如何在Windows 10上禁用“打开文件-安全警告”？

当您尝试从 Windows 中的本地驱动器或网络文件夹运行 exe、msi、bat、cmd 或其他可执行类型的文件时，您可能会看到此警告：“打开文件 - 安全警告”。为了运行该程序，用户必须通过单击运行按钮手动确认此类文件的启动。当您运行从 Internet 下载的应用程序文件或位于网络共享文件夹或映射网络驱动器上的可执行文件时，通常会出现此 Windows 安全警告。

Windows 安全警告然后启动可执行文件或脚本

此类 Windows 行为旨在保护您的计算机免遭运行从 Internet 下载或从其他不受信任来源接收的潜在危险可执行文件的影响。此安全警告出现在所有版本的 Windows（包括 Windows 10、8.1 和 7）上。

如果您在后台用户计算机上安装或运行程序（通过计划程序任务、组策略登录脚本、SCCM 脚本等），这可能会导致问题。事实上，在这种情况下，安全警告窗口不会出现在用户会话中。因此，不可能以批处理模式安装或运行此类应用程序。

例如，当从共享文件夹打开文件时，Windows 安全警报如下所示：

Open File — Security Warning
The Publisher could not be verified. Are you sure you want to run this software?
We can’t verify who created this file. Are you sure you want to run this file?
This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.

当运行从本地驱动器（或通过安装的网络共享）从互联网下载的文件时

net use

），警告的文本有点不同：

Open File — Security Warning
Do you want to run this file?
While files from the Internet can be useful, this file type can potentially harm your computer. Only run software from publishers you trust.

如果您取消选中选项“

Always ask when opening this file

”，那么下次运行该文件时，Windows安全窗口将不会出现。但这样一来，您就必须手动将程序添加到例外中。

让我们尝试了解如何在 Windows 上运行可执行文件或安装文件时删除安全警告（本指南适用于所有 Windows 版本）。

重要。在大多数情况下，不建议通过安全警告禁用此窗口，因为这会降低计算机的安全性。

我们提供了几种有关如何禁用安全警告警报的选项。根据必要的解决方案选择合适的解决方案（在某些情况下，您必须组合解决方案）。

如何禁用下载文件的打开文件安全警告？

从 Internet 下载的可执行文件会自动标记为潜在危险（从不安全的来源下载）。此功能是在替代 NTFS 文件流技术（替代数据流 - ADS）的帮助下实现的。为了简单起见，我们将其视为一个特殊的文件标记，它会自动分配给下载的文件（请参阅文章 Windows 如何知道文件是否是从 Internet 下载的）。要删除此标记，您需要取消阻止此文件。去做吧：

1. 打开可执行文件的属性；

2. 在常规选项卡上，单击按钮或勾选取消阻止复选框。如果文件是从 Internet 下载的，则按钮（复选框）旁边将显示以下警告：

    This file came from another computer and might be blocked to help protect this computer.

   

3. 单击“确定”按钮保存更改。文件解除阻止后，它将在没有警告窗口的情况下运行（NTFS 备用数据流被删除）。

技巧。为了防止自动将 Zone.Identifier 标记分配给您通过浏览器从 Internet 下载的文件，您可以将下载的文件保存到 FAT32 或 exFAT 格式的驱动器中。替代 NTFS 流不适用于这些文件系统。

可以使用这两个命令重置替代 NTFS 数据流属性 Zone.Identifier（将创建一个新文件）：

move oldapp.exe > newapp
type newapp > oldapp.exe

或者借助 Sysinternal 的工具：

streams.exe

此外，您可以使用 PowerShell 取消阻止文件：

Unblock-File -Path C:\Downloads\somefile.exe

您可以通过禁用 Zone.Identifier 属性的设置，仅对使用浏览器下载的文件禁用此警告：

• 对于Google Chrome和IE，您需要创建这样的注册表参数

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
  “SaveZoneInformation”=dword:00000001

• 对于 Mozilla Firefox：打开设置页面

  about:config

  ，并改变值

  browser.download.saveZoneInformation

  为假。

在 Windows 中，您可以使用特殊 GPO 参数不在文件附件中保留区域信息（用户配置 -> 管理模板 -> Windows 组件 -> 附件管理器）完全禁止将区域信息应用于从 Internet 下载的文件。

从网络共享打开文件时的安全警告

当使用 UNC 路径从共享网络文件夹启动程序时，可能会出现警告窗口。企业用户在其他AD域或通过IP地址访问资源时通常会出现此问题。在这种情况下，最简单的方法是将托管可执行文件的服务器的名称和/或 IP 地址添加到 Internet Explorer 设置中的本地 Intranet 区域。这将表明该资源是可信的。去做吧：

