Win防止360等静默安装

什么是 AppLocker？

AppLocker 是 Windows 10、Windows 11 和 Windows Server 版本中内置的应用程序控制功能 。它允许您定义规则，明确允许或拒绝特定应用程序和文件的执行 。

AppLocker 可以控制以下文件类型等：

可执行文件（.exe） 脚本（.ps1、.vbs、.js、.bat、.cmd） Windows 安装程序文件（.msi、.msp、.mst） 动态链接库（.dll） 打包应用程序（Microsoft Store 应用）

规则可以基于以下属性定义：

发布者：应用程序的数字签名。 文件哈希：文件的加密哈希值。 路径：应用程序在磁盘上的位置。

规则可以应用于计算机上的所有用户，或特定的个人用户和安全组 。

AppLocker 规则强制执行的基本原则

一旦为特定规则集合（例如，可执行规则、脚本规则）定义了任何规则，AppLocker 将采用“白名单”模型运行。这意味着，只有规则中明确允许的文件才允许运行。该集合中的所有其他应用程序都会被隐式阻止 。

因此，在创建任何特定阻止规则之前，必须创建默认的允许规则，以确保 Windows 系统文件和常用程序能够正常运行 。

如何使用 AppLocker 限制应用程序运行

以下是配置 AppLocker 以阻止应用程序在计算机上运行的分步指南：

1. 先决条件

操作系统支持：AppLocker 策略可以在 Windows 10、Windows 11 和受支持的 Windows Server 版本上配置和应用 。

Windows 家庭版注意事项：虽然现在可以在家庭版上强制执行策略，但本地安全策略组策略编辑器（secpol.msc）在 Windows 家庭版中默认不可用。需要通过变通方法（例如使用 DISM 命令）来启用它。（很不幸，我搜遍全网却依旧没能找到替代方案，此方案由Gemini生成）

管理权限：配置 AppLocker 需要本地计算机或域的管理权限。

2. 打开本地安全策略编辑器

按Win+R打开“运行”对话框，键入：secpol.msc，然后按 Enter 。

3. 配置 AppLocker 规则强制执行

在创建特定规则之前，必须为所需的规则集合启用 AppLocker 强制执行。

• 在本地安全策略编辑器中，展开应用程序控制策略 > AppLocker。

• 单击左侧窗格中的 AppLocker，然后单击右侧的“配置规则强制”。

• 在AppLocker属性窗口中，选中“可执行规则”下“已配置”旁边的框，然后单击“确定”。

4. 创建默认规则以防止意外系统锁定

为任何规则集合创建规则后，AppLocker将隐式 阻止所有未明确允许的应用程序。为防止系统锁定，必须创建默认规则。

• 导航到 AppLocker > 封装应用规则。右键单击并选择“创建默认规则”。

• 导航到 AppLocker > 可执行规则。右键单击并选择“创建默认规则”。

5. 创建特定“拒绝”规则以阻止应用程序或文件夹

先左键单击“可执行规则”，再右键单击“可执行规则”，然后选择“创建新规则”。

开始之前：单击“下一页”。

权限：选择“拒绝”操作。单击“选择”以选择要应用规则的用户或组（默认Everyone），接着单击“下一页” 。

条件：选择条件类型 。

如果您想禁止指定路径下的文件或者文件夹，则选择路径（本教程以此为例，剩下两种可自行查看选择时详尽的提示）; 如果您想禁止指定开发者（例如，360公司的软件），则选择发布者 ; 如果您想禁止指定程序，则选择文件哈希。

路径选择：单击“浏览文件”以选择特定的可执行文件，或“浏览文件夹”以阻止目录中的所有可执行文件。选择文件夹将阻止其中所有可执行文件运行。单击“下一页”。

例外：在此页上，您可以定义规则的例外。如果不需要例外，请保留默认值。单击“下一页” 。

名称和描述：为规则输入自定义名称（例如，“阻止XX游戏”）。单击“创建”。

您可以重复此过程以添加更多要阻止的应用程序或文件夹。

6.确保“AppLocker”服务正在运行

打开管理员命令提示符： 点击“开始”菜单，输入 cmd。 在搜索结果中找到“命令提示符”，右键点击它，然后选择“以管理员身份运行”。

设置服务为自动启动： 输入以下命令并按回车键：

 sc config AppIDSvc start= auto

这条命令会将 “Application Identity” 服务的启动类型设置为“自动”。

立即启动服务： 输入以下命令并按回车键：（这条命令会立即启动该服务。如果服务已经在运行，系统会提示你服务已启动。）

 net start "AppIDSvc"

7. 撤销 AppLocker 规则

如果您希望再次允许应用程序或整个文件夹，只需导航到本地安全策略编辑器中的相同位置并删除关联的规则即可。

8. 用户体验

当用户尝试启动被 AppLocker 规则阻止的应用程序时，他们将看到以下提示： “此应用程序已被您的系统管理员阻止。有关详细信息，请联系您的系统管理员。”

AppLocker 还会将相关事件记录在事件查看器中，这对于审计和故障排除很有用。 （查看方法为应用程序和服务日志\Microsoft\Windows\Applocker，配置文件路径C:\Windows\System32\AppLocker，但非文本格式无法直接编辑。）