捆绑软件、静默安装各种全家桶似乎成为了当下软件惯用的流氓推广行径，绝大多数人对此已经深恶痛绝，真的是稍有不慎，就会赠送全家桶软件，外带无限弹窗。除此之外真的很难想象有啥理由要禁止电脑安装软件，假如要防止别人安装或者使用软件，设置一个秘密就解决了所有的问题。

为什么会有那么多的“全家桶”、“大礼包”？因为所有悄悄安装的这些软件早已经明码标价了。普通人用它来赚几毛钱打牙祭都不够，但制作一个软件或者二次封装其他的软件，静默的给许许多多使用这个软件的人献上“大礼包”就能赚到很多钱。普通人防不胜防，因为诱使你安装的策划师们真的是挖空心思。

禁止电脑安装软件就变成了过去、现在一直在讨论的问题

01

通过系统自带的用户账户控制（UAC）对于绝大多数人来说并没有太大用处，只有早点和晚点的区别，点“否”的人仅有少数专业人事不忙的时候才会仔细瞟一眼，所以很多人装完系统的第一件事就是关掉烦人的UAC控制。

02

许多网上教程里教我们从“服务”和“本地组策略编辑器”里禁用“windows installer”以达到禁用软件安装的目的，然而并没有什么太大用处，仅能够禁用早期的msi安装包，对于exe安装包根本没有阻止的能力。

03

也有很多人尝试换一种思路，基本上所有的软件安装都需要写入注册表，如果精致程序写入注册表那么就可以达到禁止管理员账号以及其他账号安装程序了。使用快捷键WIN+R调出系统运行后，输入“regedit”后键盘回车打开“注册表编辑器”，找到HKEY_LOCAL_MACHINE下的“SOFTWARE”，选中后鼠标右键选择“权限”，将管理员的完全控制取消仅留读取权限。

这样做确实达到了阻止程序安装的问题，只要执行安装过程，程序就会报错并且自动回滚安装，但有些程序并不需要安装也可以执行各种刷流氓的行为，比如免安装版的软件。

04

在github上有一个名为chinawareblock的项目，在Windows系统下通过屏蔽证书的方式来静止相关程序的安装，但收集抽取软件安装包的证书却是一个体力活，而chinawareblock将口碑差带有流氓行为的软件分门别类的整理好了，使用的人只需要双击就可以屏蔽垃圾软件。

这种方法非常简单暴力，每个文件夹下都内置了软件对应的证书，直接运行对应的.bat批处理即可，也可以使用作者提供的一个exe证书抽取工具自己抽取想禁止的程序的证书，自己手动添加。但你再运行这个安装程序时，就会提示程序已经被阻止了。当然如果要是后悔了还可以通过powershell一键洗白脚本。

05

其实Windows系统中内置了一个HIPS，它通过设定黑白名单，建立规则来允许或者限制程序或脚本的运行。我们可以给予文件名、版本号、路径、数字签名的发布等属性来限定制定的程序来禁止软件的安装。

首先需要在服务里启用“Application Identity”这项服务，并将启动类型设定为自动。如果启动不了可以通过管理员身份运行CMD，通过命令“sc config APPIDSvc Start=auto”来开启。

然后键盘同时按下WIN+R键调出“运行”，输入“gpedit.msc”打开“本地组策略编辑器”。依次点开“计算机配置”、“Windows设置”、“安全设置”、“应用程序控制策略”、“AppLocker"

AppLocker提供了四种可以创建的规则：

可执行规则：主要用来限制和控制运行exe可执行程序；Windows安装包规则：主要用来限定和控制有哪些Windows installer打包的.msi、.msp程序；脚本规则：主要用来限定和控制运行.bat、js、ps等脚本文件的运行；封装应用规则：主要用来限定Windows应用。

举个例子：假如我们要限定.exe程序，只需要新建可执行规则，在权限中选择拒绝，就可以将可执行.exe程序拉入黑名单。其中指定用户组为Everyone，意思就是所有登录用户都会受到这条规则的约束，当然也可以设置制定的用户。而规则条件里提供了证书的发布者、文件路径以及文件哈希三种条件，这样就可以有效的屏蔽全家桶软件的执行。

但AppLocker并不支持所有的Windows系统，支持Windows7旗舰版、企业版，windows企业版等，但专业版是无法使用强制规则，也就起不到什么作用。

06

以上的这些操作对于普通人来说很复杂，也会有漏网之鱼，对于公共电脑和相对复杂的上网环境。最好的方法就是通过还原软件，俗称影子系统，系统重启就会抹掉用户的所有操作。

这种方法的缺点也是非常显而易见的，如果系统和软件需要更新，那么必须要先解冻然后再上冻。所以导致了很多人不懂也懒得去更新软件，软件不定期更新也是一件很郁闷的事情。

火绒是一款傻瓜式的防止全家桶安装的防护软件

很多人用火绒都知道它本身是没有广告，后台执行也很静默。所以得到了非常好的口碑。但是很少人知道它居然可以有效的监控"流氓软件"的安装行为。当某款软件安装时有捆绑安装的行为时会自动出现拦截，将选择权交予电脑使用者。

火绒的访问控制可以对一些程序执行进行控制，比如：下载站下载器、风险工具、虚假KMS激活器等等。

火绒默认关闭了自定义规则功能，需要在防护中心打开高级防护的“自定义防护”。

然后在“安全设置”里就可以自定义防护规则，我们可以直接点击左下角的导入按钮浏览已经制作好的.json规则文件，也可以自己新建规则。但所有的前提是你对于这些有足够的了解，否则不太建议自己去新建。

另外火绒的弹窗广告阻止功能也是相当给力的，首先最重要的一点是自己本身不要有弹窗广告，这点火绒做到了。

以上这些都不是禁止电脑安装软件的最有效的办法

我们都没有办法试图去教会每一个人这个软件该不该装，要怎样去安装，才能防止中招。所以最有效的办法就是在源头上去杜绝这件事情。许多软件的国际版非常清爽干净无广告，但是国内版就变味了。想要每个软件开发者良心出发也很难，出台相应的净网细则才是还用户一片电脑程序、手机APP蓝天的良方。