- Windows aplica múltiples capes de seguretat (SmartScreen, BitLocker, aïllament del nucli, Tamper Protection) que poden bloquejar apps o funcions sense explicacions clares.
- Filtres com SmartScreen i les noves polítiques de vista prèvia tracten molts arxius descarregats com a potencialment perillosos, afectant també NAS i documents legítims.
- El xifratge automàtic amb BitLocker a Windows 11 millora la confidencialitat, però sense una bona gestió de claus pot provocar pèrdues de dades irreversibles.
- Revisar i ajustar les opcions de seguretat, entendre els avisos del sistema i mantenir controlades claus i certificats és essencial per equilibrar seguretat i usabilitat.
Si fas servir Windows diàriament, segur que alguna vegada t'has topat amb avisos rars de seguretat, carpetes a les quals de sobte no pots entrar o programes que es tanquen sense explicació. Moltes vegades, quan Windows bloqueja apps “per seguretat” ni tan sols mostra un avís clar, i l'usuari es queda amb cara de pòquer sense saber què ha passat ni com solucionar-ho.
En aquest article desgranarem, amb calma i sense tecnicismes innecessaris, per què Windows pot bloquejar aplicacions o funcions sense explicar-te gran cosa, què hi ha darrere de filtres com SmartScreen, de l'aïllament del nucli, de BitLocker o de les noves polítiques que afecten fins i tot les vistes prèvies de fitxers descarregats. A més, veuràs com revisar les opcions clau de seguretat per evitar ensurts i, sobretot, per no perdre dades importants. Anem allà amb una guia sobre Windows bloqueja apps “per seguretat” sense mostrar avís: per què passa.
Windows bloqueja carpetes i apps sense avisar: el cas de WindowsApps i altres exemples
Un dels casos que més desconcerta els usuaris és trobar, del no-res, una carpeta anomenada WindowsApps a què no es pot accedir. Apareix moltes vegades en unitats on abans no hi era, i en intentar obrir-la, el sistema llança missatges del tipus: «Actualment no tens permís per accedir a aquesta carpeta» o «se t'ha denegat el permís», fins i tot encara que prems “Continuar”.
Aquesta carpeta, WindowsApps, forma part de la infraestructura interna de Windows per a les aplicacions UWP (les de la Microsoft Store i algunes que s'integren amb el sistema). Per disseny, està protegida: l'usuari estàndard no és el propietari, els permisos es gestionen de forma automàtica i el mateix explorador mostra que "no es pot mostrar el propietari actual" si intentes tafanejar a les opcions avançades.
Aquesta manca d'accés no vol dir que hi hagi codi maliciós (malware) ni res estrany: és un mecanisme de seguretat per impedir que esborris o modifiquis arxius crítics de les apps. Tot i això, el missatge és tan poc clar que molts pensen que el sistema s'ha trencat o que algú ha canviat permisos sense el seu consentiment.
Una cosa semblant passa amb altres comportaments de seguretat: de vegades Windows bloqueja l'execució d'un programa, tanca una app o impedeix l'accés a certs fitxers sense que aparegui un avís gran i evident. El resultat és sensació de pèrdua de control, encara que en segon pla el sistema estigui intentant protegir-te.
Funcions de seguretat que Windows desactiva o modifica pel vostre compte
A les últimes versions de Windows 10 i, sobretot, a Windows 11, Microsoft ha anat afegint capes de protecció que, en teoria, fan el sistema més robust davant malware i atacs de baix nivell. El problema és que no sempre t'informa bé quan les activa, les canvia o les desactiva pel seu compte.
Un dels canvis més polèmics ha estat la gestió del aïllament del nucli (Core Isolation) i el component d'Integritat de memòria. Aquesta funció impedeix que controladors i codi no fiable s'injectin al nucli, frenant molts atacs avançats, però també pot provocar conflictes amb drivers antics o mal signats.
Quan Windows detecta que hi ha controladors no signats, desactualitzats o incompatibles, podeu desactivar automàticament la Integritat de memòria per evitar pantalles blaves (els famosos BSOD amb errors com DPC_WATCHDOG_VIOLATION). Ho fa en segon pla, en nom de l'estabilitat, i moltes vegades l'usuari ni sap que aquesta protecció ja no està activa.
