Eingabeaufforderung und Batch-Dateien über GPOs deaktivieren

    Kostenloser Ratgeber: Sicherheit mit Gruppenrichtlinien. Tipps zum Einsatz von GPOs, Sicherheits-Features aktivieren, Funktionen blockieren. Download »

    (Anzeige)

    Unter Sicherheitsgesichtspunkten ist der Kommandointerpreter nicht problematischer als viele andere Programme. Wenn man den Benutzern in bestimmten Umgebungen dennoch den Zugriff auf cmd.exe verwehren und die Ausführung von Batch-Dateien unterbinden möchte, dann kann man dies über Gruppenrichtlinien tun.

    Unerwünschte Aktionen, die Anwender auf der Kommandozeile ausführen könnten, sollte man besser durch entsprechendes Rechte-Management verhindern als durch die Sperrung von cmd.exe. Schließlich lassen sich schädliche Befehle auch über den Befehl Ausführen starten, und noch mehr Möglichkeiten bietet die PowerShell.

    Deaktivieren von .bat und .cmd

    Will man den Kommandointerpreter aus bestimmten Gründen deaktivieren, dann kann man dies über eine eigene Einstellung in den Gruppenrichtlinien tun. Sie findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => System und heißt Zugriff auf Eingabeaufforderung verhindern.

    Die Einstellung 'Zugriff auf Eingabeaufforderung verhindern' kann auch die Ausführung von Batchdateien unterbinden.

    Sie umfasst zusätzlich die Option, die Ausführung von Batch-Dateien zu unterbinden. Betroffen sind davon Scripts sowohl mit der Endung .bat als auch .cmd. Bevor man diese Einstellung aktiviert, sollte man überprüfen, ob im Rahmen der Systemverwaltung Logon-, Logoff-, Startup- oder Shutdown-Scripts genutzt werden. Sie wären von der Deaktivierung des Script-Interpreters ebenfalls betroffen.

    Die deaktivierte Eingabeaufforderung gibt einen entsprechenden Hinweis aus.

    Aus der Benutzersicht äußert sich das Deaktivieren der Eingabe­aufforderung dadurch, dass sie bei ihrem Start nach dem zuständigen Registry-Eintrag sucht und die weitere Tätigkeit einstellt, wenn dieser gesetzt wurde. Dabei erscheint die Meldung "Die Eingabe­aufforderung ist vom Administrator deaktiviert worden."

    Bei Batch-Dateien bewirkt diese Einstellung dagegen, dass der Befehl Öffnen im Kontextmenü nicht mehr die Stapeldatei startet, sondern sie in den Editor lädt. Das gleiche Ergebnis bewirkt ein Doppelklick im Explorer oder die Eingabe ihres Namens unter Ausführen.

    Keine Kommentare