Windows 11 має кілька рівнів захисту, які дозволяють контролювати, які програми можуть запускатися й встановлюватися на компʼютері. Це допомагає зупинити шкідливе ПЗ ще до того, як воно зашкодить. Способи різняться за складністю — від автоматичних функцій для звичайних користувачів до гнучких політик для організацій. Розберемо всі — оберете той, що пасує саме вам.
- Smart App Control — автоматичний захист
- Microsoft Defender SmartScreen і блокування небажаних застосунків
- Дозволити встановлення лише з Microsoft Store
- Контрольований доступ до папок — захист від програм-вимагачів
- AppLocker — гнучкі правила для Pro, Enterprise та Education
- App Control for Business (WDAC) — корпоративний рівень
- Блокування конкретних програм через реєстр
- Чому варто поєднувати кілька рівнів
- Який спосіб обрати
| Ця інструкція — для Windows 11
Підтримка Windows 10 завершилася 14 жовтня 2025 року, тож матеріал орієнтований на актуальну систему. Якщо ви досі на Windows 10, скористайтеся окремою інструкцією. |
Smart App Control — автоматичний захист
Найпростіший спосіб — увімкнути Smart App Control, вбудовану функцію Windows 11, яка блокує недовірені або потенційно небезпечні застосунки, дозволяючи запуск лише тих, що Microsoft вважає безпечними, або підписаних довіреним сертифікатом. Рішення ухвалюється автоматично, у реальному часі, за допомогою хмарної аналітики та ШІ — вам не потрібно нічого налаштовувати вручну.
Важливі обмеження:
- функція доступна лише у Windows 11 і відсутня у Windows 10;
- увімкнути її можна тільки після чистої інсталяції системи — на ПК, оновленому з попередньої версії, вона залишиться вимкненою;
- працює у трьох режимах: «Оцінювання» (Evaluation), «Увімкнено» (On) і «Вимкнено» (Off).
Де знайти: Windows Security → App & browser control → Smart App Control settings.
Microsoft Defender SmartScreen і блокування небажаних застосунків
Якщо Smart App Control недоступний, базовий захист дає Microsoft Defender SmartScreen — репутаційний фільтр, який попереджає про підозрілі або недовірені файли та застосунки під час завантаження й запуску. Він увімкнений за замовчуванням.
Поруч є окремий перемикач захисту від потенційно небажаних застосунків (PUA) — це не віруси, а рекламне ПЗ, приховані «майнери» та програми, що встановлюються в комплекті з іншими. Microsoft Defender намагається розпізнати такі застосунки й заблокувати їх ще до встановлення або завантаження.
Де знайти: Windows Security → App & browser control → Reputation-based protection.
Читайте також
Дозволити встановлення лише з Microsoft Store
Простий і надійний спосіб убезпечити недосвідченого користувача або спільний компʼютер — обмежити джерело програм. Windows 11 дозволяє вибрати, звідки можна встановлювати застосунки, і за бажання дозволити лише застосунки з Microsoft Store. У такому режимі спроба встановити стороннє ПЗ супроводжується повідомленням, що застосунок не є перевіреним Microsoft.
Де знайти: Settings → Apps → Advanced app settings → Choose where to get apps → «The Microsoft Store only».
Зверніть увагу: цей метод обмежує саме встановлення нових програм; раніше встановлені настільні застосунки продовжать працювати. Тому його найкраще застосовувати на свіжій системі або разом з іншими рівнями захисту.
Контрольований доступ до папок — захист від програм-вимагачів
Окремий механізм захищає не від запуску, а від наслідків: контрольований доступ до папок (Controlled folder access) дозволяє змінювати файли в захищених папках лише довіреним застосункам, перевіряючи їх за списком відомих безпечних програм. Навіть якщо шкідлива програма запуститься, вона не зможе зашифрувати чи пошкодити ваші документи.
Де знайти: Windows Security → Virus & threat protection → Manage ransomware protection → Controlled folder access.
AppLocker — гнучкі правила для Pro, Enterprise та Education
Для тонкого контролю у відповідних редакціях Windows використовують AppLocker. Він дозволяє створювати правила, які визначають, які виконувані файли, скрипти, інсталятори Windows, бібліотеки DLL і пакетні застосунки можуть запускати користувачі. Можна, наприклад, дозволити лише схвалені програми, а решту заблокувати.
Корисна особливість — режим аудиту: правила спершу лише фіксують спроби запуску в журналі, нічого не блокуючи, що дає змогу оцінити вплив перед увімкненням заборон. Налаштовується через «Локальну політику безпеки» (secpol.msc) або групову політику; для роботи потрібна запущена служба Application Identity.
App Control for Business (WDAC) — корпоративний рівень
Найсуворіший рівень контролю для організацій забезпечує App Control for Business (раніше — Windows Defender Application Control, WDAC). Він визначає, які драйвери та застосунки взагалі дозволено запускати на пристрої, на основі цифрового підпису або атрибутів файлів. Microsoft радить застосовувати App Control на найсуворішому доцільному рівні, а AppLocker використовувати для тоншого доналаштування правил під окремих користувачів.
Блокування конкретних програм через реєстр
Якщо потрібно заборонити лише кілька конкретних програм (наприклад, у межах батьківського контролю), можна скористатися реєстром. У розділі HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer створюють параметр DisallowRun (DWORD) зі значенням 1, а в однойменному підрозділі перелічують імена файлів, які треба заблокувати.
Проте цей метод блокує програму лише за точним іменем файлу й легко обходиться простим перейменуванням; до того ж діє тільки на запуск через Провідник і вікно «Виконати». Тому він придатний для блокування конкретних відомих програм, але не захищає від реального шкідливого ПЗ, яке використовує випадкові імена.
Чому варто поєднувати кілька рівнів
Жоден окремий інструмент не закриває всі загрози. Небезпечним може бути не лише виконуваний файл, а й скрипт чи документ із макросами — тож корисно знати, що означають різні розширення файлів. Перевага AppLocker і App Control у тому, що вони охоплюють не лише програми, а й скрипти та інсталятори, тоді як SmartScreen і Smart App Control працюють ширше, на рівні репутації.
Який спосіб обрати
| Спосіб | Кому підходить | Що дає |
| Smart App Control | Домашні користувачі (чиста інсталяція) | Автоматичне блокування недовірених застосунків |
| SmartScreen + блокування PUA | Усі користувачі | Попередження та блокування рекламного й небажаного ПЗ |
| Лише Microsoft Store | Початківці, спільні ПК | Заборона встановлення неперевірених програм |
| Контрольований доступ до папок | Усі користувачі | Захист файлів від програм-вимагачів |
| AppLocker | Pro / Enterprise / Education | Гнучкі правила запуску для exe, скриптів, інсталяторів |
| App Control for Business (WDAC) | Організації | Найсуворіший контроль застосунків і драйверів |
| Реєстр (DisallowRun) | Точкові завдання | Блокування конкретних відомих програм |
Найкращий захист дає поєднання: автоматичний рівень (Smart App Control або SmartScreen), обмеження джерел програм (лише Microsoft Store чи контроль встановлення), захист даних (контрольований доступ до папок), а для організацій — AppLocker або App Control. До цього додайте своєчасні оновлення системи та регулярні резервні копії — і жодна небезпечна програма не застане вас зненацька.
