useruw
Goto Top

Installationsdateien werden blockiert

Hallo, wenn wir Software (als .exe) zum Download bereitstellen, werden Download und Installation mehrfach behindert:

1. Edge meckert und blockiert den Download, weil die Datei zu unbekannt sei. (Bei Chrome und FireFox kommt die Meldung nicht.)

2. Microsoft Defender SmartScreen verhindert den Start einer unbekannten App. Die Ausführung dieser App stellt u. U. ein Risiko für den PC dar.

3. Auch ist die Datei blockiert: "Die Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell blockiert."

Ich kann die Meldungen leider nicht genau angeben, weil sie inzwischen nicht mehr kommen. Offenbar hat Windows inzwischen durch meine Tests irgendwo gelernt. Meine Angaben sind insofern etwas ungenau.

Aber: Bei vielen Standardprodukten (z. B. denen von Microsoft) kommen diese Meldungen nicht.

Frage: Wie kann man als Anbieter erreichen, dass die Software beim Anwender smooth downgeloadet und installiert werden kann?

Unsere Setup-Datei ist signiert, allerdings nicht mit einem EV-Zertifikat. Wäre das ggf. eine Lösung?

Wenn wir die Software mit WinRAR oder 7-zip als .zip packen und sie der Anwender entpackt und dann installiert, gibt es weder mit dem Download noch der Ausführung der Setup.exe Probleme - außer natürlich bei entsprechender Firewall-Konfiguration beim Anwender. (Wenn wir sie als selbstentpackendes Archiv anbieten, kommt es zu den genannten Problemen, auch wenn signiert.)

Ulrich

Content-ID: 2050414004

Url: https://administrator.de/forum/installationsdateien-werden-blockiert-2050414004.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

1Werner1
1Werner1 03.03.2022 um 13:25:10 Uhr
Goto Top
Hallo,

bitte einmal die Datenschutzeinstellungen in Edge ändern.
Durch Anpassen der Datenschutzeinstellungen von Internet Explorer können Sie beeinflussen, wie Ihre Onlineaktivitäten von Websites überwacht werden. So können Sie beispielsweise entscheiden, welche Cookies gespeichert werden sollen, und auswählen, wie und wann Websites Ihre Positionsdaten verwenden dürfen. Außerdem können Sie unerwünschte Popups blockieren.

Probiere hier mal aus hier die Trackingfunktionen auf Einfach stellen,
dann müsste der Download funktionieren.

MS hat die Sicherheitsfunktionen in den Datenschutzeinstellungen gepackt.

Schönen Gruß aus dem sonnigen Emsland !

Werner
UserUW
UserUW 03.03.2022 aktualisiert um 13:49:50 Uhr
Goto Top
Danke - mir geht es aber nicht darum, wie ich als Anwender (= Kunde, Interessent) den Download rund hinbekommen, sondern wie ich als Softwareanbieter die exe-Dateien vorbereiten muss, damit es beim Anwender gar nicht erst zu den besagten Problemen kommt. Dass es irgendwie geht, zeigen ja die zahlreichen funktionierenden Beispiele.
em-pie
em-pie 03.03.2022 aktualisiert um 14:41:34 Uhr
Goto Top
Moin,

also ich bin jetzt nicht wirklich Softwareentwickler.
Aber das Zertifikat sollte ja eines sein, welches öffentlich validiert werden kann.

Wenn ihr das also nur mit eurer internen CA signiert, weiss ich ja gar nicht, ob eure CA vertrauenswürdig ist. Und Microsofts Edge noch weniger.

Du musst also das Zertifikat deiner CA mit ausliefern (wäre die allllllerletzte Option) oder schlicht ein valides Zertifikat erwerben.

Ich kann mich aber auch irren, denn: siehe den ersten Satz von mir face-wink


Edit: als Hilfe vielleicht https://codesigningstore.com/how-to-sign-executable-files-with-code-sign ...


Gruß
em-pie
UserUW
UserUW 03.03.2022 um 14:49:40 Uhr
Goto Top
@em-pie: Natürlich ist das Zertifikat von einer akkreditierten CA! Aber es ist eben kein EV-Zertifikat.
1915348599
1915348599 03.03.2022 aktualisiert um 15:21:39 Uhr
Goto Top
https://docs.microsoft.com/de-de/windows/security/threat-protection/micr ...

Microsoft Defender SmartScreen ermittelt folgendermaßen, ob eine heruntergeladene App oder ein App-Installationsprogramm potenziell schädlich ist:

Vergleich der heruntergeladenen Dateien mit einer Liste von gemeldeten Websites und Programmen mit Schadsoftware, die als unsicher bekannt sind. Wenn eine Übereinstimmung gefunden wird, zeigt Microsoft Defender SmartScreen eine Warnung, um den Benutzer darüber zu informieren, dass die Website möglicherweise schädlich ist.

