В Виндовс есть несколько методов запретить пуск командной строчки. Обычно, их употребляют системные админы, которые желают закрыть возможность доступа к командной строке Виндовс для пользователей. Кроме того, эту технику нередко употребляют разные зловреды, проникшие в систему и отключающие возможность пуска командной строчки для сложности диагностики, поиска и удаления вредных программ/скриптов.
Приемлим, при попытке открыть командную строчку (cmd.exe), либо выполнить BAT/CMD скрипт, возникает сообщение:
The command prompt has been disabled by your administrator. Press any key to continue . . .
Приглашение командной строчки отключено вашим админом
Это очевидно отмечает, что пуск командной строчки отключен при помощи параметра списка DisableCMD . Запустите редактор списка ( regedit.exe ) и перейдите в раздел HKEY_CURRENT_USERSoftwarePoliciesМайкрософтВиндовсSystem
Если значение параметра DisableCMD равно 1 либо 2, это воспрещает пуск командной строчки для пользователя.
Чтоб позволить пуск cmd.exe, измените значение параметра на 0.
REG add HKCUSoftwarePoliciesМайкрософтВиндовсSystem /v DisableCMD /t REG_DWORD /d 0 /f
Но поначалу необходимо провести проверку, не включен ли этот параметр через групповые политики (в данном случае спустя какое-то время при последующем обновлении опций групповых политический деятель ваше значение в списке будет сброшено).
Чтоб вывести результирующие настройки GPO на компьютере, выполните команду Win+R -> rsop.msc
В этом примере видно, что командная строка отключена локальной групповой политикой.
Чтобы отключить этот параметр GPO:
- Откройте консоль локального редактора групповой политики (
gpedit.msc) - Перейдите в раздел User Configuration —> Administrative Templates —> System
- Откройте настройки параметра Prevent access to the command prompt. Отключите его (изменив значение на Disabled или Not Configured)
- Обновите настройки групповых политик, выполнив Win+R ->
gpupdate /force
Также еще есть два простых способа запретить запуск командной строки в Windows. Первый предполагает включение запрета на запуск определенных исполнимых файлов. Если для пользователя включить политику Don’t run specified Windows applications в разделе User Configuration -> Administrative Templates -> System) и добавить в нее cmd.exe , то при попытке открыть командную строку, появится ошибка:
Restrictions This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.
Проверьте с помощью консоли rsop.msc , включена ли эта политика.
Также администраторы могут использовать Software Restriction Poilicy (SRP) или AppLocker для ограничения запуска определенных приложений. Если настроена любая из этих политик контроля исполняемых файлов, при запуске cmd.exe появится ошибка:
Это приложение заблокировано вашим системным администратором
This app has been blocked by your administrator
Эти политики настраиваются в разделе GPO редактора Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policy или Application Control Policy.
Еще один способ запретить запускать пользователям определенный исполняемый файл, но разрешить его запуск для администраторов – изменить NTFS разрешения на EXE файлю
Например, попытка открыть cmd.exe, возвращает ошибку:
Access is denied.
Или
C:WINDOWSsystem32cmd.exe Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
В этом случае можно попробовать открыть консоль powershell.exe и проверить текущие NTFS разрешения на файл с помощью утилиты icacls:
icacls C:WindowsSystem32cmd.exe
В данном случае видно, что стоит DENY на запуск файла для группы BUILTINUsers . Чтобы убрать запрет:
icacls C:WindowsSystem32cmd.exe /remove:d Users
takeown /f C:WindowsSystem32cmd.exe
Добавить комментарий