Linux и Windows

Отключить предупреждение системы безопасности Виндовс

Дата:

Категория:

Метки:

В Виндовс при попытке открыть либо запустить исполняемый файл типа exe, vbs, msi, bat, cmd (и остальных типов файлов) с локального диска либо сетевой папки может показаться предупреждение Открыть файл – предупреждение системы безопасности (Open file — Security Warning). Для продолжения реализации программы пользователь должен вручную удостоверить пуск этого файла, нажав клавишу “Запустить” (Run). Подобное предупреждение безопасности Виндовс обычно возникает при открытии файла, скачанного из веба, запуске исполняемого файла из общей сетевой папки либо присоединенного сетевого диска, либо запуске файла с недействительной цифровой подписью.

Содержание:

Предупреждение системы безопасности Виндовс при запуске файлов

Предупреждение системы безопасности создано для защиты компа от пуска потенциально небезопасных исполняемых файлов, бывш?? скачаны из Веба либо получены недоверенных источников, и пытаетесь запустить.

К примеру, при открытии файла из сетевого каталога окно предупреждения системы безопасности Виндовс смотрится так:

Открыть файл – предупреждение системы безопасности Не удаётся проверить издателя. Вы действительно хотите запустить этот файл? Этот файл не находится в вашей локальной сети. Файлы из неизвестных расположений могут причинить вред вашему компьютеру. Запускайте этот файл только в том случае, если вы доверяете его источнику. 
Open File - Security Warning The Publisher could not be verified. Are you sure you want to run this software? This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.

При запуске скачанного из Интернета файла с локального диска (или сетевого диска, подключенного через net use ) текст предупреждения немного другой:

Open File - Security Warning  Do you want to run this file? 
Открыть файл – предупреждение системы безопасности Запустить этот файл? Файлы из Интернета могут быть полезны, но этот тип файла может повредить компьютер. Запускайте только программы, полученные от доверенного издателя.

Если снять галку на опции Всегда спрашивать при открытии этого файла, то окно безопасности Windows не появится при следующем запуске этой программы. Но таким образом добавлять программы в исключения придется вручную.

Также наличие предупреждения системы безопасности может вызвать проблемы, если вы устанавливаете или запускаете программы на компьютерах пользователя в фоновом режиме (через скрипты планировщика, групповые политики, задания SCCM и т.д.). Дело в том, что в таких случаях предупреждающее окно системы безопасности Windows просто не отображается в сессии пользователя. Соответственно, установка или запуск таких приложений из скриптов становится невозможен.

Попробуем разобраться, как отключить предупреждение системы безопасности при запуске исполняемых или установочных файлов в Windows.

Важно. Отключение данного окна с предупреждением системы безопасности Windows в большинстве случаев не рекомендуется, так как уменьшает уровень защиты компьютера и повышает риск заражения системы пользователем.

Отключение окна предупреждения при запуске файла, скачанного из Интернета

Исполняемые файлы, скачанные из Интернета, браузеры автоматически помечают как потенциально опасные (загруженные из небезопасного источника). Реализуется этот функционал через альтернативные NTFS потоки файлов. Для упрощения, будем считать что это специальная метка файла, которая автоматически назначается скачанному из сети файлу (Как Windows определяет, что файл скачан из Интернета). Чтобы удалить эту метку, нужно разблокировать файл.

  1. Откройте свойства исполняемого файла;
  2. На вкладке Общие (General) нажмите кнопку или установите чекбокс Разблокировать (Unblock). У полученного из интернета файла рядом с кнопкой будет указано такое предупреждение: 
    Осторожно: Этот файл получен с другого компьютера и, возможно, был заблокирован с целью защиты компьютера. (This file came from another computer and might be blocked to help protect this computer)

Сохраните изменения, нажав OK. Теперь файл разблокирован (NTFS метка снята) и будет запускаться без предупреждения.

Метку альтернативного NTFS потока Zone.Identifier можно сбросить с помощью PowerShell команды:

Unblock-File someinstallfile.exe

Чтобы отключить сохранение информации о зонах для скачанных из интернета файлов можно включить параметр GPO Не хранить сведения о зоне происхождения вложений/Do note preserve zone information in file attachments (User Configuration -> Administrative Templates -> Windows Components -> Attachment Manager) или создать параметр реестра:

reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesAttachments" /v "SaveZoneInformation" /t REG_DWORD /d "1" /f

В результате файлы, скачанные браузерами (в том числе Edge, Chrome, Firefox и т.д.), не будут содержать метку потока Zone.Identifier.

