Windows 11 应用安装来源保护设置教程

本文详细介绍了如何在 Windows 11 中构建一套多层级、强约束的应用安装来源防护体系——通过将应用获取位置严格限定为 Microsoft Store、启用 SmartScreen 实时信誉检测、禁用 Windows Installer 用户安装权限、全面阻止脚本执行，并彻底清理已存在的非商店来源程序，从而从入口拦截、动态验证、服务级限制、自动化绕过阻断到存量风险清除五个维度协同发力，显著提升系统安全性与软件环境可控性，特别适合对稳定性与合规性有高要求的办公场景或安全敏感用户。

如果您希望在 Windows 11 中启用应用安装来源保护，强制系统仅允许从 Microsoft Store 安装软件，则需通过多层策略协同生效。以下是实现该强制限制的具体操作步骤：

一、设置获取应用位置为“仅 Microsoft Store”

此设置直接修改系统级安装入口策略，使双击运行 .exe 或 .msi 文件时触发“此应用无法安装”的明确拦截提示，是面向所有用户的最基础防护手段。

1、按下键盘上的 Win 键，点击任务栏左下角的 Windows 开始图标。

2、在开始菜单中，点击 设置（齿轮图标）。

3、在设置窗口左侧边栏中，点击 应用。

4、在右侧页面中，点击 应用和功能。

5、向下滚动至 获取应用的位置 区域，点击其右侧的下拉箭头。

6、从选项中选择 仅 Microsoft Store（推荐）。

二、启用 SmartScreen 的应用安装实时检查

SmartScreen 在安装行为发生前对文件签名与云端信誉库比对，可拦截已绕过来源设置的可疑安装包，构成第二道动态验证防线。

1、打开 设置 > 隐私与安全性 > Windows 安全中心。

2、点击 应用与浏览器控制。

3、在“基于声誉的保护”区域，确保 检查应用和文件 处于开启状态。

4、点击 基于声誉的保护设置，确认 在应用安装时进行检查 已启用。

三、通过组策略禁用 Windows Installer 用户安装权限

该策略直接禁用系统级安装服务的用户调用接口，即使拥有管理员权限，也无法通过命令行、PowerShell 或 MSIEXEC 方式静默安装外部程序。

1、按下 Win + R 打开运行窗口，输入 gpedit.msc 并回车（仅限专业版/企业版/教育版）。

2、依次展开路径：计算机配置 > 管理模板 > Windows 组件 > Windows Installer。

3、在右侧找到并双击 禁止用户安装 策略。

4、勾选 已启用，并在下方选项中选择 隐藏用户安装。

5、点击 确定 保存设置。

四、禁用脚本执行以阻断自动化绕过路径

PowerShell、CMD 或批处理脚本常被用于绕过图形界面限制批量部署非商店应用，禁用脚本运行可切断此类高风险执行链。

1、在已打开的 本地组策略编辑器 中，导航至 计算机配置 > 管理模板 > 系统 > 脚本。

2、双击 防止运行脚本 策略。

3、设置为 已启用。

4、点击 确定 保存。

五、识别并卸载已有非商店来源应用

已安装的非 Microsoft Store 应用不受新策略约束，但可能持续加载未签名 DLL、访问敏感 API 或驻留后台服务，必须主动清理以完成防护闭环。

1、进入 设置 > 应用 > 已安装的应用。

2、点击右上角 排序方式 > 安装日期，快速定位近期手动安装的程序。

3、逐个查看应用详情页中的 发布者信息，标记来源为 未知发布者、未签名 或 来自此设备 的条目。

4、对上述条目执行 卸载 操作。

今天关于《Windows 11 应用安装来源保护设置教程》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！