Bypass SmartScreen anche se abilitato tramite Criteri di gruppo

Quando scarichi un file scaricato da Internet, Windows aggiunge al file l'identificatore di zona o Mark del Web come flusso NTFS. Pertanto, quando si esegue il file, Windows SmartScreen verifica se è presente un flusso di dati alternativo identificativo di zona allegato al file. Se è presente l'ADS dati ZoneId=3, Windows identifica che il file è stato scaricato da Internet e SmartScreen esegue un controllo della reputazione quando si esegue il file.

Se il file ha una cattiva reputazione in base al server Microsoft SmartScreen, si consiglia di non eseguire il file, con un'opzione per eseguire comunque il file nonostante l'avviso. L'avviso indica che Windows ha protetto il tuo PC. Windows SmartScreen ha impedito l'avvio di un'app non riconosciuta. L'esecuzione di questa app potrebbe mettere a rischio il tuo PC .

L'ID zona 3 rappresenta la "Zona Internet". Se hai scaricato il file utilizzando i browser basati su Chrome o Chrome, vedrai anche i dati ReferrerUrl e HostUrl nel flusso NTFS.

Per impedire SmartScreen, di solito fai clic con il pulsante destro del mouse sul file, fai clic su Proprietà, seleziona la casella di controllo Sblocca e fai clic su OK.

Ma se si dispone dei meccanismi Nascondi per rimuovere la politica delle informazioni sulla zona situata nel nodo Configurazione utenteComponenti di WindowsGestione allegati nell'Editor criteri di gruppo, l'opzione Sblocca mancherebbe nella scheda delle proprietà del file.

Inoltre, i criteri di gruppo SmartScreen possono essere configurati in modo tale da non ottenere l'opzione Esegui comunque e gli utenti non possono disattivare SmartScreen tramite l'interfaccia utente delle impostazioni di Windows 10.

L'impostazione del criterio pertinente è Configura Windows Defender SmartScreen in Configurazione computerComponenti di WindowsEsplora file .

$config[ads_text6] not found

Impostandolo su Avvisa e impedisce bypass si rimuove comunque l' opzione Esegui .

Le impostazioni di registro corrispondenti per i due criteri sopra sono di seguito:

 HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Attachments Valore: HideZoneInfoOnProperties Tipo: REG_DWORD, Dati: 1 HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Valore di sistema: EnableSmartScreen Tipo: REG_DWORD, Dati: 1 HKEY_LOCAL \ SOFT Microsoft \ Windows \ Valore di sistema: ShellSmartScreenLevel Tipo: REG_SZ, Dati: Blocco 

Bypass SmartScreen anche se è abilitato tramite Criteri di gruppo

Tuttavia, anche con i criteri sopra configurati, esiste un metodo di scappatoia per bypassare SmartScreen utilizzando un valore di registro che può essere configurato per utente, ovvero sotto HKEY_CURRENT_USER.

Supponiamo che tu ottenga questa schermata quando esegui un programma di installazione scaricato sul tuo computer Windows 10.

Per bypassare SmartScreen, creare un valore DWORD (32 bit) denominato NoSmartScreen nella seguente chiave di registro:

 HKEY_CURRENT_USER \ Software \ Classes \ exefile \ shell \ open 

Ora, il file viene eseguito senza passare attraverso il controllo SmartScreen!

Un altro modo per impedire SmartScreen è rimuovere le informazioni sulla zona utilizzando PowerShell (poiché l'opzione Sblocca nelle proprietà del file è ora nascosta tramite Criteri). Se l'utente ha accesso a PowerShell, può eseguire il cmdlet Unblock-file per rimuovere facilmente le informazioni sull'identificatore di zona dal file.

Il bypass precedente funziona solo se l'utente è in grado di creare il valore del Registro di sistema NoSmartScreen utilizzando uno dei metodi, come l'editor del registro, PowerShell, lo strumento console reg.exe, WScript.exe, CScript.exe o qualsiasi altro strumento già presente in il computer.

SmartScreen è un ulteriore livello di difesa che può essere utile in aggiunta alle funzionalità di protezione del cloud e in tempo reale di Windows Defender. Microsoft dovrebbe assicurarsi che la lacuna di cui sopra sia inserita nelle future versioni di Windows.

Articoli Correlati