So blockieren Sie den Start eines Programms in Windows 10 und Windows 11

Überblick

So verhindern Sie, dass ein Programm in Windows geöffnet wird

Windows bietet mehrere Möglichkeiten, ein Programm zu blockieren. Sie können verhindern, dass eine bestimmte .exe-Datei startet, Anwendungen für ein Kinderkonto einschränken, die Ausführung aus einem Ordner verweigern oder nur den Netzwerkzugriff des Programms blockieren, während es weiterhin geöffnet werden darf.

Die richtige Methode hängt davon ab, was Sie erreichen möchten. Ein Spiel für einen einzelnen Standardbenutzer zu blockieren, ist etwas anderes als Anwendungssteuerung auf einem Geschäfts-PC durchzusetzen. Es unterscheidet sich auch davon, ein Programm nur am Herstellen einer Internetverbindung zu hindern.

🚫

Start vollständig blockieren

Verwenden Sie Softwareeinschränkungsrichtlinien, AppLocker, Registry-Einschränkungen oder NTFS-Berechtigungen, um das Öffnen der ausführbaren Datei zu verhindern.

👤

Benutzerkonto einschränken

Verwenden Sie Microsoft Family Safety oder benutzerspezifische Richtlinien, wenn die Einschränkung nur für eine bestimmte Person gelten soll.

🌐

Nur Netzwerkzugriff blockieren

Verwenden Sie die Windows Defender Firewall, wenn das Programm lokal ausgeführt werden darf, aber keinen Zugriff auf Internet oder lokales Netzwerk haben soll.

ℹ️

Wichtiger Unterschied Eine Firewall-Regel verhindert nicht, dass ein Programm startet. Sie blockiert nur Netzwerkverkehr. Um das Öffnen der App zu verhindern, verwenden Sie Softwareeinschränkungsrichtlinien, AppLocker, Registry-Einschränkungen oder Berechtigungen.

Vergleich

Die besten Methoden zum Blockieren eines Programms in Windows 10 und Windows 11

Nutzen Sie diese Vergleichstabelle, um die sicherste und passendste Methode auszuwählen, bevor Sie Windows-Sicherheitseinstellungen ändern.

Methode	Am besten geeignet für	Windows-Edition	Stärke
Softwareeinschränkungsrichtlinien	Desktop-Programme per Pfad oder Hash blockieren	Oberfläche hauptsächlich in Pro, Enterprise und Education	Stark
AppLocker	Erweiterte Zulassen-/Verweigern-Regeln für ausführbare Dateien, Installer, Skripte, DLLs und gepackte Apps	Windows 10 und 11; besonders für verwaltete oder professionelle Umgebungen geeignet	Stark
Microsoft Family Safety	Kinderkonten, App-Limits, Spiele, Bildschirmzeit	Windows 10/11 mit Microsoft-Konten	Kontobasiert
DisallowRun-Registry-Richtlinie	Einfache benutzerbezogene Blockierung nach Dateiname der ausführbaren Datei	Windows 10/11, einschließlich Home	Einfach
NTFS-Berechtigungen	Zugriff auf eine Datei oder einen Ordner für Standardbenutzer verweigern	Windows 10/11	Nützlich, aber riskant
Firewall-Regel	Internetzugriff einer App blockieren	Windows 10/11	Blockiert den Start nicht

✅

Empfohlene Wahl Für ein normales Desktop-Programm beginnen Sie unter Windows Pro, Enterprise oder Education mit Softwareeinschränkungsrichtlinien. Verwenden Sie Family Safety für Kinderkonten und Firewall nur, wenn Sie den Internetzugriff blockieren möchten.

Vorbereitung

Bevor Sie eine Anwendung in Windows blockieren

Das Blockieren der falschen ausführbaren Datei kann ein Treiber-Tool, Sicherungsprogramm, Antivirus-Komponente, VPN-Client, Updateprogramm oder eine Geschäfts-App beschädigen. Ermitteln Sie vor dem Erstellen einer Einschränkung den genauen Dateipfad und stellen Sie sicher, dass Sie die Änderung rückgängig machen können.

