Windows blokira aplikacije iz varnostnih razlogov brez opozorila: pravi vzroki in kako jih obvladati

Če vsak dan uporabljate Windows, ste verjetno že naleteli na nenavadna varnostna opozorila, mape, do katerih nenadoma ne morete dostopati, ali programe, ki se nepričakovano zaprejo. Pogosto, ko Windows blokira aplikacije »zaradi varnosti«, ne da bi pri tem prikazal jasen opozorilo.In uporabnik ostane z brezizraznim obrazom, ne vedoč, kaj se je zgodilo ali kako to popraviti.

V tem članku bomo mirno in brez nepotrebnega tehničnega žargona razčlenili Zakaj lahko Windows blokira aplikacije ali funkcije, ne da bi vam dal veliko razlageKaj se skriva za filtri, kot so SmartScreen, izolacija jedra, BitLocker in novi pravilniki, ki vplivajo celo na predoglede prenesenih datotek? Videli boste tudi, kako pregledati ključne varnostne možnosti, da se izognete neprijetnim presenečenjem in predvsem preprečite izgubo pomembnih podatkov. Začnimo s tem vodnikom o Windows blokira aplikacije »zaradi varnosti«, ne da bi prikazal opozorilo: zakaj se to zgodi.

Windows blokira mape in aplikacije brez opozorila: primer WindowsApps in drugi primeri

Eden od primerov, ki uporabnike najbolj zmede, je, da se iznenada pojavi mapa z imenom Aplikacije sistema Windows, do katerih ni mogoče dostopatiPogosto se pojavi na pogonih, kjer ga prej ni bilo, in ko ga poskušate odpreti, sistem prikaže sporočila, kot sta: »Trenutno nimate dovoljenja za dostop do te mape« ali »Vaše dovoljenje je bilo zavrnjeno«, tudi če kliknete »Nadaljuj«.

Ta mapa, WindowsApps, Je del notranje infrastrukture sistema Windows za aplikacije UWP. (tiste iz trgovine Microsoft Store in nekatere, ki so integrirane s sistemom). Zasnovano je zaščiteno: standardni uporabnik ni lastnik, dovoljenja se upravljajo samodejno, brskalnik pa prikaže sporočilo »trenutnega lastnika ni mogoče prikazati«, če poskušate vohuniti po naprednih možnostih.

Ta pomanjkanje dostopa ne pomeni, da gre za zlonamerno programsko opremo ali kaj nenavadnega: To je varnostni mehanizem, ki preprečuje brisanje ali spreminjanje kritičnih datotek aplikacij.Vendar je sporočilo tako nejasno, da mnogi verjamejo, da se je sistem sesul ali da je nekdo spremenil dovoljenja brez njihovega soglasja.

Nekaj ​​podobnega se dogaja tudi pri drugih varnostnih vedenjih: včasih Windows blokira izvajanje programa, zapre aplikacijo ali prepreči dostop do določenih datotek brez kakršnega koli velikega, očitnega opozorila. Posledica je občutek izgube nadzora, čeprav vas sistem v ozadju poskuša zaščititi.

Varnostne funkcije, ki jih Windows sam onemogoči ali spremeni

V najnovejših različicah sistema Windows 10 in zlasti sistema Windows 11 je Microsoft dodal plasti zaščite, ki teoretično sistem naredijo bolj odporen proti zlonamerni programski opremi in napadom nizke ravni. Težava je v tem, da Ne daje vam vedno dobrih informacij, ko jih aktivira, spremeni ali deaktivira. sami

Ena najbolj kontroverznih sprememb je bilo upravljanje Izolacija jedra in njegova komponenta integritete pomnilnikaTa funkcija preprečuje vbrizgavanje nezaupanja vrednih gonilnikov in kode v jedro, kar upočasni številne napredne napade, lahko pa povzroči tudi konflikte s starejšimi ali slabo podpisanimi gonilniki.

