论文部分内容阅读
Windows 10的应用商店会在未经我们允许的情况下推送并安装各类型应用,对于这种强制性的推送,那么应该如何彻底禁止Windows 10推送第三方应用呢?
简单点说,Windows 10的第三方应用都是根据协议封装的.appx文件,应用都需要有微软签发的证书才能在商店上架。我们可以选择任一款第三方应用作为封装规则,然后以其作为基准,这样借助组策略中的“AppLocker”策略进行拦截即可。
在任务栏的搜索框输入“本地安全策略”,打开本地安全策略设置窗口后依次展开左侧的“应用程序控制策略→AppLocker→封装应用规则”。 然后在右侧窗口中点击右键,选择“创建新规则”,创建一个新的封装规则(图1)。
在弹出的向导中点击“下一步”,进入“权限”设置界面。这里操作选择“拒绝”,“用户或组”保持默认的“Everyone”,即Everyone用户对这个规则都是使用拒绝的权限(图2)。
继续点击“下一步”,在“发布者”选项设置中,点击“使用安装的封装应用作为参考”后的“浏览”,在弹出的应用列表选择需要作为封装依据的已安装的第三方应用。要注意的是这里被选择的应用,执行封装的拒绝规则后会无法运行,因此建议不要选择自己常用的应用。比如笔者这里选择是“Camera360”,一款图片处理软件,笔者基本没有使用(图3)。
点击“确定”回到“发布者”设置界面,按提示将滑块拖动到“程序包名称”的位置,这里是将这种第三方应用包作为基准封装规则,剩下的操作按照向导的提示完成规则的创建(图4)。
这样完成上述规则的创建后,这个规则会取代系统原有的应用推送及预装规则。以后微软就不会再推送第三方应用了。当然对于自己确实需要的第三方应用则可以自行到应用商店去下载(上述规则只是阻止系统推送,并没有限制下載),而对于已经安装的第三方应用则可以手动卸载。
当然我们还可以对应用做出更多的限制,比如很多使用Windows 10的朋友除了使用有限的几个应用外,基本不会再安装或使用其他应用。对于这类用户我们还可以使用权限的方法彻底阻止用户安装新增的应用,因为应用安装需要在“C:\Program Files\WindowsApps”下新建目录,因此我们可以使用权限设置拒绝用户在此创建新目录。
右击上述目录选择“属性→安全”,先将目录所有者更改为当前用户,并去除所有继承权限。接着点击高级设置,将用户“创建文件夹/附加数据”权限去除,阻止用户在该目录新建文件夹(图5)。
这样用户试图在应用商店下载应用安装的时候,由于没有创建文件夹的权限,自然无法成功完成安装。因为没有限制用户对该目录的读取权限,因此安装的应用还是可以正常运行的(图6)。
扩展阅读
Windows 10家庭版用户怎么办
上述方法都是介绍使用组策略来对应用的推送和安装进行限制,Windows 10家庭版用户没有组策略怎么进行限制?一种方法是自行为家庭版添加组策略。首先到https://pan.baidu.com/s/1bp6gmHx下载所需的文件cfan.cmd,下载后右击文件选择“以管理员身份运行”这个文件,这样家庭版用户就可以使用组策略了,剩余操作同上(图7)。
另外,大部分组策略的设置是可以借助注册表实现,家庭版用户启动注册表编辑器后展开[HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows],接着在其下新建名为CloudContent的子项。选中CloudContent项,在右侧新建一个DWORD (32位)值,名称为“DisableWindowsConsumerFeatures”,并将其值设置为“1”(十六进制),这样Windows 10就不会推送,也不会自动安装应用了。如果需要取消限制,则删除上述建立的键值即可(图8)。
简单点说,Windows 10的第三方应用都是根据协议封装的.appx文件,应用都需要有微软签发的证书才能在商店上架。我们可以选择任一款第三方应用作为封装规则,然后以其作为基准,这样借助组策略中的“AppLocker”策略进行拦截即可。
在任务栏的搜索框输入“本地安全策略”,打开本地安全策略设置窗口后依次展开左侧的“应用程序控制策略→AppLocker→封装应用规则”。 然后在右侧窗口中点击右键,选择“创建新规则”,创建一个新的封装规则(图1)。
在弹出的向导中点击“下一步”,进入“权限”设置界面。这里操作选择“拒绝”,“用户或组”保持默认的“Everyone”,即Everyone用户对这个规则都是使用拒绝的权限(图2)。
继续点击“下一步”,在“发布者”选项设置中,点击“使用安装的封装应用作为参考”后的“浏览”,在弹出的应用列表选择需要作为封装依据的已安装的第三方应用。要注意的是这里被选择的应用,执行封装的拒绝规则后会无法运行,因此建议不要选择自己常用的应用。比如笔者这里选择是“Camera360”,一款图片处理软件,笔者基本没有使用(图3)。
点击“确定”回到“发布者”设置界面,按提示将滑块拖动到“程序包名称”的位置,这里是将这种第三方应用包作为基准封装规则,剩下的操作按照向导的提示完成规则的创建(图4)。
这样完成上述规则的创建后,这个规则会取代系统原有的应用推送及预装规则。以后微软就不会再推送第三方应用了。当然对于自己确实需要的第三方应用则可以自行到应用商店去下载(上述规则只是阻止系统推送,并没有限制下載),而对于已经安装的第三方应用则可以手动卸载。
当然我们还可以对应用做出更多的限制,比如很多使用Windows 10的朋友除了使用有限的几个应用外,基本不会再安装或使用其他应用。对于这类用户我们还可以使用权限的方法彻底阻止用户安装新增的应用,因为应用安装需要在“C:\Program Files\WindowsApps”下新建目录,因此我们可以使用权限设置拒绝用户在此创建新目录。
右击上述目录选择“属性→安全”,先将目录所有者更改为当前用户,并去除所有继承权限。接着点击高级设置,将用户“创建文件夹/附加数据”权限去除,阻止用户在该目录新建文件夹(图5)。
这样用户试图在应用商店下载应用安装的时候,由于没有创建文件夹的权限,自然无法成功完成安装。因为没有限制用户对该目录的读取权限,因此安装的应用还是可以正常运行的(图6)。
扩展阅读
Windows 10家庭版用户怎么办
上述方法都是介绍使用组策略来对应用的推送和安装进行限制,Windows 10家庭版用户没有组策略怎么进行限制?一种方法是自行为家庭版添加组策略。首先到https://pan.baidu.com/s/1bp6gmHx下载所需的文件cfan.cmd,下载后右击文件选择“以管理员身份运行”这个文件,这样家庭版用户就可以使用组策略了,剩余操作同上(图7)。
另外,大部分组策略的设置是可以借助注册表实现,家庭版用户启动注册表编辑器后展开[HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows],接着在其下新建名为CloudContent的子项。选中CloudContent项,在右侧新建一个DWORD (32位)值,名称为“DisableWindowsConsumerFeatures”,并将其值设置为“1”(十六进制),这样Windows 10就不会推送,也不会自动安装应用了。如果需要取消限制,则删除上述建立的键值即可(图8)。