С давних времен, компьютерные вирусы и другое вредоносное программное обеспечение ухудшали комфорт использования компьютерной техники, в том числе и той, что работала под управлением операционных систем Windows. Чтобы противостоять этим угрозам, разработчики из Microsoft добавили в систему различные функции безопасности, среди которых есть проверка запускаемых файлов, которые могут быть потенциально опасны для компьютера.
Приобрести оригинальные ключи активации Windows всегда можно у нас в каталоге от 1099 ₽
Например, при запуске файла с недействительной цифровой подписью, может появиться предупреждение:
«У этого файла отсутствует допустимая цифровая подпись, подтверждающая его издателя. Следует запускать только программы, полученные от доверенного издателя.»
Если файл был скачан из ненадежного сетевого расположения, текст предупреждения будет другим:
«Этот файл не находится в вашей локальной сети. Файлы из неизвестных расположений могут причинить вред вашему компьютеру. Запускайте этот файл только в том случае, если вы доверяете его источнику.»
Если вы считаете, что эти предупреждения мешают работе, вы можете их отключить, настроив систему. Однако, делать это нужно с осторожностью: отключив подобные предупреждения, можно незаметно скачать сомнительный файл и подвергнуть систему опасности.
Отключение предупреждения системы безопасности в Windows 10
Вы можете отключить предупреждения безопасности при открытии потенциально опасных файлов, изменив параметры в «Свойствах браузера» в Панели управления. Для этого выполните следующие действия:
1. Откройте Панель управления, набрав соответствующий поисковый запрос в меню Пуск.
2. В Панели управления выберите «Сеть и интернет», затем «Свойства браузера».
Если включен вид значками, найдите пункт «Свойства браузера» и откройте его.
3. Перейдите на вкладку «Безопасность» и выберите зону «Интернет» (она выбрана по умолчанию). Нажмите кнопку «Другой».
4. В списке параметров найдите «Запуск программ и небезопасных файлов» и отметьте опцию «Включить (небезопасно)».
Отключение предупреждения системы безопасности в Windows 7
Для отключения предупреждений в Windows 7 выполните аналогичные шаги:
1. Откройте меню Пуск и выберите Панель управления.
2. В Панели управления выберите «Сеть и интернет», затем «Свойства браузера».
Или найдите «Свойства браузера» среди значков.
3. Перейдите на вкладку «Безопасность» и выберите зону «Интернет». Нажмите кнопку «Другой».
4. В настройках найдите параметр «Запуск программ и небезопасных файлов» и установите значение «Включить (небезопасно)».
Политика «Список включений для типов файлов с низким уровнем риска»
Универсальным способом отключения таких уведомлений для любой версии Windows, начиная с Windows XP SP2, является настройка групповой политики. Можно создать список исключений, в который включить нужные расширения файлов.
Использование редактора реестра
Так как параметры групповых политик хранятся в реестре, можно настроить нужную политику, отредактировав реестр. Самый простой способ — создать файл реестра и экспортировать его в систему.
Создайте файл реестра следующего содержания, где .exe и .msi — это расширения файлов, для которых не нужно отображать предупреждения:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]
"LowRiskFileTypes"=".exe;.msi;"
Экспортируйте данный файл в системный реестр двойным щелчком мыши. Подтвердите добавление данных.
Использование редактора групповых политик
Для отключения предупреждения можно воспользоваться редактором групповых политик:
1. Нажмите Win+R введите gpedit.msc и запустите Редактор групповых политик.
2. Перейдите по пути: «Конфигурация пользователя — Административные шаблоны — Компоненты Windows — Диспетчер вложений».
3. Найдите политику «Список включений для типов файлов с низким риском» и откройте её.
4. Установите значение «Включено» и в параметрах укажите нужные расширения файлов, например, .exe и .msi.
Если использовался редактор локальных групповых политик, изменения вступят в силу немедленно. При использовании редактора домена Active Directory дождитесь обновления политик.
Лицензионный ключ активации Windows от
В Windows при попытке открыть или запустить исполняемый файл типа exe, vbs, msi, bat, cmd (и других типов файлов) с локального диска или сетевой папки может появиться предупреждение Открыть файл – предупреждение системы безопасности (Open file — Security Warning). Для продолжения выполнения программы пользователь должен вручную подтвердить запуск такого файла, нажав кнопку “Запустить” (Run). Такое предупреждение безопасности Windows обычно появляется при открытии файла, скачанного из интернета, запуске исполняемого файла из общей сетевой папки или подключенного сетевого диска, или запуске файла с недействительной цифровой подписью.
Содержание:
- Предупреждение системы безопасности Windows при запуске файлов
- Отключение окна предупреждения при запуске файла, скачанного из Интернета
- Предупреждение безопасности при запуске файла из сетевой папки
- Перенаправление папки AppData и предупреждение при открытии файлов
- Отключить предупреждение для некоторых типов файлов через GPO
Предупреждение системы безопасности Windows при запуске файлов
Предупреждение системы безопасности предназначено для защиты компьютера от запуска потенциально опасных исполняемых файлов, которые были скачаны из Интернета или получены недоверенных источников, и пытаетесь запустить.
Например, при открытии файла из сетевого каталога окно предупреждения системы безопасности Windows выглядит так:
Открыть файл – предупреждение системы безопасности Не удаётся проверить издателя. Вы действительно хотите запустить этот файл? Этот файл не находится в вашей локальной сети. Файлы из неизвестных расположений могут причинить вред вашему компьютеру. Запускайте этот файл только в том случае, если вы доверяете его источнику.
Open File - Security Warning The Publisher could not be verified. Are you sure you want to run this software? This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.
При запуске скачанного из Интернета файла с локального диска (или сетевого диска, подключенного через
net use
) текст предупреждения немного другой:
Open File - Security Warning Do you want to run this file?
Открыть файл – предупреждение системы безопасности Запустить этот файл? Файлы из Интернета могут быть полезны, но этот тип файла может повредить компьютер. Запускайте только программы, полученные от доверенного издателя.
Если снять галку на опции Всегда спрашивать при открытии этого файла, то окно безопасности Windows не появится при следующем запуске этой программы. Но таким образом добавлять программы в исключения придется вручную.
Также наличие предупреждения системы безопасности может вызвать проблемы, если вы устанавливаете или запускаете программы на компьютерах пользователя в фоновом режиме (через скрипты планировщика, групповые политики, задания SCCM и т.д.). Дело в том, что в таких случаях предупреждающее окно системы безопасности Windows просто не отображается в сессии пользователя. Соответственно, установка или запуск таких приложений из скриптов становится невозможен.
Попробуем разобраться, как отключить предупреждение системы безопасности при запуске исполняемых или установочных файлов в Windows.
Важно. Отключение данного окна с предупреждением системы безопасности Windows в большинстве случаев не рекомендуется, так как уменьшает уровень защиты компьютера и повышает риск заражения системы пользователем.
Отключение окна предупреждения при запуске файла, скачанного из Интернета
Исполняемые файлы, скачанные из Интернета, браузеры автоматически помечают как потенциально опасные (загруженные из небезопасного источника). Реализуется этот функционал через альтернативные NTFS потоки файлов. Для упрощения, будем считать что это специальная метка файла, которая автоматически назначается скачанному из сети файлу (Как Windows определяет, что файл скачан из Интернета). Чтобы удалить эту метку, нужно разблокировать файл.
- Откройте свойства исполняемого файла;
- На вкладке Общие (General) нажмите кнопку или установите чекбокс Разблокировать (Unblock). У полученного из интернета файла рядом с кнопкой будет указано такое предупреждение:
Осторожно: Этот файл получен с другого компьютера и, возможно, был заблокирован с целью защиты компьютера. (This file came from another computer and might be blocked to help protect this computer)
Сохраните изменения, нажав OK. Теперь файл разблокирован (NTFS метка снята) и будет запускаться без предупреждения.