Ko Windows zazna, da obstaja nepodpisani, zastareli ali nezdružljivi gonilnikiSamodejno lahko onemogoči integriteto pomnilnika, da prepreči modre zaslone smrti (zloglasne BSOD-e z napakami, kot je DPC_WATCHDOG_VIOLATION). To počne v ozadju zaradi stabilnosti in uporabnik se pogosto sploh ne zaveda, da ta zaščita ni več aktivna.

Poleg tega so tu še posegi programska oprema tretjih oseb, ki zahteva onemogočanje zaščitKlasični primer je ASUS AI Suite 3 in podobna orodja za matične plošče ali določeno strojno opremo. Nekatera od teh orodij zahtevajo onemogočanje varnostnih funkcij, da se lahko naložijo ob zagonu ali komunicirajo s sistemom na nizki ravni. Težava nastane, ko, Tudi po odstranitvi programa Windows še vedno zazna gonilnik kot nezdružljiv. in noče ponovno aktivirati izolacije jedra.

Rezultat: uporabnik verjame, da ima varen sistem, v resnici pa pomemben del zaščite je onemogočen zaradi samodejnih odločitev sistema ali programske opreme tretjih oseb, brez jasnega in neprekinjenega opozorila.

SmartScreen: filter, ki blokira aplikacije »zaradi varnosti«

Drug ključni del celotne sestavljanke je Microsoft Defender SmartScreenFilter, ki stoji med vami in številnimi potencialno nevarnimi prenosi ali spletnimi mesti. Morda poskušate odpreti na novo preneseni namestitveni program in nenadoma vidite sporočilo, kot je »Windows je zaščitil vaš računalnik«, ali pa se aplikacija morda sploh ne zažene, če je filter nastavljen na strožjo raven.

Glede na Microsoftovo dokumentacijo je SmartScreen odgovoren za Preverite ugled spletnih mest in prenesenih aplikacijPreverite, ali je stran prijavljena kot distribucija lažnega predstavljanja ali zlonamerne programske opreme, in primerjajte digitalne podpise datoteke in druge metapodatke z zbirko podatkov v oblaku. Če ima program slab ugled (ali je preprosto malo znan), lahko filter izda opozorilo ali ga v celoti blokira.

Privzeto je v mnogih namestitvah sistema Windows Uporabniki lahko to blokado zaobidejo s preprostim klikom na »Zaženi vseeno«. po kliku na »Več informacij«. V poslovnih okoljih ali z določenimi pravilniki (na primer prek pravilnika skupine ali Intune) pa lahko skrbnik prepreči izvajanje neprepoznanih aplikacij ali celo popolnoma onemogoči SmartScreen.

SmartScreen posega tudi v Brskajte po spletuV realnem času analizira strani, ki jih obiščete, in jih primerja z dinamičnimi seznami lažnih spletnih mest in zlonamerne programske opreme. Če najde ujemanje, prikaže opozorilni zaslon (običajna rdeča stran, ki vas obvesti, da je bilo spletno mesto blokirano zaradi varnostnih razlogov). Prenose preverja tudi s seznami nevarnih datotek in drugim seznamom »uglednih« datotek, ki so jih prenesli številni uporabniki.

Vse to je odlično za zaustavljanje napadov, povzroča pa tudi ... Windows in Edge blokirata popolnoma legitimne aplikacijeŠe posebej, če so malo znani, pred kratkim izdani ali pa prihajajo od majhnih razvijalcev, ki si še niso ustvarili ugleda. Z vidika uporabnika je občutek, da »Windows ne dovoli namestiti ničesar« ali da »blokira brez jasnega opozorila«, čeprav filter običajno prikaže sporočila, čeprav včasih komaj vidna ali zmedena.

Resnične prednosti in slabosti SmartScreena

V praksi SmartScreen zagotavlja več plasti varnosti: Analizira spletna mesta, ki jih obiščete, primerja prenose s seznami zlonamerne programske opreme in ocenjuje ugled datotek.Z najnovejšimi posodobitvami celo zazna določene napade, pri katerih se v legitimne strani vbrizga skoraj nevidna zlonamerna koda, in opozori, preden brskalnik naloži to vsebino.

