Kuidas keelata "Ava fail

Kui proovite Windowsi kohalikust draivist või võrgukaustast käivitada exe, msi, bat, cmd või muud käivitatavat tüüpi faile, näete järgmist hoiatust: "Ava fail – turvahoiatus”. Programmi käivitamiseks peab kasutaja sellise faili käivitamise käsitsi kinnitama, klõpsates nuppu Jookse nuppu. See Windowsi turvahoiatus kuvatakse tavaliselt siis, kui käivitate Internetist alla laaditud rakendusefaili või käivitatav fail, mis asub võrgu jagatud kaustas või kaardistatud võrgudraiv.

Windowsi turvahoiatus, seejärel käivitage käivitatav või skript

Selline Windowsi käitumine on loodud teie arvuti kaitsmiseks potentsiaalselt ohtlike käivitatavate failide eest, mis on alla laaditud Internetist või saadud muudest ebausaldusväärsetest allikatest. See turvahoiatus kuvatakse kõigis Windowsi versioonides (sh Windows 10, 8.1 ja 7).

Kui installite või käivitate programme kasutaja arvutitesse taustal (planeerija ülesannete, rühmapoliitika sisselogimisskriptide, SCCM-i skriptide jne kaudu), võib see põhjustada probleeme. Fakt on see, et sellistel juhtudel turvahoiatuse akent kasutaja seansis ei kuvata. Seega muutub sellise rakenduse pakettrežiimis installimine või käivitamine võimatuks.

Näiteks faili avamisel jagatud kaustast näeb Windowsi turvahoiatus välja järgmine:

Open File — Security Warning
The Publisher could not be verified. Are you sure you want to run this software? We can’t verify who created this file. Are you sure you want to run this file? This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.

Kui käitate Internetist kohalikult kettalt alla laaditud faili (või võrgujagamist, mis on ühendatud kaudu net use), on hoiatuse tekst veidi erinev:

Open File — Security Warning
Do you want to run this file? While files from the Internet can be useful, this file type can potentially harm your computer. Only run software from publishers you trust. 

Kui eemaldate märke valikust "Always ask when opening this file”, siis järgmisel korral selle faili käivitamisel Windowsi turvaakent ei kuvata. Kuid sel viisil peate programmid eranditele käsitsi lisama.

Proovime välja selgitada, kuidas eemaldada turvahoiatused, kui käitate Windowsis käivitatavaid või installifaile (see juhend kehtib kõigi Windowsi versioonide jaoks).

Tähtis. Selle akna keelamine turvahoiatusega ei ole enamikul juhtudel soovitatav, kuna see vähendab teie arvuti turvalisust.

Pakume turvahoiatuse keelamiseks mitmeid võimalusi. Valige sobiv sõltuvalt vajalikust lahendusest (mõnel juhul peate lahendusi kombineerima).

Kuidas keelata allalaaditud failide jaoks avatud faili turvahoiatus?

Internetist alla laaditud käivitatavad failid märgitakse automaatselt potentsiaalselt ohtlikuks (alla laaditud ebaturvalisest allikast). Seda funktsiooni rakendatakse alternatiivse NTFS-failivoo tehnoloogia (Alternate Data Streams – ADS) abil. Lihtsamaks muutmiseks loeme seda spetsiaalseks failimärgiks, mis määratakse automaatselt allalaaditud failile (vt artiklit Kuidas Windows teab, kas fail laaditi Internetist alla?). Selle markeri eemaldamiseks peate selle faili blokeeringu tühistama. Selleks tehke järgmist.

1. Avage käivitatava faili atribuudid;
2. peal Kindral vahekaardil klõpsake nuppu või märkige linnuke Deblokeerige märkeruut. Kui fail on Internetist alla laaditud, kuvatakse nupu (märkeruudu) kõrval järgmine hoiatus:  This file came from another computer and might be blocked to help protect this computer.
3. Salvestage muudatused, klõpsates nuppu OK. Pärast faili blokeeringu tühistamist käivitatakse see ilma hoiatusaknata (NTFS-i alternatiivsed andmevood eemaldatakse).

Trikk. Tsooni automaatse määramise vältimiseks. Internetist brauseri kaudu allalaaditavate failide identifikaator, saate allalaaditud failid salvestada FAT32- või exFAT-vormingus draivi. Alternatiivsed NTFS-i vood nendes failisüsteemides ei tööta.

Alternatiivne NTFS-i andmevoo atribuut Zone. Identifieri saab lähtestada nende kahe käsuga (luuakse uus fail):

move oldapp.exe > newapp
type newapp > oldapp.exe

Või Sysinternali tööriista abil:

streams.exe

Samuti saate PowerShelli abil faili blokeeringu tühistada:

Unblock-File -Path C:\Downloads\somefile.exe

Saate selle hoiatuse keelata ainult brauseri abil alla laaditud failide puhul, keelates tsooni seadistuse. Identifikaatori atribuut:

• Google Chrome'i ja IE jaoks peate looma sellise registriparameetri
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
“SaveZoneInformation”=dword: 00000001
• Mozilla Firefoxi jaoks: avage seadete leht about: configja muutke väärtust browser.download.saveZoneInformation juurde vale.

Windowsis saate spetsiaalse GPO parameetri abil täielikult keelata tsooniteabe rakendamise Internetist alla laaditud failidele Ärge säilitage tsooniteavet failimanuses (Kasutaja konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Manuste haldur).

Turvahoiatus failide avamisel võrgujagamisest

Hoiatusaken võib ilmuda, kui programm käivitatakse jagatud võrgukaustast UNC-teed kasutades. See probleem ilmneb tavaliselt ettevõtte kasutajate puhul, kui nad pääsevad juurde ressurssidele teises AD-domeenis või IP-aadressi kaudu. Sel juhul on kõige lihtsam lisada täitmisfaili majutava serveri nimi ja/või IP-aadress Kohalik intraneti tsoon Internet Exploreri sätetes. See näitab, et ressurss on usaldusväärne. Selleks tehke järgmist.

