terça-feira, 17 de maio de 2011

Bloqueando Acesso ao Prompt de Comando

Para os administradores de rede quanto mais bloqueios for possível fazer, melhor, o objetivo sempre é deixar o usuário o mais "amarrado" possível, pois sempre existe aquele usuário com um conhecimento mais avançado que tenta burlar as regras. Como diz aquele tradicional frase dos administradores de rede "O usuário tem direito a não ter direitos", somente lendo isso nos parece muita rigidez, mas deixem os usuários "soltos" e verão o caos que se tornará sua vida, passará a trabalhar de bombeiro somente, pois terá um problema em cima do outro para resolver.
Abaixo vou mostrar como fazer para deixar o usuário sem acesso ao prompt de comando, e assim limitar as informações sobre o sistema que ele poderá ver.

Para fazermos isso existe uma diretiva de grupo.
Ir em Configurações de Usuários --> Modelos Administrativos --> Sistema






Ativar "Impedir Acesso ao Prompt de Comando"



Explicação dessa diretiva:

Impede que os usuários executem o prompt de comando interativo, Cmd.exe. Esta configuração também determina se arquivos em lotes (.cmd e .bat) podem ser executados no computador.

Se você ativar esta configuração e o usuário tentar abrir uma janela de comando, o sistema exibe uma mensagem explicando que uma configuração impede a ação.

Obs.: não impeça o computador de executar arquivos em lotes se o computador usa scripts de arquivos em lotes de logon, logoff, inicialização ou desligamento ou para usuários que utilizam serviços de terminal.



Aplicar a diretiva na OU desejada.

Após aplicada quando o usuário tentar executar o CMD receberá a seguinte mensagem:


Devemos ter cuidado quando habilitamos essa diretiva pois a própria Microsoft que seja desativado o processamento de scrips de inicialização. Essa opção deve ser marcada somente se realmente não é utilizado scrips de logon / logoff.

2 comentários: