Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Windows Defender SmartScreen проверяет репутацию загруженных файлов перед их запуском. Понимание того, как работает репутация, помогает задать правильные ожидания для пользователей и выбрать правильную стратегию подписывания.
Подсказка
Самый простой способ избежать предупреждений SmartScreen заключается в публикации через Microsoft Store. Приложения, распространяемые через Магазин, имеют сертификат Майкрософт и никогда не подвергаются предупреждениям о скачивании SmartScreen. Все, что описано в этой статье, относится к приложениям, распределенным за пределами Магазина.
Как работает репутация SmartScreen
SmartScreen оценивает две вещи при скачивании файла пользователем:
- Репутация издателя — Является ли сертификат подписи от известного, доверенного издателя?
- Репутация хэша файла — скачан ли этот конкретный файл достаточным числом пользователей, без того чтобы его сообщили как злонамеренный?
Оба сигнала необходимы для чистого (без предупреждения) загрузки. Новый подписанный двоичный файл от доверенного издателя будет получать запросы SmartScreen, пока его хэш не наберет достаточную историю загрузок.
Репутация SmartScreen для каждого хэша файла — каждая новая сборка приложения начинается с нулевой репутации. Репутация не передается из предыдущих версий.
Что изменилось в 2024 году: сертификаты расширенной проверки (EV) больше не обходят "SmartScreen"
Исторически сертификаты подписывания кода расширенной проверки (EV) предоставляли немедленную репутацию SmartScreen — двоичный файл, подписанный EV, не будет отображать предупреждение даже при первом скачивании. Это поведение было удалено в 2024 году, когда Майкрософт обновили требования доверенной корневой программы.
Текущее поведение (по состоянию на 2024):
| Тип сертификата | Поведение SmartScreen при первом скачивании |
|---|---|
| Подпись отсутствует | ❌ Строгая блокировка — "Windows защитила ваш компьютер"; до запуска приложения может потребоваться дополнительное подтверждение пользователя. Корпоративная политика может полностью предотвратить это подтверждение. |
| Самоподписанный | ❌ Жесткий блок — сертификат не доверен по умолчанию; поведение аналогично неподписанному |
| Сертификат OV (проверено организацией) | ⚠️ Предупреждение — приложение, помеченное как неопознанное до тех пор, пока репутация не накапливается; Имя издателя отображается как проверенное |
| Сертификат EV (расширенная проверка) | ⚠️ Предупреждение — то же, что и OV для новых файлов (мгновенный обход больше невозможен) |
| Azure сертификат подписания артефактов (ранее доверенная подпись) | ⚠️ Предупреждение о новых файлах; репутация обычно накапливается |
| Microsoft Store | ✅ Нет предупреждения, охватываемого сертификатом Майкрософт |
Сертификаты EV по-прежнему имеют ценность (они требуют более тщательной проверки удостоверений, что может быть важно для корпоративных закупок), но больше не обеспечивают мгновенный обход SmartScreen. Переплата за EV только чтобы избежать предупреждений SmartScreen больше не оправдана.
Параметры сертификата и их влияние на SmartScreen
Microsoft Store (рекомендуется)
Приложения, опубликованные через Microsoft Store, повторно подписываются Майкрософт и обладают полной репутацией. Пользователи никогда не увидят предупреждение SmartScreen для приложения, установленного в Магазине.
Azure подпись артефактов (прежнее название — Доверенная подпись)
Azure Подписывание артефактов (ранее Доверенное Подписывание) является рекомендуемой службой подписи кода Майкрософт для распространения не через Магазин:
- Стоимость: Примерно $10/месяц — значительно ниже, чем традиционные сертификаты ЦС
- Аппаратный токен не требуется — интегрируется напрямую с конвейерами CI/CD (GitHub Actions, Azure DevOps)
- требуется проверка удостоверения личности — Майкрософт проверяет удостоверение организации перед выдачей сертификатов
- Поведение SmartScreen: То же, что и с сертификатами OV — репутация накапливается со временем на основе объема загрузок
Сертификаты OV и EV из традиционных центров сертификации
Также принимаются традиционные сертификаты подписывания кода из центров сертификации (DigiCert, Sectigo и т. д.). Сертификаты OV обычно стоят $150–300/год; СЕРТИФИКАТЫ EV $ 400+/год. Оба теперь имеют эквивалентное поведение SmartScreen для новых файлов.
Если у вас уже есть сертификат OV или EV, он остается действительным и функциональным. Если вы приобретаете новый сертификат, Azure Artifacts Signing (раньше назывался Trusted Signing) обычно лучше всего подходит для распространения приложений Windows.
Что ожидать при публикации нового приложения
- Первые скачивание: Пользователи могут увидеть запрос SmartScreen, указывающий, что приложение не распознано. Для подписанных приложений отображается имя издателя— предупреждение о низкой репутации файла, а не неизвестном издателе. Пользователям следует действовать только после проверки источника.
- По мере накопления загрузок репутация SmartScreen повышается автоматически. Запрос перестанет отображаться после того, как хэш файла имеет достаточный журнал загрузки. На основе отчетов разработчиков это обычно занимает несколько недель и сотни чистых установок — нет точного порогового значения, публикуемого Майкрософт.
- Новая версия: Каждая новая сборка начинается с нуля — репутация не переносится из предыдущей версии.
Невозможно вручную отправить файл для проверки репутации SmartScreen для конечных точек потребителей. Репутация растет естественно по мере увеличения объема загрузок.
Подсказка
Для корпоративных сред ИТ-администраторы могут отправлять файлы для проверки с помощью портала Microsoft Security Intelligence. Это может повысить доверие для внутренних или управляемых развертываний, но не влияет на SmartScreen-поведение потребителя.
Замечание
Корпоративные среды, управляемые Microsoft Defender для конечной точки или Windows Defender Контроль приложений (WDAC), могут иметь различное поведение SmartScreen в зависимости от конфигурации политики. ИТ-администраторы могут разрешить список сертификатов издателя или хэшей файлов для обхода проверок SmartScreen на управляемых устройствах.
Минимизация предупреждений SmartScreen на практике
- Публиковать в Microsoft Store, где это возможно, — это самый надежный способ полностью избежать предупреждений.
- Подписывайте каждый релиз — неподписанные файлы отображают более строгое предупреждение SmartScreen, чем подписанные файлы, и предприятия могут блокировать неподписанные двоичные файлы полностью
- Используйте согласованное удостоверение подписи — изменение сертификата подписи влияет на сигнал доверия издателя; обратите внимание, что хэш каждой новой сборки также начинается без репутации файла независимо от непрерывности сертификатов.
- Используйте подписывание артефактов Azure (прежнее название — Доверенная подпись) для дистрибуции вне Магазина — это экономически эффективно и интегрируется с автоматизированными конвейерами сборки.
- Взаимодействие с ранними пользователями — для новых приложений, сообщите пользователям бета-версии, что они могут видеть запрос SmartScreen при первой загрузке, и что они должны продолжать только после проверки издателя и подтверждения того, что они доверяют источнику загрузки
Связанный контент
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Windows developer