Speicherort der EXE-Datei des Programms finden

Klicken Sie mit der rechten Maustaste auf die Programmverknüpfung auf dem Desktop, im Startmenü oder in der Taskleiste.
Wählen Sie Dateispeicherort öffnen. Wenn dadurch eine weitere Verknüpfung geöffnet wird, klicken Sie erneut mit der rechten Maustaste darauf und wählen Sie nochmals Dateispeicherort öffnen.
Kopieren Sie den vollständigen Pfad zur ausführbaren Datei, zum Beispiel C:\Program Files\ExampleApp\ExampleApp.exe.
Notieren Sie den Dateinamen, zum Beispiel ExampleApp.exe, da einige Blockierungsmethoden nur den Namen der ausführbaren Datei verwenden.

📁

C:\Program Files\ExampleApp\ExampleApp.exe

Zuerst Wiederherstellungspunkt oder Backup erstellen

Wenn Sie die Registry bearbeiten, Sicherheitsberechtigungen ändern oder umfassende Richtlinienregeln erstellen möchten, erstellen Sie zuerst einen Wiederherstellungspunkt.

SystemPropertiesProtection.exe

Blockieren Sie keine Windows-Systemdateien wie explorer.exe, winlogon.exe, svchost.exe oder lsass.exe.
Verweigern Sie keine Berechtigungen für den gesamten Ordner C:\Windows oder C:\Program Files.
Verwenden Sie ein Standard-Testkonto, bevor Sie eine Regel auf Ihr Haupt-Administratorkonto anwenden.
Halten Sie ein separates Administratorkonto bereit, damit Sie die Einschränkung bei Bedarf rückgängig machen können.

Methode 1

Programmstart mit Softwareeinschränkungsrichtlinien blockieren

Softwareeinschränkungsrichtlinien gehören zu den praktischsten integrierten Methoden, um eine bestimmte ausführbare Datei in Windows zu blockieren. Sie können eine Regel erstellen, die ein Programm als Nicht zugelassen markiert, sodass Windows die Ausführung verweigert.

Windows 10 Pro Windows 11 Pro Enterprise / Education Home: keine integrierte Richtlinieneditor-Oberfläche

Lokale Sicherheitsrichtlinie öffnen

Drücken Sie Win + R.
Geben Sie secpol.msc ein und drücken Sie Enter.
Gehen Sie zu Sicherheitseinstellungen → Softwareeinschränkungsrichtlinien.
Wenn der Ordner leer ist, klicken Sie mit der rechten Maustaste auf Softwareeinschränkungsrichtlinien und wählen Sie Neue Softwareeinschränkungsrichtlinien.

      secpol.msc
      →
      Sicherheitseinstellungen
      →
      Softwareeinschränkungsrichtlinien
      →
      Zusätzliche Regeln
    

Pfadregel erstellen, um eine EXE zu blockieren

Öffnen Sie Zusätzliche Regeln.
Klicken Sie mit der rechten Maustaste in einen leeren Bereich und wählen Sie Neue Pfadregel.
Geben Sie unter Pfad den vollständigen Pfad zur ausführbaren Datei ein, zum Beispiel C:\Program Files\ExampleApp\ExampleApp.exe.
Setzen Sie Sicherheitsstufe auf Nicht zugelassen.
Klicken Sie auf Übernehmen und OK.
Starten Sie den Computer neu oder führen Sie gpupdate /force aus.

gpupdate /force

💡

Tipp Eine Pfadregel ist leicht verständlich, hängt aber davon ab, dass die Datei am selben Speicherort bleibt. Wenn der Benutzer das Programm umbenennen, verschieben oder an anderer Stelle neu installieren kann, sollten Sie eine Hash-Regel oder AppLocker in Betracht ziehen.

Hash-Regel für eine bestimmte Datei erstellen

Eine Hash-Regel blockiert genau diese Datei, selbst wenn sie umbenannt oder verschoben wird. Das ist für eine einzelne ausführbare Datei nützlich, aber nach einem Programmupdate kann die Regel nicht mehr funktionieren, weil sich der Datei-Hash ändert.

