Вопрос или проблема
На компьютере с Windows 11, присоединённом к домену, пользователь домена получает предупреждение “Эта программа заблокирована групповыми политиками. Для получения дополнительной информации свяжитесь с вашим системным администратором”, когда он/она открывает cmd и пытается выполнить команды nslookup или tracert. Пользователь может выполнять другие команды, такие как ping или ipconfig, в той же сессии cmd.
Какое значение в GPO нужно установить, чтобы отключить такие команды?
Спасибо.
Ответ или решение
Когда на компьютере под управлением Windows 11, присоединенном к домену, пользователь пытается выполнить команды nslookup или tracert и получает сообщение об ошибке "Эта программа заблокирована групповой политикой. Дополнительную информацию получите у системного администратора", это указывает на ограничения, установленные через групповую политику (GPO).
Причины блокировки
Данные команды, nslookup и tracert, используются для диагностики сетевых проблем. Однако в некоторых организациях может быть политика безопасности, которая ограничивает их использование, чтобы предотвратить потенциальные риски, связанные с утечкой информации или неправильной конфигурацией сетей. Поскольку команды ping и ipconfig продолжают работать, это указывает на то, что проблема связана лишь с определёнными привилегиями для выполнения этих конкретных команд.
Настройки GPO для блокировки команд
Для ограничения доступа к указанным командам GPO может использовать следующие параметры:
-
Заблокировать запуск программ: В администраторской консоли GPO, перейдите к:
- Конфигурация компьютера → Политики → Windows Настройки → Настройки безопасности → Ограничения исполнения программ.
Здесь вы можете добавить команды nslookup и tracert в список заблокированных программ.
- Конфигурация компьютера → Политики → Windows Настройки → Настройки безопасности → Ограничения исполнения программ.
-
Политика контроля доступа для приложений: Рассмотрение методов контроля доступа может также включать использование режима ограничений. Это может помешать пользователям запускать неопознанные команды, включая nslookup и tracert, если они не включены в разрешенный список программ.
-
Добавление в список запрещённых команд: Можете также использовать параметр "Настройки учётной записи" для указания команд, которые не могут выполняться. Эта опция позволяет более точно контролировать исполняемые приложения.
Как снять блокировку
Если у вас есть соответствующие разрешения и доступ к GPO, изменить или отменить блокировку можно следующим образом:
- Откройте редактор управления групповыми политиками (
gpedit.msc). - Найдите соответствующую политику, которая ограничивает выполнение nslookup и tracert.
- Измените настройки, разрешив использование этих команд для конкретной группы пользователей или для всех пользователей домена.
Опция «Запуск запрещенных программ» должна быть настроена на "Не настроена" или "Разрешить", в зависимости от ваших требований.
Заключение
Используя настройки групповой политики, вы можете легко контролировать доступ к определённым командам на компьютерах в вашей сети. Для эффективного управления параметрами безопасности важно понимать, какие команды необходимы для работы пользователей и какие потенциальные угрозы могут возникнуть от неограниченного доступа к сетевым инструментам. Если требуется дополнительная информация или помощь в настройке GPO, рекомендуется обратиться к вашему системному администратору или специалисту по безопасности.