jhinrichs
Goto Top

Kommandozeile per Gruppenrichtlinie verbieten

Hallo,

häufig möchte man als Admin, insbesondere in Terminalserver-Umgebungen, den Zugriff auf die Kommandozeile verhindern. Dies geht auch über Gruppenrichtlinien, startet nun jemand die cmd.exe, so kommt die Meldung "Der Zugriff wurde durch den Administrator deaktiviert".

Diese Einstellung funktioniert aber nicht für die command.com, schlimmer noch: per command.com kann man auch auf Laufwerk C: rumfuhrwerken, wenn der Zugriff auf C: für den Explorer gesperrt ist.

Möchte man also wirklich keine User, die per Kommandozeile Schabernack auf C: treiben, empfiehlt es sich, die überflüssige command.com zu löschen.

Es gibt mehrere Möglichkeiten, trotz gesperrter C:-Partition den Pfad zur command.com anzusprechen, also bietet die Explorer-Sperre auch keine Sicherheit.

Die meisten werden jetzt sagen: wissen wir doch alle, da ich aber schon zwei große TS-Umgebungen mit durchaus sensiblen Datenbeständen gesehen habe, in denen dies nicht umgesetzt wurde...

Content-ID: 117011

Url: https://administrator.de/knowledge/kommandozeile-per-gruppenrichtlinie-verbieten-117011.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

HightopOne
HightopOne 28.05.2009 um 13:34:38 Uhr
Goto Top
Hallo ,
so jetzt aber..,war schon mal am Tippern,musste dann aber in die Sitzung rein...,also..dass Problem mit der Gruppenrichtlinie kenne ich von der Schule an der ich mitunter tätig bin,die Kids lassen sich oftmals viel und noch mehr ienfallen udn mit der Gruppenrichtlinie ist man dort nicht weit gekommen,weil wie du schon selber erkannt hast gibt es noch andere Wege in die Kommandozeile zu kommen.

Das was dir aber weiterhilft ist per Registry die Kommandozeile zu verhindern,das kannst du auf zwei ebenen machen,zum einem kannst du ein Profil vorbereiten,welches für alle genutzt wird,änderst dort den Registry key und machst aus .dat ein .man und fixt somit dass Profil.

Das hat den Voteil,dass man,wenn man sich Lokal als Admin anmelden muss noch die CMD nutzen kann.

Alternativ könntest du es jetzt auch Lokal an dem Rechner selber verhindern,das hat den vorteil,dass dan dort keiner mehr auf die CMD zugreifen kann,aber ist mit dem Nachteil behaftet,dass du Als Adin,wenn du dich Lokal anmeldest auch die CMD nicht mehr nutzen kannst.

schau dir mal diese beiden Links an http://www.wintotal.de/Tipps/index.php?id=516 und http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1052.h ... und wenn du mehr darüber wissen,einfach Onkel google zur hilfe nehmen ;)
jhinrichs
jhinrichs 28.05.2009 um 13:59:13 Uhr
Goto Top
Hallo,

