วิธีป้องกันการเข้าถึงพรอมต์คำสั่งสำหรับผู้ใช้เฉพาะ

บางครั้ง คุณอาจต้องการป้องกันไม่ให้ผู้ใช้รายใดเปิดหน้าต่างพรอมต์คำสั่ง (cmd.exe) ด้วยเหตุผลหลายประการ บทความนี้อธิบายวิธีป้องกันผู้ใช้บางรายไม่ให้เปิดพร้อมท์คำสั่งหรือเรียกใช้ไฟล์แบตช์ของ Windows

ป้องกันการเข้าถึงพรอมต์คำสั่งสำหรับผู้ใช้เฉพาะ

การล็อคพรอมต์คำสั่งสามารถทำได้โดยใช้สิทธิ์ NTFS โดยเพิ่ม a ปฏิเสธ รายการสิทธิ์ (ไปยัง cmd.exe) สำหรับผู้ใช้หรือกลุ่มเฉพาะ สามารถทำได้โดยใช้เครื่องมือคอนโซลในตัว icacls.exe หรือกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูง

วิธีที่ 1: การใช้ยูทิลิตี้บรรทัดคำสั่ง ICacls.exe

จาก an ยกระดับหรือพรอมต์คำสั่งของผู้ดูแลระบบ หน้าต่างและรันคำสั่งเหล่านี้:

takeown /f cmd.exe. icacls cmd.exe / ปฏิเสธ ramesh: RX

.. โดยที่ “ramesh” คือชื่อผู้ใช้ที่คุณต้องการป้องกันไม่ให้เข้าถึง cmd.exe สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำสั่ง takeown.exe และ icacls.exe โปรดดูบทความ เป็นเจ้าของไฟล์หรือโฟลเดอร์โดยใช้ Command-Line ใน Windows.

---

วิธีที่ 2: การใช้กล่องโต้ตอบการอนุญาตขั้นสูง

1. เปิด C:\Windows\System32 โฟลเดอร์
2. คลิกขวาที่ cmd.exe แล้วคลิก Properties หรือคลิก คุณสมบัติ ปุ่มในริบบิ้น
   
3. เลือกแท็บ Security ในไดอะล็อกคุณสมบัติไฟล์ แล้วคลิกปุ่ม Advanced ซึ่งจะเปิดกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูง
   
   
4. โดยค่าเริ่มต้น ผู้ติดตั้งที่เชื่อถือได้ เป็นเจ้าของ cmd.exe คลิก "เปลี่ยน" เพื่อเปลี่ยนความเป็นเจ้าของไฟล์
   
5. พิมพ์ “ผู้ดูแลระบบ” และกด ENTER
   
6. คุณจะเห็นข้อความต่อไปนี้ เพียงปิดกล่องโต้ตอบการอนุญาตขั้นสูงแล้วเปิดใหม่อีกครั้ง

   หากคุณเพิ่งเป็นเจ้าของวัตถุนี้ คุณจะต้องปิดและเปิดคุณสมบัติของวัตถุนี้อีกครั้งก่อนจึงจะสามารถดูหรือเปลี่ยนการอนุญาตได้

7. ขณะนี้กลุ่มผู้ดูแลระบบเป็นเจ้าของไฟล์แล้ว คุณสามารถเพิ่มรายการการอนุญาตได้ตามต้องการ คลิก เปลี่ยนสิทธิ์ซึ่งตอนนี้จะเปลี่ยนเป็น เพิ่ม.
   
8. คลิก เพิ่ม
   
   
9. คลิก เลือกหลัก
10. พิมพ์ชื่อผู้ใช้ (เช่น ราเมซ) และคลิกตกลง
    
11. จาก พิมพ์ โต้ตอบ เลือก ปฏิเสธ
    
    
12. เปิดใช้งานช่องทำเครื่องหมายสำหรับ อ่าน, อ่าน & ดำเนินการและคลิกตกลง

    นี่คือลักษณะที่กล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูงจะมีลักษณะดังนี้:
    

13. ในกล่องโต้ตอบการตั้งค่าความปลอดภัยขั้นสูง คลิกตกลง คุณจะเห็นข้อความต่อไปนี้ คลิก ใช่ เพื่อดำเนินการต่อ.

    คุณกำลังตั้งค่ารายการปฏิเสธการอนุญาต รายการปฏิเสธมีความสำคัญเหนือรายการอนุญาต ซึ่งหมายความว่าหากผู้ใช้เป็นสมาชิกของสองกลุ่ม กลุ่มหนึ่งได้รับอนุญาตและอีกกลุ่มหนึ่งถูกปฏิเสธการอนุญาตเดียวกัน ผู้ใช้จะถูกปฏิเสธการอนุญาตนั้น คุณต้องการดำเนินการต่อหรือไม่ คุณกำลังจะเปลี่ยนการตั้งค่าการอนุญาตในโฟลเดอร์ระบบ ซึ่งสามารถลดความปลอดภัยของคอมพิวเตอร์ของคุณและทำให้ผู้ใช้มีปัญหาในการเข้าถึงไฟล์ คุณต้องการดำเนินการต่อหรือไม่

ทดสอบว่าใช้งานได้หรือไม่

เพื่อทดสอบว่าบล็อกใช้งานได้หรือไม่ ใช้ Run As (หรือ runas.exe) เพื่อเรียกใช้ cmd.exe ในฐานะผู้ใช้รายนั้น

runas / ผู้ใช้: ramesh c:\windows\system32\cmd.exe

ที่จะโยนข้อผิดพลาดต่อไปนี้:

ไม่สามารถเรียกใช้ - cmd.exe → 5: การเข้าถึงถูกปฏิเสธ

หรือเพียงลงชื่อเข้าใช้บัญชีผู้ใช้นั้นแล้วลองเปิด cmd.exe ผู้ใช้ “ramesh” จะไม่สามารถอ่านหรือรันไฟล์ได้

นั่นคือทั้งหมด คุณได้ปิดใช้งานการเข้าถึง Command Prompt (cmd.exe) สำหรับผู้ใช้รายนั้นแล้ว