应启用UAC、禁用Windows Installer服务、组策略禁止用户安装、创建标准用户账户、部署AppLocker白名单;具体包括调高UAC至“始终通知”、禁用Windows Installer服务、启用组策略“禁止用户安装”、新建标准用户并设为默认、通过AppLocker设置.exe拒绝规则及可信软件放行。
如果您发现电脑在未主动操作的情况下自行下载并安装软件,很可能是系统权限设置过宽、后台服务未受控或存在恶意行为触发。以下是阻止电脑自动安装各类软件的多种有效方法:
一、启用并调高用户账户控制(UAC)级别
Windows用户账户控制(UAC)是系统内置的安全机制,能在软件尝试以管理员身份修改系统时强制弹出确认提示,从而中断静默安装流程。
1、打开“控制面板”,选择“用户账户”。
2、点击“更改用户账户控制设置”。
3、将滑块拖至“始终通知”位置,点击“确定”保存设置。
4、重启后,所有需提权的安装行为均会中断并等待手动授权,标准用户账户下更需输入管理员密码才能继续。
二、禁用Windows Installer服务
Windows Installer服务是绝大多数.msi格式安装包运行的基础组件,禁用该服务可直接阻止依赖它的自动安装行为,包括部分广告软件和捆绑程序。
1、按下Win+R键,输入services.msc,回车打开服务管理窗口。
2、在服务列表中找到“Windows Installer”项。
3、右键点击该项,选择“属性”。
4、在“启动类型”下拉菜单中选择“禁用”,点击“确定”。
5、关闭窗口后,.msi安装包双击将无法启动,但.exe类安装器仍可能运行。
三、通过组策略编辑器禁止用户安装
此方法适用于Windows专业版/企业版,能从系统策略层面对Windows Installer安装行为进行全局拦截,比单纯禁用服务更彻底。
1、按Win+R,输入gpedit.msc,回车打开本地组策略编辑器。
2、依次展开:计算机配置 → 管理模板 → Windows组件 → Windows Installer。
3、双击右侧“禁止用户安装”策略。
4、选择“已启用”,在下方“用户安装行为”中选“隐藏用户安装”,点击“确定”。
5、重启生效后,所有通过Windows Installer发起的安装请求均被系统静默拒绝。
四、创建标准用户账户并限制管理员权限
管理员账户拥有无约束的系统写入能力,是自动安装得以成功的根本前提;切换为标准用户后,任何安装动作都将因权限不足而失败。
1、进入“设置” → “账户” → “家庭和其他用户”。
2、点击“将其他人添加到这台电脑”,跳过Microsoft账户步骤,选择“我没有这个人的登录信息”。
3、再选“添加没有Microsoft账户的用户”,输入新用户名,设置密码。
4、在用户列表中点击新建账户,选择“更改账户类型”,将其设为“标准用户”。
5、注销当前管理员账户,使用新账户登录,此时双击任意安装包均会提示“需要管理员权限”,无法继续。
五、部署AppLocker应用程序白名单策略
AppLocker允许管理员精确指定哪些可执行文件、安装程序或脚本被允许运行,其余全部拦截,实现真正意义上的“仅允许可信软件”管控。
1、按Win+R输入gpedit.msc,打开组策略编辑器。
2、依次展开:计算机配置 → Windows设置 → 安全设置 → 应用程序控制策略 → AppLocker。
3、右键“可执行规则”,选择“创建新规则”。
4、向导中选择“拒绝”操作,条件设为“路径”,输入*.exe,完成创建。
5、再新建一条“允许”规则,针对已批准软件(如C:\Program Files\Microsoft Office\*.exe)单独放行。
6、启用策略后,所有未显式列入白名单的.exe安装程序均无法执行。
