Làm cách nào để tắt “Mở tệp - Cảnh báo bảo mật” trên Windows 10?

Khi bạn cố gắng chạy exe, msi, bat, cmd hoặc loại tệp thực thi khác từ ổ đĩa cục bộ hoặc thư mục mạng trong Windows, bạn có thể thấy cảnh báo sau:“ Mở tệp - Cảnh báo bảo mật” . Để chạy chương trình, người dùng phải xác nhận việc khởi chạy tệp như vậy theo cách thủ công bằng cách nhấp vào nút Chạy khuy ao. Cảnh báo bảo mật Windows này thường xuất hiện khi bạn chạy tệp ứng dụng được tải xuống từ Internet hoặc tệp thực thi nằm trên thư mục chia sẻ mạng hoặc ổ đĩa mạng được ánh xạ.

Cảnh báo Bảo mật Windows Sau đó Khởi chạy Tập lệnh hoặc Thực thi

Hành vi như vậy của Windows được thiết kế để bảo vệ máy tính của bạn chạy các tệp thực thi nguy hiểm tiềm ẩn đã được tải xuống từ Internet hoặc nhận từ các nguồn không đáng tin cậy khác. Cảnh báo bảo mật này xuất hiện trên tất cả các phiên bản Windows (bao gồm Windows 10, 8.1 và 7).

Nếu bạn cài đặt hoặc chạy chương trình trên máy tính của người dùng ở chế độ nền (thông qua các tác vụ của bộ lập lịch, tập lệnh đăng nhập Chính sách nhóm, tập lệnh SCCM, v.v.), điều này có thể gây ra sự cố. Thực tế là trong những trường hợp như vậy, cửa sổ cảnh báo bảo mật không xuất hiện trong phiên của người dùng. Vì vậy, không thể cài đặt hoặc chạy một ứng dụng như vậy ở chế độ hàng loạt.

Ví dụ:khi mở một tệp từ một thư mục được chia sẻ, cảnh báo bảo mật của Windows trông như sau:

Open File — Security Warning
The Publisher could not be verified. Are you sure you want to run this software?
We can’t verify who created this file. Are you sure you want to run this file?
This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.

Khi chạy một tệp được tải xuống từ Internet từ ổ đĩa cục bộ (hoặc chia sẻ mạng được gắn kết qua net use ), nội dung của cảnh báo hơi khác một chút:

Open File — Security Warning
Do you want to run this file?
While files from the Internet can be useful, this file type can potentially harm your computer. Only run software from publishers you trust.

Nếu bạn bỏ chọn tùy chọn “Always ask when opening this file ”, Thì lần sau khi bạn chạy tệp này, cửa sổ bảo mật của Windows sẽ không xuất hiện. Nhưng theo cách này, bạn sẽ phải thêm chương trình vào ngoại lệ theo cách thủ công.

Hãy thử tìm hiểu cách loại bỏ các cảnh báo bảo mật khi chạy các tệp thực thi hoặc cài đặt trên Windows (hướng dẫn này có thể áp dụng cho tất cả các phiên bản Windows).

Chúng tôi cung cấp một số tùy chọn về cách tắt cảnh báo bảo mật. Chọn giải pháp phù hợp tùy thuộc vào giải pháp cần thiết (trong một số trường hợp, bạn sẽ phải kết hợp các giải pháp).

Cách tắt Cảnh báo Bảo mật Tệp Mở cho Tệp đã Tải xuống?

Các tệp thực thi được tải xuống từ Internet sẽ tự động được đánh dấu là có khả năng nguy hiểm (được tải xuống từ một nguồn không an toàn). Tính năng này được triển khai với sự trợ giúp của công nghệ luồng tệp NTFS thay thế (Dòng dữ liệu thay thế - ADS). Để làm cho nó đơn giản, hãy coi đó là một dấu tệp đặc biệt, được tự động gán cho tệp đã tải xuống (xem bài viết Làm cách nào để Windows biết liệu tệp đã được tải xuống từ Internet hay chưa). Để xóa điểm đánh dấu này, bạn cần bỏ chặn tệp này. Để làm điều đó:

1. Mở các thuộc tính của tệp thực thi;
2. Trên Chung nhấp vào nút hoặc đánh dấu vào nút Bỏ chặn hộp kiểm. Nếu tệp đã được tải xuống từ Internet, cảnh báo sau sẽ được hiển thị bên cạnh nút (hộp kiểm): This file came from another computer and might be blocked to help protect this computer.
3. Lưu các thay đổi bằng cách nhấp vào nút OK. Sau khi tệp được bỏ chặn, tệp sẽ được chạy mà không có cửa sổ cảnh báo (luồng dữ liệu thay thế NTFS bị xóa).

