Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender SmartScreen controleert de reputatie van gedownloade bestanden voordat ze kunnen worden uitgevoerd. Als u begrijpt hoe reputatie werkt, kunt u waarschuwingen voorkomen wanneer gebruikers uw bestanden downloaden of uitvoeren.
Aanbeveling
De eenvoudigste manier om SmartScreen-waarschuwingen te voorkomen, is door de Microsoft Store te publiceren. Door de Store gedistribueerde apps worden ondertekend door een Microsoft-certificaat en zijn nooit onderhevig aan SmartScreen-downloadwaarschuwingen. De rest van dit artikel is van toepassing op apps die buiten de Store worden gedistribueerd.
Hoe de Reputatie van SmartScreen werkt
SmartScreen evalueert twee signalen wanneer een gebruiker een bestand downloadt en uitvoert:
- Publisher reputatie — Is het bestand gesigneerd? Is het handtekeningcertificaat van een bekende vertrouwde uitgever?
- Reputatie van bestands-hash : is dit specifieke bestand gedownload door gebruikers zonder indicaties van schadelijk gedrag?
Een negatieve of onbekende reputatie voor de hash van een bestand of het certificaat van de uitgever kan ertoe leiden dat waarschuwingen worden weergegeven. Zelfs wanneer het is ondertekend, kan een nieuw binair bestand nog steeds een SmartScreen-waarschuwing weergeven totdat het hash- of uitgevercertificaat voldoende bewijs van positieve reputatie verzamelt.
Wanneer een bestand niet is ondertekend, moet de SmartScreen-reputatie worden gebouwd voor elke nieuwe versie van uw bestanden, te beginnen met nul reputatie. Reputatie kan niet worden overgedragen uit eerdere versies, tenzij beide zijn ondertekend met dezelfde uitgeversidentiteit.
Certificaatopties en de gevolgen van SmartScreen
Als u de kans op onderbrekingen wilt verminderen, moet u al uw bestanden ondertekenen met een geldig certificaat.
| Certificaattype | SmartScreen-gedrag bij eerste download |
|---|---|
| Microsoft Store | ✅ Geen waarschuwing, gedekt door het certificaat van Microsoft |
| Geldig certificaat (OV/EV) | ⚠✏ Waarschuwing: app gemarkeerd als niet herkend totdat de reputatie zich opstapelt; geverifieerde naam van uitgever wordt weergegeven |
| Geen handtekening | ⚠️ Waarschuwing — "Windows heeft uw pc beveiligd"; De gebruiker moet Toch uitvoeren kiezen voordat de app kan worden uitgevoerd. Ondernemingsbeleid kan voortzetting volledig voorkomen. |
| Zelfondertekend certificaat | ⚠^ Waarschuwing — Hetzelfde gedrag als geen handtekening |
Opmerking
EV-certificaten kunnen SmartScreen niet meer omzeilen. Jaren geleden zouden ondertekeningsbestanden met een EV-codeondertekeningscertificaat (Extended Validation) standaard resulteren in een positieve SmartScreen-reputatie, maar dit gedrag bestaat niet meer. EV-certificaten kunnen van belang zijn voor aanschaf van ondernemingen, maar ze hebben geen invloed meer op het SmartScreen-gedrag. Het betalen van een premie voor EV alleen om SmartScreen-waarschuwingen te voorkomen, is niet langer gerechtvaardigd.
Microsoft Store (aanbevolen)
Apps die via de Microsoft Store zijn gepubliceerd, worden opnieuw ondertekend door Microsoft en dragen volledige reputatie. Gebruikers zien nooit een SmartScreen-waarschuwing voor een door de Store geïnstalleerde app.
