我们有一个本地networking与几个Windows客户端和几个Windows服务器。 出于安全考虑,几乎所有的用户帐户设置为不在他们的机器上的pipe理员。 我们的networking安全pipe理员声称他们必须限制到命令提示符,因为有些用户可能会使用cmd(而不是admin)并访问更多的资源,这是不允许的。
另一方面我们的一些用户有时需要cmd来完成他们的工作。 现在我们必须决定,我们是否可以为我们的用户保留cmd,否则会给我们的系统带来潜在的风险,我们不能忽视它。
谢谢
你真的需要遵循一些指导。 在强化操作系统时,可以通过许多不同的方式定制数千个configuration项目。 CIS(互联网安全中心)的指导是一个很好的起点。 独联体发布大多数常见操作系统和应用程序的安全基准。 您可以在这里下载基准: https : //learn.cisecurity.org/benchmarks
关于您的原始问题,我已经快速浏览了Windows 7 CIS Benchmark文档,似乎没有提到locking命令提示符或PowerShell。 也就是说,我也检查了CESG指南(UK Government IT Security Guidelines),他们build议使用AppLocker来防止用户访问CMD.exe。 https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7/end-user-devices-security-guidance-windows-7
TLDR:安全是困难的,你对用户的“locking”水平将与我对我的水平不同。 如果你的用户不需要访问cmd提示符,不要把它给他们。 在删除它之前,请考虑是否需要保留CMD.exe以解决最终用户问题(在login用户的上下文中运行)。
在所有给员工只有用户帐户(而不是pipe理员帐户)的公司中,99%就足够了。
不要开始尝试删除系统工具(如cmd),或者locking控制面板或删除对C-Drive或任何有趣解决scheme的访问。
所以不,不要删除对命令行的访问。 这是浪费时间。
问题是99%的公司安全性不好。
可以通过组策略设置“禁止访问命令提示符”来删除Cmd.exe。 它位于User Configuration \ Policies \ Administrative Templates \ System下。
例如,如果在域级别链接的GPO中启用该设置,则可以使用安全筛选器为所需的用户提供对cmd.exe的访问权限。