Метку альтернативного NTFS потока Zone.Identifier можно сбросить с помощью PowerShell команды:
Unblock-File someinstallfile.exe
Чтобы отключить сохранение информации о зонах для скачанных из интернета файлов можно включить параметр GPO Не хранить сведения о зоне происхождения вложений/Do note preserve zone information in file attachments (User Configuration -> Administrative Templates -> Windows Components -> Attachment Manager) или создать параметр реестра:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments" /v "SaveZoneInformation" /t REG_DWORD /d "1" /f
В результате файлы, скачанные браузерами (в том числе Edge, Chrome, Firefox и т.д.), не будут содержать метку потока Zone.Identifier.
Предупреждение безопасности при запуске файла из сетевой папки
Окно предупреждения безопасности также будет появляться при запуске исполняемых файлов из общего сетевого каталога (шары) при доступе по UNC пути, содержащего IP адрес или FQDN имя домена (NETBIOS имя домена клиента считается доверенным). Например,
\\server.domain.ru\share\file.exe
или
\\192.168.12.22\d\file.exe
Чтобы сделать сетевой адрес доверенным, нужно добавить его имя и/или IP адрес удаленного сервера (NAS хранилища) в зону Местная интрасеть в настройках обозревателя Internet Explorer
- Перейдите в Панель управления -> Свойства обозревателя (Internet Option) – команда
inetcpl.cpl - Вкладка Безопасность (Security)
- Открыть Местная интрасеть (Local Intranet) -> Узлы (Sites) -> Дополнительно (Advanced)
- В открывшемся окне добавьте доверенные имя и /или ip-адрес сервера. Например
file://10.0.0.6
,
file://srvcontoso.com
или
file://127.0.0.1
для локального компьютера. Можно использовать знак подстановки *. Например, добавить в зону все IP адреса в подсети:
file://192.168.1.*Совет. Эти настройки хранятся в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap. Доверенные IP адреса указывается в ветке реестра
Ranges
; доменные имена – в
Domains
.
Для добавление доверенных адресов в зону Местная интрасеть на компьютерах домена можно использовать групповые политики:
- Откройте редактор локальной (
gpedit.msc
) или доменных (
gpmc.msc
) политик. - Перейдите в раздел Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность).
- Включите политику Site to Zone Assignment List (Список назначений зоны безопасности для веб-сайтов). В настройках политики нужно указать список доверенных адресов в формате:
- Имя сервера (в виде
file://server_name
,
\\server_name
,
server_name
или
IP
) - Номер зоны (1 – Для местной интрасети)
- Имя сервера (в виде
- Сохраните изменения в политике и обновите настройки GPO на клиенте (
gpupdate /force
).
Теперь при запуске их сетевых каталогов на хостах, добавленных в местную интрасеть, не будет появляться предупреждение при открытии исполняемых файлов.
Для автоматического определения адресов в интрасети можно влачить следующие настройки в разделе User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность).
- Сайты Интрасети: все сайты, не перечисленные в других зонах Intranet Sites: Include all local (intranet) sites not listed in other zones
- Сайты Интрасети: все сетевые пути (UNC) Intranet Sites: Include all network paths (UNCs)
- Включить автоматическое определение интрасети
Перенаправление папки AppData и предупреждение при открытии файлов
Если вы используйте перенаправление папки AppData (в roaming profile сценариях), пользователи могут столкнуться с окном Открыть файл – предупреждение системы безопасности при запуске ярлыков приложений из профиля.
В этом случае нужно добавить ваш сервер (или целиком домен), где хранятся перемещаемые профили в доверенную зону.
Воспользуйтесь параметром GPO: User Configuration -> Policies -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List. Добавьте имя сервера (домена) со значением 1.
На хостах Windows Server с ролью RDS, в некоторых случаях помогает только отключение усиленной безопасности IE.
- Откройте Server Manager -> Локальный сервер.
- Щелкните по параметру Конфигурация усиленной безопасности Internet Explorer
- Отключите усиленную безопасность для пользователей и администраторов.
Отключить предупреждение для некоторых типов файлов через GPO
Иногда бывает целесообразно отключить предупреждение безопасности для определенных типов (расширений) файлов (но список разрешенных расширений файлов нужно минимизировать).
Для этого в редакторе GPO перейдите в раздел User Configuration-> Administrative Templates-> Windows Components-> Attachment Manager (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Диспетчер вложений).
