彻底阻断除 Edge 之外的所有应用产生外网流量 在 Windows 10 LTSC 环境下,如果目标是 彻底阻断除 Edge 之外的所有应用产生外网流量 ,同时 方案可控、可回滚、维护成本低 ,下面按“ 推荐优先级 ”给你一套 运维级可落地方案 ,并说明各自适用场景与注意事项。 方案一( 最推荐 / 企业级 ):Windows Defender 防火墙「 默认拒绝 + 白名单 Edge 」 核心思路 出站规则默认阻断 仅放行 Edge(msedge.exe) 不依赖第三方软件 稳定、可审计、可脚本化 一、设置出站默认阻断 打开: 控制面板 → Windows Defender 防火墙 → 高级设置 点击 Windows Defender 防火墙属性 对以下三个配置文件全部设置: 域配置文件 专用配置文件 公用配置文件 出站连接:阻止 二、添加 Edge 出站放行规则 Edge 程序路径(一般为) C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe 操作步骤 出站规则 → 新建规则 类型: 程序 程序路径: msedge.exe 操作: 允许连接 配置文件: 全选 名称: Allow Edge Outbound 三、(强烈建议)放行必要系统组件(否则 Edge 也可能异常) 建议补充以下放行规则: 组件 路径 DNS 客户端 C:\Windows\System32\svchost.exe DHCP svchost.exe NCSI svchost.exe 方式 : 程序: svchost.exe 协议:UDP 53(DNS)、UDP 67/68(DHCP) 四、验证 netstat -ano 或 Get-NetTCPConnection 此时应当: Edge 可正常访问外网 其他软件(微信、Chrome、更新服务、后台程序)全部无外网 方案二( 更严格 / 几乎“断网沙箱” ):AppContainer + 防火墙组合 适合场景 终端安全 专用办公机 / 展示机 防止任何后台程序偷偷联网 思路 Edge 运行在 AppContainer 沙箱 防火墙阻断非 AppContainer 流量 关键命令 CheckNetIsolation LoopbackExempt -s 放行 Edge AppContainer: CheckNetIsolation LoopbackExempt -a -n=Microsoft.MicrosoftEdge_8wekyb3d8bbwe 此方案复杂,不建议首次部署直接用 方案三( 最省事 / 可视化 ):第三方防火墙(推荐) 推荐工具 工具 说明 SimpleWall 开源、轻量、支持白名单 Windows Firewall Control 防火墙 UI 增强 SimpleWall 操作逻辑 设置为 Whitelist 模式 勾选 msedge.exe 禁用所有其他程序联网 优点 一键启停 非技术人员也能维护 方案四( 最硬核 / 运维级 ):路由或网关层封禁 思路 主机允许联网 网关层面只放行 Edge User-Agent 或目标 IP ⚠️ 不推荐 Edge IP/域名动态 TLS 加密下难以精准识别 推荐组合(实战最稳) Win10 LTSC + Defender 防火墙(方案一) 可脚本化 可集中下发 不依赖第三方 符合企业合规 是否需要我进一步提供: PowerShell 一键部署脚本(适合批量机器) 仅允许访问指定域名(如只上内网 / 指定网站) 配合 GPO 的完整策略模板 日志审计(记录谁试图联网) 你可以直接说明 使用场景 (内网终端 / 展示机 / 安全加固 / 防泄密),我可以给你一套“ 零误伤 ”配置清单。