1. 前往控制面板 → Internet 选项；

2. 安全选项卡；

3. 打开本地 Intranet → 站点 → 高级；

   

4. 在下一个窗口中，添加服务器的名称和/或 IP 地址。例如，

   \10.0.0.6

   ,

   \srv.contoso.com 

   或者

    \127.0.0.1\

   对于本地计算机。您可以使用通配符。例如，您可以使用以下行将本地网络的所有 IP 地址添加到本地 Intranet 区域：

   file: //192.168.1.*

   。 。

   

   提示。 这些设置存储在注册表项中

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\

   。受信任的 IP 地址在

   Ranges

   注册表项；主机名和域名 - in

   Domains

   。

   

您还可以使用 GPO 将受信任域和主机的 IP 地址和 DNS 名称添加到本地 Intranet 区域。打开本地（

gpedit.msc

）或域组策略编辑器（

gpmc.msc

）。启用策略计算配置 -> 管理模板 ->Windows 组件 -> Internet Explorer -> Internet 控制面板 -> 安全页面 -> 站点到区域分配列表。 在策略设置中，您必须按以下格式指定受信任主机和/或域的列表：

• 服务器（主机）名称（例如，

  file://server_name

  ,

  \server_name

  ,

  server_name

  或者

  IP

  ）

• 区域编号（1 表示本地 Intranet 区域）

  

如果从映射的网络驱动器启动程序时出现安全警告窗口，请将驱动器号（例如 U:\）或 UNC 路径添加到本地 Intranet 区域。

保存策略更改并刷新客户端上的 GPO 设置（

gpupdate /force

）。从指定的共享网络文件夹打开可执行文件时，该警告应该停止出现。

此外，您还可以在 GPO 部分用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板 -> 安全页面下启用以下设置。这是域用户的最佳选择：

• Intranet 站点：包括其他区域中未列出的所有本地（Intranet）站点

• Intranet 站点：包括所有网络路径 (UNC)

• 开启内网自动检测

使用 AppData 文件夹重定向时打开文件安全警告

如果您使用 AppData 文件夹重定向（在配置文件漫游场景中），用户在从配置文件文件夹启动应用程序快捷方式时可能会遇到“打开文件 - 安全警告”窗口。

在这种情况下，您需要将存储漫游配置文件的服务器（或整个域）添加到 IE 受信任区域。

使用 GPO 选项用户配置 -> 策略 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板 -> 安全页面 -> 站点到区域分配列表。添加值为 1 的服务器（域名）名称。

通过 GPO 禁用特定文件类型的打开文件安全警告

在某些情况下，建议通过组策略完全禁用某些文件类型（扩展名）的安全警告。当然，这并不是很安全，因为用户可能会意外地运行恶意软件。

为此，请在 GPO 编辑器中转到：用户配置 -> 管理模板 -> Windows 组件 -> 附件管理器。

• 启用策略不在文件附件中保留区域信息。所有下载的文件将在所有计算机上运行，而不会发出警告。

• 启用策略低文件类型包含列表，并在其设置中指定您允许运行的文件扩展名列表，例如，

  .exe; .vbs; .msi

  。 Windows 将忽略具有这些扩展名的文件上的备用数据流标记，并在不发出警告的情况下运行它们。注意。此策略将文件扩展名添加到 LowRiskFileTypes 注册表参数：

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]"LowRiskFileTypes"=".exe;.vbs;.msi;.bat;"

  

提示。本地组策略编辑器（

gpedit.msc

) 在 Windows 10 家庭版上缺失。但有一个解决方法可以安装它。

保存策略，将其分配给目标 OU，并通过在客户端上运行以下命令将其应用到客户端：

gpupdate /force

命令。

现在，当使用 Zone.Identifier 流中的任何信息打开具有指定扩展名的可执行文件时，警告应该停止出现。您还可以允许 Internet Explorer 运行 Internet Explorer 属性中的任何文件（安全 -> Internet -> 自定义级别 -> 其他 -> 启动应用程序和不安全文件（不安全），但风险很大。

您可以使用 GPO 选项关闭安全设置检查功能（位于计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer 部分）完全禁用不安全文件的“打开文件 - 安全警告”窗口。

或者，您可以使用以下命令允许任何文件运行而不显示“打开文件安全警告”：

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Security" /V "DisableSecuritySettingsCheck" /T "REG_DWORD" /D "00000001" /F
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones" /V "1806" /T "REG_DWORD" /D "00000000" /F