如何开启 Windows 11 的“智能应用控制” 自动拦截未签名风险软件方法

想让你的 Windows 11 主动识别并拦截那些未签名、来历不明或潜在有害的可执行文件吗？关键在于启用“智能应用控制”（Smart Application Control，简称 SAC）。不过，这个功能默认是关闭的，常规设置里也找不到直接的开关。它需要经过系统级的初始化流程来加载安全策略。别担心，下面这几种方法，总有一款适合你。

一、通过重置电脑启用智能应用控制

重置电脑是微软官方最推荐的方式。它能确保系统底层的安全策略被完整地重建，从而让 SAC 正确地进入“评估模式”。经过一段时间的观察后，系统会自动将其转为正式启用状态。这个方法的好处是能保留你的个人文件，但代价是已安装的应用程序和自定义设置会被移除。

具体操作很简单：

1. 按下 Win + I 组合键，打开“设置”应用。

2. 依次进入 系统 → 恢复 选项页。

3. 在“重置此电脑”区域，点击 初始化电脑 或“重新安装 Windows”按钮。

4. 选择 保留我的文件 选项，这样可以避免文档、图片等个人数据丢失。

5. 按照屏幕提示完成重置流程。重启后首次登录账户时，SAC 就已经开始在后台以评估模式运行了。

二、通过Windows PowerShell（管理员）强制启用

如果你熟悉命令行操作，并且不希望重装系统，那么这个方法值得一试。它绕过了图形界面的限制，直接调用系统策略引擎来注册 SAC 的安全配置。当然，前提是你的设备要满足 SAC 的运行条件，比如启用了 UEFI 安全启动、TPM 2.0 已激活等。

操作步骤如下：

1. 右键点击“开始”按钮，选择 Windows Terminal（管理员） 或“Windows PowerShell（管理员）”。

2. 输入以下命令并按回车执行：
Set-ProcessMitigation -System -Enable StrictHandleCheck,StrictHandleCheckOverride,ControlFlowGuard,ExportAddressFilter,ImportAddressFilter,ShadowStack

3. 上一条命令执行完成后，继续运行：
reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy” /v “Enabled” /t REG_DWORD /d 1 /f

4. 最后，重启计算机。系统在启动阶段就会加载 SAC 策略并进入评估模式。

三、通过全新安装 Windows 11 启用

对于新购的设备，或者系统已经存在严重异常、希望彻底“洗牌”的情况，全新安装是一个一劳永逸的选择。在符合硬件要求的设备上执行干净安装，能确保 SAC 在系统部署的最初期就被正确注入并启用，完全排除了旧系统残留策略的干扰。

具体流程如下：

1. 从微软官网下载 Windows 11 安装助手，或者创建一个可启动的 USB 安装介质。

2. 启动安装程序，在分区选择界面，删除所有现有的分区，只保留未分配的空间。

3. 选择这块未分配空间作为安装目标，继续完成安装流程。

4. 安装完成并首次联网登录你的 Microsoft 账户后，系统会自动检测硬件并启用 SAC，直接进入评估模式。

四、通过组策略编辑器启用（仅限专业版/企业版）

最后这个方法，为 Windows 11 专业版、企业版或教育版的用户提供了更精细的控制能力。通过本地组策略编辑器，你可以手动配置 SAC 的策略状态与行为模式。

操作路径如下：

1. 按下 Win + R，输入 gpedit.msc 并回车，打开组策略编辑器。

2. 导航至这个路径：
计算机配置 → 管理模板 → 系统 → 应用程序控制策略 → 智能应用程序控制

3. 双击右侧的“启用智能应用程序控制”，选择 已启用，并在下方的下拉菜单中，将策略模式设定为“评估”或“强制”。

4. 点击“应用”后，在命令提示符（管理员）中执行 gpupdate /force 命令来强制刷新策略，随后重启系统即可生效。