Vendar ima tudi pomanjkljivosti: Lahko nekoliko upočasni dostop do nekaterih strani ali izvajanje programovVčasih izda opozorila o programski opremi, ki je dejansko varna. Zaradi tega jo nekateri napredni uporabniki onemogočijo ali znižajo njeno raven zaščite, kar očitno poveča tveganje.

Pomembno je razumeti, da SmartScreen ni isto kot blokator pojavnih okenPrvi ocenjuje ugled in potencial zlonamerne programske opreme, medtem ko blokator pojavnih oken preprosto blokira vsiljiva okna ali oglase. To sta dopolnilna orodja, ne pa nadomestka.

Ko Windows 11 blokira predogled prenesenih datotek

Še eno vedenje, ki je presenetilo številne uporabnike sistema Windows 11, je Blokiranje predogleda v Raziskovalcu za dokumente, prenesene z internetaPo kontroverzni posodobitvi (na primer popravku, kot je KB5066835) se je Microsoft odločil, da bo samodejno onemogočil podokno za predogled za vse datoteke, označene z oznako »Mark of the Web«.

Ta oznaka velja za datoteke, ki prihajajo iz interneta ali z lokacij, ki jih Windows šteje za potencialno nezaupanja vrednePrej ste lahko z miško pomaknili kazalec nad sliko, PDF ali dokument in si ogledali njegovo vsebino v desnem stolpcu, ne da bi ga odprli. Zdaj, če datoteka vsebuje to oznako zunanjega vira, sistem prepreči predogled in prikaže varnostno opozorilo.

Tehnični razlog za to spremembo je ranljivost, povezana z morebitnim uhajanjem poverilnic NTLM prek datotek, ki vsebujejo spremenjene oznake HTML. Z drugimi besedami, predogled bi se lahko uporabil za to, da bi sistem prisilil k pošiljanju poverilnic, ki bi jih napadalec nato lahko poskušal izkoristiti.

Microsoft se je odločil za bolj konzervativen pristop: dati prednost varnosti pred udobjemTo ščiti pred določenimi napadi in uhajanjem podatkov, vendar krši eno od funkcij Raziskovalca, ki jo napredni uporabniki najbolj cenijo: predogled vsega, ne da bi ga odprli.

Če želite pridobiti predogled določene datoteke, za katero veste, da je vredna zaupanja, lahko to storite v meniju lastnosti: Z desno miškino tipko kliknite datoteko > Lastnosti > zavihek Splošno in potrdite polje »Odblokiraj«Ko je datoteka enkrat uporabljena, ta kopija datoteke ne bo več veljala za nezanesljivo in Raziskovalec bo znova prikazal predogled. Vendar pa je treba ta postopek odklepanja izvesti le z datotekami, o katerih izvoru ste popolnoma prepričani.

Datoteke iz NAS-a, QNAP-a in blokiranje predogledov

Ta sprememba varnostne politike vpliva tudi na tiste Dostopajo do datotek iz NAS-ja, kot so datoteke iz QNAP-a.Mnogi uporabniki so že videli, kako raziskovalec pri brskanju po mapah NAS iz sistema Windows blokira predoglede ali prikazuje opozorilna sporočila, kot je »ta datoteka bi lahko škodovala vašemu računalniku«, tudi če gre za popolnoma neškodljive fotografije ali dokumente.

Pomembno je tukaj razumeti, da Težava ni v NAS-u ali QNAP-utemveč v novi varnostni politiki sistema Windows. Sistem obravnava datoteke, prenesene prek določenih omrežnih poti, kot da bi prišle iz interneta, in uporablja enake omejitve: blokiranje predogledov in pretirano alarmantna opozorila.

Za zmanjšanje teh težav obstaja več pristopov, ki jih priporočajo sami proizvajalci NAS. Prvi je Dostop do NAS-ja z njegovim NetBIOS imenom (na primer \\NAS-Name\) namesto neposrednega IP-naslova. Na ta način Windows običajno to pot obravnava kot bolj zaupanja vredno in ne uporablja tako agresivnega označevanja prenesene datoteke.