Öffnen Sie Softwareeinschränkungsrichtlinien → Zusätzliche Regeln.
Klicken Sie mit der rechten Maustaste und wählen Sie Neue Hashregel.
Klicken Sie auf Durchsuchen und wählen Sie die ausführbare Datei aus.
Setzen Sie die Sicherheitsstufe auf Nicht zugelassen.
Übernehmen Sie die Regel und testen Sie sie mit dem betroffenen Benutzerkonto.

Methode 2

AppLocker verwenden, um ausführbare Dateien, Skripte, Installer und Microsoft Store-Apps zu blockieren

AppLocker ist eine erweiterte Windows-Funktion zur Anwendungssteuerung. Damit lassen sich Zulassen- oder Verweigern-Regeln für ausführbare Dateien, Skripte, Windows Installer-Pakete, DLL-Dateien und gepackte Apps erstellen. Es eignet sich besonders für Geschäfts-PCs, gemeinsam genutzte Computer, Labore, Kiosksysteme und verwaltete Geräte.

⚠️

Vorsichtig verwenden AppLocker kann Benutzer von wichtigen Apps ausschließen, wenn Regeln zu breit gefasst sind. Erstellen Sie zuerst Standardregeln, testen Sie nach Möglichkeit im Überwachungsmodus und wenden Sie Verweigern-Regeln nicht auf Administratoren an, sofern Sie nicht sicher sind.

Dienst Anwendungsidentität aktivieren

AppLocker ist vom Dienst Anwendungsidentität abhängig. Ohne diesen Dienst werden Regeln möglicherweise nicht korrekt erzwungen.

Drücken Sie Win + R, geben Sie services.msc ein und drücken Sie Enter.
Suchen Sie Anwendungsidentität.
Setzen Sie den Starttyp auf Automatisch.
Klicken Sie auf Starten und anschließend auf OK.

AppLocker-Verweigern-Regel erstellen

Drücken Sie Win + R, geben Sie gpedit.msc ein und drücken Sie Enter.
Öffnen Sie Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Anwendungssteuerungsrichtlinien → AppLocker.
Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln und wählen Sie Standardregeln erstellen. Dadurch verhindern Sie, dass normale Windows- und Program Files-Anwendungen versehentlich blockiert werden.
Klicken Sie erneut mit der rechten Maustaste auf Ausführbare Regeln und wählen Sie Neue Regel erstellen.
Wählen Sie Verweigern und legen Sie den Benutzer oder die Gruppe fest, für die die Einschränkung gelten soll.
Wählen Sie den Regeltyp: Herausgeber, Pfad oder Dateihash.
Wählen Sie das Programm aus, das Sie blockieren möchten, schließen Sie den Assistenten ab und wenden Sie die Richtlinie an.
Führen Sie gpupdate /force aus oder starten Sie Windows neu.

Regeltyp	Wann verwenden?	Worauf achten?
Herausgeber	Signierte Anwendungen, wenn Sie einen Anbieter, ein Produkt oder einen Versionsbereich blockieren möchten	Funktioniert nur, wenn die Datei eine nutzbare digitale Signatur besitzt
Pfad	Programme, die in einem bekannten Ordnerpfad installiert sind	Eine verschobene oder kopierte ausführbare Datei kann die Regel umgehen
Dateihash	Nicht signierte Tools oder genau eine bestimmte ausführbare Datei	Updates ändern den Hash und erfordern eine neue Regel

Methode 3

Apps mit Microsoft Family Safety blockieren oder begrenzen

Wenn ein Kinderkonto daran gehindert werden soll, ein Spiel oder eine App zu verwenden, nutzen Sie Microsoft Family Safety. Es ist für App-Limits, Bildschirmzeit, Aktivitätsberichte, Webfilter und familienverwaltete Geräte ausgelegt.

