У Windows при спробі відкрити або запустити виконуваний файл типу exe, msi, bat, cmd (і інших типів файлів) з локального диска або мережевий папки може з'явитися попередження "Відкрити файл - попередження системи безпеки " (Open file - Security Warning). Для продовження виконання програми користувач повинен вручну підтвердити запуск такого файлу, натиснувши кнопку "запустити"(Run). Таке попередження безпеки Windows як правило, з'являється при запуску завантаженого з інтернету інсталяційний файл програми або виконуваного файлу, які знаходиться в загальній мережевий папці на сервері.
Така настройка Windows призначена для забезпечення захисту вашого комп'ютера від запуску потенційно небезпечних виконувані файли, які ви завантажили з Інтернету або інших недовірених джерел і намагаєтеся запустити. Ця особливість при запуску файлів присутній як в Windows 7, так і в Windows 10.
У ряді випадків, коли запуск / установка подібного ПО здійснюється в фоновому режимі через скрипти планувальника, групові політики, завдання SCCM і т.д. це може викликати проблеми, тому що попереджувала вікно не відображається в сесії користувача. Відповідно, установка або запуск такого додатка з скрипта стає неможливий.
Нагадаємо, як виглядає вікно з попередженням. Наприклад, при відкритті файлу з мережевого каталогу вікно попередження системи безпеки Windows виглядає так:
Відкрити файл - попередження системи безпеки
Не вдалося визначити перевірити видавця. Ви дійсно хочете запустити цей файл?
Open File - Security Warning
The Publisher could not be verified. Are you sure you want to run this software?
При запуску завантаженого їх Інтернету файлу з локального диска (або мережевого каталогу, змонтованого через net use) текст попередження трохи інший:
Open File - Security Warning
Do you want tio run this file?
Відкрити файл - попередження системи безпеки
Запустити цей файл?
Файли з Інтернету можуть бути корисні, але цей тип файлу може зашкодити комп'ютер. Запускайте тільки програми, отримані від довіреної видавця.
спробуємо розібратися, як прибрати попередження системи безпеки при запуску виконуваних або настановних файлів в Windows 7 і Windows 10 (інструкція підходить і для всіх інших ОС Microsoft, починаючи з Windows XP).
важливо. Відключення даного вікна з попередженням системи безпеки Windows у більшості випадків не рекомендується, так як зменшує рівень захисту комп'ютера і підвищує ризик зараження системи користувачем.Ми пропонуємо кілька варіантів відключення вікна попередження системи безпеки. Виберіть відповідний спосіб залежно від необхідного рішення (в деяких випадках запропоновані рішення доводиться комбінувати).
зміст:
- Відключення вікна попередження при запуску файлу, завантаженого з Інтернету
- Попередження безпеки при запуску додатків з мережевого каталогу
- Відключення попередження для певних типів файлів через GPO
Відключення вікна попередження при запуску файлу, завантаженого з Інтернету
Виконувані файли, викачані з Інтернету, автоматично позначаються як потенційно небезпечні (завантажені з небезпечного джерела). Реалізується цей функціонал через альтернативні NTFS потоки файлів. Для спрощення, будемо вважати що це спеціальна мітка файлу, яка автоматично призначається викачаного з мережі файлу (Як Windows визначає, що файл викачаний з Інтернету). Щоб видалити цю мітку, потрібно розблокувати цю програму. Для цього:
- Відкрийте властивості файлу
- І на вкладці загальні (General) натисніть кнопку або встановіть чекбокс розблокувати (Unblock). У отриманого з інтернету файлу буде поруч з кнопкою буде вказано таке попередження
Обережно: Цей файл отримано з іншого комп'ютера і, можливо, був заблокований з метою захисту комп'ютера. (This file came from another computer and might be blocked to help protect this computer)
Збережіть зміна, натиснувши на кнопку Ok. Після того, як файл був розблокований, він буде запускатися без попереджувального вікна (NTFS мітка буде знята).
трюк. Щоб команда автоматично не призначалась файлів, які ви завантажуєте з Інтернету через браузер, можна зберігати завантажені файли на диск відформатований у файловій системі FAT32 або exFAT. На цих файлових системах альтернативні потоки NTFS не працюють.Мітку альтернативного NTFS потоку Zone.Identifier можна скинути за допомогою таких двох команд (створиться новий файл):move oldName.exe> newName
type newName> oldName.exe
або утилітиstreams.exe
Якщо потрібно відключити це попередження тільки для файлів, викачаних з допомогою браузера, то відключити збереження атрибута Zone.Identifier при скачуванні файлів можна безпосередньо в браузері:
Для Google Chrome і IE потрібно створити такий ключ реєстру[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Attachments]
"SaveZoneInformation" = dword: 00000001
А для Mozilla Firefox на сторінці налаштувань about: config змінити значення browser.download.saveZoneInformation
на false.
