利用Guest账户，限制程序运行

在Windows 10中存在Guest来宾账户，该账户的权限很低，如果让别人以该账户身份操作，系统自然可以阻止其各种安装操作。但是，在一般情况下，Windows 10是禁用Guest账户的，为此在桌面上“此电脑”图标的右键菜单上点击“管理”项，在计算机管理窗口左侧选择“本地用户和组”项，在打开窗口选择Guest账户，在属性窗口中取消“账户已禁用”选择状态，来启用该账户。

点击“Win+R”键，运行“gpedit.msc”程序，在组策略窗口左侧选择“计算机管理→Windows设置→安全设置→本地策略→用户权限分配”项（如图1），在右侧窗口双击“拒绝本地登录”项，在属性窗口中“拒绝本地登录”列表中选中“Guest”账户”项，将其删除即可。经过以上操作，就可以在登录界面上点击“Guest”账户名，就可以来宾账户身份登录了。当然，事先需要为管理员账户设置复杂的密码，防止别人随意以管理员身份登录。

图1 管理用户权限分配

启用访问权限控制功能

因为来宾账户没有管理员权限，所以在安装软件时就会被UAC功能拦截，必须输入管理员密码，才可以执行安装操作。当然，对于来宾账户来说，并非不能安装所有的软件，例如对于普通级别的软件或者绿色软件来说，系统的UAC功能就会对其安装视而不见。为了避免这种情况的发生，需要使用系统内置的访问权限控制功能，进行进一步的控制。先以管理员身份登录系统，在CMD窗口中执 行“net user user1 hello /add”命令，创建名为“user1”的账户，密码为“hello”。

之后注销系统，以该账户身份登录系统，在应用商店中安装特定的软件。然后注销该账户，重新以管理员身份登录，在Windows设置界面的搜索栏中框输入“分配的访问权限”，在设置界面中的“分配的访问权限”窗口（如图2）的“选择哪一个账户将具有分配的访问权限”栏下点击“选择账户”，添加上述“user1”账户，点击“选择应用”按钮，选择刚才安装的软件。这样，就可以将“user1”账户设置为特定账户。当以该账户登录时，只能以全屏方式启动上述软件，其余的所有系统组件和软件都无法显示，这样使用者就无法安装任何软件了。

使用上述方法，只能对应用商店中的软件进行管理。对于普通的软件来说，需要另辟蹊径加以处理。打开组策略窗口，在左侧选择“用户配置→管理模板→系统”项，在右侧窗格中双击“只运行指定的Windows程序”项，在属性窗口（如图3）中将其设置为“已启用”，点击“显示”按钮，输入需要限制的程序，这样该程序就无法运行了。同理，可以添加更多需要禁用的程序，这样，系统就只能运行上述指定的程序了。

对管理员权限进行约束

对于很多Windows 10主机来说，往往只设置了一个管理员账户。对于管理员账户，也可以对其进行必要的限制。在组策略窗口左侧选择“计算机设置→Windows设置→安全设置→本地策略→安全选项”项，在右侧窗口中双击“用户账户控制：管理审批模式下管理员的提升提示行为”项，在属性窗口中的“本地安全设置”面板中列表中选择“提示凭据”项，点击确定按钮保存配置信息。

图2 分配访问权限

图3 设定允许运行的程序

这样，虽然在管理员使用环境中，当使用者想安装和系统设置相关的软件时，就会遭到UAC功能的拦截。使用者必须按照系统提示，输入管理员密码，才可以正常安装软件。如果使用的是非专业版的 Windows 10，可 以 运行“regedit.exe”程 序，在注册表编辑器中打开“HKEY_LOCAL_ MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem” 分支，在右侧窗口双击“ConsentPromptBehavior Admin”项，将值设置为3，同样可以激活上述功能。

配置规则禁止推送应用

除了可以运行“Setup.exe”等程序来安装各种软件外，在Windows 10中还可以在应用商店中选择并下载安装软件。实际上，Windows 10的应用商店有时会向系统推送各种应用程序。在很多情况下，我们并不希望系统这种强制推送操作。从本质上说，应用商店中的应用都是根据特定协议封装的“.appx”文件，必须拥有微软证书才可以出现在应用商店中。根据这一原理，可以利用系统内置的程序锁定功能，来禁止上述操作。运行“service.msc”程序，在服务管理窗口中双击“Application Identity”服务，在属性窗口中点击“启动”按钮，激活该服务。

运行“gpedit.msc”程序，在组策略窗口左侧点击“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker→可执行规则”项，在右侧空白窗口的右键菜单中点击“创建默认规则”项，之后在窗口空白处的右键菜单中点击“创建新规则”项，在操作向导界面（如图4）中点击下一步按钮，在下一步窗口中的“用户或组”栏中选择“Everyone”账户，在“操作”栏中选择“拒绝”项，在下一步窗口中选择“发布者”项，在下一步窗口中点击“使用安装的封装应用作为参考”栏中“浏览”按钮，在弹出的应用列表选择从应用商店中安装的某个第三方应用。

图4 创建AppLocker规则

为了便于自己的正常使用，尽量选择基本不用的应用。在窗口左侧纵向拖动滑块，移动至“程序包名称”位置，即将这种类型的第三方应用的封装规则作为拦截的依据。之后连续点击下一步按钮，按照向导的提示完成操作，最后点击“创建”按钮，返回上述组策略AppLocker可执行规则管理窗口。这样，当微软试图向本机推送应用时，就会遭到系统的拦截。因为上述规则会代替系统原有的应用推送及预装规则，所以必须在应用商店中手动选择并下载软件方可。当然，也可以利用权限控制功能，来更加灵活的限制商店中第三方应用的活动。打开“C：＼Program Files＼WindowsApps”目录，在其中存储着所有的第三方应用数据。

设置访问权限，禁止随意安装应用

在该目录的属性窗口中打开“安全”面板，点击点击“高级”按钮，在“权限”面板中点击“添加”按钮，在打开窗口中点击“选择主体”链接，选择当前的账户，即可将所有者更改为当前账户。在窗口右侧点击“显示高级权限”项，在打开面板中不选择“创建文件夹/附加数据”项，禁止在该文件夹中创建新的目录。取消“仅将这些权限应用到此容器中的对象/或容器”项，去除所有继承权限。因为不同的第三方应用会在其中建立独立的文件夹，来存储自身的数据。这样，当下载的应用试图安装时，因为权限受限无法在上述目录中新建文件夹，自然无法顺利安装。

当然，对于已经存在的应用来说，是不受任何限制的，可以自由运行。对于非专业版的Windows 10，可以运行注册表编辑器，打开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows”分支，在其下建立名为“CloudContent”的子健，之后选择该子健，在右侧窗口建立类型为DWORD （32位）名称为“DisableWindows ConsumerFeatures”的键值名，双击该键值名，将值设置为1，同样可以禁止Windows 10的应用商店自动推送功能。