Onkel google zur hilfe nehmen ;)
so jetzt aber..,war schon mal am Tippern,musste dann aber in die Sitzung rein...,also..dass Problem mit der Gruppenrichtlinie kenne ich von der Schule an der ich mitunter tätig bin,die Kids lassen sich oftmals viel und noch mehr ienfallen udn mit der Gruppenrichtlinie ist man dort nicht weit gekommen,weil wie du schon selber erkannt hast gibt es noch andere Wege in die Kommandozeile zu kommen.
Das was dir aber weiterhilft ist per Registry die Kommandozeile zu verhindern,das kannst du auf zwei ebenen machen,zum einem kannst du ein Profil vorbereiten,welches für alle genutzt wird,änderst dort den Registry key und machst aus .dat ein .man und fixt somit dass Profil.
Das hat den Voteil,dass man,wenn man sich Lokal als Admin anmelden muss noch die CMD nutzen kann.
Alternativ könntest du es jetzt auch Lokal an dem Rechner selber verhindern,das hat den vorteil,dass dan dort keiner mehr auf die CMD zugreifen kann,aber ist mit dem Nachteil behaftet,dass du Als Adin,wenn du dich Lokal anmeldest auch die CMD nicht mehr nutzen kannst.
schau dir mal diese beiden Links an http://www.wintotal.de/Tipps/index.php?id=516 und http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1052.h ... und wenn du mehr darüber wissen,einfach Onkel google zur hilfe nehmen ;)
Zitat von @jhinrichs:
Wieklich gefährliche Dinge natürlich (hoffe ich jedenfalls,
bei einem sonst richtig konfiguriertem System) nicht.
Wieklich gefährliche Dinge natürlich (hoffe ich jedenfalls,
bei einem sonst richtig konfiguriertem System) nicht.
Oweia...
Sagen wir es mal so:
gib mir auf einem Rechner bis XP oder Server 2003 die Kommandozeile (auch als Gast), und mir gehört das ganze System.
Unter Vista und 2008 brauch ich mindestens ein normales Benutzerkonto (Gast geht nicht), dann bin ich auch Besitzer dieses Systems...
Kommandozeile wegmachen hat schon seinen Grund...
Lonesome Walker
Zitat von @DerWoWusste:
Moin Herr Walker!
Beschreib mal Dein Vorgehen zumindest so detailliert, dass ich
nachvollziehen kann, wo Du ansetzt. Ich bezweifle stark, dass es geht.
Moin Herr Walker!
Beschreib mal Dein Vorgehen zumindest so detailliert, dass ich
nachvollziehen kann, wo Du ansetzt. Ich bezweifle stark, dass es geht.
Das tun die anderen Admins auch immer, bis ich in deren Netz drin bin, und sie aber nicht mehr reinkommen.
Bedaure, aber laß es Dir einfach gesagt sein, daß es so ist.
Und falls Du der Meinung bist, daß das ja jeder sagen/schreiben kann...
Klar, Du mußt ja nicht alles glauben. Gibt aber schon genug Leute, die wissen, daß es so ist.
Wozu also immer ständig diese Beweise?
Frei nach dem Motto: friß oder stirb.
Du sperrst die Commandline, gut (macht ja ohnehin Sinn).
Du sperrst sie nicht, auch gut, Dein Netzwerk, nicht meins.
Lonesome Walker
Kluges Kerlchen
Lonesome Walker
Lonesome Walker
Gut. Dann fordere ich die Insider unter den Mitlesern dieses Threads auf, zu bestätigen "dass es so ist" (egal wie). Kommt keine Rückmeldung, starte ich einen neuen Thread.
--
Keine Anleitung erforderlich. Ich suche lediglich nach Leuten die Dir beipflichten, dass man auf einem gepatchten (OS und Anwendungen), NT-basierten Rechner ein elevation of priviledge über die cmd hinbekommt - das wie will ich nicht beschrieben haben.
--
Keine Anleitung erforderlich. Ich suche lediglich nach Leuten die Dir beipflichten, dass man auf einem gepatchten (OS und Anwendungen), NT-basierten Rechner ein elevation of priviledge über die cmd hinbekommt - das wie will ich nicht beschrieben haben.