Попередження безпеки при запуску додатків з мережевого каталогу
Цей варіант, як правило, виникає у корпоративних користувачів, які працюють в мережі організації. Вікно попередження може з'явиться при запуску програми із загального мережевого каталогу (мережевий кулі) через UNC шлях. В цьому випадку найпростіше в настройках браузера Internet Explorer додати ім'я та / або ip адресу сервера, на якому зберігається виконуваний файл в зону місцева интрасеть. Тим самим ви вкажете, що даний ресурс є довіреною. Для цього:
- перейдіть в Панель управління -> Властивості оглядача (Internet Option)
- вкладка Безпека (Security)
- відкрити місцева интрасеть (Local Intranet) -> Вузли (Sites) -> Додатково (Advanced)Порада. Ці настройки зберігаються в реєстрі в гілці HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap \ Domains.
- У вікні, додайте ім'я і / або ip-адреса сервера. Наприклад, \\ 10.0.0.6, \\ srvcontoso.com або \\ 127.0.0.1 \ для локальної машини. Можна використовувати знак підстановки, наприклад додати в зону місцева интрасеть можна все адреси в певній локальній підмережі: file: //192.168.1
Додати адреси мережевих каталогів і серверів в зону Місцева інтрамережі можна за допомогою групової політики (GPO). Відкрийте редактор локальної (gpedit.msc) або доменної (gpmc.msc) політики. Перейдіть в розділ Compute Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Internet Explorer -> Панель управління браузером -> Вкладка безпеку ). Увімкніть політику Site to Zone Assignment List (Список призначень зони безпеки для веб-сайтів). В налаштуваннях політики потрібно вказати список довірених серверів в форматі:
- Ім'я сервера (у вигляді file: // server_name, \\ server_name, server_name або IP)
- Номер зони (1 - Для місцевої інтрамережі)
Збережіть зміни в політики і обновіть її на клієнті (gpupdate / focre). Попередження при відкритті виконуваних файлів із зазначених мережевих каталогів має перестати з'являтися.
Крім того, в групових політиках можна включити наступні настройки в розділі User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфігурація користувача -> Адміністративні шаблони -> Компоненти Windows -> Internet Explorer -> Панель управління браузером -> Вкладка безпеку). Це оптимальний варіант для користувачів домену:
- Сайти Інтрамережі: всі сайти, не перераховані в інших зонах Intranet Sites: Include all local (intranet) sites not listed in other zones
- Сайти Інтрамережі: всі мережеві шляхи (UNC) Intranet Sites: Include all network paths (UNCs)
- Увімкнути автоматичне визначення локальної мережі
Відключення попередження для певних типів файлів через GPO
У деяких випадках доцільно відключити появу попередження для певних типів (розширень) файлів через групові політики. Хоча, звичайно, це не дуже безпечно, тому що користувач не дивлячись може запустити щось шкідливе.
Для цього в редакторі GPO перейдіть в розділ User Configuration-> Administrative Templates-> Windows Components-> Attachment Manager (Конфігурація користувача -> Адміністративні шаблони -> Компоненти Windows -> Диспетчер вкладень).
- Увімкніть політику Не зберігати відомості про зону походження вкладень (Do not preserve zone information in file attachments). Всі викачані з інтернету виконувані файли будуть запускатися без підтвердження на всіх комп'ютерах.
- Увімкніть політику Список включень для типів файлів з низьким ризиком (Inclusion list for low file types), вкажіть в її настройках список розширень файлів, для яких потрібно відключити появи вікна з попередженням системи безпеки Windows, наприклад: .exe; .vbs; .msi. Система буде ігнорувати мітки на файлах з цим розширенням, і запускати їх без підтвердження.Примітка. При цьому дані розширення файлів додаються в параметр реєстру LowRiskFileTypes:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Associations] "LowRiskFileTypes« = ». Exe; .vbs; .msi; .bat;"
Збережіть політику і застосуєте її на клієнтах, виконавши на них команду gpupdate / force.
Після цього повинно перестати з'являтися попередження при відкритті файлів з зазначеними розширеннями з будь-якою інформацією в атрибуті Zone.Identifier.
Можна також в параметрах оглядача для зони Інтернету (Безпека - .Інтернет -> Інший -> Різне -> Запуск програм і небезпечний файлів) дозволити запуск будь-яких файлів з інтернету, але це вкрай ризиковано.