- Включите политику Не хранить сведения о зоне происхождения вложений (Do not preserve zone information in file attachments). Все скачанные из интернета исполняемые файлы будут запускаться без подтверждения на всех компьютерах.
- Включите политику Список включений для типов файлов с низким риском (Inclusion list for low file types), укажите в ее настройках список расширений файлов, для которых нужно отключить появления окна с предупреждением системы безопасности Windows, например: .exe;.vbs;.msi. Система будет игнорировать метки на файлах с этим расширением, и запускать их без подтверждения.
Примечание. Это добавит доверенные расширения файлов в параметр реестра LowRiskFileTypes:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations] "LowRiskFileTypes"=".exe;.vbs;.msi;.bat;"
После применения политики, при открытии исполняемых файлов с указанными расширениями не будет появляться окно безопасности (независимо от наличия NTFS атрибута Zone.Identifier).
Можно также в параметрах обозревателя для зоны Интернета (Безопасность -> Интернет -> Другой -> Разное -> Запуск программ и небезопасный файлов) разрешить запуск любых файлов из интернета, но это небезопасно.
Можно полностью отключить вывод окна «Open File — Security Warning» с помощью параметра Turn off the Security Settings Check feature в разделе реестра Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer.
Или с помощью следующих команд:
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Security" /V "DisableSecuritySettingsCheck" /T "REG_DWORD" /D "00000001" /F
Applies ToExcel 2013 Word 2013 PowerPoint 2013 Excel 2010 Word 2010 PowerPoint 2010 Project 2010 Project стандартный 2010 Excel 2007 Excel Starter 2010
На панели сообщений отображаются предупреждения системы безопасности, если в открываемом файле есть потенциально опасное активное содержимое (такое как макросы, элементы ActiveX, подключения к данным и т. д.). Кроме того, это может происходить, когда вы собираетесь изменить файл, доступный только для чтения, либо хотите включить для него режим редактирования. В такой ситуации появляется желтая или красная панель сообщений со значком щита и извещением о возможных проблемах. Если известно, что источник содержимого надежен, нажмите на желтой панели сообщений кнопку Включить содержимое, чтобы пометить документ как надежный либо включить содержимое для текущего сеанса. На красной панели сообщений можно щелкнуть текст предупреждения. В представлении Office Backstage, которое отображается при открытии вкладки Файл, можно выбрать команду Все равно редактировать.
На приведенных ниже рисунках показаны примеры панели сообщений.
Чтобы отключить предупреждения системы безопасности, можно отключить саму панель сообщений. И наоборот, чтобы повысить уровень безопасности, панель сообщений можно включить.
Включение и отключение предупреждений системы безопасности на панели сообщений
-
В приложении Office откройте вкладку Файл.
-
Нажмите кнопку Параметры.
-
Щелкните элемент Центр управления безопасностью, а затем — Параметры центра управления безопасностью.
-
Щелкните элемент Панель сообщений, чтобы открыть диалоговое окно Параметры панели сообщений для всех приложений Office.
-
Показывать панель сообщений во всех приложениях, если содержимое документа заблокировано. Этот параметр используется по умолчанию. Панель сообщений появляется каждый раз при отключении потенциально небезопасного содержимого.
Примечание: Этот параметр выключен и панель сообщений не появляется, если в центре управления безопасностью в области Параметры макросов включен параметр Отключить все макросы без уведомления.
-
Больше не показывать сведения о заблокированном содержимом. Этот параметр выключает панель сообщений, из-за чего сообщения о проблемах с безопасностью не выводятся на экран (независимо от значений параметров безопасности в центре управления безопасностью).
-
Примечание: Изменение параметров панели сообщений в центре управления безопасностью не влияет на панель сообщений в режиме защищенного просмотра.
На приведенном ниже рисунке показан пример области Панель сообщений центра управления безопасностью.
Важно: Мы рекомендуем не изменять параметры безопасности в центре управления безопасностью. Это может привести к потере или краже данных, а также снижению уровня защиты компьютера или сети.
К началу страницы
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Даже полезные программы иногда мешают работе. Например, встроенный в операционную систему защитник периодически блокирует установку стороннего софта или замедляет устройство. В этот момент приходится выяснять, как отключить антивирус Windows. Убрать его возможно как на время, так и насовсем.
