Как разрешить запуск только приложений из Microsoft Store и белый список настольных программ

TL;DR

Если в Windows 10 (обновление Creators Update или новее) включить опцию «Только приложения из Магазина», система будет запускать уже установленные настольные программы, но блокировать новые .exe и установщики из интернета. Чтобы добавить конкретное приложение в «белый список», временно включите «Разрешать приложения откуда угодно», установите программу и затем верните ограничение — установленное приложение останется разрешённым.

Быстрые ссылки

• Как запускать только приложения из Магазина

• Как добавить в белый список конкретные настольные приложения

Что это и зачем

В Windows 10 (обновление Creators Update и новее) появилась настройка, позволяющая ограничить запуск ПО только приложениями из Microsoft Store. Это упрощённая форма «белого списка»: вы продолжаете запускать уже установленные десктоп-приложения, но новые загружаемые .exe будут блокироваться до явного разрешения. По сути, функция работает как базовый Gatekeeper на macOS — повышает безопасность, снижая риск установки вредоносного ПО.

Важно: это не замена продвинутых инструментов управления (например, AppLocker в Enterprise), а простой пользовательский контроль с быстрым способом позволить только проверенные программы.

Как включить ограничение «Только приложения из Магазина»

1. Откройте Параметры > Приложения > Приложения и возможности.
2. Найдите секцию «Установка приложений» или «Installing apps» (в зависимости от локализации).
3. Выберите одну из трёх опций:
   • Разрешать приложения из любых источников (Allow apps from anywhere)
   • Предупреждать перед установкой приложений не из Магазина (Warn me before installing apps from outside the Store)
   • Разрешать только приложения из Магазина (Allow apps from the Store only)

По умолчанию стоит «Разрешать из любых источников» — привычное поведение Windows.

Как «белый список» работает на практике

• Если вы установили приложение раньше, оно продолжит запускаться даже при включённой опции «Только из Магазина».
• Если вы скачали .exe из интернета и попробовали запустить — Windows блокирует запуск и покажет сообщение, что установка/запуск заблокированы.
• Чтобы разрешить этот конкретный исполняемый файл, временно переключите опцию на «Разрешать приложения из любых источников», установите или запустите программу, затем снова включите «Только из Магазина». Приложение, которое вы установили, получит разрешение на запуск в будущем.

Этот процесс работает и для портативных .exe без инсталлятора: запустите их один раз при временно ослабленных настройках — и они останутся разрешёнными.

Быстрее разрешать отдельные приложения

Если вы не хотите полностью отключать защиту, выберите опцию «Предупреждать перед установкой приложений не из Магазина». Тогда при попытке запуска нового .exe система покажет блокировку, но предложит кнопку «Установить в любом случае» — однократное подтверждение разрешит этому приложению запускаться без дальнейших запросов.

Когда это решение полезно

• Для домашнего ПК, где нужно ограничить случайную установку программ.
• Когда вы хотите минимальный контроль над тем, какие приложения могут запускаться, без развертывания корпоративных политик.
• Для пользователей, которые в основном пользуются приложениями из Store и редко устанавливают .exe извне.

Когда это не подходит или обходится

• Многие популярные приложения (включая настольные версии Microsoft Office) могут отсутствовать в Store. Ограничение может мешать рабочему процессу, если вы регулярно ставите ПО вне Store.
• Опытный пользователь может временно отключить ограничение, чтобы установить любую программу — поэтому это не защитит систему от инсайдеров с физическим доступом или от администратора.
• Профессиональные политики и сценарии для организаций лучше реализуются через AppLocker, Device Guard или сторонние системы контроля исполнения приложений.

Альтернативные подходы

• AppLocker (только Windows Enterprise/Education): гибкое управление белыми и чёрными списками для группы компьютеров.
• Device Guard / Windows Defender Application Control: управление на уровне ядра, более строгая белая запись.
• Контроль доступа к папкам (Controlled Folder Access) и Windows Defender SmartScreen: уменьшение риска запуска вредоносных файлов и блокировка эксплойтов.
• Установить антивирус/EDR с функцией разрешённых приложений для централизации управления.

Простая методика: как безопасно установить новое приложение и вернуть защиту (SOP)

1. Отключите временно ограничение: Параметры > Приложения > Приложения и возможности > Разрешать приложения из любых источников.
2. Скачайте и установите программу из доверенного источника.
3. Запустите установленное приложение, проверьте его работоспособность.
4. Верните настройку в исходное положение («Только из Магазина» или «Предупреждать…»).
5. Тест: попробуйте запустить ещё неустановленный .exe — он должен быть заблокирован.

Критерии приёмки

• Установленное приложение запускается после возврата ограничения.
• Новые загружаемые .exe блокируются без явного разрешения.

Рольовые чек-листы

Для домашнего пользователя:

• Включите «Только из Магазина», если не уверены в происхождении программ.
• Используйте «Предупреждать…», если иногда устанавливаете ПО.

Для администратора малого офиса:

• Документируйте список доверенных приложений.
• Настройте инструкцию для сотрудников: как временно разрешить установку и вернуть защиту.
• Рассмотрите AppLocker или централизованные решения, если необходимо строгий контроль.

Факторы безопасности и советы

• Всегда скачивайте ПО с официальных сайтов или проверенных источников.
• Подписанные цифровые сертификаты уменьшают риск, но не дают 100% гарантии безопасности.
• Для критичных систем используйте комбинированный подход: разрешённые приложения + антивирус/EDR + обновления ОС.

Короткая галерея крайних случаев

• Установщик драйвера: даже при разрешении приложения установка драйвера может потребовать дополнительных привилегий и подписей.
• Службы и демоны: серверные службы, устанавливаемые через MSI/инсталляторы, могут требовать дополнительных настроек безопасности.
• Устройства с управлением корпоративным MDM: локальные настройки могут быть переопределены политиками.

Частые вопросы

Что произойдёт с уже установленными программами?

Уже установленные настольные приложения продолжат запускаться даже при включённой опции «Только из Магазина».

Можно ли обойти это ограничение?

Пользователь с правами администратора может временно изменить настройку и установить ПО. Для полноценной защиты в корпоративной среде используйте AppLocker или Windows Defender Application Control.

Какие версии Windows поддерживают эту опцию?

Опция появилась в Creators Update (выпущено 2017–2018). На более ранних версиях её нет; в корпоративных версиях может применяться иной набор политик.

Резюме

Настройка «Только приложения из Магазина» — это удобный способ вернуть базовую модель белого списка в Windows 10 для обычных пользователей. Она облегчает блокировку нежелательных .exe и даёт безопасный процесс временного разрешения конкретных программ. Для строгих корпоративных требований следует использовать специализированные инструменты управления приложениями.

Важное

• Это не замена AppLocker или других корпоративных средств контроля.
• Всегда проверяйте источник и цифровую подпись установщиков.

Краткое пошаговое руководство (шаблон)

1. Параметры > Приложения > Приложения и возможности.
2. Выбрать режим: «Разрешать из любых источников» / «Предупреждать» / «Только из Магазина».
3. Для добавления приложения: временно разрешить, установить/запустить, вернуть ограничение.

1-строчная глоссарий

• Белый список — набор приложений, которым явно разрешён запуск.
• AppLocker — продвинутое средство Windows для белого списка (Enterprise/Education).

Конец статьи.