Vergleich der heruntergeladenen Dateien mit einer Liste von bekannten Dateien, die von vielen Windows-Benutzern heruntergeladen werden. Wenn die Datei nicht in dieser Liste aufgeführt ist, zeigt Microsoft Defender SmartScreen eine Warnung und rät zur Vorsicht.
Bei ausfühbaren Files kannst du wohl nicht viel erreichen als die Seite als vertrauenswürdig zu melden, oder ein EV-Zertifikat zu nutzen.
https://www.ssl.com/faqs/which-code-signing-certificate-do-i-need-ev-ov

Signing your code is not required to earn a SmartScreen reputation, but EV-signed code’s extra level of trust lets developers skip this hurdle altogether:
An EV code signing certificate offers an immediate reputation with Microsoft SmartScreen, so your users will never have to click through a SmartScreen warning in Windows.
With an OV certificate, SmartScreen reputation must be built organically, as users download and install your files. SmartScreen warnings may occur until enough software proves sufficiently popular with Windows users for SmartScreen to view it as “well known.”
Unfortunately, Microsoft does not publish guidelines on what constitutes enough downloads to eliminate SmartScreen warnings. Microsoft has also indicated in the past that signing code is a “best practice” that you “can follow to help establish and maintain reputation for your applications.”
UserUW
UserUW 03.03.2022 um 17:29:16 Uhr
Goto Top
Danke - Das mit der ausreichenden Reputation eines EV-Zertifikats war mir von meinen Leuten so klar nicht gesagt worden. So wie ich die von Dir zitierte Aussage verstehe, reicht ein EV-Zertifikat allein also vollständig aus. Ich wollte des nicht experimentell ergründen, zumal das immer unzuverlässig bleibt. Vielen Dank für den Hinweis, den wir eigentlich auch selbst hätten finden können (sollen)!

Es gibt aber auch noch die Hürde mit der Kennzeichnung als "Datei von anderem Computer" (also aus dem Internet stammende Datei, z. B. via Download oder E-Mail, sichtbar in den Dateieigenschaften):

dateieigenschaften

Ist man diese Klassifizierung mit dem EV-Zertifikat dann ebenfalls los?

Ulrich

PS: Ich habe zum ersten Mal hier versucht, ein Bild einzufügen. Sollte es noch nicht ganz passen, bitte ich um Nachsicht!
1915348599
1915348599 03.03.2022 aktualisiert um 22:52:54 Uhr
Goto Top
Zitat von @UserUW:


Es gibt aber auch noch die Hürde mit der Kennzeichnung als "Datei von anderem Computer" (also aus dem Internet stammende Datei, z. B. via Download oder E-Mail, sichtbar in den Dateieigenschaften):

dateieigenschaften

Ist man diese Klassifizierung mit dem EV-Zertifikat dann ebenfalls los?
Nein, das hat mir der ganzen Sache überhaupt nichts zu tun.
Das kann man nur über den Anlagenmanager des OS steuern/beeinflussen (gpedit.msc) und abschalten wenn man will, aber das muss der User aktiv tun! Das wirst du also niemals egal mit welchen Mitteln bei Usern deren Systeme du nicht anpassen kannst beeinflussen können.
Do not preserve zone information in file attachments
UserUW
UserUW 03.03.2022 um 23:13:48 Uhr
Goto Top
Warum bekomme ich diese Meldung ("Datei von anderem Computer") dann bei so vielen Installationsprogrammen nicht, bei unserer eigenen aber sehr wohl?
1Werner1
1Werner1 04.03.2022 um 13:22:36 Uhr
Goto Top
Zitat von @UserUW:

Danke - mir geht es aber nicht darum, wie ich als Anwender (= Kunde, Interessent) den Download rund hinbekommen, sondern wie ich als Softwareanbieter die exe-Dateien vorbereiten muss, damit es beim Anwender gar nicht erst zu den besagten Problemen kommt. Dass es irgendwie geht, zeigen ja die zahlreichen funktionierenden Beispiele.

Da kann man natürlich versuchen mit Zertifikate die Dateien zu sichern, das nützt aber nichts wenn eine Firewall eine Datei exe, com, bat oder ähnlichen entdeckt. Die Dateien werden immer blockiert.

Hier ist die einfachste Lösung, falls ein User euer Programm installieren möchte, das er Link zu einen Cloud Anbieter bekommt z.B MS onedrive, dropbox , Apple icloud , googledrive ( evtl . mit Anmeldung) und lädt sich euer Programm mit dem Programm des Cloudanbieter herunter.