das ist schon richtig. Aber auch per Registry wird nur die cmd.exe deaktiviert, die command.com funktioniert weiterhin.
Darauf bezog sich mein Tipp.
HightopOne
HightopOne 28.05.2009 um 14:30:29 Uhr
Goto Top
die command.com liegt in C:\WINDOWS\system32 regel es doch einfach über die NTFS Rechte oder wäre das auch keine option ?
jhinrichs
jhinrichs 28.05.2009 um 14:58:07 Uhr
Goto Top
Klar ginge das auch. Mein Tipp bezog sich darauf, an die command.com zu denken und sie wie auch immer zu löschen/einzuschränken, da ich wie gesagt, schon 2 im Prinzip gut konfigurierte TS-Umgebungen kennengelernt habe, in denen diese Tür weit offen stand.
Ich denke, dieses DOS-Relikt wird oft vergessen...
DerWoWusste
DerWoWusste 28.05.2009 um 23:51:20 Uhr
Goto Top
Sag mal, was für Schabernack treiben Deine User per Kommandozeile? Hab sowas noch nie gesperrt, da ich nicht wüsste, wo da Gefahrenpotential bestehen soll - die cmd/command.com ermächtigt Dich zu nichts.
jhinrichs
jhinrichs 29.05.2009 um 08:01:18 Uhr
Goto Top
Wieklich gefährliche Dinge natürlich (hoffe ich jedenfalls, bei einem sonst richtig konfiguriertem System) nicht. Aber es gehen schon Kleinigkeiten, die lästig sein können.
Prominentes Beispiel sind die WIndows-Spiele (die man natürlich auch löschen kann).
Etwas lästiger war, dass einige die Kommandozeile dann per "logout" verlassen wollten - was natürlich nicht die command.com beendete, sondern die Verbindung zum Softwarebereitsstellungssystem (wenn ich mich richtig erinnere, Zenworks). Dies hatte natürlich Anrufe beim Admin zur Folge...
Ich bin mir nicht sicher, welche Folgen das Ausprobieren der vielen kleinen EXE-Dateien, die sich beim Stöbern so finden, sonst noch haben könnte.
Mir ist schon klar, dass das alles ein bisschen in Richtung der nicht sicheren "security by obscurity" geht, aber zumindest die "Spielkinder" unter den Usern bekommen weniger verführerische Bonbons zu sehen....
Grinsekatze
Grinsekatze 29.05.2009 um 09:14:02 Uhr
Goto Top
Leute die in der Command rumspielen wollen, würd ich auch über eine Gruppenrichtlinie das komplette
Laufwerk C: ausblenden. Das erspart die Rumfummelei mit den Berechtigungen.
jhinrichs
jhinrichs 29.05.2009 um 10:46:45 Uhr
Goto Top
Genau, nur funktioniert das Ausblenden per GPO leider nicht vollständig (und zwar prinzipiell, da natürlich zum Funktionieren des Systems die Pfade auf C: erreichbar sein müssen. Die Ausblendung bezieht sich nur auf den Explorer und die davon abgeleiteten Funktionen, wie Datei-Dialoge, bei letzteren aber auch unvollständig)
Wenn ein Zugriff auf command.com gelingt (und auch das geht bei ausgeblendetem C:...), kann die Systempartition im Rahmen der Zugriffsrechte durchstöbert werden.
Grinsekatze
Grinsekatze 29.05.2009 um 11:36:12 Uhr
Goto Top
Hmmm....

währe es nicht möglich die command.com dann ein einfach umzubenennen? Z.b. in command.com.bla ?
jhinrichs
jhinrichs 29.05.2009 um 11:45:56 Uhr
Goto Top
Wie auch immer.
Ich wollte ja nur darauf hinweisen, an die command.com zu denken, da sich viele Admins (wie sinnvoll das auch immer ist, darüber kann man ja diskutieren) die Mühe machen, Laufwerk C: auszublenden und den Zugriff auf cmd.exe einzuschränken, dabei aber die command.com vergessen und somit diese ganzen Bemühungen für die Katz' ( face-wink Hallo Grinsekatze, cooler Nick, das!) sind.
16568
16568 09.06.2009 um 12:46:21 Uhr
Goto Top
Zitat von @jhinrichs:
Wieklich gefährliche Dinge natürlich (hoffe ich jedenfalls,
bei einem sonst richtig konfiguriertem System) nicht.

Oweia...

Sagen wir es mal so:
gib mir auf einem Rechner bis XP oder Server 2003 die Kommandozeile (auch als Gast), und mir gehört das ganze System.
Unter Vista und 2008 brauch ich mindestens ein normales Benutzerkonto (Gast geht nicht), dann bin ich auch Besitzer dieses Systems...

Kommandozeile wegmachen hat schon seinen Grund...


Lonesome Walker
DerWoWusste
DerWoWusste 09.06.2009 um 13:40:42 Uhr
Goto Top
Moin Herr Walker!
Beschreib mal Dein Vorgehen zumindest so detailliert, dass ich nachvollziehen kann, wo Du ansetzt. Ich bezweifle stark, dass es geht.
16568
16568 09.06.2009 um 17:14:09 Uhr
Goto Top
Zitat von @DerWoWusste:
Moin Herr Walker!
Beschreib mal Dein Vorgehen zumindest so detailliert, dass ich
nachvollziehen kann, wo Du ansetzt. Ich bezweifle stark, dass es geht.

