Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender SmartScreen überprüft den Ruf der heruntergeladenen Dateien, bevor sie ausgeführt werden können. Zu verstehen, wie die Reputation funktioniert, kann helfen, Warnungen zu vermeiden, wenn Benutzer Ihre Dateien herunterladen oder ausführen.
Tipp
Die einfachste Möglichkeit, SmartScreen-Warnungen zu vermeiden, besteht darin, über den Microsoft Store zu veröffentlichen. Store-verteilte Apps werden von einem Microsoft Zertifikat signiert und unterliegen niemals SmartScreen-Downloadwarnungen. Der Rest dieses Artikels gilt für Apps, die außerhalb des Store verteilt werden.
Funktionsweise der SmartScreen-Zuverlässigkeit
SmartScreen wertet zwei Signale aus, wenn ein Benutzer eine Datei herunterlädt und ausführt:
- Publisher Reputation – Ist die Datei signiert? Ist das Signaturzertifikat von einem bekannten, vertrauenswürdigen Herausgeber?
- Dateihash-Zuverlässigkeit – Wurde diese spezifische Datei von Benutzern ohne Hinweise auf böswilliges Verhalten heruntergeladen?
Ein negativer oder unbekannter Ruf für den Hash einer Datei oder das Zertifikat des Herausgebers kann dazu führen, dass Warnungen angezeigt werden. Selbst wenn eine neu erstellte Binärdatei signiert ist, kann immer noch eine SmartScreen-Warnung angezeigt werden, bis das Hash- oder Herausgeberzertifikat ausreichende Nachweise für einen positiven Ruf ansammelt.
Wenn eine Datei nicht signiert ist, muss die SmartScreen-Zuverlässigkeit für jede neue Version Ihrer Dateien erstellt werden, beginnend mit null Zuverlässigkeit. Reputationswert kann nicht von früheren Versionen übertragen werden; es sei denn, beide wurden mit derselben Herausgeberidentität signiert.
Zertifikatoptionen und ihre SmartScreen-Auswirkungen
Um die Wahrscheinlichkeit einer Unterbrechung zu verringern, sollten Sie alle Ihre Dateien mit einem gültigen Zertifikat signieren.
| Art der Bescheinigung | SmartScreen-Verhalten beim ersten Download |
|---|---|
| Microsoft Store | ✅ Keine Warnung – abgedeckt durch das Zertifikat Microsoft |
| Gültiges Zertifikat (OV/EV) | ⚠Warnung – Die App ist als nicht erkannt markiert, bis sich der Ruf verbessert; der Name des bestätigten Herausgebers wird angezeigt. |
| Keine Signatur | |
| Selbstsigniertes Zertifikat | ⚠– Warnung – Gleiches Verhalten wie keine Signatur |
Hinweis
EV-Zertifikate umgehen SmartScreen nicht mehr. Vor Jahren führte das Signieren von Dateien mit einem EV-Codesignaturzertifikat standardmäßig zu einer positiven SmartScreen-Reputation, aber dieses Verhalten besteht nicht mehr. EV-Zertifikate können für die Beschaffung von Unternehmen wichtig sein, aber sie wirken sich nicht mehr auf das SmartScreen-Verhalten aus. Die Zahlung einer Premiumprämie für EV allein zur Vermeidung von SmartScreen-Warnungen ist nicht mehr gerechtfertigt.
Microsoft Store (empfohlen)
Apps, die über den Microsoft Store veröffentlicht werden, werden von Microsoft neu signiert und tragen die volle Vertrauenswürdigkeit. Benutzern wird nie eine SmartScreen-Warnung für eine vom Store installierte App angezeigt.
