主页 / server / 问题 / 818520
Accepted
Ashian
Asked: 2016-12-03 22:12:11 +0800 CST

Windows 安全非管理员用户和命令提示符

  • 772

我们有一个带有几个 Windows 客户端和几个 Windows 服务器的本地网络。出于安全目的,几乎所有用户的帐户都在他们的机器上设置为非管理员。我们的网络安全管理员声称他们必须限制为命令提示符,因为某些用户可能使用 cmd(虽然他们不是管理员)并访问他们不允许的更多资源。

另一方面,我们的一些用户有时需要 cmd 来完成他们的工作。现在我们必须决定,我们是否可以让 cmd 对我们的用户可用,或者它会给我们的系统带来我们无法忽视的潜在风险。

谢谢

windows security

3 个回答

  1. Best Answer

    你真的需要遵循一些指导。在强化操作系统时,可以通过多种不同方式自定义数千个配置项。一个好的起点是 CIS(互联网安全中心)指南。CIS 发布了大多数常见操作系统和应用程序的安全基准。您可以在此处下载基准测试:https ://learn.cisecurity.org/benchmarks

    关于您最初的问题,我快速浏览了 Windows 7 CIS Benchmark 文档,它似乎没有提到锁定命令提示符或 PowerShell。也就是说,我还查看了 CESG 指南(英国政府 IT 安全指南),他们建议使用 AppLocker 来阻止用户访问 CMD.exe。https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7/end-user-devices-security-guidance-windows-7

    TLDR:安全性很困难,您对用户的“锁定”级别将与我针对我的级别不同。如果您的用户不需要访问 cmd 提示符,请不要将其提供给他们。在删除它之前,请考虑是否需要保留 CMD.exe 以解决最终用户问题(在登录用户的上下文中运行)。

    • 2

  2. 在 99% 的公司中,只为员工提供用户帐户(而不是管理员帐户)就足够了。

    不要开始尝试删除 cmd 之类的系统工具,或锁定控制面板或删除对 C-Drive 的访问权限或任何有趣的解决方案。

    所以不,不要删除对命令行的访问权限。这是浪费时间。

    • 0

  3. 问题是 99% 的公司安全性很差。

    Cmd.exe 可以通过组策略设置“阻止访问命令提示符”来删除。它位于用户配置\策略\管理模板\系统下。

    例如,如果您在域级别链接的 GPO 中启用该设置,则可以使用安全过滤器为所需用户提供对 cmd.exe 的访问权限。

    • 0

相关问题