Druga metoda vključuje Dodajte IP-naslov NAS v razdelek »Zaupanja vredna mesta« v internetnih možnostih sistema WindowsV meniju Start > Internetne možnosti > zavihek Varnost > Zaupanja vredna mesta > Mesta lahko počistite polje, ki zahteva HTTPS, in dodate IP-naslov NAS. Od takrat naprej datoteke, poslane s tega naslova in prenesene po tej konfiguraciji, ne bi smele biti več blokirane.

Vendar to ne velja za datoteke, ki ste jih prenesli pred to spremembo. Lahko ostanejo označeni kot nezanesljiviZato jih boste morali ročno odkleniti iz njihovih lastnosti, če potrebujete takojšen predogled.

BitLocker, samodejno šifriranje in nevarnost izgube vseh podatkov

Poleg teh specifičnih blokad obstaja v sistemu Windows 11 še varnostna težava, ki si je prislužila naziv "dvorezen meč": Šifrirano z omogočenim BitLockerjem skoraj neslišno med začetno nastavitvijo sistema.

Pri čistih namestitvah sistema Windows 11 (na primer iz različic, kot je 24H2) ali pri novih računalnikih, če zaženete sistem in ga konfigurirate z uporabo Microsoftov računSistem lahko samodejno aktivira šifriranje naprave z BitLockerjem. Ključi za obnovitev so shranjeni v vašem spletnem profilu Microsoft, vendar celoten postopek poteka brez večjih pojasnil uporabniku.

Problem nastane, ko sčasoma Odločite se za prehod na lokalni račun ali celo izbris Microsoftovega računa ker ga ne potrebujete več ali zaradi zasebnosti. V mnogih primerih Windows ne prikaže jasnega opozorila o tem, da je vaš glavni pogon šifriran z BitLockerjem in da so obnovitveni ključi povezani z računom, ki ga boste izbrisali.

Če se sistem kasneje poškoduje, se Windows ne zažene ali pride do napake vdelane programske opreme, boste med postopkom popravila morda pozvani, da [nekaj storite]. Obnovitveni ključ BitLockerIn če nimate več dostopa do Microsoftovega računa, kjer je bila shranjena, ali če ste jo izbrisali, Možnost obnovitve podatkov je praktično nična.Niti Microsoft, niti dežurna tehnična podpora, niti nihče drug ne more zaobiti tega šifriranja brez ključa.

Z vidika kibernetske varnosti pogosto govorimo o triadi CIA: Zaupnost, integriteta in razpoložljivostBitLocker močno izboljša zaupnost (zagotavlja, da nihče ne more prebrati vaših podatkov, če vam ukradejo prenosnik), vendar lahko slabo upravljanje uniči razpoložljivost: morda sami ne boste mogli dostopati do svojih dokumentov in fotografij, ker ste izgubili gesla.

V praksi je za povprečnega uporabnika razpoložljivost običajno najpomembnejša stvar: Izguba vseh spominov ali službenih dokumentov, ker nimate kopije gesla, boli veliko bolj. Strah, da bi neznanec lahko prebral vaše datoteke, če vam ukradejo računalnik. Če se BitLocker aktivira skoraj samodejno in ne zahteva nastavitve varnostnih kopij gesla (na primer na pogon USB, natisnjenega na papir ali shranjenega v drugem računu), sistem ustvarja tiho tveganje.

Katere izboljšave so predlagane, da se prepreči, da bi BitLocker postal past?

Mnogi strokovnjaki so predlagali, da bi moral biti med začetno namestitvijo sistema Windows zelo jasna možnost za sprejetje ali zavrnitev aktivacije BitLockerjaJasna razlaga prednosti in slabosti. Še vedno bi lahko bila to priporočena možnost, vendar je treba neposredno navesti, da »če izgubite dostop do svojega Microsoftovega računa in nimate obnovitvenega ključa, lahko izgubite vse svoje podatke«.