Artefaktsignierung (früher vertrauenswürdige Signatur)
Artifact Signing (vormals vertrauenswürdige Signatur) ist Microsoft empfohlener Codesignaturdienst für die Nicht-Store-Verteilung:
- Kosten: Ungefähr 10 USD/Monat
- Kein Hardware-Token erforderlich – integriert sich direkt in CI/CD-Pipelines (GitHub Actions, Azure DevOps)
- Identity-Überprüfung erforderlich – Microsoft überprüft Ihre Identität vor der Ausstellung von Zertifikaten
- SmartScreen-Verhalten – Die Zuverlässigkeit kumuliert sich im Laufe der Zeit basierend auf Downloadvolume und -verhalten
Was Sie erwarten müssen, wenn Sie eine neue App veröffentlichen
- Erste Downloads: Benutzern wird möglicherweise eine SmartScreen-Eingabeaufforderung angezeigt, die angibt, dass die App nicht erkannt wurde. Bei signierten Apps wird der Herausgebername angezeigt. Benutzer sollten erst nach der Überprüfung der Quelle fortfahren.
- Während sich Downloads ansammeln: wird die SmartScreen-Reputation automatisch aufgebaut. Die Eingabeaufforderung wird nicht mehr angezeigt, sobald der Dateihash über einen ausreichenden Downloadverlauf verfügt. Es gibt keinen genauen Schwellenwert, aber es kann mehrere Wochen dauern und Hunderte von Neuinstallationen durch eine große Nutzergruppe.
- Neue Version: Das Signieren von Dateien unter Verwendung eines vertrauenswürdigen Zertifikats kann den Ruf des Zertifikats stärken, sodass möglicherweise Warnungen bei neuen Dateien vermieden werden, die mit demselben vertrauenswürdigen Zertifikat signiert wurden. Nicht signierte Dateien müssen mit jedem Update einen neuen Ruf erstellen.
Es ist nicht erforderlich (oder ein Mechanismus), eine Datei für die Reputationsüberprüfung von SmartScreen an Endpunkte für Verbraucher manuell zu übermitteln. Die Reputation baut sich organisch durch das Downloadvolumen auf.
Hinweis
Unternehmensumgebungen können je nach Richtlinienkonfiguration unterschiedliche SmartScreen-Verhaltensweisen aufweisen; Beispielsweise kann die Möglichkeit zum Umgehen einer SmartScreen-Warnung deaktiviert sein. Unternehmen können Dateien von vertrauenswürdigen Intranetspeicherorten verteilen, die nicht der SmartScreen-Überprüfung unterliegen. IT-Administratoren von Unternehmen können optional Dateien zur Überprüfung über das Microsoft Security Intelligence-Portal übermitteln. Dies kann das Vertrauen bei internen oder verwalteten Implementierungen beschleunigen.
Minimieren von SmartScreen-Warnungen in der Praxis
- Veröffentlichen im Microsoft Store, wenn möglich – dies ist die zuverlässigste Weise, Warnungen vollständig zu vermeiden.
- Signieren sie jede Version – nicht signierte Dateien können keinen positiven Ruf vom Signaturzertifikat erben.
- Signierte Dateien nicht ändern – Vermeiden Sie das Ändern von Dateien nach dem Signieren, um zu verhindern, dass die Signatur abhängig von der Konfiguration des Clients ungültig werden kann.
- Signieren Sie keine potenziell unerwünschten Anwendungen – Vermeiden Sie das Signieren von Dateien, die schädliches oder potenziell unerwünschtes Anwendungsverhalten aufweisen, oder das Zertifikat kann einen negativen Ruf entwickeln.
- Verwenden einer konsistenten Signaturidentität – Das Ändern Ihres Signaturzertifikats wirkt sich auf das Vertrauenssignal des Herausgebers aus.
- Kommunizieren sie mit Early Adopters – lassen Sie Betabenutzer bei neuen Apps wissen, dass beim ersten Download möglicherweise eine SmartScreen-Eingabeaufforderung angezeigt wird, und dass sie erst fortfahren sollten, nachdem sie den Herausgeber überprüft und bestätigt haben, dass sie der Downloadquelle vertrauen
Tipp
Auf Geräten mit Windows 11 kann die Smart-App-Steuerung die SmartScreen-Anwendungsreputation ersetzen. Smart App Control blockiert die Ausführung nicht signierter Dateien, es sei denn, die Datei hat einen positiven Ruf. Smart App Control Signaturprüfungen gelten für alle ausführbaren Dateien, nicht nur für diejenigen, die aus dem Internet heruntergeladen wurden.
Verwandte Inhalte
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
Windows developer