Bloker farlige downloads med SmartScreen- og Edge-politikker

Hvis du bruger Microsoft Edge dagligt, har du sikkert set mere end én gang, hvordan en download sidder fast i limbo, fordi browseren markerer den som farlig. Bag denne blokering ligger SmartScreen og politikkerne for filtype og downloadkontrol.som fungerer som et ekstra filter for at forhindre malware i at komme ind på din computer næsten uden at du bemærker det.

Den mindre behagelige side er, at disse filtre nogle gange er alt for forsigtige og stopper downloads, der faktisk er legitime. Nøglen er at forstå, hvordan SmartScreen fungerer, hvad Edge og Chromium anser for at være "farligt", og hvilke muligheder vi har (som brugere og administratorer) til at justere den adfærd uden at være forsvarsløse over for trusler.

Sådan afgør Edge, hvilke downloads der er farlige

Microsoft Edges downloadmotor arver næsten alle sine regler fra Chromium, som vedligeholder en intern liste over filtyper med forskellige fareniveauerDen liste administreres i kodefilen. download_file_types.asciipb og hver udvidelse har et felt kaldet danger_level.

at Fareniveauet kan have tre hovedværdier: NOT_DANGEROUS, DANGEROUS y ALLOW_ON_USER_GESTUREMed disse beslutter Edge, om en download skal tillades uden at spørge, udstede en stærk advarsel eller kun tillade download, når den registrerer, at brugeren bevidst har startet den.

Filerne markeret som NOT_DANGEROUS De betragtes som sikre selvom downloadet udløses ved en fejl (for eksempel en simpel .txtBrowseren gemmer dem uden at vise nogen advarsel, medmindre SmartScreen registrerer noget usædvanligt af andre årsager.

I den modsatte yderlighed, typerne med DANGEROUS De tvinger Edge til altid at underrette brugeren fordi de kan beskadige enheden. Dette omfatter mange eksekverbare filer og formater, der typisk er forbundet med malware, hvor browseren foretrækker, at brugeren eksplicit bekræfter, at de ønsker at fortsætte.

Den mest interessante gruppe er den, der ALLOW_ON_USER_GESTUREsom inkluderer potentielt farlige filer, der er meget udbredt i legitime miljøer: scripts, installationsprogrammer, Office-filer med makroerosv. Disse er ikke tilladt helt automatisk; de afhænger af visse betingelser.

Filer, der kun er tilladt med brugerbevægelser

Når en filtype er mærket som ALLOW_ON_USER_GESTUREEdge tjekker to ting, før download fortsætter uden afbrydelser.Disse kontroller er designet til at skelne mellem en download, som brugeren har anmodet om, og en, der udløses automatisk fra et mistænkeligt websted.

• Der skal være en tilknyttet brugerbevægelse til den netværksanmodning, der starter download, f.eks. at klikke på et link eller en downloadknap.
• Edge skal registrere mindst ét ​​tidligere besøg på det henvisende domæne. (siden der linker til download) før sidste midnat. Det vil sige, at brugeren allerede har været der i den seneste tid.

Hvis denne kombination ikke er opfyldt, Edge viser, at download "blev blokeret" Brugeren vil se muligheder for at beholde eller slette downloadet i downloadhåndteringen. Uhindret download er også tilladt, hvis:

• Brugeren bruger "Gem link som" eksplicit.
• Skriv download-URL'en direkte i adresselinjen.
• Microsoft Defender SmartScreen bekræfter, at filen er sikker. efter at have tjekket deres omdømme.

Listen over udvidelser, der falder ind under denne kategori, er meget lang og opdateres konstant. Det omfatter blandt andet crx, msi, msp, exe, js, vbs, ps1, bat, apk, dmg, pkg, deb, rpm, bash, sh, rdp og et godt antal formater af databaser og Office-skabelonerMange af dem er almindelige i virksomheder og softwareudvikling, men de er også meget fristende indgangspunkter for angribere.

Derudover Farlighedsniveauet for en udvidelse ændrer sig afhængigt af operativsystemet.. A .exe Det er en åbenlys risiko i Windows, men ikke i macOS, mens en .applescript Det giver ikke mening på en Windows-pc. Chromium og Edge justerer den risikomatrix efter platform.

Brugeroplevelsen, når Edge blokerer en download

Når en potentielt farlig download startes uden en gyldig bevægelse, Microsoft Edge markerer den som "blokeret" og flytter den til downloadvisningen (edge://downloads)Derfra vises nøglehandlingerne under menuen med tre prikker (...).

