como restringir comandos cmd específicos

Diferentemente dos sistemas operacionais UNIX / Linux, o Windows possui dois tipos de comandos: interno e externo. Comandos como dir , cd , rd , copy , del , etc. são construídos no interpretador de comandos e, portanto, são comandos internos. Todos os outros utilitários de linha de comando (como net , shutdown , telnet , ftp , etc.) são comandos externos - eles têm um arquivo .exe associado. Você pode obter uma lista de comandos internos digitando help em uma linha de comando.

Comandos internos são um negócio de tudo ou nada. Se você conceder acesso ao prompt de comando, concederá acesso a todos eles. Comandos externos são apenas programas como qualquer outro, por isso, se você não quer que um usuário execute o comando ipconfig , você pode apenas revogar permissões de leitura para ele por esse usuário.

No entanto, você deve saber que a linha de comando não é mágica. Não pode e não permite que um usuário faça algo que normalmente não seria capaz de fazer. As funções que a linha de comando expõe ainda são governadas pela segurança no sistema. Um usuário que não tenha acesso de leitura / gravação a uma pasta não poderá usar rd ou del para excluí-lo. Se eles não tiverem acesso de leitura a uma pasta, eles não poderão cd .

Eu aconselho você a realmente pensar sobre o que você está tentando realizar. Bloquear um comando é como remover uma maçaneta de porta. Não impede que a porta seja aberta. Se você quisesse proteger uma porta, você a trancaria.

Digamos que você queira bloquear o acesso ao comando shutdown para seus usuários. Isso não os impede de desligar o sistema. Há literalmente uma dúzia de maneiras de desligar um computador. Tudo o que você está fazendo é bloquear um caminho específico. Em vez disso, você deve usar a política de segurança para negar aos usuários o direito de desligar o computador. Dessa forma, QUALQUER tentativa de desligar a máquina será bloqueada - independentemente da forma como tentem fazê-lo. Esta é a política padrão nos servidores.

Alterar as permissões de segurança padrão no diretório do Windows geralmente é uma má ideia também. Poderia ter ramificações que você nem pensaria. E eles podem não ser imediatamente aparentes.

Abra o editor digitando secpol.msc no diálogo de execução e navegando para Políticas de controle de aplicativos e, em seguida, AppLocker e regras executáveis

Clique com o botão direito e Criar regras executáveis e, em seguida, selecione os usuários que você deseja permitir ou negar . Em seguida, File Path e Next, em seguida, Browse Files e use *.* . Você pode dar um nome e um comentário clicando em Avançar ou apenas clicando em Criar.

Você também pode dizer Negar usuário X para *.* em arquivo / pasta / caminho. No entanto, você terá que listar todos os aplicativos, incluindo word, firefox e até mesmo ferramentas padrão do Windows.

Diga Sim para criar as regras padrão.

Você precisa mover as novas regras para o topo da lista para que elas tenham precedência sobre as outras regras.

Nota: o desligamento é um EXE, então ele irá bloqueá-lo. No entanto, comandos DOS nativos, como CD, MD, RD, fazem parte do DOS, portanto, não serão bloqueados dessa maneira. A permissão de arquivo somente leitura pode bloqueá-los em arquivos / pastas que não devem ter permissões de gravação.