Зачем отключать
В Windows 10 и 11
В Windows 7
После отключения
Чек-лист
Зачем отключать
В Windows 10 и 11
В Windows 7
После отключения
Чек-лист
Разберемся, как отключить антивирус в разных версиях Windows. Выясним, зачем иногда требуется временная деактивация встроенной защиты, какие при этом возникают риски, и что обязательно нужно сделать после отключения.
Стоит ли отключать Windows Defender и когда это может понадобиться
Windows Defender запускается в фоновом режиме и, подобно другим антивирусам, защищает компьютер от вредоносных программ. Отключая защиту, вы оставляете компьютер уязвимым, однако иногда приходится пойти на риск.
Отключение может понадобиться в нескольких случаях.
-
При установке определенных программ или игр, которые ошибочно распознаются как угрозы.
-
Для тестирования программного обеспечения или системных настроек.
-
При переходе на сторонний антивирус — например, Kaspersky, Avast и другие.
-
Когда Defender потребляет слишком много ресурсов и тормозит работу операционной системы.
Помните: не стоит надолго оставлять компьютер совсем без защиты. Если выключили «Защитника Windows», будьте особенно осторожны при загрузке файлов и серфинге в интернете, чтобы не заразить систему вредоносным ПО.
Как отключить защиту Windows 10 и 11
Современные версии операционной системы позволяют временно деактивировать защитник. Также существуют методы его полного отключения. Пошагово разберем все варианты.
Через «Параметры»
1. Откройте «Параметры» с помощью сочетания клавиш Win + I, выберите «Конфиденциальность и защита», далее «Безопасность Windows».
2. Откройте раздел «Защита от вирусов и угроз», после чего переходите в настройки.
3. Перетащите ползунок защиты в режиме реального времени в положение «Выключено».
Алгоритм временно отключает защиту. Она включится автоматически после перезагрузки. Можно сразу активировать Defender. Для этого достаточно вернуть ползунок в положение «Включено».
Учтите, что уже запланированную проверку антивирус выполнит, но новые файлы не тронет до следующей диагностики.
Через реестр
Деактивировать программу насовсем получится через реестр. Схема тоже несложная.
1. Чтобы попасть в реестр, нажмите Win + R, введите команду regedit, затем задайте путь или пройдите его вручную: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.
2. Щелкните мышкой справа, чтобы создать параметр DWORD.
3. Дайте ему имя DisableAntiSpyware.
4. В графе «Значение» поставьте единицу. Отправьте компьютер на перезагрузку.
5. Чтобы вновь активировать защиту, поставьте нулевое значение или лишите параметр имени.
Важно. Этот способ работает только в старых версиях платформы безопасности, выпущенных до августа 2021 года.
Если у вас установлена платформа антивируса версии 4.18.2108.4 или новее (а это практически все системы на Windows 10 версии 1903+ и Windows 11), то параметр DisableAntiSpyware больше не действует. Его просто игнорирует система.
Это связано с тем, что Microsoft включила функцию Tamper Protection (защита от несанкционированных изменений). Она блокирует любые попытки отключить встроенную защиту через реестр или сторонние программы, чтобы злоумышленники не могли сделать это без ведома пользователя.
Чтобы проверить свою версию платформы безопасности, откройте «Центр безопасности Windows» → «Параметры» → «О программе». Найдите строку «Платформа антивируса».
Если версия 4.18.2108.4 и выше — способ с реестром работать не будет. Отключить Defender можно в настройках, как мы описывали выше, или при установке другого антивируса. Чтобы избежать конфликта ПО, встроенный защитник Windows отключится автоматически.
Через редактор групповой политики
Профессиональные и корпоративные версии Windows 10 и 11 оснащены редактором групповой политики. Он тоже позволяет избавиться от срабатывания защиты навсегда.
1. Зажмите Win + R, используйте команду gpedit.msc.
2. По папкам проделайте такой путь: «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Антивирусная программа».
3. Откройте параметр «Выключить антивирусную программу» и выберите опцию «Отключено».
