一、通过组策略编辑器（推荐）

打开组策略编辑器

按 `Win + R` 打开运行窗口，输入 `gpedit.msc` 并回车。

配置软件安装限制

- 导航到 `计算机配置 → 管理模板 → Windows 组件 → Windows Installer`

- 双击 `禁止用户安装` 选项，选择 `已启用`

- 应用并确认设置。

二、修改本地安全策略

打开本地安全策略

按 `Win + R` 输入 `secpol.msc` 回车。

调整用户权限

- 导航到 `本地策略 → 安全选项`

- 将 `用户帐户控制：检测应用程序安装并提示提升` 设置为 `已禁用`

- 将 `用户帐户控制：标准用户的提升提示行为` 设置为 `自动拒绝提升请求`。

三、修改注册表

打开注册表编辑器

按 `Win + R` 输入 `regedit` 回车。

创建禁用规则

- 导航到 `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer`

- 新建 `DWORD` 值 `DisableMSI`，设置值为 `1`（仅管理员可安装）或 `2`（禁止安装）。

重启电脑

修改注册表后需重启系统生效。

四、使用企业级安全软件

部分企业级安全软件（如域智盾）提供集中管理功能，可快速部署“禁止安装新软件”的策略，并实时监控安装行为。

注意事项

管理员权限：

上述方法需以管理员身份运行相关工具。

白名单机制：部分方法（如组策略）需配合白名单机制才能生效。

系统级限制：Windows 11用户可通过系统设置关闭实时保护或调整UAC级别，但需注意安全风险。

建议优先使用组策略或企业级安全软件，既方便管理又具备扩展性。对于单机限制，修改注册表或组策略即可实现。