XP年代的脚本
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
@cls @echo off color 5e # 注册表键值需要以管理员身份运行,另外需要复制ee.bat到C:\Windows目录下; # 管理员运行CMD使用命令:runas /user:administrator cmd # 在新的CMD窗口执行卸载:reg delete "HKLM\SOFTWARE\Microsoft\Command Processor" /v AutoRun /f reg add "HKLM\SOFTWARE\Microsoft\Command Processor" /t REG_SZ /v AutoRun /d "C:\WINDOWS\ee.bat" /f >nul cls title 开始Dos密码验证... set N=3 :start cls echo 请进行Dos密码验证,谢谢配合! echo. set PW= set /p PW=请输入Dos密码: set /a N-=1 if /i "%PW%"=="desen" goto ok if "%N%"=="0" echo 密码连续错误3次,请联系System Admin & ping 127.1 -n 3 >nul & exit echo 密码错误,您还有%N%机会 & ping 127.1 -n 2 >nul goto start :ok cls title Verified, Welcome to CMD-DOS! cmd /d cd /d %USERPROFILE% |
缺点说明:
- 输入密码明文,Windows的批处理工具不太好使;试过隐藏输入的方法但以BUG告终。
- 运行cmd /d便可绕过AutoRun脚本。
其他说明:可以使用Quick Batch File Compiler软件将批处理脚本封装成exe执行程序,但在CMD AutoRun中无法正常执行、会耗尽系统内存。
最佳做法
通过组策略来实现命令提示符访问权限,在域环境下可以为不同OU下的对象设置不同的域策略;建议下发组策略到用户配置、避免了域环境下管理员维护麻烦;系统帐号权限及文件访问权限合理规划,大大减少系统病毒感染及传播、越权访问文件、机密资料外泄的可能性,当然也可以从网络传输层面去做访问限制。
设置简要步骤:运行gpedit.msc打开组策略编辑器,用户配置-->管理模板-->系统-->阻止访问命令提示符(设置为已启用)
相关注册表键值:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
对应的策略文件:C:\Windows\System32\GroupPolicy\User\Registry.pol
文章出自: 本站技术文章均为原创,版权归 "Desen往事 - 个人博客" 所有;部分图片来源于 Yandex ,转载本站文章请注明来源。
本文标题:早期的CMD限制手法