限制哪些程序可以在 Windows 11 系统上运行可以防止未经授权的软件、降低恶意软件风险并提高对组织策略的合规性。管理员和家庭用户可以通过多种内置 Windows 功能和管理工具将白名单(仅允许指定的应用程序)或黑名单(阻止特定的应用程序)列入其中来实现此目的。最有效的方法是利用应用程序白名单,它只允许批准的应用程序,同时阻止所有其他应用程序,但也有用于黑名单和管理应用程序访问的有针对性的方法。

使用 AppLocker 将程序列入白名单AppLocker 适用于 Windows 11 专业版、企业版和教育版。它允许管理员定义允许或阻止哪些可执行文件、安装程序包、脚本和打包应用程序。对于需要严格控制应用程序使用的组织或任何人来说,此方法非常有效。

步骤一:打开本地安全策略工具。按Windows键、类型secpol.msc,然后按Enter。这将启动本地安全策略编辑器。

步骤2:在左侧窗格中,展开应用程序控制策略并选择应用锁。将出现四种规则类型:可执行规则、Windows 安装程序规则、脚本规则和打包应用程序规则。

步骤3:右键单击可执行规则并选择创建默认规则允许标准 Windows 应用程序并阻止所有其他应用程序。要进行更精细的控制,请再次右键单击并选择自动生成规则,然后指定文件夹(例如C:\Program Files)包含您想要允许的应用程序。该向导将为这些目录中找到的所有程序创建规则。

第4步:要阻止或允许其他程序,请右键单击相关规则类型并选择创建新规则。按照向导指定程序的路径、发布者或文件哈希,并将操作设置为允许或者否定.

第5步:确保应用程序身份服务正在运行。打开services.msc, 寻找应用程序身份,双击它,然后单击开始。将启动类型设置为自动的如果您希望在每次重新启动时强制执行规则。

配置AppLocker后,只有列入白名单的程序才能运行。尝试启动被阻止或未列出的应用程序会导致系统管理员错误消息。

使用组策略将程序列入黑名单如果您想要阻止特定应用程序但允许其他应用程序,请使用组策略编辑器中的“不运行指定的 Windows 应用程序”策略。这种方法适合有针对性的限制,而不是广泛的封锁。

步骤一:按打开组策略编辑器Windows+R, 打字gpedit.msc,并按Enter.

步骤2:导航至用户配置 > 管理模板 > 系统,然后双击不运行指定的 Windows 应用程序.

步骤3:将策略设置为启用,然后单击展示并输入您要阻止的可执行文件的名称(例如,notepad.exe或者firefox.exe).

第4步:点击好的应用设置。现在将针对此策略所针对的用户或组阻止指定的应用程序。

使用软件限制策略将程序列入白名单软件限制策略 (SRP) 提供了另一种控制应用程序执行的选项。此功能在 Windows 专业版和企业版中可用,并通过本地安全策略编辑器进行管理。

步骤一:启动本地安全策略工具(secpol.msc).

步骤2:扩张软件限制策略在左窗格中。如果不存在策略,请右键单击并选择创建新政策.

步骤3:将默认安全级别设置为不允许因此,除了您明确允许的程序之外,所有程序都会被阻止。

第4步:在下面附加规则, 创造小路,哈希值, 或者证书您想要允许的每个应用程序或文件夹的规则。

此方法对于基本白名单有效,但 AppLocker 更灵活,建议用于较新的 Windows 版本。

使用 Microsoft Intune 管理应用程序使用 Microsoft Intune 的组织可以跨托管设备实施应用程序限制。 Intune 策略可以定义哪些应用程序被批准安装并阻止其他应用程序,并且可以与 AppLocker 和 Windows Defender 应用程序控制 (WDAC) 集成以实现高级方案。

步骤一:在 Microsoft Endpoint Manager 管理中心中,转到应用程序 > 应用程序保护策略定义批准的应用程序。

步骤2:使用端点安全 > 减少攻击面为 Windows 设备设置应用程序控制或浏览器控制策略。

步骤3:如需更精细的限制,请在 Intune 中配置 AppLocker 或 WDAC 策略并将其部署到目标设备或用户。

第4步:要阻止来自 Microsoft Store 的非管理员安装,请设置阻止非管理员用户安装政策或使用仅需要私人商店注册表项。这可以防止没有管理员权限的用户安装商店应用程序,但强制执行可能会因应用程序源和 Windows 版本而异。

笔记:某些 Microsoft Store 应用和基于 Web 的安装程序可能会绕过这些限制。在这种情况下,请考虑将应用程序控制策略与网络级阻止(例如,阻止apps.microsoft.com在您的防火墙或代理中)。

一些免费和商业工具为白名单或黑名单应用程序提供了附加选项:

NoVirus感谢驱动程序雷达专业版:控制可以加载哪些内核驱动程序并允许详细的应用程序白名单。VoodooShield(现为 Cyber​​lock):拍摄已安装应用程序的快照并阻止任何新内容,除非明确允许。AirDroid商务版:为组织提供集中的应用程序允许列表/阻止列表管理。加密预防:为受信任的程序添加白名单条目,尤其是那些需要从通常被反恶意软件工具阻止的目录运行的程序。这些工具可以补充或在某些情况下取代内置的 Windows 功能,特别是对于家庭用户或小型企业。

管理 Microsoft Store 应用程序安装Windows 11 允许用户从 Microsoft Store 或直接从apps.microsoft.com。单独阻止应用商店应用程序并不总是足够的,因为基于 Web 的安装程序可能会绕过限制。限制安装:

放仅需要私人商店通过 Intune、组策略或注册表来限制应用程序安装到组织的私人商店。使能够阻止非管理员用户安装防止标准用户安装商店应用程序。考虑禁用安装服务(安装 Microsoft Store 服务)以中断商店应用程序的安装过程。阻止访问apps.microsoft.com在受管设备的网络级别。由于 Microsoft Store 交付方法不断发生变化,请彻底测试这些设置,以确认它们会阻止不需要的安装,而不会中断已批准的工作流程。

可以通过 AppLocker、软件限制策略和 Intune 等内置工具以及第三方解决方案来控制 Windows 11 中的应用程序访问。定期检查您的允许列表和阻止列表,以确保您的系统安全并保持最新状态。