一、使用组策略编辑器（推荐）

1. 按 `Win + R` 打开运行框，输入 `gpedit.msc` 并回车。

2. 导航到 `计算机配置 -> 管理模板 -> Windows 组件 -> Windows Installer`。

3. 双击 `禁止用户安装` 选项，选择 `已启用`。

4. （可选）在 `检测应用程序安装并提示提升` 中选择 `已禁用`。

二、修改注册表

1. 按 `Win + R` 打开运行框，输入 `regedit` 并回车。

2. 导航到 `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer`。

3. 新建一个 `DWORD （32-位） 值`，命名为 `DisableMSI`：

- 值数据设为 `1`：仅管理员可安装

- 值数据设为 `2`：禁止安装

4. 重启电脑以应用更改。

三、限制用户权限

禁用UAC提升

- 按 `Win + R` 输入 `secpol.msc` 回车。

- 导航到 `本地策略 -> 安全选项`。

- 将 `用户帐户控制：标准用户的提升提示行为` 设为 `自动拒绝提升请求`。

- 将 `用户帐户控制：检测应用程序安装并提示提升` 设为 `已禁用`。

创建来宾用户

- 在控制面板的 `用户账户` 中启用 `来宾用户`。

- 仅允许来宾用户运行程序，禁止其安装软件。

四、网络与设备限制

禁用网络连接

- 通过本地安全策略或组策略编辑器，禁用网络访问（适用于无法联网的设备）。

物理隔离设备

- 禁用USB端口、光驱等设备，防止通过外部介质安装软件。

五、使用企业级安全软件

部署如 域智盾等软件，通过策略管理功能实现全局禁止安装新软件，并实时监控安装行为。

六、其他注意事项

服务禁用：

通过 `services.msc` 禁用 `Windows Installer` 服务（不推荐，可能影响系统功能）。

软件限制策略：在本地安全策略中创建软件限制策略，阻止特定程序运行。

建议优先使用组策略或注册表修改，这两种方法覆盖范围广且配置相对简单。对于企业环境，建议结合企业级安全软件进行统一管理。