Dir ist aber klar, daß eine Diskussionsrichtlinien - die Regeln zu unseren Inhalten hier nicht geduldet ist?
Ergo mußt Du Deine Bildungslücke wohl sonstwie lösen...
Lonesome Walker
Ergo mußt Du Deine Bildungslücke wohl sonstwie lösen...
Lonesome Walker
Hast Du 'nen EIGENEN, freien Server irgendwo rumstehen?
Gib mir Remote-Daten, dann mach ich es
(das WIE ist dann ja nicht mehr erforderlich)
Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.
Lonesome Walker
Gib mir Remote-Daten, dann mach ich es
(das WIE ist dann ja nicht mehr erforderlich)
Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.
Lonesome Walker
Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.
privilege. Damit Du Dich bestätigt fühlen kannst: es war kein Tippfehler.Mal sehen, ob sich noch jemand meldet. Ich will diesen Thread nicht weiter strapazieren und eröffne einen eigenen. Wenn Ich die 10.000 Hits durchhabe, komme ich evtl. auf Dein freundliches Angebot zurück.
Hi DerWoWusste
Bin zufällig über diesen Thread gestolpert und lese deinen Aufruf.
Yep, das von Lonesome Walker beschrieben Szenario kann ich aus der Praxis bestätigen. Admin-Rechte sind out - SYSTEM-Rechte sind angesagt!
Wir hatten bei unserer Enterprise-Kaspersky Installation Ende letzten Jahres einige Mätzchen nach einem regulären Update. Kaspersky hat uns einen Patch gesendet, welcher auf jedem System (mittels Global-Task) eingespielt werden musste. Nun war es so, dass sich auf zwei Rechnern dieser Patch nicht installieren liess, keine Ahnung wieso. Natürlich ist via Admin-Konsole der "Selbstschutz" aktiviert. Heisst, du kannst nicht einmal den Ordner C:\Programme\Kaspersky Lab bearbeiten um den Patch einzuspielen...auch mit Admin-Rechten nicht.
Also hat der liebe Onkel drop_ch das "geheime" Verfahren über die cmd angewendet um SYSTEM-Rechte zu erlangen und siehe da: der Patch konnte eingespielt werden, da der Selbstschutz von Kaspersky aus verständlichen Gründen die SYSTEM-Rechte nicht sperren darf.
So geht das! ^^
gretz drop
Bin zufällig über diesen Thread gestolpert und lese deinen Aufruf.
Yep, das von Lonesome Walker beschrieben Szenario kann ich aus der Praxis bestätigen. Admin-Rechte sind out - SYSTEM-Rechte sind angesagt!
Wir hatten bei unserer Enterprise-Kaspersky Installation Ende letzten Jahres einige Mätzchen nach einem regulären Update. Kaspersky hat uns einen Patch gesendet, welcher auf jedem System (mittels Global-Task) eingespielt werden musste. Nun war es so, dass sich auf zwei Rechnern dieser Patch nicht installieren liess, keine Ahnung wieso. Natürlich ist via Admin-Konsole der "Selbstschutz" aktiviert. Heisst, du kannst nicht einmal den Ordner C:\Programme\Kaspersky Lab bearbeiten um den Patch einzuspielen...auch mit Admin-Rechten nicht.
Also hat der liebe Onkel drop_ch das "geheime" Verfahren über die cmd angewendet um SYSTEM-Rechte zu erlangen und siehe da: der Patch konnte eingespielt werden, da der Selbstschutz von Kaspersky aus verständlichen Gründen die SYSTEM-Rechte nicht sperren darf.
So geht das! ^^
gretz drop
Jede Wette, es geht nicht. Wer bei mir einen PC remote übernehmen möchte, melde sich bitte per PN und bekommt dann Zugangsdaten.