App- und Spielelimits festlegen

Öffnen Sie family.microsoft.com in einem Browser oder verwenden Sie die App Microsoft Family Safety.
Melden Sie sich mit dem Microsoft-Konto des Organisators an.
Wählen Sie das Familienmitglied aus.
Öffnen Sie Apps und Spiele oder App- und Spielelimits.
Aktivieren Sie Limits für die App oder das Spiel, das Sie einschränken möchten.
Setzen Sie die erlaubte Zeit auf einen sehr kleinen Wert oder definieren Sie einen Zeitplan, in dem die App nicht erlaubt ist.

Gut geeignet für

Kinderkonten und Familiengeräte.
Spiele und Apps, die nach Zeitplan begrenzt werden sollen.
Eltern, die ein Cloud-Dashboard statt lokaler Richtlinienbearbeitung bevorzugen.

Einschränkungen

Nicht als striktes System zur Anwendungssteuerung in Unternehmen gedacht.
Erfordert Microsoft-Konten und eine korrekt eingerichtete Familiengruppe.
Ersetzt keine SRP-, AppLocker- oder Firewall-Regeln zur technischen Durchsetzung.

Methode 4

Programme mit der DisallowRun-Registry-Richtlinie blockieren

Die Richtlinie DisallowRun kann Programme für den aktuellen Benutzer anhand des Dateinamens der ausführbaren Datei blockieren. Das ist eine einfache Option auf Windows-Editionen, bei denen der Editor für lokale Gruppenrichtlinien nicht verfügbar ist, aber sie ist nicht so stark wie AppLocker oder Softwareeinschränkungsrichtlinien.

⚠️

Registry-Warnung Falsche Änderungen an der Registry können Probleme verursachen. Erstellen Sie zuerst einen Wiederherstellungspunkt und exportieren Sie den Schlüssel, bevor Sie ihn ändern.

DisallowRun für den aktuellen Benutzer aktivieren

Drücken Sie Win + R, geben Sie regedit ein und drücken Sie Enter.
Öffnen Sie HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
Erstellen Sie einen DWORD-Wert (32-Bit) mit dem Namen DisallowRun.
Setzen Sie DisallowRun auf 1.
Erstellen Sie unter dem Schlüssel Explorer einen Unterschlüssel mit dem Namen DisallowRun.
Erstellen Sie in diesem Unterschlüssel Zeichenfolgenwerte mit den Namen 1, 2, 3 usw.
Geben Sie für jeden Zeichenfolgenwert den zu blockierenden Dateinamen ein, zum Beispiel notepad.exe oder game.exe.
Melden Sie sich ab und wieder an oder starten Sie Windows neu.

Beispiel für eine REG-Datei

Dieses Beispiel blockiert notepad.exe und game.exe für den aktuellen Benutzer.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="notepad.exe"
"2"="game.exe"

Registry-Blockierung entfernen

Um die Programme wieder freizugeben, löschen Sie die ausführbaren Dateinamen aus dem Unterschlüssel DisallowRun oder setzen Sie den DWORD-Wert DisallowRun auf 0.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000000

Methode 5

NTFS-Berechtigungen verwenden, um das Öffnen eines Programms zu verhindern

Sie können auch verhindern, dass ein Standardbenutzer ein Programm startet, indem Sie den Zugriff auf die ausführbare Datei entfernen oder verweigern. Diese Methode arbeitet auf Dateisystemebene, muss aber vorsichtig eingesetzt werden, weil Berechtigungsfehler Updates beschädigen oder die Reparatur der Anwendung erschweren können.

Ausführungsberechtigung für einen Standardbenutzer verweigern

Suchen Sie die .exe-Datei des Programms.
Klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften.
Öffnen Sie die Registerkarte Sicherheit.
Klicken Sie auf Bearbeiten.
Wählen Sie den Standardbenutzer oder die Gruppe aus, die Sie einschränken möchten.
Verwenden Sie Verweigern für Lesen & Ausführen vorsichtig, oder entfernen Sie die Berechtigung dieses Benutzers, wenn die Oberfläche dies sicher zulässt.
Klicken Sie auf Übernehmen und testen Sie mit dem betroffenen Konto.

