Domain ortamında kullanıcıların bazı hakları Group Policy’ler ile sınırlandırılmaktadır. Fakat kullanıcılar bu sınırları aşmak istediklerinde işlemleri yapabilmek için komut satırı (Command-Line, CMD) veya PowerShell kullanabilmektedirler. Kullanıcıların sistemin güvenliğini riske atacak komutlar çalıştırmasını engellemek için komut satırı ve PowerShell gibi komut çalıştırabilecekleri ortamların engellenmesi güvenlik açısından önemlidir.

Group Policy ile kullanıcıların komut satırı ve PowerShell kullanmasını engellemek için gerekli Group Policy konfigürasyonu aşağıdaki gibidir.

Yeni bir Group Policy oluştumak için

Group Policy Management açılır ve Create a GPO in this domain, and Link it here.. Tıklanır.

Örnekte Disable_Command adıyla oluşturulmuştur.

İlgili Policy sağ tıklanıp Edit seçilir.

User Configuration -> Policies -> Administrative Templates -> System -> Don’t run specified Windows applications çift tıklanır.

Enabled seçilir ve List of disallowed applications bölümünden Show tıklanır.

Çalıştırılması engellenmek istenilen uygulamaların isimleri yazılır (bu uygulamalar örnekte komut satırı ve PowerShell engellenmesi istenildiğinden cmd.exe, powershell.exe ve powershell_ise.exe olarak belirlenmiştir) ve OK tıklanır.

OK ile bitirilir.

Son olarak oluşturulan Group Policy’i uygulanacağı OU’ya bağlanır. Oluşturulan policy sadece kullanıcı bazlı olduğundan policyden etkilenecek kullanıcıların bulunduğu OU’ya uygulanması gerekmektedir.

Böylece policyden etkilenen kullanıcılar oturum açtıkları bilgisayarda ya da sunucuda yönetici (Administrators) hakkında sahip olsalar bile engellenen uygulamaları arama bölümünde görebilir fakat açamazlar ve hiçbir hata almazlar.

Kullanıcılar uygulama bulunduğu klasörden çalıştırılırsa da aşağıdaki şekilde bir hata ile karşılaşacaklardır.

Böylece group policy ile kullanıcıların komut çalıştırması engellenmiş olur.

Faydalı olması dileğiyle…