A això se sumen les intervencions de programari de tercers que demana desactivar proteccions. Un exemple clàssic és AI Suite 3 d'ASUS i utilitats similars per a plaques base o maquinari específic. Algunes d'aquestes eines sol·liciten desactivar funcions de seguretat per poder carregar-se a l'arrencada o interactuar amb el sistema a baix nivell. El problema ve quan, tot i desinstal·lant el programa, Windows segueix detectant el driver com a incompatible i es nega a reactivar l‟aïllament del nucli.
El resultat: lusuari creu que té el sistema blindat, però en realitat una part important de la protecció està deshabilitada per decisions automàtiques del sistema o de programari de tercers, sense un avís clar i continuat.
SmartScreen: el filtre que bloqueja apps “per seguretat”
Una altra peça clau en tot aquest puzle és Microsoft Defender SmartScreen, el filtre que sinterposa entre tu i moltes descàrregues o llocs web potencialment perillosos. Potser esteu intentant obrir un instal·lador acabat de baixar i, de cop, apareix un missatge tipus «Windows va protegir el seu equip» o, directament, l'aplicació ni s'executa si el filtre està configurat de forma més estricta.
Segons la documentació de Microsoft, SmartScreen s'encarrega de comprovar la reputació dels llocs web i de les aplicacions descarregades. Revisa si la pàgina està reportada com a phishing o distribuïdora de codi maliciós (malware), i contrasta les signatures digitals i altres metadades de l'arxiu amb una base de dades al núvol. Si el programa no té bona reputació (o simplement és poc conegut), el filtre pot llançar una advertència o bloquejar-lo del tot.
De fàbrica, a moltes instal·lacions de Windows, els usuaris poden saltar-se aquest bloqueig mitjançant un simple “Executar de totes maneres” després de prémer “Més informació”. Però en entorns corporatius, o amb certes polítiques aplicades (per exemple, mitjançant directiva de grup o Intune), l'administrador pot impedir que s'executin apps no reconegudes o fins i tot desactivar SmartScreen del tot.
SmartScreen també intervé al navegar per la web. Analitza en temps real les pàgines que visites comparant-les amb llistes dinàmiques de llocs de pesca i programari maliciós. Si trobeu coincidència, mostra una pantalla d'advertència (la típica pàgina vermella que et diu que el lloc ha estat bloquejat per seguretat). A més, verifica les descàrregues davant de llistes de fitxers perillosos i una altra de fitxers “amb bona reputació” descarregats per molts usuaris.
Tot això està molt bé per frenar atacs, però també provoca que Windows i Edge bloquegin aplicacions totalment legítimes, sobretot si són poc conegudes, recentment publicades o provenen de desenvolupadors petits que no han acumulat encara reputació. Des del punt de vista de l'usuari, la sensació és que «Windows no em deixa instal·lar res» o que «bloqueja sense avisar clarament», encara que el filtre sí que sol mostrar missatges, això sí, de vegades poc visibles o confusos.
Avantatges i pegues reals de SmartScreen
A nivell pràctic, SmartScreen aporta diverses capes de seguretat: analitza les webs que visites, creua les descàrregues amb llistes de codi maliciós i avalua la reputació dels arxius. Amb les darreres actualitzacions, fins i tot detecta certs atacs on s'injecta codi maliciós gairebé invisible en pàgines legítimes, avisant abans que el navegador carregui aquest contingut.
Tot i això, també té contres: pot alentir mínimament l'accés a algunes pàgines o l'execució de programes, i de vegades llança advertiments sobre programari que realment és segur. Per això alguns usuaris avançats opten per desactivar-lo o rebaixar-ne el nivell de protecció, cosa que, òbviament, augmenta el risc.
Convé entendre que SmartScreen no és el mateix que el bloquejador d'elements emergents. El primer avalua reputació i potencial de codi maliciós, mentre que el bloquejador de pop-ups es limita a frenar finestres o anuncis intrusius. Són eines complementàries, no substitutives.
Quan Windows 11 bloqueja la vista prèvia de fitxers descarregats
Un altre comportament que ha sorprès molts usuaris de Windows 11 és el bloqueig de la vista prèvia a l'Explorador de fitxers per a documents descarregats des d'Internet. Després d'una actualització polèmica (per exemple, un pegat com KB5066835), Microsoft ha decidit desactivar automàticament el panell de vista prèvia per a qualsevol fitxer marcat amb l'etiqueta "Mark of the Web".
Aquesta etiqueta s'aplica a fitxers que provenen d'Internet o d'ubicacions que Windows considera potencialment no fiables. Abans podies passar el ratolí per una imatge, un PDF o un document i veure'n el contingut a la columna de la dreta sense obrir-lo. Ara, si el fitxer té aquest marcatge d'origen extern, el sistema impedeix la vista prèvia i mostra un avís de seguretat.