Vorweg: Was längst nicht mehr geht, auch wenn manche es noch immer glauben, sind 2 bekannte "Hacks":
1) der #editByBiber1#-Hack
2) der #editByBiber2#-Hack
[Edit Biber] Die beiden genannten, aber vielleicht noch nicht jedem Skiddie bekannten Hacks in Absprache mit DerWoKennt wegeditiert. [/Edit]
Vorweg: Was längst nicht mehr geht, auch wenn manche es noch immer glauben, sind 2 bekannte "Hacks":
1) der #editByBiber1#-Hack
2) der #editByBiber2#-Hack
[Edit Biber] Die beiden genannten, aber vielleicht noch nicht jedem Skiddie bekannten Hacks in Absprache mit DerWoKennt wegeditiert. [/Edit]
Hör mal. Wie Du dazu kommst, jetzt solche Namen für mich herbeizusuchen, weiß ich beim besten Willen nicht. Mein Nick kann Dir ziemlich egal sein, wenn es Dich dennoch interessiert: ich denk mir nicht viel bei Nicks für Foren und es soll nicht überheblich wirken - es ist ein Insiderwitz über einen Ex-Bayernfußballer (M. Sternkopf), der solche Grammatik zur Schau stellte.
Zu Deinem Verständigen von Moderatoren:
Es funktioniert nicht, falls doch, arbeitest Du bereits mit einem Adminkonto, denn diese Privilegien werden für 1) und 2) benötigt - somit sind diese Hinweise keine Hilfestellung.
Wenn Du mir noch etwas mitteilen möchtest, nutze die PN, damit der Thread nicht damit belastet wird - Wert lege ich jedoch nicht mehr darauf.
Zu Deinem Verständigen von Moderatoren:
Es funktioniert nicht, falls doch, arbeitest Du bereits mit einem Adminkonto, denn diese Privilegien werden für 1) und 2) benötigt - somit sind diese Hinweise keine Hilfestellung.
Wenn Du mir noch etwas mitteilen möchtest, nutze die PN, damit der Thread nicht damit belastet wird - Wert lege ich jedoch nicht mehr darauf.
Moin alle,
jetzt hat dieser Tipp zum Zeitpunkt meines Schlusspunkts genau 444 Aufrufe.
Das ist doch eine schöne Zahl, und wir wollen auch aufhören, wenn es am Schönsten ist.
Denn ich denke. Dein Tipp @jhinrichs, hat geleistet, was ein Tipp erreichen kann.
Die Sensibilität für die Kommandozeile ( = CMD.exe und Command.com) als Sicherheitsrisiko wurde geschaffen.
Jedenfalls bei denjenigen, die sich auch mit Sicherheitsrisiken/Sicherheitslücken auseinandersetzen müssen und eben auch den Titel "Administrator" zu Recht tragen.
Ich möchte jetzt ungern in Kauf nehmen, dass konkrete Schlupflöcher beschrieben werden, und wegen potentieller Zufalls-Skiddies, die es per Suchmaschine auf unsere Seiten verschlägt möchte ich auch keinen publikumswirksamen Hase-und-Igel-Wettlauf zwischen Lonesome Walker und DemWoWusste billigend in Kauf nehmen.
Ich schliesse jetzt (zumindest vorübergehend) diesen Tipp.
Sollte jemand der bisher Involvierten sich dadurch zensiert oder gegängelt fühlen --> bin per PN 24h täglich für Euch da.
Grüße
Biber
jetzt hat dieser Tipp zum Zeitpunkt meines Schlusspunkts genau 444 Aufrufe.
Das ist doch eine schöne Zahl, und wir wollen auch aufhören, wenn es am Schönsten ist.
Denn ich denke. Dein Tipp @jhinrichs, hat geleistet, was ein Tipp erreichen kann.
Die Sensibilität für die Kommandozeile ( = CMD.exe und Command.com) als Sicherheitsrisiko wurde geschaffen.
Jedenfalls bei denjenigen, die sich auch mit Sicherheitsrisiken/Sicherheitslücken auseinandersetzen müssen und eben auch den Titel "Administrator" zu Recht tragen.
Ich möchte jetzt ungern in Kauf nehmen, dass konkrete Schlupflöcher beschrieben werden, und wegen potentieller Zufalls-Skiddies, die es per Suchmaschine auf unsere Seiten verschlägt möchte ich auch keinen publikumswirksamen Hase-und-Igel-Wettlauf zwischen Lonesome Walker und DemWoWusste billigend in Kauf nehmen.
Ich schliesse jetzt (zumindest vorübergehend) diesen Tipp.
Sollte jemand der bisher Involvierten sich dadurch zensiert oder gegängelt fühlen --> bin per PN 24h täglich für Euch da.
Grüße
Biber