Репутация SmartScreen для разработчиков приложений Windows

фильтр SmartScreen в Microsoft Defender проверяет репутацию скачанных файлов перед их запуском. Понимание того, как работает репутация, может помочь избежать предупреждений при скачивании или запуске файлов пользователями.

Подсказка

Самый простой способ избежать предупреждений SmartScreen заключается в публикации через Microsoft Store. Приложения, распределенные в Магазине, подписаны сертификатом Microsoft и никогда не подвергаются предупреждениям о загрузке SmartScreen. Оставшаяся часть этой статьи относится к приложениям, распределенным за пределами Магазина.

Как работает репутация SmartScreen

SmartScreen оценивает два сигнала при загрузке пользователем и запуске файла:

1. Репутация издателя — подписан ли файл? Известен ли издатель подписного сертификата как доверенный?
2. Репутация хэша файлов — скачаны ли эти конкретные файлы пользователями без признаков вредоносного поведения?

Негативная или неизвестная репутация хэша файла или сертификата издателя может вызвать предупреждения. Даже после подписания новый созданный двоичный файл может по-прежнему отображать предупреждение SmartScreen до тех пор, пока его хэш или сертификат издателя не накопят достаточные доказательства положительной репутации.

Если файл не подписан, репутация SmartScreen должна создаваться для каждой новой версии файлов, начиная с нуля репутации. Репутация не может передаваться из предыдущих версий, если обе версии не были подписаны с помощью одного и того же удостоверения издателя.

Параметры сертификата и их влияние на SmartScreen

Чтобы снизить вероятность прерывания, необходимо подписать все файлы с допустимым сертификатом.

Тип сертификата	Поведение SmartScreen при первом скачивании
Microsoft Store	✅ Нет предупреждения, охватываемого сертификатом Microsoft
Действительный сертификат (OV/EV)	⚠️ Предупреждение — приложение, помеченное как неопознанное до тех пор, пока репутация не накапливается; Отображается проверенное имя издателя
Подпись отсутствует	️ Предупреждение — "Windows защитил ваш компьютер"; Пользователь должен выбрать "Запустить в любом случае" до того, как приложение сможет запуститься. Корпоративная политика может полностью предотвратить продолжение.
Самозаверяющий сертификат	⚠️ Предупреждение — то же поведение, что и без подписи

Замечание

Сертификаты EV больше не обходят SmartScreen. Некоторое время назад подписание файлов с использованием сертификата EV (с расширенной проверкой) приводило к получению положительной репутации SmartScreen по умолчанию, но теперь это влияние больше не наблюдается. Сертификаты EV могут иметь значение для корпоративных закупок, но они больше не влияют на поведение SmartScreen. Переплата за EV только чтобы избежать предупреждений SmartScreen больше не оправдана.

Microsoft Store (рекомендуется)

Приложения, опубликованные через Microsoft Store, повторно подписываются Microsoft и обладают полной репутацией. Пользователи никогда не увидят предупреждение SmartScreen для приложения, установленного в Магазине.

Azure подпись артефактов (прежнее название — Доверенная подпись)

Azure Подписывание артефактов (прежнее название — Доверенное подписывание) — это рекомендуемая служба подписи кода Microsoft для распространения вне Магазина.

• Стоимость: Около $10/месяц
• Аппаратный токен не требуется — интегрируется напрямую с конвейерами CI/CD (GitHub Actions, Azure DevOps)
• требуется проверка удостоверения личности — Microsoft проверяет удостоверение личности перед выдачей сертификатов
• Поведение SmartScreen — репутация накапливается с течением времени на основе объема загрузки и поведения

Что ожидать при публикации нового приложения

1. Первые скачивание: Пользователи могут увидеть запрос SmartScreen, указывающий, что приложение не распознано. Для подписанных приложений отображается имя издателя. Пользователям следует действовать только после проверки источника.
2. По мере накопления загрузок репутация SmartScreen повышается автоматически. Запрос перестанет отображаться после того, как хэш файла имеет достаточный журнал загрузки. Нет точного порога, но это может занять несколько недель и сотни чистых установок от разнообразных пользователей.
3. Новая версия: Подписывание файлов с помощью доверенного сертификата может позволить создавать репутацию сертификата, потенциально избегая предупреждений о новых файлах, подписанных тем же доверенным сертификатом. Неподписанные файлы должны создавать репутацию заново при каждом обновлении.

Нет необходимости (или механизма) вручную отправлять файл для проверки репутации SmartScreen для конечных точек потребителей. Репутация растет естественно по мере увеличения объема загрузок.

Замечание

Корпоративные среды могут иметь разное поведение SmartScreen в зависимости от конфигурации политики. например, возможность блокировки предупреждения SmartScreen может быть отключена. Предприятия могут распространять файлы из надежных расположений интрасети, не подвергаяся проверке SmartScreen. Корпоративные ИТ-администраторы могут при необходимости отправлять файлы для проверки с помощью портала аналитики Microsoft Security/c0>. Это может повысить уровень доверия в условиях внутренних или управляемых развертываний.

Минимизация предупреждений SmartScreen на практике

• Публиковать в Microsoft Store, где это возможно, — это самый надежный способ полностью избежать предупреждений.
• Подписывайте каждый выпуск — неподписанные файлы не могут наследовать положительную репутацию от сертификата подписи.
• Не изменяйте подписанные файлы. Избегайте изменения файлов после подписи, так как это может нарушить подпись в зависимости от конфигурации клиента.
• Не подписывание потенциально нежелательных приложений. Избегайте подписывания любого файла, который демонстрирует вредоносное или потенциально нежелательное поведение приложения, или сертификат может вызвать негативную репутацию.
• Использование согласованного удостоверения подписи — изменение сертификата подписи влияет на сигнал доверия издателя
• Взаимодействие с ранними пользователями — для новых приложений, сообщите пользователям бета-версии, что они могут видеть запрос SmartScreen при первой загрузке, и что они должны продолжать только после проверки издателя и подтверждения того, что они доверяют источнику загрузки

Подсказка

На Windows 11 устройствах функция smart App Control может заменять репутацию приложения SmartScreen. Smart App Control блокирует выполнение неподписанных файлов, если файл не имеет положительной репутации. Проверки подписи Smart App Control применяются ко всем исполняемым файлам, а не только к скачанным из Интернета.

Связанный контент

• Choose путь распространения для приложения Windows
• Текущий статус функций распространения приложений Windows
• Подпишите пакет приложения с помощью SignTool
• Документация по подписанию артефактов с помощью Azure (ранее Доверенное подписывание)
• Требования программы Microsoft Trusted Root