MS 没法阻止有管理员权限的程序对你的 OS 做任何事情。事实上连 settings 里的 developer 设置都只是一个简单的注册表 value。

我之前甚至有打算过把我的一个 uwp 打包成 msi

@hjc4869 #1 Read carefully.

那个 app 是在 Adobe Reader 里登录账户之后才 sideload 的，那个时候 Adobe Reader 已经不是管理员权限了。

@geelaw Adobe 有没有安装服务或者计划任务之类的？

@hjc4869 #3 感谢提示，经过调查，发现实际执行 deploy 的是 Adobe Reader 的 MSI。因为已经安装到操作系统里，所以再次 configure MSI 可以自动被 msiserver 提权（类似于：不需要是管理员用户也可以 repair 已经安装的 MSI ）。MSI 的方式是先修改那个设置，再 deploy，最后再把那个设置改回去。

目前的博文已经修正，表达歉意并叙述了完整的过程。

@hjc4869 #1

有管理员权限的应用程序（在不使用系统漏洞的情况下）无法加载 64 位的未经过签名的内核驱动程序。

有管理员权限的应用程序无法直接禁用 windows defender 的系统服务（官方 rootkit 保护还行）