4. В папке «Антивирусная программа» также есть раздел «Защита в режиме реального времени». Деактивируйте все элементы.
5. Антивирус отключится после перезагрузки. Включить его получится, если возвратить параметры в прежнее положение.
Как отключить защиту Windows 7
В «семерке» процесс немного другой, но выключить встроенный антивирус тоже несложно.
1. Откройте «Панель управления» и перейдите в блок «Защитник Windows».
2. Нажмите «Программы» → «Параметры» → «Администратор».
3. Снимите галочку с опции «Использовать эту программу» и сохраните изменения.
Что делать после отключения встроенного антивируса «Защитник Windows»
После выполнения задач, которым мешал Defender, не забывайте включать его снова. В процессе работы с отключенным защитником придерживайтесь мер безопасности.
-
Установите альтернативный антивирус или хотя бы блокировщик рекламы, если у вас его еще нет.
-
Ограничьте время работы без защиты — оставлять так ПК насовсем не стоит.
-
Не посещайте сомнительные сайты, не загружайте и не открывайте подозрительные файлы.
-
Пользуйтесь только проверенными сетями Wi-Fi.
-
Проведите полное сканирование системы, когда закончите и включите встроенный антивирус снова.
Если антивирус каждый раз ложно блокирует определенные программы или файлы, а отключать его не хочется, некоторые папки можно внести в исключения Defender. Но не злоупотребляйте этой функцией, добавляйте только проверенные объекты.
Чек-лист: как отключить антивирус Windows Defender
Выключать антивирус не рекомендуется, но если защита блокирует программы или затрудняет работу, это допустимо.
-
Снимите защиту в реальном времени. Вам нужны параметры «Безопасность Windows» → «Защита от вирусов» → «Управление настройками».
-
Для Windows 7 — снимите галочку «Использовать эту программу» в параметрах защитника.
-
Соблюдайте осторожность и не блокируйте антивирус надолго.
-
Установите альтернативную антивирусную программу.
-
После повторной активации защиты просканируйте систему на вирусы.
Отключаем предупреждение системы безопасности в Windows 10
В Windows при попытке открыть или запустить исполняемый файл типа exe, vbs, msi, bat, cmd (и других типов файлов) с локального диска или сетевой папки может появиться предупреждение “Открыть файл – предупреждение системы безопасности” (Open file — Security Warning). Для продолжения выполнения программы пользователь должен вручную подтвердить запуск такого файла, нажав кнопку “Запустить” (Run). Такое предупреждение безопасности Windows обычно появляется при открытии файла, скачанного из интернета, или запуске исполняемого файла из общей сетевой папки или подключенного сетевого диска.
Предупреждение системы безопасности Windows при запуске файлов
Такая поведение Windows предназначено для защиты вашего компьютера от запуска потенциально опасных исполняемых файлов, которые вы скачали из Интернета или получили других недоверенных источников, и пытаетесь запустить. Предупреждение системы безопасности при запуске появляется во всех версиях Windows (включая Windows 10, 8.1 и 7).
Если вы устанавливаете или запускаете программы на компьютерах пользователя в фоновом режиме (через скрипты планировщика, групповые политики, задания SCCM и т.д.), это может вызвать проблемы. Дело в том, что в таки случаях предупреждающее окно системы безопасности Windows просто не отображается в сессии пользователя. Соответственно, установка или запуск таких приложений из скриптов становится невозможен.
Например, при открытии файла из сетевого каталога окно предупреждения системы безопасности Windows выглядит так:
Открыть файл – предупреждение системы безопасности
Не удаётся проверить издателя. Вы действительно хотите запустить этот файл?
Этот файл не находится в вашей локальной сети. Файлы из неизвестных расположений могут причинить вред вашему компьютеру. Запускайте этот файл только в том случае, если вы доверяете его источнику.
Open File - Security Warning
The Publisher could not be verified. Are you sure you want to run this software?
This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.
При запуске скачанного их Интернета файла с локального диска (или сетевого каталога, смонтированного через net use) текст предупреждения немного другой:
Open File - Security Warning
Do you want tio run this file?
Открыть файл – предупреждение системы безопасности
Запустить этот файл?
