Як заборонити запуск командного рядка для користувачів Windows
Покрокова інструкція як заблокувати CMD для звичайних користувачів через групову політику і реєстр Windows.
Командний рядок дає змогу обходити частину обмежень Windows і виконувати потенційно небезпечні команди. У корпоративному середовищі доступ до CMD для рядових користувачів краще закрити.
Спосіб 1: Через групову політику
Крок 1. Win + R → gpedit.msc → Enter.
Крок 2. Перейди:
Конфігурація користувача
→ Адміністративні шаблони
→ Система
Крок 3. Знайди параметр Заборонити доступ до командного рядка → двічі клікни.
Крок 4. Вибери Включено.
Крок 5. Внизу є додаткове питання: Чи заборонити також обробку командного файлу скрипту?
- Так — повністю блокує CMD і
.batфайли - Ні — блокує тільки інтерактивний CMD, скрипти працюють
Рекомендую Так для максимального захисту.
Крок 6. OK → перезавантаж або виконай:
gpupdate /force
Спосіб 2: Через реєстр
Відкрий regedit і перейди:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System
Якщо папки System немає — створи її.
Створи параметр:
- Тип: DWORD (32-bit)
- Ім'я:
DisableCMD - Значення:
1— блокує CMD і скрипти,2— тільки CMD
Або через CMD від адміністратора:
reg add "HKCU\SOFTWARE\Policies\Microsoft\Windows\System" /v DisableCMD /t REG_DWORD /d 1 /f
Щоб застосувати до всіх користувачів — використай HKLM замість HKCU.
Перевірка
Вийди з облікового запису адміністратора і зайди як звичайний користувач. Спробуй запустити CMD — має з'явитись повідомлення:
"Системний адміністратор заблокував цей застосунок. Зверніться до системного адміністратора."
Як скасувати
Поверни значення параметра DisableCMD на 0 або видали його. Або в gpedit.msc встанови Не задано.
Важливо
Ця заборона не поширюється на PowerShell. Якщо потрібно заблокувати і PowerShell — читай статтю Як заборонити запуск PowerShell через групову політику.