Предупреждение безопасности при запуске файла из сетевой папки

Окно предупреждения безопасности также будет появляться при запуске исполняемых файлов из общего сетевого каталога (шары) при доступе по UNC пути, содержащего IP адрес или FQDN имя домена (NETBIOS имя домена клиента считается доверенным). Например, \server.domain.rusharefile.exe или \192.168.12.22dfile.exe

Чтобы сделать сетевой адрес доверенным, нужно добавить его имя и/или IP адрес удаленного сервера (NAS хранилища) в зону Местная интрасеть в настройках обозревателя Internet Explorer

  1. Перейдите в Панель управления -> Свойства обозревателя (Internet Option) – команда inetcpl.cpl
  2. Вкладка Безопасность (Security)
  3. Открыть Местная интрасеть (Local Intranet) -> Узлы (Sites) -> Дополнительно (Advanced)
  4. В открывшемся окне добавьте доверенные имя и /или ip-адрес сервера. Например file://10.0.0.6 , file://srvcontoso.com или file://127.0.0.1 для локального компьютера. Можно использовать знак подстановки *. Например, добавить в зону все IP адреса в подсети: file://192.168.1.*
    Совет. Эти настройки хранятся в реестре в ветке HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap. Доверенные IP адреса указывается в ветке реестра Ranges ; доменные имена – в Domains .

Для добавление доверенных адресов в зону Местная интрасеть на компьютерах домена можно использовать групповые политики:

  1. Откройте редактор локальной ( gpedit.msc ) или доменных ( gpmc.msc ) политик.
  2. Перейдите в раздел Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность).
  3. Включите политику Site to Zone Assignment List (Список назначений зоны безопасности для веб-сайтов). В настройках политики нужно указать список доверенных адресов в формате:
    • Имя сервера (в виде file://server_name , \server_name , server_name или IP )
    • Номер зоны (1 – Для местной интрасети)

  4. Сохраните изменения в политике и обновите настройки GPO на клиенте ( gpupdate /force ).

Теперь при запуске их сетевых каталогов на хостах, добавленных в местную интрасеть, не будет появляться предупреждение при открытии исполняемых файлов.

Для автоматического определения адресов в интрасети можно влачить следующие настройки в разделе User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность).

  • Сайты Интрасети: все сайты, не перечисленные в других зонах Intranet Sites: Include all local (intranet) sites not listed in other zones
  • Сайты Интрасети: все сетевые пути (UNC) Intranet Sites: Include all network paths (UNCs)
  • Включить автоматическое определение интрасети

Перенаправление папки AppData и предупреждение при открытии файлов

Если вы используйте перенаправление папки AppData (в roaming profile сценариях), пользователи могут столкнуться с окном Открыть файл – предупреждение системы безопасности при запуске ярлыков приложений из профиля.

В этом случае нужно добавить ваш сервер (или целиком домен), где хранятся перемещаемые профили в доверенную зону.

Воспользуйтесь параметром GPO: User Configuration -> Policies -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List. Добавьте имя сервера (домена) со значением 1.

На хостах Windows Server с ролью RDS, в некоторых случаях помогает только отключение усиленной безопасности IE.

  1. Откройте Server Manager -> Локальный сервер.
  2. Щелкните по параметру Конфигурация усиленной безопасности Internet Explorer
  3. Отключите усиленную безопасность для пользователей и администраторов.

Отключить предупреждение для некоторых типов файлов через GPO

Иногда бывает целесообразно отключить предупреждение безопасности для определенных типов (расширений) файлов (но список разрешенных расширений файлов нужно минимизировать).

Для этого в редакторе GPO перейдите в раздел User Configuration-> Administrative Templates-> Windows Components-> Attachment Manager (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Диспетчер вложений).

  • Включите политику Не хранить сведения о зоне происхождения вложений (Do not preserve zone information in file attachments). Все скачанные из интернета исполняемые файлы будут запускаться без подтверждения на всех компьютерах.
  • Включите политику Список включений для типов файлов с низким риском (Inclusion list for low file types), укажите в ее настройках список расширений файлов, для которых нужно отключить появления окна с предупреждением системы безопасности Windows, например: .exe;.vbs;.msi. Система будет игнорировать метки на файлах с этим расширением, и запускать их без подтверждения.
    Примечание. Это добавит доверенные расширения файлов в параметр реестра LowRiskFileTypes: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations] "LowRiskFileTypes"=".exe;.vbs;.msi;.bat;"

После применения политики, при открытии исполняемых файлов с указанными расширениями не будет появляться окно безопасности (независимо от наличия NTFS атрибута Zone.Identifier).

Можно также в параметрах обозревателя для зоны Интернета (Безопасность -> Интернет -> Другой -> Разное -> Запуск программ и небезопасный файлов) разрешить запуск любых файлов из интернета, но это небезопасно.

Можно полностью отключить вывод окна «Open File — Security Warning» с помощью параметра Turn off the Security Settings Check feature в разделе реестра Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer.

Или с помощью следующих команд:
REG ADD "HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLMSOFTWAREPoliciesMicrosoftInternet ExplorerSecurity" /V "DisableSecuritySettingsCheck" /T "REG_DWORD" /D "00000001" /F

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Другие статьи: