彻底阻断除 Edge 之外的所有应用产生外网流量
在 Windows 10 LTSC 环境下,如果目标是彻底阻断除 Edge 之外的所有应用产生外网流量,同时方案可控、可回滚、维护成本低,下面按“推荐优先级”给你一套运维级可落地方案,并说明各自适用场景与注意事项。
方案一(最推荐 / 企业级):Windows Defender 防火墙「默认拒绝 + 白名单 Edge」
核心思路
-
出站规则默认阻断
-
仅放行 Edge(msedge.exe)
-
不依赖第三方软件
-
稳定、可审计、可脚本化
一、设置出站默认阻断
-
打开:
控制面板 → Windows Defender 防火墙 → 高级设置 -
点击 Windows Defender 防火墙属性
-
对以下三个配置文件全部设置:
-
域配置文件
-
专用配置文件
-
公用配置文件
出站连接:阻止
-
二、添加 Edge 出站放行规则
Edge 程序路径(一般为)
C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
操作步骤
-
出站规则 → 新建规则
-
类型:程序
-
程序路径:
msedge.exe -
操作:允许连接
-
配置文件:全选
-
名称:
Allow Edge Outbound
三、(强烈建议)放行必要系统组件(否则 Edge 也可能异常)
建议补充以下放行规则:
| 组件 | 路径 |
|---|---|
| DNS 客户端 | C:\Windows\System32\svchost.exe |
| DHCP | svchost.exe |
| NCSI | svchost.exe |
方式:
-
程序:
svchost.exe -
协议:UDP 53(DNS)、UDP 67/68(DHCP)
四、验证
netstat -ano
或
Get-NetTCPConnection
此时应当:
-
Edge 可正常访问外网
-
其他软件(微信、Chrome、更新服务、后台程序)全部无外网
方案二(更严格 / 几乎“断网沙箱”):AppContainer + 防火墙组合
适合场景
-
终端安全
-
专用办公机 / 展示机
-
防止任何后台程序偷偷联网
思路
-
Edge 运行在 AppContainer 沙箱
-
防火墙阻断非 AppContainer 流量
关键命令
CheckNetIsolation LoopbackExempt -s
放行 Edge AppContainer:
CheckNetIsolation LoopbackExempt -a -n=Microsoft.MicrosoftEdge_8wekyb3d8bbwe
此方案复杂,不建议首次部署直接用
方案三(最省事 / 可视化):第三方防火墙(推荐)
推荐工具
| 工具 | 说明 |
|---|---|
| SimpleWall | 开源、轻量、支持白名单 |
| Windows Firewall Control | 防火墙 UI 增强 |
SimpleWall 操作逻辑
-
设置为 Whitelist 模式
-
勾选
msedge.exe -
禁用所有其他程序联网
优点
-
一键启停
-
非技术人员也能维护
方案四(最硬核 / 运维级):路由或网关层封禁
思路
-
主机允许联网
-
网关层面只放行 Edge User-Agent 或目标 IP
⚠️ 不推荐
-
Edge IP/域名动态
-
TLS 加密下难以精准识别
推荐组合(实战最稳)
Win10 LTSC + Defender 防火墙(方案一)
-
可脚本化
-
可集中下发
-
不依赖第三方
-
符合企业合规
是否需要我进一步提供:
-
PowerShell 一键部署脚本(适合批量机器)
-
仅允许访问指定域名(如只上内网 / 指定网站)
-
配合 GPO 的完整策略模板
-
日志审计(记录谁试图联网)
你可以直接说明使用场景(内网终端 / 展示机 / 安全加固 / 防泄密),我可以给你一套“零误伤”配置清单。