我们最近发现,我们客户的一名员工能够执行一个“脚本”,阻止其他用户login到服务器。
这是一个Windows Server 2003盒子,员工通过瘦客户端连接。
当用户login时,会有几个脚本运行来设置打印机等,所以禁用脚本一起不是一个选项。
我知道如何禁用Windows脚本宿主,但不知道如何防止用户在batch file中执行DOS命令。 用户不能启动命令提示符,但可以创build和运行batch file。
有启动脚本运行后禁用DOS脚本(batch file)的方法吗? 在下次用户login时脚本也必须启用(在注销时),以便启动脚本可以运行。
你会推荐什么? 目标是防止用户执行DOS和WSH脚本。
免责声明 :我不是系统pipe理员。 我是一个程序员,他被问到是否有一个编程/脚本解决这个问题。
我最初的想法是在启动脚本运行后禁用脚本,然后在注销时再次启用脚本。 这是基于我的假设,有registry项来控制这个东西,但我可能是错的,所以我正在寻找build议。
谢谢你的帮助。
更新与我的老板聊天后,似乎在一些地区实施的一些安全性只不过是隐藏和禁用对话框。 所以攻击服务器的员工可能没有适当的权限适用于他们的帐户。 经典的混淆案例并不安全。 这是不可知的,但是有可能。 我们仍在模拟客户的环境并运行一些testing。
如果任何人有任何build议,我仍然喜欢听你的意见。
简短的回答是“不,不是真的”,更深层次的回答是调查究竟发生了什么。 你有真实的细节吗?
根据你的回答编辑 – 那么我的答案是,寻找“禁用脚本”是错误的答案,正确的答案是确保没有一个用户有超过他们需要的权限。 除系统pipe理员以外,任何人都不应该是“域pipe理员”或“服务器pipe理员”。 如果被解雇的员工在没有提升或不正确的权限的情况下设法做到这一点,并且只是做了一些愚蠢的事情,实际上造成了DOS服务器上的DOS攻击,那么根本就没有办法阻止这种攻击。
理论上,一个用户不应该能够这样做,除非他们已经(或者可能获得)某种forms的服务器上的提升权限。 我还build议在进行任何types的脚本禁用之前,确切了解发生了什么以及如何发生。