Podobno bi lahko sistem deloval periodična preverjanja preteklosti Da se zagotovi, da so ključi za obnovitev na voljo in dostopni uporabniku. Če zazna, da ste se odjavili iz Microsoftovega računa ali prekinili povezavo z napravo, se mora prikazati jasno opozorilo, ki označuje tveganje in vas spodbuja, da ključ shranite drugje.

Dokler Microsoft ne spremeni tega pristopa, je za vas najmodrejši postopek, takoj ko veste, da je vaš pogon šifriran, Izvozite in shranite obnovitvene ključe na več varnih mestih: upravitelj gesel, zunanja naprava, fizično shranjena natisnjena kopija itd. To zmanjša možnost, da se zaklenete brez izhoda.

SmartScreen, SSL-potrdila in zloglasno opozorilo »ni varno« v brskalniku Google Chrome

Poleg notranjih sistemskih blokad se mnogi uporabniki vsak dan soočajo s sporočilom »Ni varno« v brskalniku Google Chrome pri vstopu na spletno mestoTega opozorila ne izda sam Windows, temveč brskalnik, vendar je tesno povezano s konceptom varnosti in načinom upravljanja šifriranih povezav z uporabo HTTPS in SSL certifikatov.

Ko spletno mesto nima pravilno konfiguriranega SSL-certifikata (ali še vedno uporablja nešifriran HTTP), Chrome označi stran kot nezaščiteno. V nekaterih primerih vam omogoča, da nadaljujete »na lastno odgovornost«, v drugih pa ... popolnoma blokira dostopTo je lahko težava, če nujno potrebujete dostop do spletnega mesta ali če vaše lastno spletno mesto s tem opozorilom odvrača obiskovalce.

Za vsakega skrbnika ali lastnika strani je prvi korak k odstranitvi oznake »ni varno« pravilno namestiti SSL potrdilo in omogočiti, da ves promet poteka prek HTTPS. Dandanes skoraj vsi ponudniki gostovanja (GoDaddy in mnogi drugi) ponujajo orodja za samodejno integracijo potrdila, tako na običajnih spletnih mestih kot v spletnih trgovinah.

Ko je SSL nameščen, morate narediti še en korak: Zagotovite, da vse notranje in odhodne povezave uporabljajo HTTPS Kadar koli je mogoče. V kodi HTML je treba povezave, kot je http://www.example.com, spremeniti v https://www.example.com, če ciljno spletno mesto podpira šifriranje. S tem se izognete dodatnim opozorilom in izboljšate uporabniško izkušnjo.

Priporočljivo je tudi konfigurirati Samodejne preusmeritve HTTP na HTTPSTo je mogoče doseči z uporabo vtičnikov v sistemih za upravljanje vsebin (CMS), kot je WordPress, spreminjanjem datoteke .htaccess na strežnikih Apache ali implementacijo logike s strežniškimi jeziki, kot sta PHP ali Ruby. Na ta način se bo vsak poskus dostopa do spletnega mesta prek http:// končal na varni različici https://.

Posodobite zemljevide spletnih mest, Search Console in pregledajte mešano vsebino.

Ko spletno mesto preselite na HTTPS, potrdilo in preusmeritve niso dovolj: morate Posodobite zemljevide spletnih mest XML, da bodo vsebovali samo URL-je s https://To pomaga Googlu in drugim iskalnikom, da pravilno indeksirajo vaše spletno mesto kot varno.

Potem je to dobra ideja Pošljite različico svojega spletnega mesta HTTPS v Google Search Console in preverite lastništvo. To vam bo omogočilo spremljanje napak, opozoril in morebitnih težav, povezanih z varnostjo ali mešano vsebino.

Klic mešana vsebina To se prikaže, ko se stran naloži prek HTTPS, vendar se nekateri notranji viri (slike, skripti, slogovne predloge) nalagajo prek HTTP. Sodobni brskalniki to označijo kot delno nevarno in lahko še vedno prikazujejo opozorilo »ni varno« ali ikono ključavnice.

