С точки зрения администратора MS, какие общие опасности у пользователей, имеющих доступ к powershell? Разве это вообще не хорошая политика, чтобы отключить cmd & powershell для пользователей? (В типичной корпоративной среде с политикой безопасности типична/программное обеспечение)пользователь Доступ к Powershell (с точки зрения администратора)
благодаря
Разве это вообще хорошая политика, чтобы отключить Cmd доступ & Powershell для пользователей?
Нет, поскольку учетная запись пользователя является границей безопасности, а не программами, которые пользователь запускает. Программа не является границей безопасности, поскольку она выполняется в контексте пользователя, который ее запускает. Просто потому, что пользователь запускает cmd.exe или powershell.exe, он каким-то образом не предоставляет им дополнительные магические полномочия для обхода безопасности.
[Не совсем верно] (https://support.microsoft.com/kb/327618), но достаточно близко. –
Эта статья относится к системным службам. В этом случае вы уже на другой стороне воздухонепроницаемого люка. –
Просто хотел указать (ради полноты), что бывают ситуации, когда пользовательские контексты не так четко отделены друг от друга, как хотелось бы думать. –
Наличие доступа Powershell или командной строки не дает пользователю каких-либо разрешений, которых у них еще не было. Вероятно, этот вопрос лучше подходит для ServerFault. – Phylogenesis
Нет. Ограничение приложений - это неправильный уровень. Подумайте о UAC, файловой системе и групповой безопасности. Кроме того, подумайте о SuperUser или ServerFault; Переполнение стека для программирования. –
Удачи, блокируя все. Скажем, вы блокируете cmd (удалите ярлык или что-то еще); то я бы просто написал текстовый файл с расширением bat или vbscript, чтобы открыть cmd или все, что я хотел. Вы потерялись во всех политиках Software/Applocker. Опасные действия обычно требуют прав администратора в ОС, поэтому не предоставляйте их своим пользователям. Кроме того, упрочите среду Windows с помощью групповой политики. Вы можете ограничить стандартные пользователи, используя старые политики GP. Этот вопрос лучше подходит для SuperUser или ServerFault. –