3 วิธีในการป้องกันไม่ให้ผู้ใช้ติดตั้งซอฟต์แวร์ใหม่บน Windows 11

เคล็ดลับด่วน

• การติดตั้งแอปสามารถบล็อกได้โดยใช้นโยบายเท่านั้น ไม่ใช่ตามประเภทบัญชี
• ผู้ดูแลระบบสามารถบล็อกการติดตั้งแอปเฉพาะได้ (MSI หรือ Microsoft Store)
• การใช้นโยบายดีกว่าการบล็อก Windows Installer

วิธีที่ 1: ปิด Windows Installer ผ่าน Group Policy

ตัวแก้ไขนโยบายกลุ่มบน Windows ช่วยให้คุณทำการเปลี่ยนแปลงระดับผู้ดูแลระบบต่างๆ ในบรรดาตัวเลือกต่างๆ มีนโยบายเฉพาะในการปิดการใช้งาน Windows Installer ซึ่งจะป้องกันผู้ใช้จากการติดตั้งโปรแกรมและแอพใหม่อย่างมีประสิทธิภาพ

สิ่งสำคัญที่ควรทราบคือGroup Policy Editorมีเฉพาะในรุ่น Windows Pro, Enterprise และ Education เท่านั้น ดังนั้น หากคุณใช้ Windows 11 Home edition วิธีนี้จะใช้งานไม่ได้

ขั้นตอนที่ 1:กดปุ่ม Windows + Rเพื่อเปิดกล่องโต้ตอบเรียกใช้ พิมพ์gpedit.mscแล้วกด Enter

ขั้นตอนที่ 2:ใน หน้าต่าง Local Group Policy Editorให้ใช้บานหน้าต่างด้านซ้ายเพื่อไปยังโฟลเดอร์ต่อไปนี้:

คอมพิวเตอร์ Configuration\Administrative Templates\Windows Components\Windows Installer

ขั้นตอนที่ 3:คลิกสองครั้งที่ นโยบาย ปิดตัวติดตั้ง Windowsทางด้านขวาของคุณ

ขั้นตอนที่ 4:เลือกEnabled จาก นั้นเลือกFor non-managed applications onlyหรือAlwaysหากคุณเลือกแบบแรก บัญชีผู้ใช้มาตรฐานสามารถติดตั้งทุกสิ่งที่ผู้ดูแลระบบได้ติดตั้งไว้ในพีซี

ขั้นตอนที่ 5:คลิกปุ่มใช้เพื่อบันทึกการเปลี่ยนแปลง ณ จุดนี้ เป็นการดีที่สุดที่จะรีสตาร์ทพีซี

วิธีที่ 2: ปิด Windows Installer ผ่าน Registry Editor

เช่นเดียวกับนโยบายกลุ่ม การเปลี่ยนแปลงรีจิสทรีสามารถทำได้เพื่อปิดใช้งานหรือปิด Windows Installer อย่างไรก็ตาม อย่าลืมสำรองไฟล์รีจิสตรีหรือสร้างจุดคืนค่าก่อนที่จะทำการเปลี่ยนแปลงใดๆ

ขั้นตอนที่ 1:คลิกไอคอนค้นหาบนทาสก์บาร์หรือกดปุ่ม Windows + S เพื่อเปิดเมนูค้นหา พิมพ์ตัวแก้ไขรีจิสทรีในกล่องแล้วเลือกเรียกใช้ในฐานะผู้ดูแลระบบ

ขั้นตอนที่ 2:คลิกใช่เมื่อข้อความแจ้งการควบคุมบัญชีผู้ใช้ (UAC) ปรากฏขึ้น

ขั้นตอนที่ 3:วางเส้นทางต่อไปนี้ในแถบที่อยู่ที่ด้านบนแล้วกด Enter เพื่อนำทางไปยังปุ่ม DefaultIcon