Za iskanje teh virov lahko uporabite Konzola za razvijalce Chroma (Ctrl+Shift+J v sistemu Windows ali Cmd+Option+J v sistemu Mac) in poiščite opozorilna sporočila o mešani vsebini. Nato morate popraviti povezave v kodi, da bodo uporabljale HTTPS, ali pa, če zunanji vir tega ne podpira, razmislite o zamenjavi z varnimi alternativami ali gostovanju vira na svojem strežniku.

Če po vsem tem delu opozorilo še vedno obstaja, je naslednji korak Obrnite se na tehnično podporo svojega ponudnika gostovanjaPregledajo lahko konfiguracije strežnika, vmesna potrdila, verige zaupanja in druge podrobnosti, ki končnemu uporabniku pogosto uidejo.

Druge varnostne plasti sistema Windows: zaščita pred nedovoljenim spreminjanjem, način za razvijalce in zaklepanje mobilnih aplikacij

Poleg SmartScreen in izolacije jedra Windows integrira tudi druge funkcije, ki vplivajo na blokiranje aplikacij »zaradi varnosti«, ne da bi vedno jasno navedli razlog. Ena od teh je ... Zaščita pred nedovoljenim posegom iz programa Microsoft Defender.

Ta funkcija preprečuje zunanje programe (ali samo zlonamerno programsko opremo) Spremenite varnostne nastavitve programa Windows DefenderV domačih različicah je običajno privzeto omogočen, v profesionalnih ali poslovnih okoljih pa ga lahko onemogočijo interni pravilniki brez vednosti uporabnika. Če je omogočen, lahko blokira spremembe, ki jih poskušate ročno izvesti v nastavitvah protivirusnega programa ali nekaterih naprednih varnostnih nastavitvah.

Kar zadeva brskalnik Edge, obstaja Razvijalski način za razširitve To lahko ob vsaki uporabi ustvari opozorila. Če je omogočeno, bo sistem prikazal opozorilna sporočila, ker razširitve v načinu za razvijalce obravnava kot potencialni vektor zlonamerne programske opreme. Če želite zmanjšati ta opozorila, preprosto onemogočite ta način v Nastavitve > Razširitve, razen če ga nujno potrebujete za razvoj ali testiranje dodatkov.

V mobilnem ekosistemu se dogaja nekaj podobnega z aplikacije, ki jih blokirajo overitelji ali orodja za blokiranje aplikacijNekateri uporabniki se zatekajo k naprednim aplikacijam ali orodjem za avtomatizacijo, kot je Tasker, da bi vsilili zaklepanje aplikacij, skrili navigacijsko vrstico ali spremenili vedenje, ki ga omejujejo proizvajalci, kot je Samsung. Čeprav ne gre za Windows, je koncept enak: varnostne plasti, ki ob odpovedi ali napačni konfiguraciji povzročijo sesutje aplikacij ali njihovo nepravilno prikazovanjebrez da bi povprečen uporabnik imel jasno predstavo o tem, kaj se dogaja v ozadju.

V vseh teh primerih je splošno mnenje, da Sistem daje prednost varnosti, vendar na račun preglednosti in jasnosti.Vmesnik ni jasen: zaklene se za vaše dobro, vendar pogosto razlog za to in kako ponovno pridobiti nadzor, ne da bi izgubili zaščito, nista dobro pojasnjena.

Razumevanje delovanja SmartScreen, BitLockerja, izolacije jedra, zaščite pred nedovoljenim spreminjanjem ali novih pravilnikov za blokiranje predogleda je ključnega pomena za izogibanje nenehnim prepirom z operacijskim sistemom Windows. Če razumete te varnostne plasti, boste vedeli, kdaj upoštevati njihove omejitve, kdaj jih je smiselno prilagoditi in predvsem, kako se izogniti katastrofalnim scenarijem, kot je izguba vseh šifriranih podatkov zaradi slabega upravljanja BitLockerja.Malo znanja in nekaj organizacije pri shranjevanju gesel, pregledovanju nastavitev in upravljanju prenesenih datotek lahko naredita razliko med varnim in uporabnim sistemom ... in računalnikom, ki vas tako dobro ščiti, da vam na koncu naredi najhujšo možno napako.