需将Windows 11应用来源设为仅Microsoft Store,并启用SmartScreen、禁用管理员绕过、清理已有非商店应用。具体包括:一、设置获取应用位置为“仅Microsoft Store”;二、开启SmartScreen的“检查应用和文件”及“在应用安装时进行检查”;三、通过组策略启用“禁止用户安装”并可选禁用脚本运行;四、在已安装应用中按安装日期排序,识别并卸载来源为“未知发布者”“未签名”或“来自此设备”的程序。
如果您希望增强系统安全性,限制仅能从 Microsoft Store 安装应用,则需调整 Windows 11 的应用获取来源策略。以下是实现该防护目标的具体操作步骤:
一、设置为仅允许 Microsoft Store 应用
此设置将强制系统阻止所有非 Microsoft Store 签名的应用安装行为,包括 .exe 和 .msi 文件的双击运行提示,是提升终端防护等级的核心手段。
1、按下键盘上的 Win 键,点击任务栏左下角的 Windows 开始图标。
2、在开始菜单中,点击 设置(齿轮图标)。
3、在设置窗口左侧边栏中,点击 应用。
4、在右侧页面中,点击 应用和功能。
5、向下滚动至 获取应用的位置 区域,点击其右侧的下拉箭头。
6、从选项中选择 仅 Microsoft Store(推荐)。
二、启用 SmartScreen 应用安装拦截
Windows Defender SmartScreen 在应用安装阶段提供实时信誉验证,可补充来源限制策略,对绕过设置的可疑安装包进行二次阻断。
1、打开 设置 > 隐私与安全性 > Windows 安全中心。
2、点击 应用与浏览器控制。
3、在“基于声誉的保护”区域,确保 检查应用和文件 处于开启状态。
4、点击 基于声誉的保护设置,确认“在应用安装时进行检查”已启用。
三、禁用本地管理员绕过安装限制
即使设置了仅限商店来源,拥有本地管理员权限的用户仍可通过命令行或 PowerShell 强制安装外部应用。关闭相关执行路径可封堵该漏洞。
1、按下 Win + R 打开运行窗口,输入 gpedit.msc 并回车(仅限专业版/企业版)。
2、导航至 计算机配置 > 管理模板 > Windows 组件 > Windows Installer。
3、双击 禁止用户安装,设置为“已启用”。
4、继续导航至 计算机配置 > 管理模板 > 系统 > 脚本,启用 防止运行脚本(可选,针对 PowerShell/.bat 绕过)。
四、审核并移除已有非商店应用
已安装的非 Microsoft Store 应用不受新策略约束,但可能持续调用高风险 API 或驻留后台进程,需主动识别并清理以完成防护闭环。
1、进入 设置 > 应用 > 已安装的应用。
2、点击右上角 排序方式 > 安装日期,快速定位近期手动安装的程序。
3、逐个查看应用详情页中的 来源信息:若显示“未知发布者”“未签名”或“来自此设备”,则不属于商店分发渠道。
4、对确认为外部来源的应用,点击右侧三个点,选择 卸载。
