Cosa può fare qualcuno con prompt dei comandi (non amministratore) su una rete?

Naviga le tue risposte
2

Supponiamo che un'organizzazione abbia una rete chiusa: solo i suoi computer possono accedervi. Ciascuno di questi computer ha Windows 10 Enterprise. Per ovvi motivi, gli utenti non hanno i privilegi di amministratore. Chiunque all'interno dell'organizzazione può ottenere facilmente l'accesso fisico a uno di questi dispositivi. L'organizzazione è abbastanza grande (pensa all'università o alla grande azienda) di cui gli utenti non dovrebbero essere fidati.

Quali sono i vantaggi del blocco di cmd.exe ? Cioè, cosa potrebbe fare un utente (ignorando i filtri, infettando altri dispositivi, installando software non approvato, ecc.) Da un Prompt dei comandi non elevato che non potrebbero fare a meno di questo?

Nessuna rete è completamente sicura, specialmente se i potenziali hacker hanno accesso fisico, ma voglio sapere quanta differenza potrebbe fare il Prompt dei comandi.

Suppongo che PowerShell e programmi di terze parti come Git Bash siano circa lo stesso livello di sicurezza, ma se ci sono differenze significative, sarebbe utile saperlo.

    
posta Leo Wilson 05.12.2018 - 00:49
fonte

2 risposte

5

Non c'è niente che puoi fare con cmd che non puoi fare con nessun altro programma, eccetto eseguire cmd . In questo modo si romperanno alcuni malware che specificatamente tentano di invocare cmd senza ricorrere ad altre shell, ma interromperà anche alcuni software legit che utilizzano funzioni come system o spawns% cmd processi. In generale, cmd non è un obiettivo favorito per i payload di attacco: il suo linguaggio di scripting è debole e una seccatura da codificare, e il powershell molto più capace può ora essere previsto praticamente su tutte le installazioni di Windows - ma è ancora la shell di default e quindi alcune cose lo useranno di default. Se l'autore dell'attacco ha già la possibilità di eseguire un codice arbitrario altro di cmd , la capacità di presenza o assenza di eseguire cmd è di per sé irrilevante.

Se la maggior parte del software è bloccato (anche roba che non ha bisogno dell'amministratore) - cioè, se il software è nella whitelist anziché nella lista nera - allora cmd potrebbe fare la differenza. Facilita alcune cose moderatamente complicate come la creazione di collegamenti simbolici, hardlink e junction (tramite il suo mklink integrato), e il suo linguaggio di scripting, per quanto terribile, è meglio di niente nel caso che powershell , WSH ( cscript o wscript ), e così via sono bloccati e quindi esegue eseguibili arbitrari scaricati, compilati o remoti. Un attacco che voleva fare qualcosa del genere poteva fallire se il sistema era sufficientemente bloccato. Tuttavia, la maggior parte di ciò che cmd può fare è in qualche modo ridondante (e in realtà non può fare molto). Poiché alcuni altri software (come explorer , la shell grafica di Windows) presumibilmente sarebbero ancora disponibili, la maggior parte delle operazioni di shell di base (navigazione nel file system, copia / spostamento / eliminazione di file, avvio di programmi, impostazione di metadati di file, accesso alle variabili d'ambiente, ecc.) sarebbe probabilmente disponibile senza cmd , e allo stesso modo cose come la modifica dei file sarebbero presumibilmente disponibili attraverso notepad o qualche altro editor. L'esecuzione di programmi da riga di comando (come reg , l'utilità del registro della riga di comando) non richiede cmd ; possono essere richiamati (con argomenti arbitrari) da explorer .

    
risposta data 05.12.2018 - 02:38
fonte
-1

Un utente può scaricare mIRC ed eseguire cmd con privilegi di amministrazione tramite un comando / dde, ad esempio.

    
risposta data 05.12.2018 - 00:59
fonte

Leggi altre domande sui tag

Strumento Linux per il monitoraggio dell'attività di rete per applicazione Come faccio a sapere se la mia versione di Ubuntu di Ubuntu è sicura?