Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Defender SmartScreen sprawdza reputację pobranych plików przed zezwoleniem na ich uruchamianie. Zrozumienie sposobu działania reputacji może pomóc uniknąć ostrzeżeń podczas pobierania lub uruchamiania plików przez użytkowników.
Wskazówka
Najprostszym sposobem uniknięcia ostrzeżeń filtru SmartScreen jest opublikowanie za pośrednictwem Microsoft Store. Aplikacje rozproszone w sklepie są podpisane przez certyfikat Microsoft i nigdy nie podlegają ostrzeżeniom pobierania filtru SmartScreen. Pozostała część tego artykułu dotyczy aplikacji dystrybuowanych poza Sklepem.
Jak działa reputacja filtru SmartScreen
Filtr SmartScreen ocenia dwa sygnały, gdy użytkownik pobiera i uruchamia plik:
- Reputacja wydawcy — Czy plik jest podpisany? Czy certyfikat podpisywania pochodzi ze znanego zaufanego wydawcy?
- Reputacja skrótu pliku — czy ten konkretny plik został pobrany przez użytkowników bez oznak złośliwego zachowania?
Negatywna lub nieznana reputacja skrótu pliku lub certyfikatu wydawcy może spowodować wyświetlenie ostrzeżeń. Nawet po podpisaniu nowo utworzony plik binarny może nadal wyświetlać ostrzeżenie filtru SmartScreen, dopóki jego hash lub certyfikat wydawcy nie zgromadzi wystarczających dowodów na pozytywną reputację.
Jeśli plik nie jest podpisany, reputacja SmartScreen musi się budować dla każdej nowej wersji twoich plików, zaczynając od braku reputacji. Reputacja nie może zostać przeniesiona z poprzednich wersji, chyba że obie zostały podpisane za pomocą tej samej tożsamości wydawcy.
Opcje certyfikatów i ich implikacje modułu SmartScreen
Aby zmniejszyć prawdopodobieństwo przerwy, należy podpisać wszystkie pliki przy użyciu prawidłowego certyfikatu.
| Typ certyfikatu | Zachowanie filtru SmartScreen przy pierwszym pobieraniu |
|---|---|
| Microsoft Store | ✅ Brak ostrzeżenia — objęte certyfikatem Microsoft |
| Ważny certyfikat (OV/EV) | ⚠✔ Ostrzeżenie — aplikacja oflagowana jako nierozpoznana do czasu gromadzenia się reputacji; Wyświetlana jest zweryfikowana nazwa wydawcy |
| Brak podpisu | ⚠️ Ostrzeżenie — "Windows chroni twój komputer"; Użytkownik musi wybrać opcję "Uruchom mimo to", aby aplikacja mogła się uruchomić. Zasady przedsiębiorstwa mogą całkowicie uniemożliwić kontynuację. |
| Certyfikat z podpisem własnym | ⚠✔ Ostrzeżenie — takie samo zachowanie jak brak podpisu |
Uwaga / Notatka
Certyfikaty EV nie pomijają już funkcji SmartScreen. Wiele lat temu podpisywanie plików przy użyciu certyfikatu podpisywania kodu rozszerzonej weryfikacji (EV) spowodowałoby domyślnie pozytywną reputację filtru SmartScreen, ale takie zachowanie już nie istnieje. Certyfikaty EV (Extended Validation) mogą mieć znaczenie dla zamówień przedsiębiorstwa, ale nie mają już wpływu na działanie funkcji SmartScreen. Płacenie dodatkowej opłaty za EV tylko po to, aby uniknąć ostrzeżeń filtru SmartScreen, nie jest już uzasadnione.
Microsoft Store (zalecane)
Aplikacje opublikowane za pośrednictwem Microsoft Store są ponownie podpisane przez Microsoft i mają pełną reputację. Użytkownicy nigdy nie zobaczą ostrzeżenia SmartScreen dla aplikacji zainstalowanej ze Sklepu.
Azure Podpisywanie artefaktów (wcześniej zaufane podpisywanie)
Azure Podpisywanie artefaktów (wcześniej Zaufane Podpisywanie) jest zalecaną przez Microsoft usługą podpisywania kodu dla dystrybucji poza Sklepem.
