วิธีการบล็อกการเข้าถึงพร้อมรับคำสั่งสำหรับผู้ใช้ที่เฉพาะเจาะจง

บางครั้งคุณอาจต้องการป้องกันไม่ให้ผู้ใช้เฉพาะเปิดหน้าต่างพร้อมรับคำสั่ง (cmd.exe) ด้วยเหตุผลหลายประการที่ถูกต้อง บทความนี้อธิบายวิธีการป้องกันไม่ให้ผู้ใช้เฉพาะเปิดพร้อมรับคำสั่งหรือเรียกใช้ไฟล์ Windows Batch

วิธีการบล็อกการเข้าถึงพร้อมรับคำสั่งสำหรับผู้ใช้ที่เฉพาะเจาะจง

การล็อคพรอมต์คำสั่งสามารถทำได้โดยใช้สิทธิ์ NTFS โดยการเพิ่มรายการ ปฏิเสธ สิทธิ์ (ไปยัง cmd.exe) สำหรับผู้ใช้หรือกลุ่มเฉพาะ สิ่งนี้สามารถทำได้โดยใช้เครื่องมือคอนโซลในตัว ICacls.exe หรือกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูง

วิธีที่ 1: การใช้โปรแกรมอรรถประโยชน์บรรทัดคำสั่ง ICacls.exe

จากหน้าต่างพรอมต์คำสั่งผู้ดูแลหรือผู้ดูแลระบบและรันคำสั่งเหล่านี้:

 takeown / f cmd.exe icacls cmd.exe / ปฏิเสธ ramesh: RX 

.. โดยที่“ ramesh” เป็นชื่อผู้ใช้ที่คุณต้องการป้องกันไม่ให้เข้าถึง cmd.exe สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำสั่ง takeown.exe และ icacls.exe โปรดดูที่บทความการเป็นเจ้าของไฟล์หรือโฟลเดอร์โดยใช้ Command-Line ใน Windows

---

วิธีที่ 2: การใช้กล่องโต้ตอบการอนุญาตขั้นสูง

เปิดโฟลเดอร์ C:\Windows\System32

คลิกขวาที่ cmd.exe และคลิกที่ Properties หรือมิฉะนั้นให้คลิกปุ่ม คุณสมบัติ ใน Ribbon

เลือกแท็บความปลอดภัยในกล่องโต้ตอบคุณสมบัติไฟล์และคลิกปุ่มขั้นสูง สิ่งนี้จะเปิดกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูง

โดยค่าเริ่มต้น TrustedInstaller เป็นเจ้าของ cmd.exe คลิก "เปลี่ยน" เพื่อเปลี่ยนความเป็นเจ้าของไฟล์

พิมพ์“ ผู้ดูแลระบบ” แล้วกด ENTER

คุณจะเห็นข้อความต่อไปนี้ เพียงปิดกล่องโต้ตอบการอนุญาตขั้นสูงและเปิดใหม่อีกครั้ง

หากคุณเพิ่งเป็นเจ้าของวัตถุนี้คุณจะต้องปิดและเปิดคุณสมบัติของวัตถุนี้อีกครั้งก่อนที่คุณจะสามารถดูหรือเปลี่ยนแปลงการอนุญาต

กลุ่มผู้ดูแลระบบตอนนี้เป็นเจ้าของไฟล์ ตอนนี้คุณสามารถเพิ่มรายการสิทธิ์ได้ตามต้องการ

คลิก เปลี่ยนสิทธิ์ ซึ่งตอนนี้จะเปลี่ยนเป็น เพิ่ม

คลิก เพิ่ม

คลิก เลือกหลักการ

พิมพ์ชื่อผู้ใช้ (เช่น ramesh ) และคลิกตกลง

จากช่องโต้ตอบ ประเภท ให้เลือก ปฏิเสธ

เปิดใช้งานช่องทำเครื่องหมายสำหรับ อ่าน อ่านและดำเนินการ แล้วคลิกตกลง

นี่คือลักษณะกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูงในขณะนี้:

ในกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูงคลิกตกลง คุณจะเห็นข้อความต่อไปนี้ คลิกใช่เพื่อดำเนินการต่อ

คุณกำลังตั้งค่ารายการปฏิเสธสิทธิ์ รายการที่ปฏิเสธจะมีความสำคัญเหนือกว่ารายการที่อนุญาต ซึ่งหมายความว่าหากผู้ใช้เป็นสมาชิกของสองกลุ่มกลุ่มหนึ่งที่ได้รับอนุญาตจะได้รับอนุญาตและอีกกลุ่มที่ถูกปฏิเสธการอนุญาตเดียวกันผู้ใช้จะถูกปฏิเสธสิทธิ์นั้น
คุณต้องการทำต่อไปหรือไม่?

คุณกำลังจะเปลี่ยนการตั้งค่าการอนุญาตในโฟลเดอร์ระบบ สิ่งนี้สามารถลดความปลอดภัยของคอมพิวเตอร์ของคุณและทำให้ผู้ใช้มีปัญหาในการเข้าถึงไฟล์ คุณต้องการทำต่อไปหรือไม่?

เมื่อต้องการทดสอบว่าบล็อกใช้งานได้หรือไม่ให้ใช้ Run As (หรือ runas.exe) เพื่อเปิดใช้ cmd.exe ในฐานะผู้ใช้นั้น

 runas / ผู้ใช้: ramesh c: \ windows \ system32 \ cmd.exe 

นั่นจะทำให้เกิดข้อผิดพลาดดังต่อไปนี้:

ไม่สามารถเรียกใช้ - cmd.exe => 5: การเข้าถึงถูกปฏิเสธ

หรือเพียงลงชื่อเข้าใช้บัญชีผู้ใช้นั้นแล้วลองเปิด cmd.exe ผู้ใช้“ ramesh” จะไม่สามารถอ่านหรือเรียกใช้ไฟล์

นั่นคือทั้งหมดที่ ตอนนี้คุณได้ปิดการเข้าถึง Command Prompt (cmd.exe) สำหรับผู้ใช้นั้น