I den grænseflade, Brugeren kan vælge mellem "Behold" og "Slet"Sådan afgør du, om du vil have tillid til den pågældende fil. Hvis du klikker på "Behold", ignorerer browseren den indledende blok og lader downloadingen afsluttes normalt.

Det er ikke ualmindeligt, at brugere støder på den slags advarsler. på steder han besøger meget sjældent, selvom de er helt legitimeSystemdesignet sigter mod at undgå konstante afbrydelser på almindelige websteder, men introducerer dette ekstra lag af friktion på mindre hyppige kilder.

Når vi taler om hjemmebrugere, Den hurtigste løsning er ofte at skifte til en anden browser (Google Chrome, Firefox osv.) for at downloade den samme fil Hvis Edge insisterer på at blokere det, og det er kendt for at være pålideligt, så fint. Men hvis du foretrækker at fokusere på Edge, er det bedre at lære at håndtere det korrekt i stedet for at deaktivere alt.

Microsoft Defender SmartScreen: Hvad gør det præcist?

Microsoft Defender SmartScreen er den cloudtjeneste, der De indgår i Edges sikkerhedsbeslutninger om websteder, downloads og applikationer.Det fungerer med et omdømmesystem, der er afhængig af mange datakilder: anonym telemetri, brugerrapporter, leverandører af trusselsinformation og Microsofts egne modeller.

Dens primære værdi er, at Den kombinerer beskyttelse mod phishing, malware, potentielt uønskede programmer (PUA'er) og URL'er med lavt omdømme.Den blokerer ikke kun klassiske vira, men også mistænkelige installationsprogrammer, adware, værktøjslinjer, crapware og tvivlsom software, der fylder din computer med skrammel.

Angående hjemmesider, SmartScreen analyserer automatisk de sider, du besøger, for mistænkelige mønstre (formularer til tyveri af legitimationsoplysninger, forvirrede scripts, typisk phishing-adfærd osv.) og sammenligner dem med en dynamisk liste over URL'er, der er rapporteret som farlige.

Hvis du finder et klart match eller tilstrækkeligt med risikoindikatorer, Edge viser en advarselsside i fuld skærm advarsel om, at webstedet er blevet rapporteret som usikkert. Fra denne side kan brugeren:

• Gå straks og ikke fortsætte til hjemmesiden.
• Angiv om webstedet er sikkert eller usikkert. baseret på deres erfaring, ved at sende feedback til Microsoft.

SmartScreen gør noget lignende med downloads. Sammenlign filen med lister over kendt malware, og analyser dens omdømme. under hensyntagen til downloadhistorik, hyppigheden hvormed andre brugere downloader den, kilde-URL'ens omdømme, resultater af tidligere antivirusscanninger osv.

Baseret på den analyse:

• Velrenommerede arkiver De kommer uden varsel.
• Filer markeret som skadelige viser en meget tydelig advarsel og de er blokeret som standard.
• Ukendte filer udløser en mildere advarsel som rapporterer, at downloadet endnu ikke har et genkendt "fingeraftryk" og anbefaler forsigtighed.

Selv med en advarsel, Brugeren kan fremtvinge download og udførelse ved at vælge mulighederne "Fortsæt", "Vis mere" og "Fortsæt alligevel".Ideen er ikke at forhindre alt, men at give ekstra kontekst, især for mindre tekniske brugere.

Privatliv og data håndteret af SmartScreen

For at kunne fungere, Edge sender relevante oplysninger om den URL eller fil, du forsøger at åbne eller downloade, til SmartScreen-tjenesten.Denne forespørgsel udføres ved hjælp af TLS-kryptering og sammenlignes med lister over farlige websteder og filer, der vedligeholdes af Microsoft.

Resultatet af kontrollen (sikker, mistænkelig eller ondsindet) Den gemmes lokalt på enheden for at fremskynde efterfølgende verifikationer.Alligevel vedligeholdes hele omdømmedatabasen på Microsofts servere og bruges udelukkende til sikkerhedstjenester, ikke til personlig annoncering eller til individuel identifikation af brugere.

Hvis du på noget tidspunkt bliver bekymret over mængden af ​​data, der er akkumuleret på din enhed, Rydning af browsercachen fjerner også lokale URL-data, der er knyttet til SmartScreenHvis du rydder din downloadhistorik, slettes også de omdømmeoplysninger, der er gemt om de filer, du har downloadet.

