Когда вы загружаете файл, загруженный из Интернета, Windows добавляет к файлу идентификатор зоны или метку Интернета как поток NTFS. Итак, когда вы запускаете файл, Windows SmartScreen проверяет, есть ли зона идентификации альтернативный поток данных, прикрепленный к файлу. Если ZoneId = 3 data ADS присутствует, Windows определяет, что файл был загружен из Интернета, а SmartScreen выполняет проверку репутации при запуске файла.
Если файл имеет плохую репутацию согласно серверу Microsoft SmartScreen, вам рекомендуется не запускать файл, с возможностью запустить файл в любом случае, несмотря на предупреждение. Предупреждение гласит Windows защитила ваш компьютер. Windows SmartScreen предотвратила запуск нераспознанного приложения. Запуск этого приложения может поставить под угрозу ваш компьютер .
ID зоны 3 представляет «Зону Интернета». Если вы загрузили файл с помощью Chrome или браузеров на базе Chrome, вы также увидите данные ReferrerUrl и HostUrl в потоке NTFS.
Чтобы предотвратить использование SmartScreen, вы обычно щелкаете файл правой кнопкой мыши, выбираете «Свойства», устанавливаете флажок «Разблокировать» и нажимаете «ОК».
Но если у вас есть Скрыть механизмы удаления информации о зоне политика, расположенная под узлом Конфигурация пользователя → Компоненты Windows → Менеджер вложений в редакторе групповой политики принудительно Разблокировать параметр будет отсутствовать на вкладке свойств файла.
Кроме того, групповую политику SmartScreen можно настроить так, чтобы вы не получали параметр «Все равно запускать», а пользователи не могли отключать SmartScreen через пользовательский интерфейс настроек Windows 10.
Соответствующий параметр политики: Настройка SmartScreen Защитника Windows под Конфигурация компьютера → Компоненты Windows → Проводник .
Установив его на Предупредить и предотвратить обход удаляет Все равно беги вариант.
Соответствующие параметры реестра для двух вышеуказанных политик приведены ниже:
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Attachments Значение: HideZoneInfoOnProperties Тип: REG_DWORD, Данные: 1 HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Системное значение: EnableSmartScreen Тип: REG_DWORD, Данные: 1 HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows Системное значение: ShellSmartScreenLevel Тип: REG_SZ, Данные: Блокировать
Обойти SmartScreen, даже если он включен через групповую политику
Однако даже при настроенной выше политике существует лазейка для обхода SmartScreen с использованием значения реестра, которое можно настроить для каждого пользователя, то есть в HKEY_CURRENT_USER.
Допустим, вы видите этот экран при запуске загруженного установщика на вашем компьютере с Windows 10.
Чтобы обойти SmartScreen, создайте значение DWORD (32-битное) с именем NoSmartScreen в следующем разделе реестра:
HKEY_CURRENT_USER Программное обеспечение Классы exefile оболочка открыть
Теперь файл запускается без проверки SmartScreen!
Другой способ предотвратить использование SmartScreen - удалить информацию о зоне с помощью PowerShell (поскольку параметр «Разблокировать» в свойствах файла теперь скрыт с помощью политики). Если у пользователя есть доступ к PowerShell, он может запустить Разблокировать файл командлет, чтобы легко удалить информацию об идентификаторе зоны из файла.
Вышеупомянутый обход работает только в том случае, если пользователь может создать NoSmartScreen значение реестра, используя один из методов, например редактор реестра, PowerShell, консоль reg.exe, WScript.exe, CScript.exe или любой другой инструмент, уже имеющийся на компьютере.
SmartScreen - это дополнительный уровень защиты, который может быть полезен в дополнение к вашему Защитнику Windows в реальном времени и облачная защита функции. Microsoft должна убедиться, что вышеуказанная лазейка будет устранена в будущих выпусках Windows.
Одна небольшая просьба: если вам понравился этот пост, поделитесь им?
Одна «крошечная» публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:- Приколи это!
- Поделитесь этим в своем любимом блоге + Facebook, Reddit
- Напишите об этом в Твиттере!