1. Minema Kontrollpaneel → Interneti-võimalus;
2. Turvalisus sakk;
3. Avatud Kohalik sisevõrk → saidid → Täiustatud;
4. Järgmises aknas lisage serveri nimi ja/või IP-aadress. Näiteks, \\10.0.0.6, \\srv.contoso.com või \\127.0.0.1\ kohaliku arvuti jaoks. Võite kasutada metamärki. Näiteks saate kohaliku sisevõrgu tsooni lisada kõik kohaliku võrgu IP-aadressid, kasutades järgmist rida: file: //192.168.1.*. .
   Vihje. Need sätted salvestatakse registrivõtmesse HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\. Usaldusväärsed IP-aadressid on määratud Ranges registrivõti; hosti- ja domeeninimed – sisse Domains.

Samuti saate GPO abil kohaliku sisevõrgu tsooni lisada usaldusväärsete domeenide ja hostide IP-aadresse ja DNS-nimesid. Ava kohalik (gpedit.msc) või Domeeni rühmapoliitika redaktor (gpmc.msc). Luba poliitika Arvutuskonfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Internet Explorer -> Interneti juhtpaneel -> Turvaleht -> Saidi tsooni määramise loend. Reegliseadetes peate määrama usaldusväärsete hostide ja/või domeenide loendi järgmises vormingus:

• Serveri (hosti) nimi (nt file://server_name, \\server_name, server_name või IP)
• Tsooni number (1 kohaliku sisevõrgu tsooni jaoks)

Kui programmide käivitamisel kaardistatud võrgukettalt kuvatakse turvahoiatuse aken, lisage kohalikule sisevõrgu tsoonile draivitäht (näiteks U:\) või UNC-tee.

Salvestage poliitikamuudatused ja värskendage kliendi GPO sätteid (gpupdate /force). Hoiatus peaks lakkama ilmumast käivitatavate failide avamisel määratud jagatud võrgukaustadest.

Lisaks saate jaotises GPO lubada järgmised sätted Kasutaja konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Internet Explorer -> Interneti juhtpaneel -> Turvaleht. See on parim valik domeenikasutajatele:

• Sisevõrgu saidid: kaasake kõik kohalikud (sisevõrgu) saidid, mida teistes tsoonides pole loetletud
• Sisevõrgu saidid: kaasake kõik võrguteed (UNC)
• Lülitage sisse siseveebi automaatne tuvastamine

Avage faili turvahoiatused, kui kasutate AppData kaustade ümbersuunamist

Kui kasutate rakendust AppData kausta ümbersuunamine (profiili rändluse stsenaariumides) võivad kasutajad profiilikaustadest rakenduste otseteede käivitamisel avastada akent "Ava fail – turvahoiatus".

Sel juhul peate IE usaldusväärsesse tsooni lisama oma serveri (või kogu domeeni), kus rändlusprofiilid on salvestatud.

Kasutage GPO valikut Kasutaja konfiguratsioon -> Reeglid -> Haldusmallid -> Windowsi komponendid -> Internet Explorer -> Interneti juhtpaneel -> Turvaleht -> Saidi tsooni määramise loend. Lisage serveri (domeeni) nimi väärtusega 1.

Keelake GPO kaudu teatud failitüüpide jaoks avatud faili turvahoiatus

Mõnel juhul on soovitatav teatud failitüüpide (laienduste) turvahoiatuste ilmumine rühmapoliitika kaudu täielikult keelata. Kuigi see pole muidugi eriti turvaline, sest kasutaja võib kogemata käivitada midagi pahatahtlikku.

Selleks minge GPO redaktoris aadressile: Kasutaja konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Manuste haldur.

• Luba poliitika Ärge säilitage failimanustes tsooniteavet. Kõik allalaaditud failid käivitatakse kõigis arvutites ilma hoiatuseta.
• Luba poliitika Kaasamiste loend madalate failitüüpide jaoks, ja määrake selle seadetes faililaiendite loend, mida lubate käivitada, nt .exe; .vbs; .msi. Windows ignoreerib nende laienditega failide alternatiivseid andmeauru markereid ja käivitab need ilma hoiatuseta.

  Märge. See reegel lisab registriparameetrile LowRiskFileTypes faililaiendid: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]"LowRiskFileTypes"=".exe;.vbs;.msi;.bat;"

  

Salvestage poliitika, määrake see sihtüksusele ja rakendage see klientidele, käivitades nende peal gpupdate /force käsk.

Nüüd peaks hoiatuse ilmumine lõppema, kui avate määratud laienditega täitmisfailid, mis sisaldavad tsoonis mis tahes teavet. Identifikaatori voog. Samuti saate lubada Internet Exploreril käivitada mis tahes faile Internet Exploreri atribuutides (Turvalisus -> Internet -> Kohandatud tase -> Muu -> Rakenduste ja ebaturvaliste failide käivitamine (pole turvaline), kuid see on väga riskantne.

Saate GPO suvandi abil ebaturvaliste failide jaoks akna "Ava fail – turvahoiatus" täielikult keelata Lülitage turvaseadete kontrollimise funktsioon välja (asub jaotises Arvuti konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> Internet Explorer).

Või saate lubada mis tahes faili käivitada ilma „Ava faili turvahoiatust” kuvamata, kasutades järgmisi käske:
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Security" /V "DisableSecuritySettingsCheck" /T "REG_DWORD" /D "00000001" /F
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /V "1806" /T "REG_DWORD" /D "00000000" /F