Das tun die anderen Admins auch immer, bis ich in deren Netz drin bin, und sie aber nicht mehr reinkommen.

Bedaure, aber laß es Dir einfach gesagt sein, daß es so ist.

Und falls Du der Meinung bist, daß das ja jeder sagen/schreiben kann...
Klar, Du mußt ja nicht alles glauben. Gibt aber schon genug Leute, die wissen, daß es so ist.
Wozu also immer ständig diese Beweise?

Frei nach dem Motto: friß oder stirb.

Du sperrst die Commandline, gut (macht ja ohnehin Sinn).
Du sperrst sie nicht, auch gut, Dein Netzwerk, nicht meins.


Lonesome Walker
jhinrichs
jhinrichs 09.06.2009 um 22:06:14 Uhr
Goto Top
Und da ich zu den Admins gehöre, die nicht wissen, wie es geht, aber sich denken, dass es gehen könnte, sperre ich auch die Commandline.
Dann aber auch richtig, nämlich inkl. command.com.
Und nur darauf bezog sich mein Tipp.
16568
16568 09.06.2009 um 23:42:04 Uhr
Goto Top
Kluges Kerlchen face-smile


Lonesome Walker
jhinrichs
jhinrichs 10.06.2009 um 07:49:37 Uhr
Goto Top
Weiß ich doch... face-wink

Viele Grüße
DerWoWusste
DerWoWusste 10.06.2009 um 13:19:26 Uhr
Goto Top
Gut. Dann fordere ich die Insider unter den Mitlesern dieses Threads auf, zu bestätigen "dass es so ist" (egal wie). Kommt keine Rückmeldung, starte ich einen neuen Thread.
--
Keine Anleitung erforderlich. Ich suche lediglich nach Leuten die Dir beipflichten, dass man auf einem gepatchten (OS und Anwendungen), NT-basierten Rechner ein elevation of priviledge über die cmd hinbekommt - das wie will ich nicht beschrieben haben.
16568
16568 10.06.2009 um 13:44:57 Uhr
Goto Top
Dir ist aber klar, daß eine Diskussionsrichtlinien - die Regeln zu unseren Inhalten hier nicht geduldet ist?

Ergo mußt Du Deine Bildungslücke wohl sonstwie lösen...


Lonesome Walker
DerWoWusste
DerWoWusste 10.06.2009 um 13:57:37 Uhr
Goto Top
Keine Anleitung erforderlich. Ich suche lediglich nach Leuten die Dir beipflichten, dass man auf einem gepatchten (OS und Anwendungen), NT-basierten Rechner ein elevation of priviledge über die cmd hinbekommt - das "wie" will ich nicht beschrieben haben.
16568
16568 10.06.2009 um 14:22:24 Uhr
Goto Top
Hast Du 'nen EIGENEN, freien Server irgendwo rumstehen?
Gib mir Remote-Daten, dann mach ich es face-big-smile
(das WIE ist dann ja nicht mehr erforderlich)

Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.


Lonesome Walker
DerWoWusste
DerWoWusste 10.06.2009 um 14:31:18 Uhr
Goto Top
Und könntest Du die Fachbegriffe auch richtig schreiben, dann hättest Du bei Google schon mehr als 10.000 Hits.
privilege. Damit Du Dich bestätigt fühlen kannst: es war kein Tippfehler.
Mal sehen, ob sich noch jemand meldet. Ich will diesen Thread nicht weiter strapazieren und eröffne einen eigenen. Wenn Ich die 10.000 Hits durchhabe, komme ich evtl. auf Dein freundliches Angebot zurück.
17243
17243 12.06.2009 um 14:24:50 Uhr
Goto Top
Hi DerWoWusste

Bin zufällig über diesen Thread gestolpert und lese deinen Aufruf.
Yep, das von Lonesome Walker beschrieben Szenario kann ich aus der Praxis bestätigen. Admin-Rechte sind out - SYSTEM-Rechte sind angesagt!

