Windows 下有没有类似 SELinux 的机制？

没有。要防止程序偷偷读文件的话，应该只能用虚拟机。Sandboxie 只能防止写入，防不了读取。

1. 有
2. 但是因为历史原因，Windows 上的程序做这个有点疼，你可以把 App 踢进 AppContainer 跑（有人写了点工具），权限都要 explicitly granted (against its NT SID ），但是这样需要设置非常多的 ACL

火绒用的人挺多的，之前逮 qq 偷偷扫 chrome 的不就是用的它么

@ysc3839 可以防读取，但是要捐赠

一开始也想的是 Sandboxie ... 以前没注意, 才知道它能读到本地盘的文件, 我还以为它什么都读不到

那它有访问网络权限么, 比如读取敏感文件发送到特定网址

没有军方订单

linux 也有这个问题，最好是像移动端，一个 app 一个账户

Linux 下 SELinux 用的人也不多，win 对标的应该是 hips 。你需要的是容器，flatpak 的 bwrap 或 docker 。

@codehz 多谢指正

@ysc3839 sandboxie 越来越难坚持住了。比如，文件资源管理器，右键菜单和窗口上方的那一块工具栏，根本加载不出来，UWP 化的东西都加载不出来。edge 浏览器最近也不能在 sandboxie 里打开了。老是改注册表换回旧版，也不是长期的办法，万一砍刀部下手，就没办法用了

百度搜索 selinux 第一位就是如何关闭。
经常我写东西。排查目录权限。排查用户权限。排查端口权限。最终大概率是 tm selinux 给我拦截了

@xy2401 在英文 Google 上搜，出来的结果大部分是 What is SELinux 介绍 selinux 的，扫了一眼，看到几条不太一样的：
What is SELinux and Why You Might Want It
Why SELinux is more work, but well worth the trouble
Does SELinux make Redhat more secure?
Don’t Disable SELinux
Here’s why you should be wary of installing anything that sets SELinux to permissive

@ClericPy 不捐赠也可以阻止读，但是要手动写规则

@ysc3839
@codehz
一直都是不付钱也能组织文件访问的，能自由设置禁止的路径。以前不付钱只是启动程序要弹框等 5 秒钟……
现在 sandboxie-plus 开源了没有限制了

@ClericPy 默认是允许所有文件读取，然后写入是往沙盒写。不然程序自己都运行不起来
网络也是默认全部允许，但是能自己设置 ip 、协议、端口的黑白名单

根据你的描述，你仅仅需要用另一个标准用户运行黄油。它不需要请求管理员权限，也就不会（不能）访问主用户的用户目录。

hips 类型的软件应该都能实现把。。比如 comodo 这些

在 Windows 上，防止用户偷偷访问不该访问的东西，方法是使用用户权限功能。

1.创建一个用户。
2.给某个文件夹，在安全选项里，设置阻止该用户访问。甚至可以阻止整个用户组访问。
3.当该用户登录时，该用户就无法访问。以该用户运行的程序也无法访问。

这个功能做的比 Linux 默认那个权限要好得多。

第三方主动防御类软件就可以，系统 api 调用都会提示。

ms defender 不是有一个保护文件夹的功能吗？