aklla Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 jeg har hatt litt problemer med at folk bruker cmd til ting de ikke skal, tenkte derfor å deaktivere hele cmd for noen brukere, men hvordan gjør man dette?? de skal altså ha 0 tilgang til cmd.... Lenke til kommentar
Syar-2003 Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 Blir nok litt vanskelig. Diskusjon om samme sak her: http://www.webservertalk.com/message425352.html Spørs vel på kreativiteten til brukerene men du kan jo f.eks gjøre det "litt" vanskeligere med g.policy som nekter access til start-run. Lenke til kommentar
aklla Skrevet 20. oktober 2004 Forfatter Del Skrevet 20. oktober 2004 (endret) Blir nok litt vanskelig.Diskusjon om samme sak her: http://www.webservertalk.com/message425352.html Spørs vel på kreativiteten til brukerene men du kan jo f.eks gjøre det "litt" vanskeligere med g.policy som nekter access til start-run. har jo så klart gjort det, men de bruker cmd selv om den er fjernet, å fjerne run er jo bare å fjerne den vanelige måten å komme inn på, det er MANGE andre måter å komme inn på cmd... jeg er fornøyd når jeg selv ikke klarer å få tilgang til cmd... Endret 20. oktober 2004 av aklla Lenke til kommentar
Syar-2003 Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 Ja.. tenkte meg at run allrerde var sperret. Eneste jeg kan tenke meg i farten er å leke litt med software restriction policy . Den må opprettes under Computer Configuration/Windows Settings/ Security Settings hvis den mangler . Filmeny action/create. Lag en hash rule (additional rules) på alle instanser av cmd.exe og sett til disallowed. Noe slikt kanskje... Lenke til kommentar
Superslask Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 ifølge systemadmin på skolen jeg gik på i fjor, kan man stenge for cmd, men ikke for command. dette funker visst uansett. Lenke til kommentar
Mr_Glass Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 det er så si umulig å stenge for cmd/kjøre komandoer. har testet dette med g.policy og det er ikke vanskelig å komme forbi Lenke til kommentar
Tr1llobite Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 (endret) På skolen min lurte jeg en opendialog i word for å åpne explorer, som deretter førte meg til cmd. :!: Ta forresten en titt på ikea - de har endret cmd.exe til et program som viser en "not found" melding. Utrolig genialt EDIT: Leif! Nå skal du få bank! EDIT2:; Nei det var noen andre greier med cmd på ikea. Men samma det, de fikk det til slik at jeg ikke kunne bruke cmd Endret 20. oktober 2004 av kr1570ffz0r Lenke til kommentar
aklla Skrevet 20. oktober 2004 Forfatter Del Skrevet 20. oktober 2004 jeg har vært inne på tanken med å fjerne det helt, men da vil jo ikke logon-scriptet kjøre... Lenke til kommentar
Syar-2003 Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 To create a hash rule to prevent a known virus or file from running Open Local Security Settings. In the console tree, click Software Restriction Policies. Security Settings Software Restriction Policies Right-click Additional Rules and click New Hash Rule. Choose either a file or hash. For a file, click Browse and click the file you would like to create a rule for. Software restriction policies automatically hashes the file you choose. For a hash, if you have calculated a hash value elsewhere using software restriction policies, paste the hash in File hash. In Security Level, click Disallowed to prevent the file from executing. Type a description for this rule and click OK. Important Software restriction policies should not be used as a replacement for anti-virus software. Notes To open Local Security Policy, click Start, click Control Panel, click Performance and Maintenance, click Administrative Tools, and then double-click Local Security Policy. This procedure can be used for a virus, Trojan horse, or any file you do not want to run on your computer. If the virus has been sent through e-mail, you can also create a path rule to prevent execution of mail attachments. For more information, see To identify files through a path rule. To prevent software restriction policies from applying to local administrators Open Local Security Settings. In the console tree, click Software Restriction Policies. Where? Security Settings Software Restriction Policies In the details pane, double-click Enforcement. Under Apply software restriction policies to the following users, click All users except local administrators. Notes To open Local Security Policy, click Start, click Control Panel, click Performance and Maintenance, click Administrative Tools, and then double-click Local Security Policy. ..... Tror dette vil virke dersom brukere ikke er lokal admins . Lenke til kommentar
aklla Skrevet 20. oktober 2004 Forfatter Del Skrevet 20. oktober 2004 takk, men nå er arbeidsdagen min over, og jeg skal dra hjem, skal teste det i morgen... Lenke til kommentar
Syar-2003 Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 Post tilbake med resultatet da.. Mvh en nysgjerrigper Lenke til kommentar
Superslask Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 er vel uansett enkelt å bare alge en .bat fil som kan gjøre det du hadde tenkt å gjøre da. eller, skrive "start" i den f.eks. Lenke til kommentar
aklla Skrevet 20. oktober 2004 Forfatter Del Skrevet 20. oktober 2004 (endret) er vel uansett enkelt å bare alge en .bat fil som kan gjøre det du hadde tenkt å gjøre da. eller, skrive "start" i den f.eks. er det at de skal kunne alge .bat filer, men ikke klare å kjøre dem, fordi de ikke har tilgang til cmd-fila eller å kjøre noe som bruker cmd... skal holde dere oppdatert ja Endret 20. oktober 2004 av aklla Lenke til kommentar
Syar-2003 Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 Bare husk at: xxxxx.cmd bruker cmd.exe som command processor xxxxx.bat bruker command.com Lenke til kommentar
nibly Skrevet 20. oktober 2004 Del Skrevet 20. oktober 2004 Det er viktig å merke seg at når det blir laget en 'HASH' av en fil så vil den ikke fungere når filen blir forandret. Som da skjer når man feks. oppdaterer systemet (selv om det ikke er ofte denne filen blir endret). Man kan for eks. laste ned en modifisert CMD/COMMAND fil fra en server eller laste ned alternative kommando konsoller. Det er viktig at man ikke glemmer at det finnes mange andre vektøy som kan brukes istedenfor CMD/COMMAND. Man må restriktere systemet på mange andre måter enn dette for å ivareta en god sikkerhet. Lenke til kommentar
aklla Skrevet 21. oktober 2004 Forfatter Del Skrevet 21. oktober 2004 hmmm hash må lages lokalt på hver maskin eller?? det ser slik ut, det kan jeg faktisk ikke gjøre, det er for mye jobb... Lenke til kommentar
nibly Skrevet 21. oktober 2004 Del Skrevet 21. oktober 2004 hmmm hash må lages lokalt på hver maskin eller?? det ser slik ut, det kan jeg faktisk ikke gjøre, det er for mye jobb... Det må nok lages på hver enkelt maskin hvor CMD/COMMAND er av forskjellige versjoner. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå