我是新来的 Tier2,Tier3 要求我尝试编写一个脚本来从学生电脑中删除 curl 命令,这可能吗?我应该建议通过 AD 组策略禁用 curl 吗?
答案1
当禁用对此类工具的访问时,我通常发现 AppLocker 是最简单的解决方案。这应该允许您部署禁用对 curl 可执行文件的访问的组策略。
您可以在此处阅读有关 AppLock 的更多信息以及如何开始使用它https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
答案2
该文件C:\Windows\System32\curl.exe
是硬链接C:\Windows\WinSxS\amd64_curl_31bf3856ad364e35_10.0.22621.2715_none_5e318ce098d997d8\curl.exe
(您的架构、哈希和版本可能会有所不同,具体取决于 Windows 版本以及它是否是最新的)。
删除该文件将破坏将来的 Windows 更新,除非您能够将硬链接恢复到您删除的确切版本,因此除非禁用更新(这本身甚至比从系统目录中随机删除文件更不推荐),否则不建议删除它。
删除内置版本curl.exe
只能解决一半的问题。用户仍然可以从互联网上下载它或将其放在 U 盘上(如果不行,甚至可以下载源代码并使用 Visual Studio Community 进行编译)。
因此,阻止其使用的唯一正确方法是制定一个 AppLocker 策略,将应用程序列入白名单并阻止所有其他应用程序,而制定这样的策略是无法在这里解释的。