La raó tècnica darrere aquest canvi és una vulnerabilitat relacionada amb la possible fugida de credencials NTLM a través de fitxers que incloïen etiquetes HTML manipulades. És a dir, a través de la vista prèvia es podia forçar el sistema a enviar credencials que després un atacant podia intentar aprofitar.
Des de Microsoft han optat per la via més conservadora: prioritzar la seguretat per sobre de la comoditat. Això protegeix davant d'atacs i filtracions d'informació determinats, però trenca una de les funcions d'Explorador que més valoraven els usuaris avançats: previsualitzar de tot sense obrir-lo.
Si vols recuperar la vista prèvia d'un fitxer concret que saps que és de confiança, ho pots fer des del menú de propietats: clic dret sobre l'arxiu > Propietats > pestanya General i marcar la casella “Desbloquejar”. Un cop aplicat, aquesta còpia del fitxer deixarà de considerar-se no fiable i l'Explorador tornarà a mostrar la vista prèvia. Això sí, aquest desbloqueig s'ha de fer només amb arxius la procedència dels quals tinguis claríssima.
Fitxers des d'un NAS, QNAP i el bloqueig de vistes prèvies
Aquest canvi en la política de seguretat afecta també els qui accedeixen a fitxers des d'un NAS, com els de QNAP. Molts usuaris han vist com, en navegar per carpetes del NAS des de Windows, l'explorador bloqueja vistes prèvies o mostra missatges d'advertiment tipus «aquest fitxer podria fer malbé el teu equip», fins i tot quan es tracta de fotos o documents totalment inofensius.
L'important aquí és entendre que el problema no és al NAS ni a QNAP, sinó a la nova política de seguretat de Windows. El sistema tracta els fitxers descarregats a través de certes rutes de xarxa com si fossin procedents d'Internet, aplicant les mateixes restriccions: bloqueig de vista prèvia i advertiments excessivament alarmistes.
Per reduir aquestes molèsties, hi ha diversos enfocaments recomanats pels mateixos fabricants de NAS. El primer és accedir al NAS usant el seu nom NetBIOS (per exemple, \\NAS-Nom\) en lloc de l'adreça IP directa. D'aquesta manera, Windows sol considerar aquesta ruta com a més fiable i no aplica de manera tan agressiva el marcatge de fitxer descarregat.
El segon mètode passa per afegir la IP del NAS a la zona de Llocs de confiança a les opcions d'Internet de Windows. Des d'Inici > Opcions d'Internet > pestanya Seguretat > Llocs de confiança > Llocs, podeu desmarcar la casella que exigeix HTTPS i afegir la IP del NAS. A partir d'aquest moment, els fitxers servits des d'aquesta adreça, descarregats després de configurar-ho, haurien de deixar de ser bloquejats.
Això sí, els fitxers que ja vas descarregar abans de fer aquest canvi poden seguir marcats com a no fiables, de manera que els hauràs de desbloquejar manualment des de les seves propietats si necessites la vista prèvia immediata.
BitLocker, xifrat automàtic i perill de perdre totes les dades
Més enllà d'aquests bloquejos puntuals, hi ha un assumpte de seguretat a Windows 11 que s'ha guanyat el títol d'“arma de doble tall”: el xifrat amb BitLocker activat de forma gairebé silenciosa durant la configuració inicial del sistema.
En instal·lacions netes de Windows 11 (per exemple, a partir de versions com 24H2) o en equips nous, si inicies el sistema i el configures usant una compte de Microsoft, el sistema pot activar automàticament el xifratge de dispositiu amb BitLocker. Les claus de recuperació s'emmagatzemen al vostre perfil en línia de Microsoft, però tot aquest procés es fa sense explicar massa a l'usuari el que està passant.
El problema salta quan, amb el pas del temps, decideixes canviar-te a un compte local o fins i tot esborrar el teu compte de Microsoft perquè ja no la veus necessària o per motius de privadesa. En molts casos, Windows no mostra cap advertència clara sobre el fet que la teva unitat principal està xifrada amb BitLocker i que les claus de recuperació estan lligades a aquest compte que eliminaràs.
Si més endavant el sistema es corromp, l'arrencada de Windows falla o es produeix algun error de microprogramari, és possible que a la reparació se't demani la clau de recuperació de BitLocker. I si ja no tens accés al compte de Microsoft on estava desat, o si la vas eliminar, la possibilitat de recuperar les teves dades és pràcticament nul·la. Ni Microsoft, ni el servei tècnic de torn, ni ningú no es pot saltar aquest xifrat sense la clau.
