Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender SmartScreen verifica a reputação dos arquivos baixados antes de permitir que eles sejam executados. Entender como a reputação funciona pode ajudar a evitar avisos quando os usuários baixam ou executam seus arquivos.
Dica
A maneira mais simples de evitar avisos do SmartScreen é publicar por meio do Microsoft Store. Os aplicativos distribuídos pela Loja são assinados por um certificado da Microsoft e nunca estão sujeitos a avisos de download do SmartScreen. O restante deste artigo se aplica a aplicativos distribuídos fora da Loja.
Como funciona a reputação do SmartScreen
O SmartScreen avalia dois sinais quando um usuário baixa e executa um arquivo:
- Reputação do publicador — O arquivo está assinado? O certificado de assinatura é de um publicador conhecido e confiável?
- Reputação do hash do arquivo – Este arquivo específico foi baixado por usuários sem indicações de comportamento malicioso?
Uma reputação negativa ou desconhecida para o hash de um arquivo ou o certificado de seu editor pode fazer com que os avisos sejam exibidos. Mesmo quando assinado, um binário recém-criado ainda pode mostrar um aviso SmartScreen até que o hash ou o certificado do editor acumulem evidências suficientes de uma reputação positiva.
Quando um arquivo não é assinado, a reputação do SmartScreen deve ser construída para cada nova versão de seus arquivos, começando com uma reputação inicial de zero. A reputação não pode ser transferida de versões anteriores, a menos que ambas tenham sido assinadas usando a mesma identidade do editor.
Opções de certificado e suas implicações do SmartScreen
Para reduzir a probabilidade de interrupção, você deve assinar todos os seus arquivos com um certificado válido.
| Tipo de certificado | Comportamento do SmartScreen no download inicial |
|---|---|
| Microsoft Store | ✅ Nenhum aviso – coberto pelo certificado do Microsoft |
| Certificado válido (OV/EV) | ⚠️ Aviso — aplicativo sinalizado como não reconhecido até que a reputação se acumule; o nome do editor verificado é exibido |
| Nenhuma assinatura | ⚠️ Aviso — "Windows protegeu seu computador"; O usuário deve escolher "Executar assim mesmo" antes que o aplicativo possa ser executado. A política empresarial pode impedir totalmente a continuação. |
| Certificado Autoassinado | ⚠️ Aviso — Mesmo comportamento de ausência de assinatura |
Observação
Os certificados EV não ignoram mais o SmartScreen. Anos atrás, assinar arquivos com um certificado de assinatura de código de EV (Validação Estendida) resultaria em reputação positiva do SmartScreen por padrão, mas esse comportamento não existe mais. Os certificados EV podem ser importantes para aquisições corporativas, mas não impactam mais o comportamento do SmartScreen. Pagar um prêmio por EV apenas para evitar avisos do SmartScreen não é mais justificado.
Microsoft Store (recomendado)
Os aplicativos publicados na Microsoft Store são reassinados pela Microsoft e têm total credibilidade. Os usuários nunca verão um aviso SmartScreen para um aplicativo instalado na Microsoft Store.
Assinatura de artefato (anteriormente Assinatura Confiável)
Artifact Signing (antigo Trusted Signing) é o serviço de assinatura de código recomendado pela Microsoft para distribuição fora da Loja.
- Custo: Aproximadamente US$ 10/mês
- Não é necessário token de hardware — integra-se diretamente com pipelines de CI/CD (GitHub Actions, Azure DevOps)
- Identity validation required — Microsoft valida sua identidade antes de emitir certificados
- Comportamento do SmartScreen – a reputação se acumula ao longo do tempo com base no volume e no comportamento do download
O que esperar ao publicar um novo aplicativo
- Primeiros downloads: Os usuários podem ver um prompt do SmartScreen indicando que o aplicativo não foi reconhecido. Para aplicativos assinados, o nome do editor é exibido. Os usuários devem continuar somente depois de verificar a origem.
- À medida que os downloads se acumulam: A reputação do SmartScreen é criada automaticamente. O prompt deixará de aparecer quando o hash do arquivo tiver histórico de download suficiente. Não há um limite exato, mas pode levar várias semanas e centenas de instalações limpas realizadas por um público amplo.
- Nova versão: Assinar arquivos usando um certificado confiável pode permitir que a reputação do certificado seja criada, evitando avisos em novos arquivos assinados pelo mesmo certificado confiável. Arquivos não assinados devem criar reputação novamente a cada atualização.
Não há necessidade (ou mecanismo) de enviar manualmente um arquivo para revisão de reputação do SmartScreen em dispositivos do consumidor. A reputação é construída organicamente pelo volume de downloads.
Observação
Ambientes empresariais podem ter um comportamento diferente do SmartScreen dependendo da configuração da política; por exemplo, a capacidade de ignorar um aviso smartscreen pode estar desabilitada. As empresas podem distribuir arquivos de locais confiáveis da Intranet não sujeitos à revisão do SmartScreen. Os administradores de TI corporativos podem, opcionalmente, enviar arquivos para revisão por meio do portal Segurança da Microsoft Intelligence. Isso pode acelerar a confiança para implantações internas ou gerenciadas.
Minimizando avisos do SmartScreen na prática
- Publish para o Microsoft Store quando viável, essa é a maneira mais confiável de evitar avisos inteiramente
- Assinar cada versão – arquivos não assinados não podem herdar uma reputação positiva do certificado digital de assinatura
- Não modifique os arquivos assinados – evite modificar arquivos após a assinatura, pois isso pode interromper a assinatura dependendo da configuração do cliente
- Não assinar aplicativos potencialmente indesejados – evite assinar qualquer arquivo que exponha um comportamento de aplicativo mal-intencionado ou potencialmente indesejado, ou o certificado pode desenvolver reputação negativa
- Usar uma identidade de assinatura consistente – alterar o certificado de assinatura afeta o sinal de confiança do editor
- Comunique-se com os primeiros adotantes – para novos aplicativos, informe aos usuários beta que eles podem ver um prompt do SmartScreen no primeiro download e que eles só devem continuar depois de verificar o editor e confirmar que confiam na origem do download
Dica
Em dispositivos Windows 11, o recurso Controle de Aplicativo Inteligente pode substituir a Reputação do Aplicativo SmartScreen. O Controle de Aplicativo Inteligente bloqueará a execução de arquivos não assinados, a menos que o arquivo tenha uma reputação positiva. As verificações de assinatura do Controle de Aplicativo Inteligente se aplicam a todos os arquivos executáveis, não apenas aos baixados da Internet.
Conteúdo relacionado
- Escolha um caminho de distribuição para seu aplicativo Windows
- O status atual dos recursos de distribuição de aplicativos do Windows
- Assinar um pacote de aplicativo usando SignTool
- Documentação de Assinatura de Artefatos (anteriormente Assinatura Confiável)
- Requisitos do Programa Raiz Confiável da Microsoft
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
Windows developer