Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Defender SmartScreen verifica a reputação dos ficheiros descarregados antes de permitir que sejam executados. Compreender como funciona a reputação pode ajudar a evitar avisos quando os utilizadores descarregam ou executam os seus ficheiros.
Sugestão
A forma mais simples de evitar avisos de SmartScreen é publicar através da Microsoft Store. As aplicações distribuídas na loja são assinadas por um certificado Microsoft e nunca estão sujeitas a avisos de download do SmartScreen. O restante deste artigo aplica-se a aplicações distribuídas fora da Loja.
Como funciona a reputação do SmartScreen
O SmartScreen avalia dois sinais quando um utilizador descarrega e executa um ficheiro:
- Reputação do editor — O ficheiro está assinado? O certificado de assinatura é de um editor conhecido e de confiança?
- Reputação do hash do ficheiro — Este ficheiro específico foi descarregado por utilizadores sem indicações de comportamento malicioso?
Uma reputação negativa ou desconhecida do hash de um ficheiro ou do certificado do seu editor pode causar avisos. Mesmo quando assinado, um binário recém-criado pode ainda mostrar um aviso SmartScreen até que o seu hash ou certificado de publicador acumule provas suficientes de reputação positiva.
Quando um ficheiro não é assinado, a reputação SmartScreen tem de ser construída para cada nova versão dos seus ficheiros, começando com a reputação zero. A reputação não pode ser transferida de versões anteriores a menos que ambas tenham sido assinadas com a mesma identidade do editor.
Opções de certificados e as suas implicações no SmartScreen
Para reduzir a probabilidade de interrupção, deve assinar todos os seus ficheiros com um certificado válido.
| Tipo de certificado | Comportamento do SmartScreen no primeiro download |
|---|---|
| Loja Microsoft | ✅ Sem aviso — abrangido pelo certificado de Microsoft |
| Certificado Válido (OV/EV) | ⚠️ Aviso — aplicação assinalada como não reconhecida até acumular reputação; O nome do editor verificado é mostrado |
| Sem assinatura | |
| Certificado auto-assinado | ⚠️ Aviso — Mesmo comportamento de quando não há assinatura |
Observação
Os certificados de veículos elétricos já não contornam o SmartScreen. Anos atrás, assinar ficheiros com um certificado de assinatura de código de Validação Estendida (EV) resultava automaticamente numa reputação positiva no SmartScreen, mas esse comportamento já não ocorre. Os certificados de veículos elétricos podem ser relevantes para a aquisição empresarial, mas já não afetam o comportamento do SmartScreen. Pagar um prémio por veículos elétricos apenas para evitar avisos do SmartScreen já não é justificado.
Microsoft Store (recomendado)
As aplicações publicadas na Microsoft Store são reassinadas pela Microsoft e possuem plena reputação. Os utilizadores nunca verão um aviso de SmartScreen para uma aplicação instalada na Store.
Azure Artifact Signing (anteriormente Trusted Signing)
Azure Artifact Signing (anteriormente Trusted Signing) é o serviço de assinatura de código recomendado pela Microsoft para distribuição fora da Loja:
- Custo: Aproximadamente $10/mês
- Não é necessário token de hardware — integra-se diretamente com pipelines CI/CD (GitHub Actions, Azure DevOps)
- Validação de identidade requerida — Microsoft valida a sua identidade antes de emitir certificados
- Comportamento do SmartScreen — reputação acumula-se ao longo do tempo com base no volume e comportamento dos downloads
O que esperar ao publicar uma nova aplicação
- Primeiros downloads: Os utilizadores podem ver um aviso do SmartScreen a indicar que a aplicação não é reconhecida. Para aplicações assinadas, o nome do editor é exibido. Os utilizadores devem avançar apenas após verificarem a fonte.
- À medida que os downloads se acumulam: A reputação do SmartScreen constrói-se automaticamente. O prompt deixa de aparecer assim que o hash do ficheiro tiver histórico de downloads suficiente. Não existe um limiar exato, mas pode demorar várias semanas e centenas de instalações limpas por parte de um público vasto.
- Nova versão: Assinar ficheiros usando um certificado de confiança pode permitir a construção de reputação de certificado, evitando potencialmente avisos em ficheiros novos assinados pelo mesmo certificado de confiança. Ficheiros não assinados têm de reconstruir reputação a cada atualização.
Não há necessidade (nem mecanismo) de submeter manualmente um ficheiro para revisão de reputação do SmartScreen para endpoints de consumidores. A reputação constrói-se organicamente através do volume de downloads.
Observação
Ambientes empresariais podem ter comportamentos diferentes no SmartScreen dependendo da configuração da política; por exemplo, a capacidade de contornar um aviso do SmartScreen pode estar desativada. As empresas podem distribuir ficheiros a partir de locais de Intranet Confiáveis que não estão sujeitos a revisão SmartScreen. Os administradores de TI empresariais podem, opcionalmente, submeter ficheiros para revisão através do portal Microsoft Security Intelligence. Isto pode acelerar a confiança em implementações internas ou geridas.
Minimizar os avisos do SmartScreen na prática
- Publicar para a Microsoft Store sempre que possível — esta é a forma mais fiável de evitar avisos por completo
- ** Assine cada versão — os ficheiros não assinados não têm a capacidade de herdar uma reputação positiva do certificado de assinatura
- Não modifique ficheiros assinados - Evite modificar ficheiros após a assinatura, pois isso pode quebrar a assinatura dependendo da configuração do cliente
- Não assine candidaturas potencialmente indesejadas - Evite assinar qualquer ficheiro que apresente comportamentos maliciosos ou potencialmente indesejados, sob pena de o certificado desenvolver uma reputação negativa
- Use uma identidade de assinatura consistente — alterar o seu certificado de assinatura afeta o sinal de confiança do editor
- Comunique com os primeiros utilizadores — para novas aplicações, informe os utilizadores beta que podem ver um aviso SmartScreen no primeiro download, e que só devem avançar depois de verificarem o editor e confirmarem que confiam na fonte do download
Sugestão
Nos dispositivos Windows 11, a funcionalidade Smart App Control pode substituir a SmartScreen Application Reputation. O Smart App Control bloqueia a execução de ficheiros não assinados, a menos que o ficheiro tenha uma reputação positiva. As verificações de assinatura do Smart App Control aplicam-se a todos os ficheiros executáveis, não apenas aos descarregados da Internet.
Conteúdo relacionado
- Escolha um caminho de distribuição para a sua aplicação de Windows
- Estado atual das funcionalidades de distribuição de Windows aplicações
- Assinar um pacote de aplicação usando o SignTool
- Documentação de Assinatura de Artefactos do Azure (anteriormente Assinatura Confiável)
- Requisitos do Programa de Raízes Fidedignas da Microsoft
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
Windows developer