我们有一个本地网络,其中有多个 Windows 客户端和几个 Windows 服务器。出于安全目的,几乎所有用户帐户都在他们的机器上设置为非管理员帐户。我们的网络安全管理员声称他们必须限制到命令提示符,因为某些用户可能会使用 cmd(而他们不是管理员)并访问他们不被允许的更多资源。
另一方面,我们的一些用户有时需要使用 cmd 来完成工作。现在我们必须决定,我们是否可以为用户保留 cmd,或者它会给我们的系统带来无法忽视的潜在风险。
谢谢
答案1
您确实需要遵循一些指导。在强化操作系统时,数千个配置项可以通过多种不同方式进行定制。CIS(互联网安全中心)指南是一个很好的起点。CIS 发布了大多数常见操作系统和应用程序的安全基准。您可以在此处下载基准:https://learn.cisecurity.org/benchmarks
关于您最初的问题,我快速浏览了 Windows 7 CIS 基准测试文档,其中似乎没有提到锁定命令提示符或 PowerShell。话虽如此,我还查看了 CESG 指南(英国政府 IT 安全指南),他们建议使用 AppLocker 来阻止用户访问 CMD.exe。https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7/end-user-devices-security-guidance-windows-7
TLDR:安全很难,你对用户施加的“锁定”级别将与我对我的用户施加的级别不同。如果你的用户不需要访问 cmd 提示符,请不要将其授予他们。但在删除它之前,请考虑是否需要保留 CMD.exe 以解决最终用户问题(在登录用户的上下文中运行)。
答案2
在 99% 的公司中,只向员工提供用户帐户(而不是管理员帐户)就足够了。
不要尝试删除 cmd 之类的系统工具,或锁定控制面板或删除对 C 盘的访问权限或任何有趣的解决方案。
所以不要删除对命令行的访问权限。这是浪费时间。
答案3
问题是 99% 的公司安全保障都很差。
可以通过组策略设置“防止访问命令提示符”删除 Cmd.exe。它位于“用户配置\策略\管理模板\系统”下。
例如,如果您在域级别链接的 GPO 中启用该设置,则可以使用安全过滤器向所需的用户授予对 cmd.exe 的访问权限。