⛔

Breite Verweigern-Regeln vermeiden Verweigern Sie keine Berechtigungen für Jeder, Benutzer oder Administratoren, sofern Sie die Folgen nicht vollständig verstehen. Eine breite Verweigern-Regel kann erlaubte Berechtigungen überschreiben und die Wiederherstellung erschweren.

Wann NTFS-Berechtigungen sinnvoll sind

Sie müssen einen lokalen Standardbenutzer auf einem einzelnen Computer einschränken.
Das Programm ist an einem festen Speicherort installiert.
Sie möchten keine Gruppenrichtlinien- oder Registry-Einstellungen bearbeiten.
Sie haben ein Administratorkonto, das Berechtigungen später wiederherstellen kann.

Methode 6

Internetzugriff eines Programms mit der Windows Defender Firewall blockieren

Wenn Sie nur verhindern möchten, dass ein Programm online geht, erstellen Sie eine ausgehende Firewall-Regel. Das Programm wird weiterhin geöffnet, aber die Windows Defender Firewall blockiert seine Netzwerkverbindungen.

Ausgehende Firewall-Regel erstellen

Drücken Sie Win + R, geben Sie wf.msc ein und drücken Sie Enter.
Wählen Sie Ausgehende Regeln.
Klicken Sie auf Neue Regel.
Wählen Sie Programm und klicken Sie auf Weiter.
Wählen Sie Dieser Programmpfad und navigieren Sie zur ausführbaren Datei.
Wählen Sie Verbindung blockieren.
Wenden Sie die Regel auf die Profile Domäne, Privat und Öffentlich an, wenn sie überall blockieren soll.
Benennen Sie die Regel eindeutig, zum Beispiel Ausgehenden Zugriff von ExampleApp blockieren.

      wf.msc
      →
      Ausgehende Regeln
      →
      Neue Regel
      →
      Programm
    

PowerShell-Beispiel

Sie können die ausgehende Blockierungsregel auch in einem erhöhten PowerShell-Fenster erstellen.

New-NetFirewallRule -DisplayName "Block ExampleApp" `
  -Direction Outbound `
  -Program "C:\Program Files\ExampleApp\ExampleApp.exe" `
  -Action Block

Um die Regel später zu entfernen, verwenden Sie:

Remove-NetFirewallRule -DisplayName "Block ExampleApp"

Überprüfung

Programm testen, Fehler beheben und wieder entsperren

Testen Sie eine Einschränkung nach dem Erstellen mit demselben Konto, das betroffen sein soll. Testen Sie nicht nur mit einem Administratorkonto, weil viele Regeln benutzer- oder gruppenspezifisch sind.

So testen Sie die Blockierung

Starten Sie Windows neu oder melden Sie sich ab und wieder an.
Öffnen Sie das betroffene Benutzerkonto.
Versuchen Sie, das Programm über Desktop, Startmenü, Datei-Explorer und Ausführen-Dialog zu starten.
Wenn Sie eine Firewall-Regel erstellt haben, öffnen Sie das Programm und prüfen Sie, ob Onlinefunktionen keine Verbindung herstellen können.
Prüfen Sie die Ereignisanzeige, wenn AppLocker- oder Richtlinienregeln nicht wie erwartet funktionieren.

Warum das Programm trotzdem startet

Problem	Wahrscheinliche Ursache	Lösung
Die App startet aus einem anderen Ordner	Nur ein Pfad wurde blockiert	Verwenden Sie eine Hash-Regel, Herausgeberregel oder blockieren Sie alle bekannten Installationspfade
Die App startet nach einem Update	Die ausführbare Datei hat sich geändert	Aktualisieren Sie die Hash-Regel oder verwenden Sie stattdessen eine Herausgeber-/Pfadregel
Die Regel funktioniert für einen Benutzer, aber nicht für einen anderen	Die Regel ist benutzerspezifisch	Prüfen Sie den in der Regel ausgewählten Benutzer oder die Gruppe
Firewall-Regel verhindert den Start nicht	Firewall blockiert Datenverkehr, nicht die Ausführung	Verwenden Sie SRP, AppLocker, Registry-Einschränkungen oder Berechtigungen

