none
CMD nur für bestimmte User/Gruppen zulassen RRS feed

  • Frage

  • Hallo,
    ich nutze Citrix Terminalserver und habe da für alle die CMD per GPO gesperrt.
    Jetzt möchte ich die CMD aber gerne für best. User/Gruppen zulassen-
    Hat jemand ne Idee wie ich das am elegantesten steuern kann? Ne neue GPO machen die auf dem Sicherheitsfilter und entsprechend der Reihenfolge angewandt wird wollte ich eigentlich nicht.

    Dachte schonmal an AppLocker aber auch da finde ich keine passende Lösung.

    Vielleicht jemand noch ne andere Idee?

    Gruß
    Dennis

    Freitag, 8. Mai 2020 07:42

Antworten

  • Und einfach wieder aufmachen und Dich wichtigeren Dingen zuwenden? Was könnten sie mit der cmd denn schlimmes tun, wenn sie keine Rechte haben? Und wenn sie Rechte haben, was schlimmes zu tun, dann hilft das Verstecken der cmd auch nicht. Wege, das zu umgehen, findet man in 10 Minuten bei Google.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Freitag, 8. Mai 2020 08:39
    Freitag, 8. Mai 2020 08:07
  • Um noch eins drauf zu setzen :-)

    Du hast nicht "die CMD" gesperrt - Du hast vermutlich nur die Ausführung einer policy-awaren cmd.exe verhindert, die sich selbst wieder beendet, wenn sie disableCMD <> 0 vorfindet... Der erste Bypass wäre schon trivial: Verwende command.com oder eine cmd.exe von NT4 (ok, die muß man auch erst mal finden...)

    Wie Evgenij schon schrieb, ist das "Security by obscurity". Und wenn es denn schon sein muß: disableCMD kann man auch über Group Policy Preferences setzen und damit dann (dank Zielgruppenadressierung) extrem granaular steuern.


    Dienstag, 12. Mai 2020 16:13
    Beantworter

Alle Antworten

  • Und einfach wieder aufmachen und Dich wichtigeren Dingen zuwenden? Was könnten sie mit der cmd denn schlimmes tun, wenn sie keine Rechte haben? Und wenn sie Rechte haben, was schlimmes zu tun, dann hilft das Verstecken der cmd auch nicht. Wege, das zu umgehen, findet man in 10 Minuten bei Google.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Freitag, 8. Mai 2020 08:39
    Freitag, 8. Mai 2020 08:07
  • OK.

    1. Haben die User nur normale Rechte
    2. Ist es eine provisionierte Landschaft die immer wieder im Ursprungszustand nach einem Reboot ist.

    Von daher sollte es dann passen wenn die cmd zulasse.

    Danke.

     
    Freitag, 8. Mai 2020 08:39
  • Um noch eins drauf zu setzen :-)

    Du hast nicht "die CMD" gesperrt - Du hast vermutlich nur die Ausführung einer policy-awaren cmd.exe verhindert, die sich selbst wieder beendet, wenn sie disableCMD <> 0 vorfindet... Der erste Bypass wäre schon trivial: Verwende command.com oder eine cmd.exe von NT4 (ok, die muß man auch erst mal finden...)

    Wie Evgenij schon schrieb, ist das "Security by obscurity". Und wenn es denn schon sein muß: disableCMD kann man auch über Group Policy Preferences setzen und damit dann (dank Zielgruppenadressierung) extrem granaular steuern.


    Dienstag, 12. Mai 2020 16:13
    Beantworter