Deshabilitar acceso a consola CMD o Powershell a usuarios Citrix
Hoy os quiero enseñar como restringir o deshabilitar el acceso al Powershell, CMD u otro ejecutable que te interese no sea lanzado en un servidor de XenApp.
Esto es bastante importante si queréis securizar parte del sistema operativo. Si queréis más detalles, podéis ver la guía de hardening para XenApp que ya elaboré en otra entrada.
Existen dos formas fáciles de gestionar esto. La forma más cómoda para casi todos los entornos es utilizar una GPO:
La GPO tendría las siguientes características:
“User Configuration” > “Administrative Templates“ > “System“ > “Don’t run specified Windows applications“
Le das ENABLE. Y metes todos los ejecutables que te interesan: cmd.exe, powershell.exe, PowerShell_
Lo que le aparecerá al usuario que intente lanzar un ejecutable de la lista es algo así:
Esto está muy bien para todos los casos, pero si por necesidades o formas de trabajar prefieres hacerlo sobre la plantilla de las VDAs, puedes pasarlo a través de una clave de registro (siempre viene bien ahorrar GPOs en los logon de los usuarios):
HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Policies > Explorer > DisallowRun
- Ahora simplemente agregamos claves DWORD 32BITS Value y como valor un ejecutable por clave.
Espero os parezca interesante.
La entrada Deshabilitar acceso a consola CMD o Powershell a usuarios Citrix se publicó primero en VMware Citrix Blog.