问题现象
在 Windows 11 上安装某些第三方软件时,可能会遇到以下弹窗:
「智能应用控制已阻止可能不安全的应用」 无法验证其发布者,此应用可能对你的设备有害。
弹窗只提供「正常」(不安装)和「从 Microsoft Store 获取应用」两个选项,没有「仍要运行」或「更多信息」的入口,直接将安装程序拦死。
什么是智能应用控制
智能应用控制(Smart App Control,简称 SAC)是 Windows 11 2022 年引入的安全功能,与传统的 SmartScreen 不同:
| 功能 | SmartScreen | 智能应用控制 |
|---|---|---|
| 拦截方式 | 弹窗警告,可点击"仍要运行" | 直接阻止,无绕过选项 |
| 判断依据 | 下载来源 + 历史下载量 | 数字签名 + 云端信誉评估 |
| 严重程度 | 警告级别 | 硬性拦截级别 |
| 可否通过 Unblock-File 绕过 | ✅ 可以 | ❌ 不可以 |
核心区别: SmartScreen 给你选择权,智能应用控制不给。一旦 SAC 判定某 exe「不可信」,无论你右键解锁、管理员运行、命令行启动,都会被拦截并报错:
'xxx.exe' 已被组织 Device Guard 策略禁止。
有关详细信息,请联系管理员。
为什么会被拦截
智能应用控制基于以下条件判定应用是否可信:
- 数字签名: 应用是否使用了有效的代码签名证书(微软认可的 CA 签发)
- 云端信誉: 该应用在微软云端数据库中是否有足够多的良性下载记录
- 行为分析: 应用安装包是否表现出可疑行为模式
大多数开源项目、个人开发者工具、小众软件都缺乏商业级代码签名证书(每年费用数百美元),下载量也不够大,因此很容易被 SAC 判定为「不可信」。
常见的被拦截软件包括:
- GitHub 上发布的开源工具安装包
- 个人开发者发布的 CLI 工具
- 国产软件的海外渠道版本
- 小众编辑器/IDE/开发工具
解决方案
方案一:关闭智能应用控制(唯一可靠方案)
这是解除硬性拦截的唯一方式。
操作步骤:
- 按
Win + I打开「设置」 - 左侧栏点击 「隐私和安全性」
- 点击 「Windows 安全中心」
- 点击 「应用和浏览器控制」
- 找到 「智能应用控制」 区块
- 点击 「关闭」
- 系统弹出确认提示,点击确认
⚠️ 重要提醒: 智能应用控制一旦关闭就无法重新开启。微软设计了不可逆机制——关闭后想重新启用,需要重装 Windows。这是为了防止恶意软件先关闭 SAC 再重新打开以伪装安全状态。
是否应该关闭? 对于个人开发者,建议关闭。原因:
- 开发工作中大量使用开源工具、CLI 程序,SAC 拦截率极高
- 关闭 SAC 后,SmartScreen 和 Windows Defender 实时防护仍然生效
- SAC 的「评估模式」会在一段时间后自动切换为「开启」,可能突然拦截你一直正常使用的工具
- 开发者通常有能力判断软件来源是否可信(GitHub 仓库、官方网站等)
关闭后,重新运行安装包即可正常安装。
方案二:右键属性解除锁定(仅适用于 SmartScreen 拦截)
如果弹窗中有「更多信息」→「仍要运行」选项,说明是普通 SmartScreen 拦截,不需要关闭 SAC。更简单的方式:
- 右键点击被拦截的 exe 文件
- 选择 「属性」
- 在「常规」选项卡底部,勾选 ☑ 解除锁定
- 点击「应用」→「确定」
- 重新运行安装包
或者用 PowerShell 一行搞定:
Unblock-File -Path "C:\path\to\your-setup.exe"
此方案对智能应用控制无效,仅适用于 SmartScreen 拦截场景。
方案三:从 Microsoft Store 安装(如果可用)
某些软件同时提供了 Microsoft Store 版本。Store 版经过微软审核和签名,不会被 SAC 拦截。
但缺点是:
- Store 版更新通常滞后于官方渠道
- 部分 CLI/开发工具不提供 Store 版本
- Store 版可能缺少某些功能或配置灵活性
关闭智能应用控制后的安全建议
关闭 SAC 并不意味着失去所有保护。以下安全措施仍然生效:
| 保护机制 | 关闭 SAC 后状态 |
|---|---|
| Windows Defender 实时防护 | ✅ 正常运行 |
| SmartScreen 浏览器保护 | ✅ 正常运行 |
| SmartScreen 下载警告 | ✅ 正常运行(提供"仍要运行"选项) |
| 防火墙 | ✅ 正常运行 |
| 安全启动 | ✅ 正常运行 |
建议额外措施:
- 安装软件前确认来源可信(官方 GitHub Release、官方网站、已知开发者)
- 下载后用
Get-FileHash校验哈希值:对比官方公布的 SHA256 哈希值,确认文件未被篡改Get-FileHash -Path "C:\path\to\setup.exe" -Algorithm SHA256
常见问题
Q:关闭后还能开启吗?
不能。微软设计为不可逆。想重新启用需要重置 Windows(保留文件但不保留应用)。
Q:「评估模式」是什么?
SAC 有三种状态:评估、开启、关闭。
- 评估模式: SAC 在观察你的使用习惯,不拦截应用但记录信息。一段时间后自动转为「开启」并开始拦截
- 开启模式: 硬性拦截不可信应用
- 关闭模式: 完全不拦截
如果你刚装好 Windows 11,SAC 默认处于评估模式。评估期结束后会自动切换到开启模式——这就是为什么有些人「之前还能装的软件突然不能装了」。
建议在评估模式阶段就主动关闭,避免后续突然被拦截。
Q:为什么 Unblock-File 和管理员权限都不管用?
因为 SAC 的拦截发生在文件执行前的内核级别(WDAC/Device Guard),比 SmartScreen(用户级别弹窗)更底层。Unblock-File 只移除 Zone.Identifier 流数据,对内核级策略无效。
Q:这和组织/企业环境中的 Device Guard 是一回事吗?
技术架构相同(都基于 WDAC),但:
- 个人版 Windows 11 的 SAC 由微软云端策略驱动
- 企业版 Device Guard 由 IT 管理员通过组策略/MDM 配置
- 企业环境中的 Device Guard 需要联系 IT 管理员解决,无法自行关闭
总结
| 场景 | 解决方案 |
|---|---|
| 弹窗有「更多信息」→「仍要运行」 | SmartScreen 拦截,右键属性解除锁定即可 |
| 弹窗只有「正常」和「Store」两个选项 | 智能应用控制拦截,需在设置中关闭 SAC |
| 企业环境 Device Guard 拦截 | 联系 IT 管理员 |
对开发者来说,关闭智能应用控制是务实的选择——开发工作离不开各种开源工具和 CLI 程序,SAC 的严格策略会持续干扰正常工作流程。关闭后 Windows Defender + SmartScreen 仍然提供充分的安全保护。