Des del punt de vista de la ciberseguretat, acostumem a parlar de la tríada CIA: Confidencialitat, Integritat i Disponibilitat. BitLocker reforça moltíssim la confidencialitat (que ningú no pugui llegir les teves dades si roben el portàtil), però, mal gestionat, pot destrossar la disponibilitat: que tu mateix no puguis accedir als teus documents i fotos per haver perdut les claus.
A la pràctica, per a l'usuari mitjà, la disponibilitat sol ser el més important: perdre tots els teus records o documents laborals per no tenir còpia de la clau fa molt més mal que la por que algun desconegut pugui llegir els teus fitxers si et roben l'equip. Si BitLocker s'activa de manera gairebé automàtica i no obliga a configurar còpies de seguretat de la clau (per exemple, en un USB, impresa en paper o desada en un altre compte), el sistema està creant un risc silenciós.
Quines millores es proposen perquè BitLocker no sigui una trampa
Molts experts han plantejat que, durant la configuració inicial de Windows, n'hi hauria d'haver una opció claríssima per acceptar o rebutjar l'activació de BitLocker, explicant bé els pros i els contres. Podria continuar sent l'opció recomanada, però s'hauria d'indicar directament que «si perds l'accés al teu compte de Microsoft i no tens la clau de recuperació, pots perdre totes les teves dades».
Igualment, el sistema podria realitzar comprovacions periòdiques en segon pla per assegurar-vos que les claus de recuperació estan disponibles i accessibles per a l'usuari. Si detecteu que heu tancat la sessió del vostre compte de Microsoft o heu desvinculat el dispositiu, haureu d'aparèixer una advertència clara indicant el risc i animant a desar la clau en un altre lloc.
Mentre Microsoft no canviï aquest enfocament, el més prudent per a tu és, així que sàpigues que la teva unitat està xifrada, exportar i desar les claus de recuperació a diversos llocs segurs: un gestor de contrasenyes, un dispositiu extern, una còpia impresa guardada físicament, etc. Així minimitzes la possibilitat de quedar-te bloquejat sense sortida.
SmartScreen, certificats SSL i el famós avís de «no és segur» a Google Chrome
Més enllà de bloquejos interns del sistema, molts usuaris s'enfronten cada dia al missatge de «no és segur» a Google Chrome en entrar a una web. Aquest avís no el llança Windows com a tal sinó el navegador, però està molt vinculat al concepte de seguretat ia com es gestionen les connexions xifrades mitjançant HTTPS i certificats SSL.
Quan un lloc no té ben configurat el vostre certificat SSL (o directament segueix usant HTTP sense xifrat), Chrome marca la pàgina com a no segura. En algunes situacions et deixa avançar “sota la teva responsabilitat”, però en altres, bloqueja l'accés del tot. Això pot ser un problema si necessites entrar sí o sí a una web, o si és el teu propi lloc el que està espantant visites per aquest avís.
Per a qualsevol administrador o propietari d'una pàgina, el primer pas per treure el «no és segur» és instal·lar correctament un certificat SSL i fer que tot el trànsit passi per HTTPS. Avui dia gairebé tots els proveïdors de hosting (GoDaddy i molts altres) ofereixen eines per integrar el certificat de forma automàtica, tant a webs normals com a botigues en línia.
Un cop instal·lat el SSL, cal anar un pas més enllà: assegurar-se que tots els enllaços interns i sortints usen HTTPS sempre que sigui possible. Al codi HTML, els enllaços del tipus http://www.exemple.com convé canviar-los a https://www.exemple.com quan el web de destinació suport xifrat. Això evita advertiments addicionals i millora lexperiència dusuari.
També és recomanable configurar redireccions automàtiques de HTTP a HTTPS, bé usant plugins en CMS com WordPress, modificant el fitxer .htaccess en servidors Apache o implementant la lògica amb llenguatges del costat del servidor com PHP o Ruby. D'aquesta manera, qualsevol intent d'entrar per http:// acabarà a la versió segura https://.
Actualitzar sitemaps, Search Console i revisar contingut mixt
Quan migreu la vostra pàgina a HTTPS, no n'hi ha prou amb el certificat i les redireccions: has de actualitzar els teus sitemaps XML perquè continguin únicament URLs amb https://. Això ajuda que Google i altres cercadors indexin correctament la teva web com a segura.
