Domain ortamında kullanıcıların bazı hakları Group Policy’ler ile sınırlandırılmaktadır. Fakat kullanıcılar bu sınırları aşmak istediklerinde işlemleri yapabilmek için komut satırı (Command-Line, CMD) veya PowerShell kullanabilmektedirler. Kullanıcıların sistemin güvenliğini riske atacak komutlar çalıştırmasını engellemek için komut satırı ve PowerShell gibi komut çalıştırabilecekleri ortamların engellenmesi güvenlik açısından önemlidir.
Group Policy ile kullanıcıların komut satırı ve PowerShell kullanmasını engellemek için gerekli Group Policy konfigürasyonu aşağıdaki gibidir.
Yeni bir Group Policy oluştumak için
Group Policy Management açılır ve Create a GPO in this domain, and Link it here.. Tıklanır.
Örnekte Disable_Command adıyla oluşturulmuştur.
İlgili Policy sağ tıklanıp Edit seçilir.
User Configuration -> Policies -> Administrative Templates -> System -> Don’t run specified Windows applications çift tıklanır.
Böylece policyden etkilenen kullanıcılar oturum açtıkları bilgisayarda ya da sunucuda yönetici (Administrators) hakkında sahip olsalar bile engellenen uygulamaları arama bölümünde görebilir fakat açamazlar ve hiçbir hata almazlar.
Kullanıcılar uygulama bulunduğu klasörden çalıştırılırsa da aşağıdaki şekilde bir hata ile karşılaşacaklardır.
Böylece group policy ile kullanıcıların komut çalıştırması engellenmiş olur.
Faydalı olması dileğiyle…