作为常年跟Windows CI/CD打交道的人，我太懂你说的批处理退出码坑了！要彻底禁止.bat/.cmd脚本执行，不管是直接跑还是通过其他程序间接调用，这里有几个实用的方案，你可以根据自己的CI环境选：

1. 从根源下手：限制cmd.exe的执行权限 #

批处理脚本本质上是由cmd.exe解释执行的，所以只要把CI/CD运行用户对cmd.exe的执行权限砍掉，不管谁调用都会失败。

• 首先找到两个关键路径的cmd.exe：C:\Windows\System32\cmd.exe（64位）和C:\Windows\SysWOW64\cmd.exe（32位）
• 用icacls命令给CI专用的服务账号添加拒绝执行权限：

  icacls "C:\Windows\System32\cmd.exe" /deny "CI_SERVICE_USER:(X)"
  icacls "C:\Windows\SysWOW64\cmd.exe" /deny "CI_SERVICE_USER:(X)"
  

• 这个方法简单粗暴且有效，不管是直接双击批处理、还是Python/make调用cmd /c xxx.bat，都会因为权限不足直接报错退出。唯一要注意的是，确保CI账号是专门的服务账号，别影响系统其他进程（CI环境一般都是隔离的，风险很低）。

2. 替换cmd.exe为自定义拦截程序 #

如果你想更友好地给出错误提示，可以写一个极简的控制台程序，逻辑就是：被调用时直接输出禁止提示，然后返回非0错误码。

• 先备份原cmd.exe（比如重命名为cmd_original.exe）
• 把你的自定义程序编译后重命名为cmd.exe，替换到System32和SysWOW64目录下
• 这样任何触发批处理执行的操作都会调用这个拦截程序，直接输出类似“批处理脚本执行已被CI/CD流水线禁止”的提示，并返回失败码。
• 注意：这个操作需要管理员权限，而且一定要备份原文件，适合一次性构建机或者完全隔离的CI环境，避免影响系统本身的正常运行。

3. 组策略批量管控（适合CI集群） #

如果你管理的是多台CI机器，可以用组策略的软件限制策略来统一禁止：

• 打开组策略编辑器，找到「计算机配置」→「Windows设置」→「安全设置」→「软件限制策略」
• 新建路径规则，把C:\Windows\System32\cmd.exe、C:\Windows\SysWOW64\cmd.exe以及.bat、.cmd扩展名都设置为「不允许的」
• 这个方法能批量应用到整个CI集群，适合企业级的规模化管理，而且能从系统层面拦截所有执行入口。

4. PowerShell会话级拦截（辅助补充） #

如果你的CI作业主要在PowerShell会话中运行，可以通过自定义函数来拦截直接调用cmd的行为：

function cmd {
    Write-Error "批处理脚本执行已被CI/CD流水线禁止"
    exit 1
}

把这个函数加到PowerShell的启动脚本（比如profile.ps1）里，这样在当前会话中任何调用cmd的命令都会直接报错退出。不过这个方法只能拦截PowerShell内的直接调用，没法阻止其他程序（比如Python）调用系统cmd，所以建议配合前面的方法一起用。

最后提醒一下：不管用哪个方案，一定要先在测试环境验证，确保不会影响CI流水线里的其他必要操作（比如有些工具可能依赖cmd做轻量执行），再推到生产环境。

备注：内容来源于stack exchange，提问作者warchantua