PDA

Visualizza versione completa : [2003] rimuovere i comandi dos da windows srv 2003


deagle
29-03-2006, 09.24.23
Ciao a tutti,

su un windows server 2003 std, ho la necessità di disabilitare le istruzioni da riga di comando, in particolare il cmd.exe, xcopy32.exe, telnet.exe e vari altri. Ora, ho spostato questi files in un'altra cartella alla quale ha accesso esclusivamente l'amministratore, ma quando sono andato a ricontrollare la
c:\%winroute%/system32 ho notato che i suddetti file venivano ricreati.

Come posso fare a disabilitare la funzione di ripristino dei comandi dos?

Un grazie anticipato a quanti potranno essermi di aiuto

borgata
29-03-2006, 09.31.39
in XP sp2 c'è la cartella \system32\dllcache, che conserva le copie dei programmi di sistema. In Win2k3 non so quale sia la truttura, vedi se per caso funziona allo stesso modo.

Deep73
29-03-2006, 11.31.39
Ti ho aggiunto il tag nel titolo, visto che sei nuovo. E' obbligatorio, pena la chiusura del thread. Cerca di ricordartelo la prox. volta.

Per quanto riguarda la domanda:
Puoi semplicemente negare ai files interessati i permesso di Lettura ed esecuzione (ma ricordati di lasciare sempre il permesso di Lettura) a tutti i gruppi di utenti (locali e di dominio) che ti servono. Tieni conto che devi mettere il diritto su NEGA, non semplicemente deselezionare la casella CONSENTI, altrimenti q.che diritto superiore potrebbe permettere l'accesso ugualmente. Il NEGA invece ha la precedenza su diritti ereditati.

Note:
a) SYSTEM, Administrators dovrebbero avere sempre accesso completo a questi programmi.
b) funziona solo su NTFS.
c) è possibile fare la stessa cosa anche con delle policies (locali o di dominio), ma hanno alcuni svantaggi che non ti stò qui ad elencare. Se un utente è furbo, le aggira.

deagle
29-03-2006, 11.44.16
Originariamente inviato da Deep73
Ti ho aggiunto il tag nel titolo, visto che sei nuovo. E' obbligatorio, pena la chiusura del thread. Cerca di ricordartelo la prox. volta.

Grazie per la non intransigenza, avevo fretta di risolvere il problema che non sono stato a leggere il regolamento completamente, ora me lo leggerò accuratamente.


Originariamente inviato da Deep73
Per quanto riguarda la domanda:
Puoi semplicemente negare ai files interessati i permesso di Lettura ed esecuzione (ma ricordati di lasciare sempre il permesso di Lettura) a tutti i gruppi di utenti (locali e di dominio) che ti servono. Tieni conto che devi mettere il diritto su NEGA, non semplicemente deselezionare la casella CONSENTI, altrimenti q.che diritto superiore potrebbe permettere l'accesso ugualmente. Il NEGA invece ha la precedenza su diritti ereditati.

Note:
a) SYSTEM, Administrators dovrebbero avere sempre accesso completo a questi programmi.
b) funziona solo su NTFS.
c) è possibile fare la stessa cosa anche con delle policies (locali o di dominio), ma hanno alcuni svantaggi che non ti stò qui ad elencare. Se un utente è furbo, le aggira.

Il problema l'ho risolto rimuovendo da system32\dllcache i file interessati, anche perchè agendo sulle policy non so se il path o cosa ma accedendo da un utente del gruppo users, e avendo negato il permesso all'esecuzione del cmd.exe, non aveva sortito giovamento.

cmq grazie a tutti e ciao