De reelle risici ved downloads og hvorfor Edge blokerer dem

Ud over ulejligheden ved en falsk positiv, De risici, som Edge og SmartScreen sigter mod at undgå, er meget alvorlige.De primære problemer, de forsøger at løse, er:

• Klassisk og avanceret malwareTrojanere, ransomware, orme, keyloggere og anden malware kan gemme sig i en eksekverbar fil. script, har en PDF med en exploit eller en tilsyneladende uskyldig komprimeret fil.
• Tyveri af data og legitimationsoplysningerOndsindede installationsprogrammer, der indfanger og sender adgangskoder, 2FA-koder eller private oplysninger til eksterne servere.
• Falske eller manipulerede programmerSoftware downloadet fra uofficielle websteder, "modificerede" versioner af open source eller cracks, der indeholder skjulte nyttelaster.
• IP-sporing og eksponeringNogle downloadede komponenter kan hjælpe med at finde brugeren eller profilere deres onlineaktivitet, især hvis de ikke bruger VPN.

derfor Edge, e-mailfiltre og andre tjenester viser ofte særlig mistillid til formater som f.eks. .exe, .msi, .bat, .js, eller den typiske .zip y .rarSidstnævnte bruges konstant til at pakke malware sammen med legitime filer, og SmartScreen scanner også deres indhold for mistænkelige mønstre.

Problemet kommer når De indeholder legitim software uden en genkendt signatur, interne automatiseringsscripts eller dårligt distribuerede installationsprogrammer.; der kan filtrene se fare, hvor der kun er et hjemmebygget byggeri eller et specifikt virksomhedsværktøj.

Blokering af crapware og potentielt uønskede programmer

Ud over "hardcore" malware har Microsoft styrket Edge med mekanismer til at bloker downloads af crapware og potentielt uønskede programmer (PUA'er)Vi taler om værktøjslinjer, adware, installationsprogrammer, der tilføjer plugins uden tilladelse, eller irriterende forudinstalleret software.

Denne funktion, som tidligere udelukkende lå i Windows Defender, Det er nu integreret i Edges indstillinger for privatliv og tjenester.Derfra kan du aktivere et ekstra filter, der er designet til at stoppe "applikationer med lavt omdømme, der kan forårsage uventet adfærd".

Forskellen i forhold til klassisk SmartScreen er, at Her blokeres ikke blot bekræftet malware, men også bekræftet malware blokeres.men også bundter og programmer, der, selvom de ikke er strengt skadelige, forringer brugeroplevelsen: de viser aggressiv reklame, ændrer startsiden, injicerer udvidelser osv.

Virksomhedskontrol: gruppepolitikker og undtagelseslister

I virksomhedsmiljøer er det meget almindeligt, at SmartScreen og downloadbegrænsninger kolliderer med legitime arbejdsgangeInterne installationsprogrammer, administrationsscripts, usædvanlige værktøjer eller konfigurationsfiler, som medarbejdere kun downloader lejlighedsvis.

For at forbedre den oplevelse uden at deaktivere beskyttelsen tilbyder Microsoft adskillige gruppepolitikker og MDM-muligheder. En af de mest relevante er ExemptFileTypeDownloadWarnings, som tillader at definere undtagelser efter udvidelse og domæne.

For eksempel kunne du konfigurere noget som dette:

}, {"file_extension":"msg", "domains": }] Eksempel på undtagelser.

Med denne politik, .xml-filerne fra disse to domæner downloades uden afbrydelse., og evt .msg (Uanset webstedet) undgår den advarsler forbundet med potentielt farlige typer. Det er en form for granulær hvidlistning uden at åbne døren for alt.

Et andet kritisk punkt er politik. DownloadRestrictionsFra og med Edge version 132, Enhver konfiguration, der blokerer farlige typer (mulighed 1, 2 eller 3), blokerer også filerne .crx (Chrome/Edge-udvidelser).

For at genoprette de administrerede udvidelsesfaciliteter til normalen, Virksomheder skal ekspandere ExemptFileTypeDownloadWarnings at medtage .crxfor eksempel:

}, {"file_extension":"xml","domains":}, {"file_extension":"msg", "domains": }] Eksempel på inkludering af .crx.