Thuộc tính luồng dữ liệu NTFS thay thế Zone.Identifier có thể được đặt lại bằng hai lệnh sau (một tệp mới sẽ được tạo):

move oldapp.exe > newapp
type newapp > oldapp.exe

Hoặc với sự trợ giúp của công cụ của Sysinternal:

streams.exe

Ngoài ra, bạn có thể bỏ chặn tệp bằng PowerShell:

Unblock-File -Path C:\Downloads\somefile.exe

Bạn chỉ có thể tắt cảnh báo này cho các tệp được tải xuống bằng trình duyệt bằng cách tắt cài đặt của thuộc tính Zone.Identifier:

• Đối với Google Chrome và IE, bạn cần tạo một tham số đăng ký như vậy
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
“SaveZoneInformation”=dword:00000001
• Đối với Mozilla Firefox:mở trang cài đặt about:config và thay đổi giá trị của browser.download.saveZoneInformation thành false .

Trong Windows, bạn hoàn toàn có thể vô hiệu hóa việc áp dụng thông tin vùng cho các tệp được tải xuống từ Internet bằng cách sử dụng tham số GPO đặc biệt Không lưu giữ thông tin vùng trong tệp đính kèm (Cấu hình người dùng -> Mẫu quản trị -> Thành phần Windows -> Trình quản lý tệp đính kèm).

Cảnh báo bảo mật khi mở tệp từ chia sẻ mạng

Cửa sổ cảnh báo có thể xuất hiện khi chương trình được khởi chạy từ một thư mục mạng dùng chung bằng đường dẫn UNC. Sự cố này thường xảy ra đối với người dùng công ty khi truy cập tài nguyên trong miền AD khác hoặc bằng địa chỉ IP. Trong trường hợp này, cách dễ nhất là thêm tên và / hoặc địa chỉ IP của máy chủ lưu trữ tệp thực thi vào Vùng mạng nội bộ cục bộ trong cài đặt Internet Explorer. Điều này sẽ chỉ ra rằng tài nguyên đó là đáng tin cậy. Để làm điều đó:

1. Đi tới Bảng Điều khiển → Tùy chọn Internet;
2. Bảo mật tab;
3. Mở Mạng nội bộ cục bộ → Trang web → Nâng cao;
4. Trong cửa sổ tiếp theo, hãy thêm tên và / hoặc địa chỉ IP của máy chủ. Ví dụ:\\10.0.0.6 , \\srv.contoso.com hoặc \\127.0.0.1\ cho một máy tính cục bộ. Bạn có thể sử dụng một ký tự đại diện. Ví dụ:bạn có thể thêm tất cả địa chỉ IP của mạng cục bộ của mình vào vùng Mạng nội bộ bằng cách sử dụng dòng sau:file: //192.168.1.* . . Mẹo . Các cài đặt này được lưu trữ trong khóa đăng ký HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ . Địa chỉ IP đáng tin cậy được chỉ định trong Ranges mã đăng kí; máy chủ và tên miền - trong Domains .

Ngoài ra, bạn có thể thêm địa chỉ IP và tên DNS của các miền và máy chủ đáng tin cậy vào vùng Intranet Cục bộ bằng cách sử dụng GPO. Mở Local (gpedit.msc ) hoặc Trình chỉnh sửa chính sách nhóm miền (gpmc.msc ). Bật chính sách Cấu hình máy tính -> Mẫu quản trị -> Cấu phần Windows -> Internet Explorer -> Bảng điều khiển Internet -> Trang bảo mật -> Danh sách chỉ định trang thành vùng. Trong cài đặt chính sách, bạn phải chỉ định danh sách các máy chủ và / hoặc miền đáng tin cậy ở định dạng sau:

• Tên máy chủ (máy chủ) (ví dụ:file://server_name , \\server_name , server_name hoặc IP )
• Số vùng (1 cho Vùng mạng nội bộ cục bộ)

Nếu cửa sổ cảnh báo bảo mật xuất hiện khi khởi chạy chương trình từ ổ đĩa mạng được ánh xạ, hãy thêm ký tự ổ đĩa (ví dụ:U:\) hoặc đường dẫn UNC vào vùng Intranet cục bộ.

Lưu các thay đổi chính sách và làm mới cài đặt GPO trên máy khách (gpupdate /force ). Cảnh báo sẽ ngừng xuất hiện khi mở các tệp thực thi từ các thư mục mạng chia sẻ được chỉ định.