Schönen Gruß aus dem Emsland

Werner
UserUW
UserUW 06.03.2022 um 23:44:16 Uhr
Goto Top
@1Werner1:

Danke - mir geht es allerdings darum, wie ich als Softwareanbieter die exe-Dateien vorbereiten muss, damit es beim Anwender gar nicht erst zu den besagten Problemen kommt. (vgl. meine erste Antwort an Dich: 03.03.2022 13:49:50 Uhr!). Eine konsequent konfigurierte Firewall lässt sich übrigens auch nicht via Dropbox & Co. umgehen!

Offen ist nun nur noch, wie ich die Meldung "Datei von anderem Computer" wegbekomme. Hier hoffe ich noch auf eine Antwort von Pretty auf meine Zusatzfrage 3.03.2022 um 23:13:48 Uhr.
1915348599
1915348599 07.03.2022 aktualisiert um 10:31:57 Uhr
Goto Top
Zitat von @UserUW:

Warum bekomme ich diese Meldung ("Datei von anderem Computer") dann bei so vielen Installationsprogrammen nicht, bei unserer eigenen aber sehr wohl?

Nöp, wie gesagt kommt selbst bei Files die direkt prominent von MS stammen und auch signiert sind, denn der Zone identifier wird bei nicht aktivierter GPO immer in den NTFS-Stream der Datei geschrieben sofern das File aus einer nicht vertrauenswürdigen Zone stammt, da gibt es keine Ausnahmen, wie man hier sieht, denn dieser Dialog kommt genau wegen des vorhandenen Zoneidentifiers im NTFS-Stream der Datei

screenshot

screenshot

screenshot

Dass war und ist schon immer so seit es das Feature zum markieren gibt. ZIP-Dateien werden übrigens auch markiert, aber hier ist das etwas anders, da das File selbst nicht ausgeführt wird sondern beim Anklicken nur das ZIP-Programm selbst ausgeführt wird und nicht das ZIP-File, deswegen kommt hier die o.g. Meldung auch nicht.

Damit wirst du leben müssen und die Dialoge kennen inzwischen 99,9 Prozent der Windows Nutzer, das klicken die eh automatisiert durch.

Willst du das nicht dann stelle dein Programm über den Windows-Store bereit, dortige Installationsroutinen arbeiten anders da bekommst du solche Dialoge nicht mehr zu Gesicht.

Case closed.
UserUW
UserUW 07.03.2022 um 12:10:59 Uhr
Goto Top
Zitat von Pretty:

Nöp, wie gesagt kommt selbst bei Files die direkt prominent von MS stammen und auch signiert sind, denn der > Zone identifier wird bei nicht aktivierter GPO immer in den NTFS-Stream der Datei geschrieben sofern > das File aus einer nicht vertrauenswürdigen Zone stammt, da gibt es keine Ausnahmen,

Willst du das nicht dann stelle dein Programm über den Windows-Store bereit, dortige Installationsroutinen arbeiten anders da bekommst du solche Dialoge nicht mehr zu Gesicht.

Das heißt also, dass die Installationsprogramme von Microsoft, aber auch weiteren Softwarenanbietern aus einer vertrauenswürdigen Zone stammen?

Sorry, wenn ich dumm frage: M.E. haben wir (bewusst) nie irgendwelche vertrauenswürdige Zonen eingerichtet. Wie werden die eingerichtet? Wie kommen insbesondere Drittanbieter (also non-Microsoft) dort hinein. Und warum sind es andere nicht? Sind das irgendwelche Fehlwerteinstellungen?
1915348599
1915348599 07.03.2022 aktualisiert um 12:40:28 Uhr
Goto Top
Zitat von @UserUW:
Das heißt also, dass die Installationsprogramme von Microsoft, aber auch weiteren Softwarenanbietern aus einer vertrauenswürdigen Zone stammen?
Nein! Die Internet-Zone ist per Default nicht vertrauenswürdig (IE-Settings)
Sorry, wenn ich dumm frage: M.E. haben wir (bewusst) nie irgendwelche vertrauenswürdige Zonen eingerichtet.
Musst du nicht, die existieren per Default in den IE-Settings und gelten für das ganze System.
Wie werden die eingerichtet?
In den Settings des IE.
Wie kommen insbesondere Drittanbieter (also non-Microsoft) dort hinein.
Gar nicht! Wie ich gesagt habe es betrifft alle Software die heruntergeladen wird, MS ist da keine Ausnahme siehst du ja oben an meinen Screenshots.
Und warum sind es andere nicht? Sind das irgendwelche Fehlwerteinstellungen?
Gibt per Default keine Ausnahme.

screenshot