Derudover kan administratorer Juster SmartScreen-adfærden på både Stifinder (Windows) og Edge-niveau. gennem gruppepolitik. Nogle vigtige stier er:

• Configuración del equipo / Plantillas administrativas / Componentes de Windows / SmartScreen de Windows Defender / Explorador / Configurar SmartScreen de Windows Defender
• Configuración del equipo / Plantillas administrativas / Componentes de Windows / SmartScreen de Windows Defender / Explorador / Configurar App Install Control
• Configuración del equipo / Plantillas administrativas / Componentes de Windows / SmartScreen de Windows Defender / Microsoft Edge / Configurar SmartScreen de Windows Defender
• ... / Impedir la omisión de los avisos de SmartScreen de Windows Defender para sitios

Disse politikker kan tvinge en total nedlukning, tillade fortsættelse på brugerens risiko eller forhindre medarbejdere i at ignorere kritiske advarsler når du browser domæner, der er markeret som farlige.

Sådan tillader du en download blokeret af SmartScreen i Edge

Når en download blokeres, Edge viser normalt en advarsel nederst eller i downloadlinjen, der angiver, at filen potentielt er farlig.Hvis vi ved med sikkerhed, at filen er legitim, er processen med at låse den op enkel.

First, Klik på "Vis downloads" for at åbne Edge download managerDu vil se filen markeret med rødt eller med en tydelig besked om, at den er blevet låst af sikkerhedsmæssige årsager.

Så Højreklik på den pågældende download. og en lille menu vil dukke op med to nøglemuligheder:

• "Giv besked om, at denne download er sikker"Send oplysninger til Microsoft, der angiver, at du mener, det er en falsk positiv. Dette hjælper med bedre at træne IA fra SmartScreen, men den låser ikke altid op for download med det samme.
• "Download usikker fil"Den gennemtvinger download på trods af advarslen. Browseren ignorerer SmartScreen-blokken og gemmer filen i download-mappe.

Hvis du vælger den anden mulighed, Du tager ansvar for risikoenDet er en god idé at køre filen via dit antivirusprogram (Windows Defender eller løsninger som Kaspersky, Bitdefender, Avast osv.), og hvis du vil være ekstra forsigtig, kan du uploade den til tjenester som VirusTotal for at se resultatet fra flere søgemaskiner.

Aktivér eller deaktiver SmartScreen i Edge og Windows

På brugerniveau, SmartScreen er som standard aktiveret i EdgeDu kan tjekke eller ændre det på:

edge://indstillinger/privatliv > Tjenester > Microsoft Defender SmartScreen Hurtig rute i Edge

Derfra kan du Aktivér eller deaktiver URL- og downloadkontrol for alle Edge-brugere på den enhed. Indstillingen påvirker også InPrivate- og gæstebrowsing, men den synkroniseres ikke på tværs af pc'er. Du kan også Nulstil Edge-indstillinger hvis du foretrækker at vende tilbage til standardværdierne.

I Windows 10 og Windows 11, SmartScreen administreres også fra Windows Sikkerhedscenter (Windows Sikkerhed)Under "App- og browserkontrol" og "Omdømmebaseret beskyttelse" vil du se flere knapper:

• Tjek apps og fileranalyserer eksekverbare filer og dokumenter, der er åbnet på systemet.
• SmartScreen til Microsoft Edge: specifikt lag til browsing og downloads.
• SmartScreen til Microsoft Store-apps.
• Bloker potentielt uønskede applikationer.

Alle disse moduler De kan deaktiveres individuelt, hvis du er sikker på, hvad du gør.I hjemmet giver det mening at være konservativ og i det mindste opretholde beskyttelse mod apps og aktive filer.

Hvis du ønsker endnu bedre kontrol, Du kan få adgang til de samme funktioner fra Registreringseditor eller fra PowerShellFor eksempel ved at ændre:

• HKEY_LOCAL_MACHINE / SOFTWARE / Policies / Microsoft / Windows / System med værdierne EnableSmartScreen y ShellSmartScreenLevel.
• ved hjælp af Set-MpPreference -EnableSmartScreen $false o $true at deaktivere eller genaktivere filteret via PowerShell med administratorrettigheder.

Disse metoder er mere delikate og De anbefales til avancerede brugere eller administratorer, der ønsker at automatisere implementeringer.En fejl i registreringsdatabasen kan ødelægge dele af systemet, så det er tilrådeligt at eksportere en sikkerhedskopi, før du foretager ændringer.