So entsperren Sie das Programm wieder

Softwareeinschränkungsrichtlinien: Löschen Sie die Pfad-/Hash-Regel oder ändern Sie sie von Nicht zugelassen auf Uneingeschränkt.
AppLocker: Entfernen Sie die Verweigern-Regel, ändern Sie den Erzwingungsmodus oder passen Sie den betroffenen Benutzer-/Gruppenbereich an.
Family Safety: Entfernen Sie das App-Limit oder passen Sie den erlaubten Zeitplan an.
Registry DisallowRun: Löschen Sie den ausführbaren Dateinamen aus dem Unterschlüssel DisallowRun oder setzen Sie den Richtlinienwert auf 0.
NTFS-Berechtigungen: Stellen Sie die Berechtigung Lesen & Ausführen für den betroffenen Benutzer wieder her.
Firewall: Deaktivieren oder löschen Sie die ausgehende Blockierungsregel.

FAQ

Häufig gestellte Fragen zum Blockieren von Programmen in Windows

F Kann ich ein Programm blockieren, ohne es zu deinstallieren? ▼

Ja. Sie können das Programm installiert lassen und den Start mit Softwareeinschränkungsrichtlinien, AppLocker, Registry-Einschränkungen, NTFS-Berechtigungen oder kontobasierten Steuerungen blockieren.

F Was ist der einfachste Weg, ein Programm in Windows Home zu blockieren? ▼

Unter Windows Home sind die einfachsten integrierten Optionen Microsoft Family Safety für Kinderkonten, die DisallowRun-Registry-Richtlinie für eine einfache benutzerbezogene Blockierung oder NTFS-Berechtigungen für einen bestimmten Standardbenutzer. Windows Home enthält nicht die normale Oberfläche des Editors für lokale Gruppenrichtlinien.

F Blockiert die Windows-Firewall das Öffnen eines Programms? ▼

Nein. Die Windows-Firewall kann eingehenden oder ausgehenden Netzwerkverkehr blockieren, verhindert aber nicht, dass die ausführbare Datei startet. Verwenden Sie Anwendungssteuerungsrichtlinien oder Berechtigungen, wenn Sie den Programmstart verhindern müssen.

F Kann ein Benutzer eine pfadbasierte Blockierung umgehen? ▼

Manchmal ja. Wenn der Benutzer die ausführbare Datei kopieren, umbenennen, neu installieren oder eine andere Kopie aus einem anderen Speicherort starten kann, reicht eine einfache Pfadregel möglicherweise nicht aus. Verwenden Sie eine Hash-Regel, Herausgeberregel, AppLocker oder strengere Berechtigungen, wenn eine stärkere Durchsetzung erforderlich ist.

F Sollte ich Programme blockieren, indem ich ihre EXE-Dateien lösche? ▼

In der Regel nein. Das Löschen ausführbarer Dateien kann Deinstallationsprogramme, Updates, Reparaturtools und Dateizuordnungen beschädigen. Je nach Ziel ist es besser, Richtlinienregeln, Berechtigungen, Family Safety oder eine Firewall-Regel zu verwenden.

Fazit

Die beste Methode, um den Start eines Programms in Windows zu blockieren, hängt vom Ziel ab. Für eine bestimmte Desktop-Anwendung sind Softwareeinschränkungsrichtlinien meist die praktischste integrierte Methode. In verwalteten Umgebungen bietet AppLocker eine stärkere und flexiblere Anwendungssteuerung. Für Kinder verwenden Sie Microsoft Family Safety. Wenn es nur um Internetzugriff geht, verwenden Sie die Windows Defender Firewall.

Bestätigen Sie vor jeder Einschränkung den genauen .exe-Pfad, vermeiden Sie das Blockieren von Windows-Systemdateien und halten Sie ein Administratorkonto bereit, damit Sie die Regel rückgängig machen können, falls etwas schiefgeht.