Файлы из Интернета могут быть полезны, но этот тип файла может повредить компьютер. Запускайте только программы, полученные от доверенного издателя.
Если снять галку на опции “Всегда спрашивать при открытии этого файл”, то при следующем запуске этой программы окно безопасности Windows не появится. Но таким образом добавлять программы в исключения придется вручную.
Попробуем разобраться, как убрать предупреждение системы безопасности при запуске исполняемых или установочных файлов в Windows (инструкция применима для всех версий Windows, начиная с XP).
Важно. Отключение данного окна с предупреждением системы безопасности Windows в большинстве случаев не рекомендуется, так как уменьшает уровень защиты компьютера и повышает риск заражения системы пользователем.
Предлагается несколько вариантов отключения окна предупреждения системы безопасности. Выберите подходящий способ в зависимости от требуемого решения (в некоторых случаях предложенные решения приходится комбинировать).
Отключение окна предупреждения при запуске файла, скачанного из Интернета
Исполняемые файлы, скачанные из Интернета, автоматически помечаются как потенциально опасные (загруженные из небезопасного источника). Реализуется этот функционал через альтернативные NTFS потоки файлов. Для упрощения, будем считать что это специальная метка файла, которая автоматически назначается скачанному из сети файлу (Как Windows определяет, что файл скачан из Интернета). Чтобы удалить эту метку, нужно разблокировать это приложение. Для этого:
- Откройте свойства исполняемого файла;
- На вкладке Общие (General) нажмите кнопку или установите чекбокс Разблокировать (Unblock). У полученного из интернета файла рядом с кнопкой будет указано такое предупреждение:
Осторожно: Этот файл получен с другого компьютера и, возможно, был заблокирован с целью защиты компьютера. (This file came from another computer and might be blocked to help protect this computer)
Сохраните изменения, нажав на кнопку Ok. Теперь файл разблокирован (NTFS метка снята) и будет запускаться без предупреждающего окна.
Трюк. Чтобы метка автоматически не назначалась файлам, которые вы загружаете из Интернета через браузер, можно сохранять скачанные файлы на диск отформатированный в файловой системе FAT32 или exFAT. На этих файловых системах альтернативные потоки NTFS не работают.
Метку альтернативного NTFS потока Zone.Identifier можно сбросить с помощью PowerShell:
Unblock-File someinstallfile.exe
Или утилиты
streams.exe
- Для Google Chrome и IE нужно создать такой ключ реестра
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
“SaveZoneInformation”=dword:00000001 - Для Mozilla Firefox на странице настроек about:config нужно изменить значение browser.download.saveZoneInformation на false.
В Windows можно полностью отключить сохранение информации о зонах в файлах, скачанных из интернета с помощью специально параметра групповых политик “Не хранить сведения о зоне происхождения вложений”/Do note preserve zone information in file attachments (User Configuration -> Administrative Templates -> Windows Components -> Attachment Manager).
Предупреждение безопасности при запуске приложений из сетевого каталога
Этот вариант, как правило, возникает у корпоративных пользователей, которые работают в сети организации при доступе к ресурсам в другом домена AD или по IP адресу (по-умолчанию родной домен считается доверенным). Окно предупреждения может появится при запуске программы из общего сетевого каталога (сетевой шары) через UNC путь. В этом случае проще всего в настройках обозревателя Internet Explorer добавить имя и/или ip адрес сервера, на котором хранится исполняемый файл в зону Местная интрасеть. Тем самым вы укажете, что данный ресурс является доверенным. Для этого:
- Перейдите в Панель управления -> Свойства обозревателя (Internet Option) – команда inetcpl.cpl ;
- Вкладка Безопасность (Security);
- Открыть Местная интрасеть (Local Intranet) ->Узлы (Sites) ->Дополнительно (Advanced);
- В открывшемся окне добавьте имя и /или ip-адрес сервера. Например, file://10.0.0.6 , file://srvcontoso.com или file://127.0.0.1 для локального компьютера. Можно использовать знак подстановки, например добавить в зону местная интрасеть можно все адреса в определенной локальной подсети: file://192.168.1.*
Совет. Эти настройки хранятся в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap. Доверенные IP адреса указывается в ветке реестра Ranges ; доменные имена – в Domains .