Wir hatten bei unserer Enterprise-Kaspersky Installation Ende letzten Jahres einige Mätzchen nach einem regulären Update. Kaspersky hat uns einen Patch gesendet, welcher auf jedem System (mittels Global-Task) eingespielt werden musste. Nun war es so, dass sich auf zwei Rechnern dieser Patch nicht installieren liess, keine Ahnung wieso. Natürlich ist via Admin-Konsole der "Selbstschutz" aktiviert. Heisst, du kannst nicht einmal den Ordner C:\Programme\Kaspersky Lab bearbeiten um den Patch einzuspielen...auch mit Admin-Rechten nicht.
Also hat der liebe Onkel drop_ch das "geheime" Verfahren über die cmd angewendet um SYSTEM-Rechte zu erlangen und siehe da: der Patch konnte eingespielt werden, da der Selbstschutz von Kaspersky aus verständlichen Gründen die SYSTEM-Rechte nicht sperren darf.

So geht das! ^^

gretz drop
DerWoWusste
DerWoWusste 14.06.2009 um 15:46:42 Uhr
Goto Top
Jede Wette, es geht nicht. Wer bei mir einen PC remote übernehmen möchte, melde sich bitte per PN und bekommt dann Zugangsdaten.
Vorweg: Was längst nicht mehr geht, auch wenn manche es noch immer glauben, sind 2 bekannte "Hacks":
1) der #editByBiber1#-Hack
2) der #editByBiber2#-Hack


[Edit Biber] Die beiden genannten, aber vielleicht noch nicht jedem Skiddie bekannten Hacks in Absprache mit DerWoKennt wegeditiert. [/Edit]
DerWoWusste
DerWoWusste 14.06.2009 um 21:19:12 Uhr
Goto Top
Hör mal. Wie Du dazu kommst, jetzt solche Namen für mich herbeizusuchen, weiß ich beim besten Willen nicht. Mein Nick kann Dir ziemlich egal sein, wenn es Dich dennoch interessiert: ich denk mir nicht viel bei Nicks für Foren und es soll nicht überheblich wirken - es ist ein Insiderwitz über einen Ex-Bayernfußballer (M. Sternkopf), der solche Grammatik zur Schau stellte.

Zu Deinem Verständigen von Moderatoren:
Es funktioniert nicht, falls doch, arbeitest Du bereits mit einem Adminkonto, denn diese Privilegien werden für 1) und 2) benötigt - somit sind diese Hinweise keine Hilfestellung.
Wenn Du mir noch etwas mitteilen möchtest, nutze die PN, damit der Thread nicht damit belastet wird - Wert lege ich jedoch nicht mehr darauf.
jhinrichs
jhinrichs 14.06.2009 um 22:47:42 Uhr
Goto Top
Freue mich über die rege Diskussion zum Thema, die ich gespannt verfolge face-big-smile
Biber
Biber 15.06.2009 um 10:01:04 Uhr
Goto Top
Moin alle,

jetzt hat dieser Tipp zum Zeitpunkt meines Schlusspunkts genau 444 Aufrufe.
Das ist doch eine schöne Zahl, und wir wollen auch aufhören, wenn es am Schönsten ist.

Denn ich denke. Dein Tipp @jhinrichs, hat geleistet, was ein Tipp erreichen kann.

Die Sensibilität für die Kommandozeile ( = CMD.exe und Command.com) als Sicherheitsrisiko wurde geschaffen.

Jedenfalls bei denjenigen, die sich auch mit Sicherheitsrisiken/Sicherheitslücken auseinandersetzen müssen und eben auch den Titel "Administrator" zu Recht tragen.

Ich möchte jetzt ungern in Kauf nehmen, dass konkrete Schlupflöcher beschrieben werden, und wegen potentieller Zufalls-Skiddies, die es per Suchmaschine auf unsere Seiten verschlägt möchte ich auch keinen publikumswirksamen Hase-und-Igel-Wettlauf zwischen Lonesome Walker und DemWoWusste billigend in Kauf nehmen.

Ich schliesse jetzt (zumindest vorübergehend) diesen Tipp.

Sollte jemand der bisher Involvierten sich dadurch zensiert oder gegängelt fühlen --> bin per PN 24h täglich für Euch da.

Grüße
Biber