- Koszt: Około 10 USD/miesiąc
- Nie jest wymagany token sprzętowy — integruje się bezpośrednio z potokami CI/CD (GitHub Actions, Azure DevOps)
- Wymagana weryfikacja tożsamości — Microsoft weryfikuje tożsamość przed wystawieniem certyfikatów
- Zachowanie filtru SmartScreen — reputacja gromadzi się w czasie na podstawie ilości i zachowania pobierania
Czego można oczekiwać podczas publikowania nowej aplikacji
- Pierwsze pliki do pobrania: Użytkownicy mogą zobaczyć monit SmartScreen wskazujący, że aplikacja jest nierozpoznana. W przypadku podpisanych aplikacji zostanie wyświetlona nazwa wydawcy. Użytkownicy powinni kontynuować tylko po zweryfikowaniu źródła.
- W miarę gromadzenia się plików do pobrania: Reputacja SmartScreen tworzy się automatycznie. Komunikat przestanie się pojawiać, gdy skrót pliku będzie miał wystarczającą historię pobierania. Nie ma dokładnego progu, ale może to potrwać kilka tygodni i wymagać setek czystych instalacji przez szerokie grono użytkowników.
- Nowa wersja: Podpisywanie plików przy użyciu zaufanego certyfikatu może umożliwić tworzenie reputacji certyfikatu, co potencjalnie pozwala uniknąć ostrzeżeń dotyczących nowych plików podpisanych przez ten sam zaufany certyfikat. Niepodpisane pliki muszą na nowo tworzyć reputację przy każdej aktualizacji.
Nie ma potrzeby ręcznego przesyłania pliku do przeglądu reputacji filtru SmartScreen dla punktów końcowych użytkowników. Reputacja buduje się organicznie poprzez wolumen pobierania.
Uwaga / Notatka
Środowiska przedsiębiorstwa mogą mieć różne zachowanie filtru SmartScreen w zależności od konfiguracji zasad; na przykład możliwość obejścia ostrzeżenia SmartScreen może być wyłączona. Przedsiębiorstwa mogą rozpowszechniać pliki z zaufanych lokalizacji intranetowych, które nie podlegają przeglądowi filtru SmartScreen. Administratorzy IT przedsiębiorstwa mogą opcjonalnie przesyłać pliki do przeglądu za pośrednictwem portalu analizy rozwiązania zabezpieczające firmy Microsoft. Może to zwiększyć zaufanie odnoszące się do wdrożeń wewnętrznych lub zarządzanych.
Minimalizacja ostrzeżeń filtru SmartScreen w praktyce
- Opublikuj w Microsoft Store tam, gdzie to możliwe — to najbardziej niezawodny sposób na całkowite uniknięcie ostrzeżeń.
- Podpisuj każde wydanie — niepodpisane pliki nie mogą dziedziczyć pozytywnej reputacji certyfikatu podpisywania
- Nie modyfikuj podpisanych plików — unikaj modyfikowania plików po podpisaniu, ponieważ może to uszkodzić podpis w zależności od konfiguracji klienta
- Nie podpisuj potencjalnie niechcianych aplikacji — unikaj podpisywania żadnego pliku, który wykazuje złośliwe lub potencjalnie niepożądane zachowanie aplikacji lub certyfikat może rozwijać negatywną reputację
- Używanie spójnej tożsamości podpisywania — zmiana certyfikatu podpisywania wpływa na sygnał zaufania wydawcy
- Komunikuj się z wcześnymi użytkownikami — w przypadku nowych aplikacji poinformuj beta-testerów, że mogą zobaczyć komunikat SmartScreen podczas pierwszego pobierania i że powinni kontynuować tylko po weryfikacji wydawcy i potwierdzeniu zaufania do źródła pobierania.
Wskazówka
Na Windows 11 urządzeniach funkcja Inteligentne sterowanie aplikacjami może zastąpić reputację aplikacji SmartScreen. Funkcja Smart App Control zablokuje wykonywanie niepodpisanych plików, chyba że plik ma pozytywną reputację. Kontrole sygnatur inteligentnej kontroli aplikacji mają zastosowanie do wszystkich plików wykonywalnych, a nie tylko tych pobranych z Internetu.
Treści powiązane
Współpracuj z nami w serwisie GitHub
Źródło tej zawartości można znaleźć w witrynie GitHub, gdzie można również tworzyć i przeglądać problemy i żądania ściągnięcia. Więcej informacji znajdziesz w naszym przewodniku dla współtwórców.