Ngoài ra, bạn có thể bật các cài đặt sau trong phần GPO Cấu hình người dùng -> Mẫu quản trị -> Thành phần Windows -> Internet Explorer -> Bảng điều khiển Internet -> Trang bảo mật . Đây là tùy chọn tốt nhất cho người dùng miền:

• Trang web Intranet:Bao gồm tất cả các trang web cục bộ (mạng nội bộ) không được liệt kê trong các khu vực khác
• Trang web Intranet:Bao gồm tất cả các đường dẫn mạng (UNC)
• Bật tính năng tự động phát hiện mạng nội bộ

Mở Cảnh báo Bảo mật Tệp khi Sử dụng Chuyển hướng Thư mục AppData

Nếu bạn đang sử dụng chuyển hướng thư mục AppData (trong tình huống chuyển vùng hồ sơ), người dùng có thể gặp phải cửa sổ “Mở tệp - Cảnh báo bảo mật” khi khởi chạy phím tắt ứng dụng từ thư mục hồ sơ.

Trong trường hợp này, bạn cần thêm máy chủ của mình (hoặc toàn bộ miền) nơi lưu trữ cấu hình chuyển vùng vào vùng tin cậy của IE.

Sử dụng tùy chọn GPO Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Cấu phần Windows -> Internet Explorer -> Bảng điều khiển Internet -> Trang bảo mật -> Danh sách chỉ định trang web đến vùng . Thêm tên máy chủ (miền) có giá trị 1.

Tắt Cảnh báo Bảo mật Tệp Mở cho Các Loại Tệp Cụ thể qua GPO

Trong một số trường hợp, bạn nên tắt hoàn toàn sự xuất hiện của cảnh báo bảo mật đối với một số loại tệp (phần mở rộng) nhất định thông qua Chính sách nhóm. Tất nhiên, mặc dù điều này không an toàn lắm, vì người dùng có thể vô tình chạy thứ gì đó độc hại.

Để thực hiện việc này, trong GPO Editor, hãy đi tới: Cấu hình người dùng -> Mẫu quản trị -> Thành phần Windows -> Trình quản lý tệp đính kèm.

• Bật chính sách Không lưu giữ thông tin vùng trong tệp đính kèm . Tất cả các tệp đã tải xuống sẽ được chạy mà không có cảnh báo trên tất cả các máy tính.
• Bật chính sách Danh sách bao gồm cho các loại tệp thấp và trong cài đặt của nó chỉ định danh sách các phần mở rộng tệp mà bạn sẽ cho phép chạy, ví dụ:.exe; .vbs; .msi . Windows sẽ bỏ qua các điểm đánh dấu hơi dữ liệu thay thế trên các tệp có các tiện ích mở rộng này và chạy chúng mà không có cảnh báo. Lưu ý . Chính sách này thêm phần mở rộng tệp vào tham số đăng ký LowRiskFileTypes:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]"LowRiskFileTypes"=".exe;.vbs;.msi;.bat;"

Lưu chính sách, gán nó cho đơn vị tổ chức mục tiêu và áp dụng nó cho các máy khách bằng cách chạy trên chúng gpupdate /force lệnh.

Bây giờ, cảnh báo sẽ ngừng xuất hiện khi mở các tệp thực thi có phần mở rộng được chỉ định với bất kỳ thông tin nào trong luồng Zone.Identifier. Bạn cũng có thể cho phép Internet Explorer chạy bất kỳ tệp nào trong các thuộc tính của Internet Explorer (Bảo mật -> Internet -> Mức tùy chỉnh -> Khác -> Khởi chạy ứng dụng và tệp không an toàn (không an toàn), nhưng nó rất rủi ro.

Bạn có thể tắt hoàn toàn cửa sổ “Mở Tệp - Cảnh báo Bảo mật” đối với các tệp không an toàn bằng cách sử dụng tùy chọn GPO Tắt tính năng Kiểm tra Cài đặt Bảo mật (nằm trong phần Cấu hình máy tính -> Mẫu quản trị -> Cấu phần Windows -> Internet Explorer ).

Hoặc bạn có thể cho phép bất kỳ tệp nào chạy mà không hiển thị “Cảnh báo bảo mật tệp mở” bằng các lệnh sau:
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Security" /V "DisableSecuritySettingsCheck" /T "REG_DWORD" /D "00000001" /F
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /V "1806" /T "REG_DWORD" /D "00000000" /F