Как отключить возможность запуска командной строки на экране блокировки windows 11?
Здравствуйте.
Ребёнок (у которого свой юзер) благодаря интеренетам нагуглил способ запуска командной строки прямо на экране блокировки. Сделал он это через назначение действия на залипание клавиш в спец возможностях. При этом консоль запускается от пользователя система со всеми возможностями. Он оттуда может права себе повысить до админских и запустить любой экзешник (например запускает майнкрайт, который просто открывается в окне...), создать себе пользователя, а потом удалить. В общем полный треш...
Пробовал заблокировать запуск консоли через политики - не работает. Настройки спец возможностей привязываются к пользователю и не требуют админских прав. Как удалить/скрыть сами спец возможности я так и не нашёл.
В общем полный мрак.
От установки линуксов держит несколько программ, которые есть только на винде. Но пока это видится единственным вариантом.
Надеюсь на помощь сообщества, так как гугел бессилен, ну или я не знаю что гуглить...
Настройки спец возможностей привязываются к пользователю и не требуют админских прав
Ага, только к обозначенному эксплойту это никакого отношения не имеет. Эксплойт заключается в подмене sethc.exe или utilman.exe на cmd.exe. Сделать это можно, только имея права администратора, загрузочную/установочную флешку с виндой (ну или по вкусу, главное чтобы с ntfs умело работать), либо вызвав среду восстановления.
Соответственно, методов борьбы с этим всего два: пароль на запуск в биосе, что ненадёжно, либо битлокер
Это прямо косяк от microsoft )) Мне кажется или совершая любые действия от админа, консоль должна запросить пароль.
Вот у меня есть две учетной записи.
Одна для работы, а другая для домашних дел.
Та которая для домашних дел является админской, а та которая для работы - нет.
Если я в рабочей учетки хочу удалить что либо или запустить от имени админа, я обязан ввести пароль.
Так что ваш ребенок, скорее всего, знает пароль от системного аккаунта или у вас ломаная винда.
Refguser, ТС не понимает, что сделал его сообразительный сын. Сына похвалить, папе учиться гуглить.
Флешку надо вставить один раз, либо вызвать WinRE один раз, подменить указанные экзешники, и спокойно вызывать cmd с экрана входа пользователя. Пятикратное нажатие шифта в норме вызывает sethc.exe, но если он подменён на cmd.exe, то система послушно вызывает его. С utilman.exe та же петрушка, только вызывается кнопкой на экране (в вин7 то точно, в вин10 не проверял работает ли), а не нажатием шифта. Вызывается cmd с экрана входа пользователя от имени NT AUTHORITY\SYSTEM , что логично, потому что больше не от кого. Вроде бы есть возможность вызывать приложения на экране входа пользователя от других пользователей или системных учётных записей, но там какая-то сложная чёрная магия, о которой я уже ничего не знаю.
Vitsliputsli, если у тебя есть физический доступ к машине, и данные на ней не зашифрованы, то у тебя полностью развязаны руки вне зависимости от настроек, ОС, заговоров и магических печатей (хотя магическая эпоксидка в usb портах и магический замок с ключом на корпусе иногда могут помочь). Это ровно та причина, по которой мс уже полтора десятка лет ничуть не волнует этот экслойт. Либо у пользователя нет прав админа, машина в домене, и диск зашифрофан с хранением ключа в AD, либо "а какого лешего вы от нас хотите?". Латать этот эксплойт просто нет смысла, потому что при тех условиях, при которых его можно эксплуатировать - можно эксплуатировать много чего ещё помимо него.
Ziptar, я правильно понял, что если зашифровать диск и вернуть на место sethc.exe в нормальном виде, то загрузка с установочной флешки не даст больше возможности подменить файлы?
Максим Барулин, в общем и целом да. Но надо проконтролировать, чтобы пользователь не мог получить ключ восстановления/разблокировки шифрованного диска. Я не знаю как это работает в случае с пользователями без прав администратора, поскольку никогда не сталкивался с необходимостью шифровать диски в таком сценарии. Явно не подходит хранение ключа на флешке, он там пишется в открытом виде. Хранение ключа с защитой TPM под вопросом, не могу точно сказать. Кажется, WinRE в любом случае запросит ключ восстановления при таком сценарии. Во всяком случае, WinRE точно просит ключ восстановления, если ключ защищён TPM + пин кодом, но пин-код надо вводить каждый раз при включении ПК. Это если TPM вообще есть. Так-то он в РФ по-моему до сих пор запрещён, как отдельный аппаратный модуль. Но в современных процах есть программная его эмуляция.
Кроме этого, бэкап всех важных данных, потому что похерить шифрованный диск довольно просто. И, конечно, хранить ключ восстановления в надёжном месте. Лучше в распечатке на самой что ни на есть бумажной бумаге.
Максим Барулин, лучше sfc /scannow, это вернет все файлы в исходное состояние, правда есть еще способы в реестре покопаться, там сложнее,и приготовьтесь дать windows установочный cdrom (хотя бы на флешке его развернуть простым архиватором) и приготовиться заново устанавливать обновления,.. некоторые тяжелые пакеты приложений типа ms office, autocad и т.п. могут пожелать так же себя 'восстановить' в общем занятие на часы, для слабой машины
другого красивого способа восстановить после неизвестных шалостей я не знаю
rPman, не надо плодить сущности сверх необходимого. Если боязно качать файлы из интернетов, что, конечно, правильно, то качаем образ винды с сайта мс, монтируем, открываем sources\install.wim архиватором (7zip умеет, winrar не знаю, но скорее всего тоже умеет), идём в любую номерную папку\Windows\System32, достаём оттуда нужные файлы, копируем в C:\Windows\System32, выставляем права по аналогии с другими экзешниками там же (тот же cmd.exe взять за образец, там одинаковые права), не забывая про владельца TrustedInstaller (NT SERVICE\TrustedInstaller). Обновляются эти две утилиты редко, и если на ОС автора не отрублены обновления, то проблем с совместимостью не будет. А так то сын мог и просто копии этих файлов сделать рядышком, как рекомендует каждый первый гайд по теме в этих наших интернетах, и тогда вся эта возня вообще не нужна.
rPman, нет, он несколько не так работает :) Не буду утверждать, что он не может восстановить означенные утилиты - точно не знаю, но ни sfc, ни dism не всесильны, и проверяют не всё. ЧТО копировать по сабжу, в общем, и так понятно.
ky0, организационная была бы если бы у ребёнка был свой комп, а у нас он общий. Приходится , когда уходим блокировать интернет на компе через роутер.
Пользователь у ребёнка без админских прав. Был. Пока он не начал себе их выдавать через консольку...
Простой
