# 彻底阻断除 Edge 之外的所有应用产生外网流量在 **Windows 10 LTSC** 环境下，如果目标是**彻底阻断除 Edge 之外的所有应用产生外网流量**，同时**方案可控、可回滚、维护成本低**，下面按“**推荐优先级**”给你一套**运维级可落地方案**，并说明各自适用场景与注意事项。 --- ## 方案一（**最推荐 / 企业级**）：Windows Defender 防火墙「**默认拒绝 + 白名单 Edge**」 ### 核心思路 - **出站规则默认阻断** - **仅放行 Edge（msedge.exe）** - 不依赖第三方软件 - 稳定、可审计、可脚本化 ### 一、设置出站默认阻断 1. 打开： `控制面板 → Windows Defender 防火墙 → 高级设置` 2. 点击 **Windows Defender 防火墙属性** 3. 对以下三个配置文件全部设置： - 域配置文件 - 专用配置文件 - 公用配置文件 **出站连接：阻止** --- ### 二、添加 Edge 出站放行规则 #### Edge 程序路径（一般为） ```text C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe ``` #### 操作步骤 1. **出站规则 → 新建规则** 2. 类型：**程序** 3. 程序路径：`msedge.exe` 4. 操作：**允许连接** 5. 配置文件：**全选** 6. 名称：`Allow Edge Outbound` --- ### 三、（强烈建议）放行必要系统组件（否则 Edge 也可能异常）建议补充以下放行规则：

组件	路径
DNS 客户端	`C:\Windows\System32\svchost.exe`
DHCP	`svchost.exe`
NCSI	`svchost.exe`

**方式**： - 程序：`svchost.exe` - 协议：UDP 53（DNS）、UDP 67/68（DHCP） --- ### 四、验证 ```powershell netstat -ano ``` 或 ```powershell Get-NetTCPConnection ``` 此时应当： - Edge 可正常访问外网 - 其他软件（微信、Chrome、更新服务、后台程序）全部无外网 --- ## 方案二（**更严格 / 几乎“断网沙箱”**）：AppContainer + 防火墙组合 ### 适合场景 - 终端安全 - 专用办公机 / 展示机 - 防止任何后台程序偷偷联网 ### 思路 - Edge 运行在 AppContainer 沙箱 - 防火墙阻断非 AppContainer 流量 ### 关键命令 ```powershell CheckNetIsolation LoopbackExempt -s ``` 放行 Edge AppContainer： ```powershell CheckNetIsolation LoopbackExempt -a -n=Microsoft.MicrosoftEdge_8wekyb3d8bbwe ``` **此方案复杂，不建议首次部署直接用** --- ## 方案三（**最省事 / 可视化**）：第三方防火墙（推荐） ### 推荐工具

工具	说明
SimpleWall	开源、轻量、支持白名单
Windows Firewall Control	防火墙 UI 增强

### SimpleWall 操作逻辑 1. 设置为 **Whitelist 模式** 2. 勾选 `msedge.exe` 3. 禁用所有其他程序联网 **优点** - 一键启停 - 非技术人员也能维护 --- ## 方案四（**最硬核 / 运维级**）：路由或网关层封禁 ### 思路 - 主机允许联网 - 网关层面只放行 Edge User-Agent 或目标 IP ⚠️ **不推荐** - Edge IP/域名动态 - TLS 加密下难以精准识别 --- ## 推荐组合（实战最稳） > **Win10 LTSC + Defender 防火墙（方案一）** - 可脚本化 - 可集中下发 - 不依赖第三方 - 符合企业合规 --- ## 是否需要我进一步提供： - PowerShell 一键部署脚本（适合批量机器） - 仅允许访问指定域名（如只上内网 / 指定网站） - 配合 GPO 的完整策略模板 - 日志审计（记录谁试图联网）你可以直接说明**使用场景**（内网终端 / 展示机 / 安全加固 / 防泄密），我可以给你一套“**零误伤**”配置清单。