Microsoft Defender SmartScreen 會在允許執行前檢查已下載檔案的聲譽。 了解聲譽的運作方式,有助於避免用戶下載或執行檔案時收到警告。
小提示
避免 SmartScreen 警告最簡單的方法是透過 Microsoft Store 發佈。 商店發行的應用程式由 Microsoft 憑證簽署,且不會受到 SmartScreen 下載警告的影響。 本文其餘部分適用於在商店外發行的應用程式。
SmartScreen 聲譽的運作方式
當使用者下載並執行檔案時,SmartScreen 會評估兩個訊號:
- Publisher reputation — 檔案有簽名嗎? 簽署憑證是來自已知且受信任的出版商嗎?
- 檔案雜湊聲望 — 使用者是否下載過此特定檔案,且未顯示惡意行為?
檔案雜湊值或發布者憑證的負面或未知聲譽可能會導致警告出現。 即使已簽署,新創建的二進位檔仍可能顯示 SmartScreen 警告,直到其雜湊值或發行者憑證累積足夠的正面聲譽。
當檔案未簽署時,SmartScreen 的信譽評等必須為每個新版本的檔案建構,並從零信譽評等開始。 除非兩個版本都以相同的出版商身份簽署,否則聲譽無法從先前版本轉移。
憑證選項及其對 SmartScreen 的影響
為了降低中斷的可能性,你應該以有效的憑證簽署所有檔案。
| 憑證類型 | 初次下載 SmartScreen 的行為 |
|---|---|
| Microsoft Store | ✅ 無預警 — 受到 Microsoft 證書的涵蓋 |
| 有效證書(OV/EV) | ⚠️ 警告 — 應用程式會被標記為未被認可,直到累積聲譽為止;已驗證的出版商名稱已顯示 |
| 沒有簽名 | |
| 自簽憑證 | ⚠️ 警告 — 與無簽名相同 |
備註
電動車證照不再繞過 SmartScreen。 多年前,使用擴展驗證(EV)程式碼簽章憑證簽署的檔案會預設獲得 SmartScreen 的正面聲譽,但這種行為現在已經不再存在了。 電動車憑證對企業採購可能有影響,但已不再影響 SmartScreen 的行為。 僅僅為了避免智慧螢幕警告而支付電動車溢價,已不再合理。
Microsoft Store(推薦)
透過 Microsoft Store 發佈的應用程式會由 Microsoft 重新簽名,並享有完整的聲譽。 用戶永遠不會看到商店安裝的應用程式出現 SmartScreen 警告。
Artifact Signing(前稱 Trusted Signing)
Artifact Signing(前稱 Trusted Signing)是 Microsoft 推薦用於非商店發行的程式碼簽署服務:
- 費用: 每月約10美元
- 無需硬體令牌 — 直接整合 CI/CD 管線(GitHub Actions、Azure DevOps)
- 身份驗證要求 — Microsoft在簽發憑證前驗證您的身份
- SmartScreen 行為 — 聲譽會隨下載量和行為累積
發佈新應用程式時可以期待什麼
- 首次下載: 使用者可能會看到 SmartScreen 提示,表示該應用程式未被識別。 對於簽署的應用程式,會顯示發佈者名稱。 使用者應在驗證來源後繼續使用。
- 隨著下載量累積: SmartScreen 的聲譽會自動累積。 當檔案雜湊值有足夠的下載歷史時,這個提示就會停止出現。 沒有明確的門檻,但這可能需要數週時間,並在廣泛用戶中完成數百次乾淨安裝。
- 新版本: 使用受信任憑證簽署檔案可以建立憑證聲譽,可能避免同一受信任憑證簽署的新檔案警告。 未簽署檔案必須在每次更新後重新建立聲譽。
消費者端在 SmartScreen 聲譽審查時,無需手動提交檔案,亦沒有相關機制。 聲譽是透過下載量自然建立的。
備註
企業環境的 SmartScreen 行為可能因政策設定而異;例如,可能會關閉繞過智慧螢幕警告的功能。 企業可從不受 SmartScreen 審查的受信任內聯網位置分發檔案。 企業 IT 管理員可選擇透過 Microsoft 安全性 智慧入口網站提交檔案供審查。 這能加速內部或管理部署的信任。
實務中最小化智慧螢幕警告
- 發佈到 Microsoft Store — 這是完全避免警告的最可靠方法
- 簽署每個版本 — 未簽署的檔案無法繼承簽署證書的良好聲譽
- 請勿修改已簽署的檔案——簽署後避免修改檔案,因為根據客戶端設定,修改檔案可能會破壞簽名
- 請勿簽署可能不受歡迎的應用程式 ——避免簽署任何顯示惡意 或潛在不受歡迎應用程式 行為的檔案,否則該憑證可能會產生 負面 聲譽
- 使用一致的簽署身份 — 更改簽署憑證會影響發布者的信任訊號
- 與早期採用者溝通 ——對於新應用,告知測試用戶首次下載時可能會看到 SmartScreen 提示,且他們必須在驗證發行商並確認下載來源是否信任後才繼續使用
小提示
在 Windows 11 裝置上,智慧應用程式控制功能可能會取代 SmartScreen 應用程式的聲譽。 Smart App Control 會阻止未簽署檔案的執行,除非該檔案有正面聲譽。 智慧應用程式控制(Smart App Control)簽章檢查適用於所有可執行檔案,而非僅限於從網路下載的檔案。
