最可靠方式是通过windows defender防火墙配置出站阻止规则:一、按程序路径创建精确拦截;二、按端口批量阻断;三、uwp应用通过隐私设置禁用后台联网;四、结合安全中心强化防护;五、验证规则启用状态及作用域。
如果您希望阻止某个程序在 Windows 10 中访问互联网,最可靠且系统原生的方式是通过 Windows Defender 防火墙配置出站规则。该操作将直接拦截目标程序主动发起的所有网络连接请求,适用于桌面应用程序(.exe)和部分服务进程。以下是多种可行的设置方法:
一、使用高级安全防火墙创建程序级出站阻止规则
该方法通过精确指定可执行文件路径来建立阻止策略,规则生效后,该程序无法发送任何数据包至外部网络,包括检查更新、上传日志或连接远程服务器。
1、按下 Win + R 组合键,输入 wf.msc 并回车,打开“高级安全 Windows Defender 防火墙”管理控制台。
2、在左侧面板中点击 出站规则,右侧操作栏点击 新建规则… 启动向导。
3、在“规则类型”界面选择 程序,点击“下一步”。
4、选择 此程序路径,点击“浏览”,定位并选中目标程序的主可执行文件(例如 C:\Program Files\Thunder\Program\Thunder.exe)。
5、点击“下一步”,在“操作”界面明确选择 阻止连接,再点击“下一步”。
6、在“配置文件”界面,务必勾选“域”、“专用”、“公用”三项,确保规则在所有网络环境下均强制生效。
7、在“名称”栏输入具有辨识度的规则名,例如 禁止迅雷主动联网,完成后点击“完成”。
二、按端口创建全局出站拦截规则
当目标软件使用固定通信端口(如 QQ 语音常用 UDP 8000、Teams 使用 TCP 443/UDP 3478),或存在多个子进程难以逐个定位时,封锁端口可实现批量阻断,且不影响其他程序使用不同端口的正常通信。
1、打开 高级安全 Windows Defender 防火墙(运行 wf.msc)。
2、在左侧面板点击 出站规则,右侧点击 新建规则…。
3、选择规则类型为 端口,点击“下一步”。
4、选择协议类型(TCP 或 UDP),并在“特定远程端口”栏中输入需拦截的端口号(例如 8000 或 3478-3480)。
5、在“操作”界面选择 阻止连接,点击“下一步”。
6、在“配置文件”界面,勾选 域、专用、公用 全部三项。
7、为规则命名,例如 阻止UDP 3478出站,点击“完成”。
三、通过系统隐私设置限制 UWP 应用后台联网
对于从 Microsoft Store 安装的通用 Windows 平台(UWP)应用,其后台活动受系统统一管控;关闭后台权限可有效终止其非交互状态下的网络请求,如自动同步、推送接收等。
1、点击“开始”菜单,选择 设置(齿轮图标)。
2、进入 隐私与安全性 → 后台应用。
3、将顶部开关 “让应用在后台运行” 设置为 关,实现全局禁用。
4、如需单独控制,向下滚动至应用列表,在对应 UWP 应用(如“天气”“邮件”)右侧将其开关设为 关。
四、利用 Windows 安全中心快速启用基础出站拦截
该方式虽不提供程序级精细控制,但可通过禁用“允许应用通过防火墙”的默认放行机制,配合显式阻止规则形成双重防护,尤其适合对系统安全性要求较高的环境。
1、按 Win + I 打开设置,进入 更新与安全 → Windows 安全中心。
2、点击左侧 防火墙和网络保护,右侧选择当前网络类型(如“专用网络”)。
3、向下滚动至 “阻止所有传入连接,包括允许的应用列表中的那些连接”,确认该选项 未被勾选(避免误封合法入站响应)。
4、返回上一级,点击 高级设置 进入 wf.msc 界面,结合前述方法一或方法二添加出站阻止规则。
五、验证规则是否生效并排查冲突
新规则创建后需确认其实际作用效果,并排除因优先级覆盖或配置遗漏导致的失效情况。Windows 防火墙遵循“显式阻止规则优先于任何允许规则”的原则,因此必须确保无更高优先级的允许规则抵消阻止效果。
1、在 高级安全 Windows Defender 防火墙 的“出站规则”列表中,查找刚创建的规则,确认其状态列为 已启用。
2、右键该规则,选择 属性,切换到“常规”选项卡,确认“已启用”复选框被勾选。
3、切换到“作用域”选项卡,检查“远程 IP 地址”是否设置为 任何 IP 地址(即默认值),避免范围限定导致漏拦。
4、在“高级”选项卡中,确认“配置文件”下方三项(域、专用、公用)均显示为 已启用。
5、若仍能联网,右键全部出站规则 → 按启用状态排序,查找是否存在名称含“Core Networking”“Base Filtering Engine”等系统级允许规则,其作用范围可能覆盖目标程序。
