Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows Defender SmartScreen überprüft die Vertrauenswürdigkeit heruntergeladener Dateien, bevor sie ausgeführt werden dürfen. Wenn Sie wissen, wie der Ruf funktioniert, können Sie die richtigen Erwartungen für Ihre Benutzer festlegen und die richtige Signaturstrategie auswählen.
Tipp
Die einfachste Möglichkeit, SmartScreen-Warnungen zu vermeiden, besteht darin, über den Microsoft Store zu veröffentlichen. Store-verteilte Apps tragen das Zertifikat Microsoft und unterliegen niemals SmartScreen-Downloadwarnungen. Alles in diesem Artikel gilt für Apps, die außerhalb des Store verteilt werden.
Funktionsweise der SmartScreen-Zuverlässigkeit
SmartScreen wertet zwei Dinge aus, wenn ein Benutzer eine Datei herunterlädt:
- Publisher Reputation – Ist das Signaturzertifikat von einem bekannten, vertrauenswürdigen publisher?
- Dateihash-Zuverlässigkeit – Wurde diese spezifische Datei von genügend Benutzern heruntergeladen, ohne als böswillig gemeldet zu werden?
Beide Signale sind für einen sauberen Download (keine Warnung) erforderlich. Eine neue signierte Binärdatei von einem vertrauenswürdigen Herausgeber wird weiterhin eine SmartScreen-Warnung anzeigen, bis ihr Hash genügend Downloadverlauf aufweist.
Die SmartScreen-Zuverlässigkeit ist pro Dateihash – jeder neue Build Ihrer App beginnt mit null Zuverlässigkeit. Der Ruf wird nicht von früheren Versionen übertragen.
Was sich 2024 geändert hat: EV-Zertifikate umgehen SmartScreen nicht mehr
Historisch gesehen hat die Codesignaturzertifikate für die erweiterte Validierung (Extended Validation, EV) eine sofortige SmartScreen-Reputation gewährt – eine EV-signierte Binärdatei würde selbst beim ersten Download keine Warnung anzeigen. Dieses Verhalten wurde 2024 entfernt, als Microsoft die Anforderungen des Trusted Root Program aktualisierte.
Aktuelles Verhalten (ab 2024):
| Art der Bescheinigung | SmartScreen-Verhalten beim ersten Download |
|---|---|
| Keine Signatur | ❌ Starke Sperre — "Windows hat Ihren PC geschützt"; kann eine zusätzliche Benutzerbestätigung erforderlich sein, bevor die App ausgeführt werden kann. Die Unternehmensrichtlinie kann diese Bestätigung vollständig verhindern. |
| Selbstsigniert | ❌ Starker Block – Zertifikat nicht standardmäßig vertrauenswürdig; gleiches Verhalten wie nicht signiert |
| OV-Zertifikat (Durch die Organisation überprüft) | ⚠Warnung – Die App wurde als nicht erkannt markiert, bis sich ihr Ansehen verbessert; der Name des Herausgebers wird als verifiziert angezeigt. |
| EV-Zertifikat (Erweiterte Validierung) | ⚠– Warnung – identisch mit OV für neue Dateien (keine sofortige Umgehung mehr) |
| Azure Artifact-Signatur-Zertifikat (vormals Vertrauenssignierung) | ⚠– Warnung für neue Dateien; Reputation kumuliert sich normal |
| Microsoft Store | ✅ Keine Warnung – abgedeckt durch das Zertifikat Microsoft |
EV-Zertifikate bieten weiterhin Wert (sie erfordern eine höhere Identitätsüberprüfung, was für die Beschaffung von Unternehmen von Bedeutung sein kann), aber sie stellen keine sofortige SmartScreen-Umgehung mehr bereit. Die Zahlung einer Premiumprämie für EV allein zur Vermeidung von SmartScreen-Warnungen ist nicht mehr gerechtfertigt.
Zertifikatoptionen und ihre SmartScreen-Auswirkungen
Microsoft Store (empfohlen)
Apps, die über den Microsoft Store veröffentlicht werden, werden von Microsoft neu signiert und tragen die volle Vertrauenswürdigkeit. Benutzern wird nie eine SmartScreen-Warnung für eine vom Store installierte App angezeigt.
Azure Artefaktsignierung (vormals Vertrauenssignierung)
Azure Artifact Signing (ehemals vertrauenswürdige Signatur) ist der von Microsoft empfohlene Codesignaturdienst für die Nicht-Store-Verteilung.
