Cómo impedir el acceso a la línea de comandos (símbolo de sistema), a la ventana de MS-DOS (cmd.exe) en equipos agregados a un dominio Windows Active Directory. Explicamos cómo crear una directiva y cómo aplicarla a un grupo de usuarios contenidos en una unidad organizativa.

Requisitos para aplicar directiva de seguridad a equipos de un dominio Windows

Los equipos de la organización estarán agregados al dominio del Directorio Activo. Será en dicho dominio donde establezcamos las directivas de seguridad que se aplicarán a todos los equipos. De esta forma tendremos centralizada la seguridad de nuestra organización.

En los siguientes artículos explicamos cómo montar un dominio, un servidor con el rol de Active Directory:

Y en este otro artículo explicamos cómo agregar un equipo al dominio:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Para agregar una nueva directiva, en el caso de un dominio con Winodws Server 2008 (válido para Windows Server 2012, 2016 y 2019), abriremos el «Administrador de directivas de grupo», desde el Panel de control, en «Herramientas administrativas»:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Podremos o bien modificar una directiva existente o bien crear una nueva. A modo de ejemplo crearemos una directiva. Para ello, dentro de nuestro bosque, pulsaremos con el botón derecho sobre «Objetos de directiva de grupo». En el menú emergente elegiremos «Nuevo»:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Estableceremos un nombre para la directiva, por ejemplo «Directiva_Usuarios» y pulsaremos «Aceptar»:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Una vez creada pulsaremos con el botón derecho del ratón sobre ella y elegiremos «Editar»:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Cuando queramos aplicar alguna acción en la directiva, debemos saber de antemano si la aplicación será para el usuario (User) o para el equipo (Computer). De esta forma nos iremos a la rama en cuestión dentro del editor de directivas. Para el caso de la directiva que impide abrir ventanas de Símbolo de sistema (prompt, shell de comandos, MS-DOS), nos iremos a la rama del usuario (Configuración de usuario). Por lo tanto desplegaremos «Configuración de usuario» [1], luego «Directivas» [2], a continuación «Plantillas administrativas …» [3] y pulsaremos en la rama «Sistema» [4]. Dentro de esta rama encontraremos la directiva:

Impedir el acceso al símbolo del sistema

Por defecto tendrá el valor «No configurada». Haremos doble clic sobre ella para editarla [5]:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Para habilitarla y evitar que los usuarios puedan abrir el cmd.exe (Símbolo de sistema) marcaremos «Habilitar». Además, de forma adicional, esta directiva nos permite impedir la ejecución de script eligiendo en el desplegable «Sí». Si elegimos «Sí» y tenemos algún script en el inicio, no se ejecutarán:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Una vez establecida la directiva, cerraremos la ventana de edición de la directiva y la aplicaremos a las unidades organizativas o a los equipos que deseemos. Por ejemplo, para aplicarla a los usuarios de la unidad organizativa «uoPruebas_Directivas», pulsaremos con el botón derecho del ratón sobre ella y en el menú emergente elegiremos «Vincular un GPO existente…»:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Elegiremos la directiva creada anteriormente «Directiva_Usuarios»:

Agregar nueva directiva en dominio que impida la apertura de la ventana de Símbolo de Sistema (MS-DOS, shell de comandos, promt)

Si en la directiva también se ha usado la rama de equipo («Configuración de equipo») deberemos vincularla también al grupo de equipos que deseemos, igual que hemos hecho para el grupo de usuarios (Unidad Organizativa).

Comprobar aplicación de directiva en equipo Windows cliente del dominio

Una vez aplicada a un grupo de usuarios (y de equipos si es preciso), podremos comprobar que funciona correctamente. Accederemos a alguno de los equipos a los que se haya aplicado la directiva, con un usuario al que se le haya aplicado la directiva. Es posible que haya que reiniciar el equipo (dependiendo de las directivas aplicadas), aveces incluso hay que reiniciarlo un par de veces para que se apliquen. También se puede forzar su aplicación ejecutando el comando:

gpupdate /force

comprobaremos que ya no tiene acceso al Símbolo de sistema:

Comprobar aplicación de directiva en equipo Windows cliente del dominio

Y si queremos comprobar si la directiva creada se está aplicando para el usuario podemos ejecutar el comando:

gpresult /r

Comprobar aplicación de directiva en equipo Windows cliente del dominio

Una vez que la directiva se aplique, que puede tardar unos minutos en función del número de servidores del dominio y de la velocidad entre ellos, cuando un usuario intente abrir una ventana de MS-DOS (Símbolo de sistema):

Comprobar aplicación de directiva en equipo Windows cliente del dominio

Nos mostrará el mensaje:

«El administrador ha deshabilitado el símbolo del sistema.»

Comprobar aplicación de directiva en equipo Windows cliente del dominio