Després, és bona idea enviar la versió HTTPS del teu lloc a Google Search Console i verificar-ne la propietat. Això et permetrà monitoritzar errors, advertiments i possibles incidències relacionades amb seguretat o contingut mixt.
L'anomenat contingut mixt apareix quan una pàgina es carrega per HTTPS, però alguns recursos interns (imatges, scripts, fulls d'estil) se serveixen per HTTP. Els navegadors moderns marquen això com a parcialment insegur i poden continuar mostrant l'avís de «no és segur» o icones d'advertència al cadenat.
Per localitzar aquests recursos, pots fer servir la consola de desenvolupador de Chrome (Ctrl+Shift+J a Windows o Cmd+Option+J a Mac) i cercar missatges d'advertiment sobre contingut mixt. A partir d'aquí, toca corregir enllaços al codi perquè usin HTTPS o, si la font externa no ho suporta, plantejar-se reemplaçar-la per alternatives segures o allotjar el recurs al teu propi servidor.
Si, després de tot aquest treball, l'avís persisteix, el pas següent és contactar amb el suport tècnic del teu proveïdor de hosting. Ells poden revisar configuracions del servidor, certificats intermedis, cadenes de confiança i altres detalls que sovint sescapen a lusuari final.
Altres capes de seguretat de Windows: Tamper Protection, mode desenvolupador i bloqueig d'apps mòbils
A més de SmartScreen i l'aïllament del nucli, Windows integra altres funcions que influeixen que es bloquegin apps «per seguretat» sense que sempre en quedi clar el motiu. Una és la Protecció contra manipulacions (Tamper Protection) de Microsoft Defensar.
Aquesta característica impedeix que programes externs (o el malware mateix) modifiquin la configuració de seguretat de Windows Defender. En edicions domèstiques sol estar activada per defecte, però en entorns professionals o corporatius pot estar deshabilitada per polítiques internes sense que l'usuari ho sàpiga. Si està activa, podeu bloquejar canvis que intenteu fer manualment a la configuració de l'antivirus oa alguns paràmetres de seguretat avançada.
Pel que fa al navegador Edge, existeix un mode desenvolupador per a extensions que pot generar avisos cada vegada que el fas servir. Si el tens actiu, el sistema et llançarà missatges d'advertència, perquè considera que les extensions en mode desenvolupador poden ser un vector de codi maliciós. Per reduir aquests avisos, només cal desactivar aquest mode des de Configuració > Extensions, llevat que realment ho necessitis per desenvolupar o provar complements.
A l'ecosistema mòbil, una cosa semblant passa amb aplicacions que es bloquegen amb autenticadors o eines de bloqueig d'apps. Alguns usuaris recorren a apps avançades o automatitzadors tipus Tasker per forçar bloquejos d'aplicacions, ocultar la barra de navegació o modificar comportaments restringits per fabricants com Samsung. Tot i que no és Windows, el concepte és el mateix: capes de seguretat que, quan fallen o es configuren malament, fan que les apps es tanquin de cop o no es mostrin correctament, sense que l'usuari mitjà tingui clar què està passant darrere.
En tots aquests casos, la sensació general és que el sistema prioritza la seguretat, però a costa de transparència i claredat. Manca pedagogia a la interfície: es bloqueja pel teu bé, però moltes vegades no s'explica bé el perquè ni com recuperar el control sense perdre protecció.
Entendre què fan SmartScreen, BitLocker, l'aïllament del nucli, la protecció contra manipulacions o les noves polítiques de bloqueig de vistes prèvies és clau per no lluitar amb Windows cada dos per tres. Si coneixes aquestes capes de seguretat, sabràs quan convé respectar els seus bloquejos, quan té sentit ajustar-les i, sobretot, com evitar escenaris catastròfics com perdre totes les dades xifrades per una mala gestió de BitLocker. Una mica de coneixement i una mica d'ordre en desar claus, revisar ajustaments i tractar fitxers descarregats pot marcar la diferència entre un sistema segur i usable… i un PC que et protegeix tant que acaba jugant-te la pitjor passada possible.
Apassionat de la tecnologia des de petitó. M'encanta estar a l'última al sector i sobretot, comunicar-ho. Per això em dedico a la comunicació en webs de tecnologia i videojocs des de ja fa molts anys. Podràs trobar-me escrivint sobre Android, Windows, MacOS, iOS, Nintendo o qualsevol altre tema relacionat que et passi pel cap.