Sie haben ein Programm aus dem Internet heruntergeladen. Beim Start erhalten Sie unter Windows 8 die Warnmeldung „Der Computer wurde durch Windows geschützt. Von Windows Smartscreen wurde der Start einer unbekannten App verhindert. Die Ausführung dieser App stellt unter Umständen ein Risiko für den PC dar“. Bei älteren Windows-Versionen lautet die Meldung ähnlich. Erst nach einem Klick auf „Weitere Informationen“ und „Trotzdem ausführen“ lässt sich das Programm starten.
Ursache für diese Meldung ist die Windows-Sicherheitsfunktion AES (Attachment Execution Services) in Kombination mit Smartscreen. Sie soll verhindern, dass Dateien aus dem Internet Schaden auf dem PC anrichten. Diese Schutzfunktion betrifft nicht nur Exe-, sondern auch Zip-Dateien, wenn in diesen Programme komprimiert sind. Sie betrifft auch alle Download-Wege unabhängig vom Browser, weil es sich um eine Windows-Funktion handelt.
Der Schutz ist allerdings nur kosmetischer Natur. Windows stellt lediglich fest, dass die Datei aus dem Internet stammt, nicht digital signiert und in der Smartscreen-Datenbank nicht bekannt ist. Bei Dateien, auf die diese Merkmale zutreffen, handelt es sich allerdings mit größerer Wahrscheinlichkeit um Schadsoftware. Letztlich kann nur ein Virenscanner und eine genauere Analyse innerhalb einer virtuellen Maschine eine Schädlichkeit nachweisen. Die Verantwortung bleibt daher so oder so beim Benutzer.
Wer die Warnmeldung lästig findet, kann sie auch abschalten. Für eine einzelne Datei oder ein Zip-Archiv mit mehreren Programmen wählen Sie dazu im Kontextmenü der Datei „Eigenschaften“ und gehen auf die Registerkarte „Allgemein“. Klicken Sie bei Sicherheit auf „Zulassen“ und dann auf „OK“.
Wenn Sie AES grundsätzlich deaktivieren wollen, öffnen Sie über Win-R, regedit und „OK“ den Windows-Registrierungs-Editor. Gehen Sie auf „Hkey_Current_UserSoftwareMicrosoftWindowsCurrentVersionPolicies“. Nach einem Rechtsklick auf „Policies“ wählen Sie im Menü „Neu -> Schlüssel“. Tippen Sie als Schlüsselnamen Attachments ein. Markieren Sie dann den neuen Schlüssel „Attachments“, und erstellen Sie im rechten Bereich des Fensters über das Kontextmenü einen neuen Dword-Wert mit dem Namen SaveZoneInformation. Ändern Sie die Daten des Wertes nach einem Doppelklick darauf auf 1. Die Einstellung ist sofort wirksam.
Technischer Hintergrund: Wenn „SaveZoneInformation“ den Wert 0 besitzt, wird an jeden Download der NTFS-Stream „Zone.Identifier“ angehängt. Die enthaltenen Daten können Sie einsehen, indem Sie über Win+R notepad Datei:Zone.Identifier ausführen. Datei ersetzen Sie durch den kompletten Pfad und Namen zur heruntergeladenen Datei. Sie sehen dann im Editor beispielsweise die Zeilen
[ZoneTransfer] ZoneId=3„ZoneId=3“ steht dabei für „Internet“. Wenn Sie den Wert auf 1 („Intranet“) ändern und die Datei speichern, gibt es keine Warnmeldung mehr. Per Klick auf die Schaltfläche „Zulassen“ in den Eigenschaften einer Datei wird der NTFS-Stream gelöscht, und wenn „SaveZoneInformation“ den Wert „1“ besitzt, wird er gar nicht erst erstellt.
Autor: Thorsten Eggeling
Thorsten Eggeling schreibt seit gut 20 Jahren Artikel für die PC-WELT.