Вы можете добавить адреса и имена удаленных доверенных доменов, хостов и IP адресов в зону Местная интрасеть с помощью групповых политик (GPO). Откройте редактор локальной (gpedit.msc) либо доменной (gpmc.msc) политики. Перейдите в раздел Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность). Включите политику Site to Zone Assignment List (Список назначений зоны безопасности для веб-сайтов). В настройках политики нужно указать список доверенных серверов в формате:
- Имя сервера (в виде file://server_name , \\server_name , server_name или IP )
- Номер зоны (1 – Для местной интрасети)
Если у вас появляется окно предупреждения при запуске программ с подключенного сетевого диска, добавьте букву диска (например, U:\) или UNC путь в зону местной интрасети.
Сохраните изменения в политике и обновите GPO на клиенте (gpupdate /force). Теперь при запуске их сетевых каталогов на хостах, добавленных в местную интрасеть, не будет появляться предупреждение при открытии исполняемых файлов.
Кроме того, в групповых политиках можно включить следующие настройки в разделе User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность). Это оптимальный вариант для пользователей домена:
- Сайты Интрасети: все сайты, не перечисленные в других зонах Intranet Sites: Include all local (intranet) sites not listed in other zones
- Сайты Интрасети: все сетевые пути (UNC) Intranet Sites: Include all network paths (UNCs)
- Включить автоматическое определение интрасети
Перенаправление папки AppData и предупреждение при открытии файлов
Если вы используйте перенаправление папки AppData (в roaming сценариях), пользователи могут столкнуться с окном “Открыть файл – предупреждение системы безопасности” при запуске ярлыков приложений из профиля.
В этом случае нужно добавить ваш сервер (или целиком домен), где хранятся перемещаемые профили в доверенную зону.
Воспользуйтесь параметром GPO: User Configuration -> Policies -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List. Добавьте имя сервера (домена) со значением 1.
Отключение предупреждение для определенных типов файлов через GPO
В некоторых случаях целесообразно отключить появление предупреждения для определенных типов (расширений) файлов через групповые политики. Хотя, конечно, это не очень безопасно, т.к. пользователь не глядя может запустить что-то вредоносное.
Для этого в редакторе GPO перейдите в раздел User Configuration-> Administrative Templates-> Windows Components-> Attachment Manager (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Диспетчер вложений).
- Включите политику Не хранить сведения о зоне происхождения вложений (Do not preserve zone information in file attachments). Все скачанные из интернета исполняемые файлы будут запускаться без подтверждения на всех компьютерах.
- Включите политику Список включений для типов файлов с низким риском (Inclusion list for low file types), укажите в ее настройках список расширений файлов, для которых нужно отключить появления окна с предупреждением системы безопасности Windows, например: .exe;.vbs;.msi. Система будет игнорировать метки на файлах с этим расширением, и запускать их без подтверждения.
Примечание. При этом данные расширения файлов добавляются в параметр реестра LowRiskFileTypes: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]»LowRiskFileTypes»=».exe;.vbs;.msi;.bat;»
Сохраните политику и примените ее на клиентах, выполнив на них команду gpupdate /force.
Теперь при открытии исполняемых файлов с указанными расширениями не будет появляться окно безопасности (независимо от наличия NTFS атрибута Zone.Identifier).
Можно также в параметрах обозревателя для зоны Интернета (Безопасность -> Интернет -> Другой -> Разное -> Запуск программ и небезопасный файлов) разрешить запуск любых файлов из интернета, но это крайне рискованно.
Вы можете полностью отключить вывод окна «Open File — Security Warning» с предупреждением об открытии небезопасных файлов с помощью параметра Turn off the Security Settings Check feature в разделе реестра Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer.
Или с помощью следующих команд:
REG ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3» /V «1806» /T «REG_DWORD» /D «00000000» /F
REG ADD «HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3» /V «1806» /T «REG_DWORD» /D «00000000» /F
REG ADD «HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Security» /V «DisableSecuritySettingsCheck» /T «REG_DWORD» /D «00000001» /F