HKEY_LOCAL_MACHINE\Software\Classes\Msi.Package\DefaultIcon

ขั้นตอนที่ 4:ดับเบิลคลิกที่ค่าสตริงเริ่มต้นทางด้านขวาของคุณ

ขั้นตอนที่ 5:วางค่าต่อไปนี้ลงในช่อง Value data แล้วกด OK

C:\Windows\System32\msiexec.exe,1

หลังจากทำตามขั้นตอนข้างต้นเสร็จแล้ว ให้รีสตาร์ทพีซีของคุณเพื่อให้การเปลี่ยนแปลงมีผล

ในทำนองเดียวกัน หากคุณต้องการปลดบล็อกการติดตั้งโปรแกรม ณ จุดใดก็ตาม คุณสามารถทำตามขั้นตอนเดียวกันข้างต้น และป้อนค่าต่อไปนี้ในขั้นตอนที่ 5

C:\Windows\System32\msiexec.exe,0

วิธีที่ 3: การป้องกันผู้ใช้มาตรฐานไม่ให้เรียกใช้แอปพลิเคชันต่อผู้ใช้ด้วย AppLocker

AppLocker เป็นฟีเจอร์ใน Windows ที่ช่วยให้ผู้ดูแลระบบบล็อกแอปที่ไม่ต้องการให้ผู้ใช้ติดตั้งได้ ซึ่งสามารถทำได้โดยเลือกจากรายการแอปที่ติดตั้งไว้ล่วงหน้าหรือใช้ใบรับรอง

เมื่อกำหนดค่า AppLocker คุณสามารถกำหนดค่าดังต่อไปนี้:

• กฎการดำเนินการ:กำหนดวิธีที่ Windows จัดการกับไฟล์ปฏิบัติการ (ไฟล์ที่มีนามสกุล .exe) บนระบบของคุณ
• กฎการติดตั้ง Windows:ใช้กับซอฟต์แวร์ที่ติดตั้งโดยใช้ Windows Installer (ไฟล์ MSI)
• กฎของแอปแบบแพ็กเกจ:   สิ่งนี้ใช้กับแอปที่ติดตั้งจาก Microsoft Store

ขั้นตอนที่ 1:เปิดพรอมต์ Run (Win + R) พิมพ์secpol.mscและกด Enter เพื่อเปิดLocal Security Policy

ขั้นตอนที่ 2:ไปที่การตั้งค่าความปลอดภัย > นโยบายการควบคุมแอปพลิเคชัน > App Locker คุณสามารถกำหนดค่ากฎปฏิบัติการ กฎ Windows Installer และกฎของแอปแพ็กเกจได้ที่นี่

ขั้นตอนที่ 3:คลิกขวาที่หมวดหมู่ที่เหมาะสมและเลือกCreate New Rule

ขั้นตอนที่ 4:ทำตามตัวช่วยสร้าง และคุณสามารถเลือกแอปที่ผู้ใช้สามารถติดตั้ง ซึ่งสามารถปฏิเสธได้ และอื่นๆ คุณต้องผ่านแต่ละข้ออย่างระมัดระวังและเลือกสิ่งที่จะเลือก

อ่านเกี่ยวกับ AppLocker บนหน้า Microsoft อย่างเป็นทางการ

คำถามที่พบบ่อย:

ตัวอย่างของกฎ AppLocker คืออะไร?

คุณสามารถอนุญาตให้สมาชิกของกลุ่มผู้ดูแลระบบท้องถิ่นเรียกใช้แอปทั้งหมดได้ แต่จำกัดกลุ่มทุกคนให้เรียกใช้แอปจากโฟลเดอร์ Windows หรือโฟลเดอร์ Program Files

Applocker สามารถนำไปใช้กับกลุ่มผู้ใช้ได้หรือไม่?

ใช่คุณสามารถทำเช่นนั้นได้ วิธีที่ดีที่สุดคือเพิ่มบัญชีที่ไม่ใช่ผู้ดูแลระบบทั้งหมดในกลุ่มแล้วใช้กฎ เนื่องจากไม่มีกลุ่มผู้ใช้มาตรฐาน