none
Restringir acceso a cmd y al regedit RRS feed

  • Pregunta

  • Hola;

    Tengo un dominio windows Server 2003, con clientes Windows XP Sp3

    Actualmente tengo una politica que le impide a los usurios ver el run y el command prompt. Pero esto no impide que la ejecucion de un .bat me invoque el prompt. Al igual que el regedit.

    Como puedo impedir la ejecucion del Command Prompt y el reg edit?


    • Editado shalom06 lunes, 2 de abril de 2012 16:54
    lunes, 2 de abril de 2012 16:44

Respuestas

  • Hola,

    Viendo un poco mas en detalle, los permisos sobre el archivo "regedit" que se encuentra en el directorio C:\Windows\System32 no lo puedes modificar, con lo que no puedes aplicar una restriccion de ejecucion al punto que deseas realizar.-

    Tendrias que ver si lo puedes aplicar por GPO, desde el setting File System, pero no lo veo un tanto soportado si desde la opcion manual, no puedes modificar el ACL del archivo.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 5 de abril de 2012 13:38
    Moderador

Todas las respuestas

  • Hola,

    Te paso lo que estas solicitando, pero desde ya, es una limitacion muy compleja la que estas queriendo usar, limitar el Registro del Sistema Operativo no es un cambio menor...

    @echo off
    title Blocker
    Reg add HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0x00000001
    Reg add HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System /v DisableRegistryTools /t REG_DWORD /d 0x00000001

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 3 de abril de 2012 18:22
    Moderador
  • Hola;

    Lo que estoy buscando es que los usuarios no tengan acceso a modificar el registro. Que consecuencia negativa tendria aplicar esta politica?

    Como puedo aplicar por gpo esas llaves de registro que me indicas?

    Gracias.

    martes, 3 de abril de 2012 20:41
  • Hola,

    Siendo un dominio 2003, lo puedes hacer subiendo el reg a la GPO, cuando migres a ADDS 2008, lo puedes aplicar por preferencia.-

    El riesgo es algo, porque nadie podra entrar al registro de los SO afectados, anta tanto lo reviertas por GPO.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 3 de abril de 2012 20:46
    Moderador
  • Hola,
    Antes de meterlo en la gpo, hice una prueba ejecutandolo directamente en un equipo,grabe el script como .reg y lo ejecute. Pero me da el siguiente error: "el archivo especificado no es un registry script, you can only import binary registry files, from within registry editor"
    miércoles, 4 de abril de 2012 16:50
  • Hola,

    Utiliza solo las lineas:

    Reg add HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0x00000001
    Reg add HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System /v DisableRegistryTools /t REG_DWORD /d 0x00000001

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 4 de abril de 2012 17:20
    Moderador
  • Lo intente como me indicas y me da el mismo error.

    miércoles, 4 de abril de 2012 18:49
  • Hola,

    Chequea de aplicarlo manualmente y luego haces un export de la linea de registro donde se agregaron los nuevos valores.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 4 de abril de 2012 19:05
    Moderador
  • Ok, lo hice manualmente y en el valor del cmd, coloque 2 para restringir los archivos batch tambien.

    Probe abrir una consola y si restringio el acceso, sin embargo no esta cumpliendo mi necesidad.

    Actualmente tengo un archivo .bat que contiene la siguiente linea:

    cd c:\windows\system32
    regedit

    Ese archivo aun con la restriccion aplicada se sigue ejecutando, es decir me abre el regedit.

    Necesito impedir que no me abra el regedit o que no se ejecute el archivo.

    Gracias.

    miércoles, 4 de abril de 2012 21:29
  • Hola,

    Viendo un poco mas en detalle, los permisos sobre el archivo "regedit" que se encuentra en el directorio C:\Windows\System32 no lo puedes modificar, con lo que no puedes aplicar una restriccion de ejecucion al punto que deseas realizar.-

    Tendrias que ver si lo puedes aplicar por GPO, desde el setting File System, pero no lo veo un tanto soportado si desde la opcion manual, no puedes modificar el ACL del archivo.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 5 de abril de 2012 13:38
    Moderador