- Kosten: Ungefähr 10 US-Dollar/Monat – deutlich niedriger als herkömmliche CA-Zertifikate
- Kein Hardware-Token erforderlich – integriert sich direkt in CI/CD-Pipelines (GitHub Actions, Azure DevOps)
- Identity-Überprüfung erforderlich – Microsoft überprüft Ihre Organisationsidentität vor dem Ausstellen von Zertifikaten
- SmartScreen-Verhalten: Identisch mit OV-Zertifikaten – Reputation kumuliert sich im Laufe der Zeit basierend auf dem Downloadvolumen
OV- und EV-Zertifikate von herkömmlichen Zertifizierungsstellen
Traditionelle Codesignaturzertifikate von Zertifizierungsstellen (DigiCert, Sectigo usw.) werden ebenfalls akzeptiert. OV-Zertifikate kosten in der Regel $150-300/Jahr; EV-Zertifikate $400+/Jahr. Beide weisen jetzt ein gleichwertiges SmartScreen-Verhalten für neue Dateien auf.
Wenn Sie bereits über ein OV- oder EV-Zertifikat verfügen, bleibt es gültig und funktionsfähig. Wenn Sie ein neues Zertifikat kaufen, ist in der Regel Azure Artifact Signing (vormals Vertrauenswürdige Signatur) die bessere Wahl für die Verteilung von Windows-Apps.
Was Sie erwarten müssen, wenn Sie eine neue App veröffentlichen
- Erste Downloads: Benutzern wird möglicherweise eine SmartScreen-Eingabeaufforderung angezeigt, die angibt, dass die App nicht erkannt wurde. Bei signierten Apps wird der Herausgebername angezeigt – die Warnung ist bezüglich der niedrigen Dateireputation, nicht über einen unbekannten Herausgeber. Benutzer sollten erst nach der Überprüfung der Quelle fortfahren.
- Während sich Downloads ansammeln: wird die SmartScreen-Reputation automatisch aufgebaut. Die Eingabeaufforderung wird nicht mehr angezeigt, sobald der Dateihash über einen ausreichenden Downloadverlauf verfügt. Basierend auf Entwicklerberichten dauert dies in der Regel wennige Wochen und Hunderte von Neuinstallationen – es gibt keinen genauen Schwellenwert, Microsoft veröffentlicht.
- Neue Version: Jeder neue Build beginnt neu – die Reputation wird nicht mit dem Hash der vorherigen Version übertragen.
Es gibt keine Möglichkeit, eine Datei für die SmartScreen-Zuverlässigkeitsprüfung für Verbraucherendpunkte manuell zu übermitteln. Die Reputation baut sich organisch durch das Downloadvolumen auf.
Tipp
Für Unternehmensumgebungen können IT-Administratoren Dateien zur Überprüfung über das Microsoft Security Intelligence-Portal übermitteln. Dies kann die Vertrauensstellung für interne oder verwaltete Bereitstellungen beschleunigen, wirkt sich jedoch nicht auf das SmartScreen-Verhalten des Verbrauchers aus.
Hinweis
Unternehmensumgebungen, die von Microsoft Defender for Endpoint oder Windows Defender Anwendungssteuerung (Application Control, WDAC) verwaltet werden, weisen je nach Richtlinienkonfiguration möglicherweise ein anderes SmartScreen-Verhalten auf. IT-Administratoren können bestimmte Herausgeberzertifikate oder Dateihashes zulassen, um SmartScreen-Prüfungen für verwaltete Geräte zu umgehen.
Minimieren von SmartScreen-Warnungen in der Praxis
- Veröffentlichen im Microsoft Store, wenn möglich – dies ist die zuverlässigste Weise, Warnungen vollständig zu vermeiden.
- Signieren Sie jede Version – nicht signierte Dateien zeigen eine stärkere SmartScreen-Warnung als signierte Dateien an, und Unternehmen blockieren möglicherweise nicht signierte Binärdateien vollständig.
- Verwenden Sie eine konsistente Signaturidentität – das Ändern Ihres Signaturzertifikats wirkt sich auf das Vertrauenssignal des Herausgebers aus. Beachten Sie, dass der Hash jedes neuen Builds auch ohne Dateireputation beginnt, unabhängig von der Zertifikatkontinuität
- Verwenden Sie Azure Artifact Signing (vormals Trusted Signing) für die Verteilung außerhalb des Stores – es ist kosteneffizient und wird in automatisierte Build-Pipelines integriert
- Kommunizieren sie mit Early Adopters – lassen Sie Betabenutzer bei neuen Apps wissen, dass beim ersten Download möglicherweise eine SmartScreen-Eingabeaufforderung angezeigt wird, und dass sie erst fortfahren sollten, nachdem sie den Herausgeber überprüft und bestätigt haben, dass sie der Downloadquelle vertrauen
Verwandte Inhalte
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
Windows developer