如果您希望在Windows系统中阻止用户安装未授权的应用程序,则可通过组策略(GPO)对软件安装行为实施系统级限制。以下是具体操作步骤:
一、启用“禁用Windows Installer”策略
该策略直接禁用Windows Installer服务,使依赖.msi或.mst安装包的程序无法执行安装流程,适用于绝大多数商业软件和部分系统组件安装场景。
1、按下 Win + R 组合键,输入 gpedit.msc 并回车,打开本地组策略编辑器。
2、依次展开路径:用户配置 → 管理模板 → Windows 组件 → Windows Installer。
3、在右侧窗格中双击 “禁用Windows Installer”。
4、选择 “已启用”,并在下方选项中勾选 “始终”。
5、点击 “确定” 保存设置。
二、配置“不要运行指定的Windows应用程序”
此策略通过进程名称匹配方式拦截特定安装程序的启动,不依赖安装包类型,可覆盖.exe类独立安装器(如ChromeSetup.exe、WeChatSetup.exe等)。
1、在组策略编辑器中,导航至:计算机配置 → 管理模板 → 系统。
2、双击右侧的 “不要运行指定的Windows应用程序”。
3、选择 “已启用”,点击下方的 “显示…” 按钮。
4、在弹出窗口中,逐行输入需禁止的安装程序文件名,例如:setup.exe、install.exe、installer.exe、chromeinstaller.exe。
5、每输入一行后按回车确认,全部填完后点击 “确定” 退出。
三、部署软件限制策略(路径规则)
该方法基于文件路径实施拦截,可精准控制从下载目录、临时文件夹等高风险位置启动的安装程序,支持通配符匹配,无需预知具体文件名。
1、按下 Win + R,输入 secpol.msc 打开本地安全策略。
2、左侧展开至 “安全设置 → 软件限制策略”。
3、若右侧显示“无软件限制策略”,则右键 “软件限制策略”,选择 “创建软件限制策略”。
4、展开右侧的 “其他规则”,右键选择 “新建路径规则…”。
5、在“路径”栏中输入:C:\Users\*\Downloads\*.exe,安全级别设为 “不允许”。
6、重复步骤4–5,添加以下路径规则:C:\Temp\*.exe、%USERPROFILE%\AppData\Local\Temp\*.exe。
7、点击 “确定” 保存所有规则。
四、通过域控GPO统一推送(企业环境适用)
在Active Directory域环境中,可将上述策略封装为组策略对象(GPO),批量部署至目标计算机OU,实现跨设备一致性管控,避免逐台配置。
1、在域控制器上运行 gpmc.msc,打开组策略管理控制台。
2、右键目标组织单位(OU),选择 “在此处创建一个GPO并将其链接到这里…”,命名如“禁止未授权软件安装”。
3、右键新GPO,选择 “编辑”,进入组策略编辑器界面。
4、按前述方法一至方法三路径,分别配置对应策略项。
5、关闭编辑器,在GPMC中右键该GPO,选择 “强制” 并启用 “链接已启用”。
6、在客户端计算机上运行 gpupdate /force 命令刷新策略。
评论(0)