Artefactondertekening (voorheen Vertrouwde Ondertekening)
Artifact Signing (voorheen Trusted Signing) is Microsoft aanbevolen service voor het ondertekenen van programmacode voor niet-Store-distributie:
- Kosten: Ongeveer $ 10 /maand
- No hardwaretoken vereist — kan rechtstreeks worden geïntegreerd met CI/CD-pijplijnen (GitHub Actions, Azure DevOps)
- Identiteitsvalidatie vereist — Microsoft valideert uw identiteit voordat certificaten worden uitgegeven
- SmartScreen-gedrag : reputatie wordt in de loop van de tijd opgebouwd op basis van downloadvolume en gedrag
Wat u kunt verwachten wanneer u een nieuwe app publiceert
- Eerste downloads: Gebruikers zien mogelijk een SmartScreen-prompt die aangeeft dat de app niet wordt herkend. Voor ondertekende apps wordt de naam van de uitgever weergegeven. Gebruikers moeten alleen doorgaan nadat ze de bron hebben geverifieerd.
- Naarmate downloads zich verzamelen: SmartScreen-reputatie wordt automatisch opgebouwd. De prompt wordt niet meer weergegeven zodra de bestands-hash voldoende downloadgeschiedenis heeft. Er is geen exacte drempelwaarde, maar het kan enkele weken duren en honderden schone installaties uitgevoerd door een breed publiek.
- Nieuwe versie: Als u bestanden ondertekent met een vertrouwd certificaat, kan de certificaatreputatie worden gebouwd, waardoor mogelijk waarschuwingen worden vermeden voor nieuwe bestanden die zijn ondertekend door hetzelfde vertrouwde certificaat. Niet-ondertekende bestanden moeten bij elke update een nieuwe reputatie opbouwen.
Het is niet nodig (of mechanisme) om handmatig een bestand in te dienen voor de reputatiebeoordeling van SmartScreen voor consumenteneindpunten. Reputatie wordt organisch opgebouwd door het aantal downloads.
Opmerking
Bedrijfsomgevingen hebben mogelijk een ander SmartScreen-gedrag, afhankelijk van de beleidsconfiguratie; De mogelijkheid om een SmartScreen-waarschuwing te omzeilen kan bijvoorbeeld worden uitgeschakeld. Ondernemingen kunnen bestanden distribueren van vertrouwde intranetlocaties die niet onderhevig zijn aan SmartScreen-beoordeling. IT-beheerders van ondernemingen kunnen eventueel bestanden indienen om ze te controleren via de Microsoft Beveiliging Intelligence-portal. Dit kan het vertrouwen voor interne of beheerde implementaties versnellen.
SmartScreen-waarschuwingen in de praktijk minimaliseren
- Publiceren naar de Microsoft Store waar mogelijk, is dit de meest betrouwbare manier om waarschuwingen volledig te voorkomen
- Elke release ondertekenen : niet-ondertekende bestanden kunnen geen positieve reputatie overnemen van het handtekeningcertificaat
- Ondertekende bestanden niet wijzigen - Vermijd het wijzigen van bestanden nadat u zich hebt aangemeld, zodat de handtekening kan worden verbroken , afhankelijk van de clientconfiguratie
- Onderteken mogelijk ongewenste toepassingen niet : vermijd het ondertekenen van een bestand dat schadelijk of mogelijk ongewenst toepassingsgedrag vertoont, of het certificaat kan een negatieve reputatie ontwikkelen
- Een consistente ondertekeningsidentiteit gebruiken : het wijzigen van uw handtekeningcertificaat is van invloed op het vertrouwenssignaal van de uitgever
- Communiceren met early adopters : voor nieuwe apps, laat bètagebruikers weten dat ze mogelijk een SmartScreen-prompt zien bij het eerste downloaden en dat ze alleen moeten doorgaan nadat ze de uitgever hebben geverifieerd en bevestigen dat ze de downloadbron vertrouwen
Aanbeveling
Op Windows 11 apparaten kan de functie Smart App Control de reputatie van de SmartScreen-toepassing vervangen. Smart App Control blokkeert de uitvoering van niet-ondertekende bestanden, tenzij het bestand een positieve reputatie heeft. Smart App Control-handtekeningcontroles zijn van toepassing op alle uitvoerbare bestanden, niet alleen op bestanden die zijn gedownload van internet.
Verwante inhoud
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
Windows developer