Недавно мы обнаружили, что сотрудник нашего клиента смог выполнить «сценарий», который не позволял другим пользователям входить на сервер.
Это коробка Windows Server 2003, и сотрудники подключаются через тонкие клиенты.
Когда пользователь входит в систему, есть несколько сценариев, которые запускаются для настройки принтеров и т. Д., Поэтому отключение сценариев полностью не является вариантом.
Я знаю, как отключить Windows Script Host, но не знаю, как запретить пользователю выполнять команды DOS в пакетном файле. Пользователи не могут запускать командную строку, но могут создавать и запускать командные файлы.
Есть ли способ отключить сценарии DOS (командные файлы) после запуска сценариев запуска? Сценарии также должны быть включены (при выходе из системы?) При следующем входе пользователя в систему, чтобы можно было запускать сценарии запуска.
Что бы вы порекомендовали? Цель состоит в том, чтобы запретить пользователям выполнять сценарии DOS и WSH.
Отказ от ответственности: Я не системный администратор. Я программист, которого попросили узнать, есть ли решение этой проблемы с помощью программирования / написания сценариев.
Мои первоначальные мысли заключаются в том, чтобы отключить сценарии после запуска сценариев запуска, а затем снова включить сценарии при выходе из системы. Это основано на моем предположении, что есть ключи реестра для управления этим материалом, но я могу ошибаться, поэтому ищу совета.
Спасибо за вашу помощь.
ОБНОВИТЬ После разговора с моим боссом выяснилось, что некоторые меры безопасности, реализованные в некоторых областях, были не более чем скрытием и отключением диалогов. Таким образом, возможно, что у сотрудника, атакующего сервер, не было соответствующих разрешений, примененных к его учетной записи. Классический случай обфускации - это не безопасность. Это точно не известно, но возможно. Мы все еще моделируем клиентскую среду и проводим некоторые тесты.
Если у кого-то еще есть предложения, я все равно хотел бы услышать ваши комментарии.
Короткий ответ - «нет, не совсем», а более глубокий ответ предполагает расследование того, что произошло на самом деле. У вас есть настоящие подробности?
Отредактируйте на основе вашего ответа - тогда мой ответ заключается в том, что попытка «отключить сценарии» - это неправильный ответ, и правильный ответ - убедиться, что ни у одного из пользователей нет больше разрешений, чем им нужно. Никто, кроме системных администраторов, не должен быть «администратором домена» или «администратором сервера». Если уволенному сотруднику удалось сделать это без повышенных или неправильных разрешений, и он просто совершил какую-то глупость, которая по сути вызвала DOS-атаку на сервер, вы мало что можете сделать, чтобы предотвратить это вообще.
Теоретически отдельный пользователь не должен иметь возможности сделать это, если он не имеет (или не может получить) какую-либо форму повышенных прав на сервере. Я также посоветовал бы выяснить, что именно произошло и как это произошло, прежде чем приступать к отключению какого-либо скрипта.