我们最近发现,我们客户的一名员工能够执行阻止其他用户登录服务器的“脚本”。
这是一个 Windows Server 2003 机器,员工通过瘦客户端进行连接。
当用户登录时,会运行一些脚本来设置打印机等,因此不能一起禁用脚本。
我知道如何禁用 Windows 脚本宿主,但不确定如何阻止用户在批处理文件中执行 DOS 命令。用户无法启动命令提示符,但可以创建和运行批处理文件。
有没有办法在启动脚本运行后禁用 DOS 脚本(批处理文件)?下次用户登录时还必须启用脚本(在注销时?),以便启动脚本可以运行。
你会推荐什么?目的是防止用户执行 DOS 和 WSH 脚本。
免责声明:我不是系统管理员。我是一名程序员,被要求查看是否有针对此问题的编程/脚本解决方案。
我最初的想法是在启动脚本运行后禁用脚本,然后在注销时再次启用脚本。这是基于我的假设,即有注册表项来控制这些东西,但我可能错了,所以我正在寻找建议。
谢谢你的帮助。
更新与我的老板聊天后,似乎在某些区域实施的一些安全措施只不过是隐藏和禁用对话框。因此,攻击服务器的员工可能没有对其帐户应用适当的权限。混淆的经典案例不是安全性。这不确定,但有可能。我们仍在模拟客户端的环境并运行一些测试。
如果其他人有任何建议,我仍然很想听听您的意见。
简短的回答是“不,不是真的”,更深入的回答将涉及对实际发生的事情的调查。你有真实的细节吗?
根据您的回复进行编辑 - 那么我的回答是寻找“禁用脚本”是错误的答案,正确的答案是确保没有任何用户拥有超过他们需要的权限。除了系统管理员之外,任何人都不应是“域管理员”或“服务器管理员”。如果被解雇的员工在没有提升或不正确的权限的情况下设法做到这一点,并且只是做了一些愚蠢的事情,基本上导致了对服务器的 DOS 攻击,那么您根本无法采取任何措施来防止这种情况发生。
理论上,除非他们在服务器上拥有(或可以获得)某种形式的提升权限,否则单个用户不应该能够执行此操作。我还建议在继续禁用任何类型的脚本之前找出究竟发生了什么以及它是如何发生的。