我有一个网站(intranet),该网站允许您下载asp.net上写入的可执行文件(当前是.NET控制台应用程序),并且正在使用https。
。但是,在下载后我无法立即运行它 - 我需要右键单击它,转到Properties,然后单击Unblock,这使使用此应用程序感到不舒服(用户通常必须下载此此可执行文件并运行 - 每次是新的,因为它是代码生成的)
有什么方法可以使此可执行文件自动毫无障碍?修改客户端计算机不是一个选项,但是我可以使用服务器做任何事情。
从一开始,我就认为这是不可能的,因为它是安全保护,但是Chrome以某种方式这样做。如果我使用IE安装的新电脑,请键入chrome并安装它 - 我不必解除可执行文件。
到目前为止,我仅在W10 Chrome和IE上对此进行了测试,但是我很确定旧的Windows版本也有此问题。
显示未经信任的可执行对话框的机制基于替代数据流。当您从网络源下载某些内容时,元数据将通过Windows或浏览器添加,因此您的文件/Web服务器不可能影响此行为。另一方面,Windows有一个规则集,它用于应用标志,可以在您的Internet选项的Trustzone-Settings中找到。
ntfs具有一个整洁的小功能,允许文件具有多个内容,也称为替代数据串。这是仅NTFS的功能,因此您在其他分区类型上找不到。这基本上使您可以将更多数据存储在文件中,这些数据对用户看不到,并且无法由标准的Windows用户轻松找到。Windows使用这些替代数据式集团来标记文件的来源,尤其是从Interanet下载时。用于此数据的备用数据流被称为" Zone.Identifier",并将ID保存到文件中复制的区域。当您决定信任文件时,您基本上告诉Windows删除该数据流。
Windows使用不同区域的概念来对这些文件进行分类。Windows总共知道四个区域:Internet,Intranet,受信任的站点和受限站点。您可以更改"信任区"选项卡中的Internet选项对话框中的设置和规则
安全备注:在更改公司信托区域的设置之前,请考虑此三次的安全风险。因为这将允许执行这些验证的来源的任何可执行文件,这可能是针对MALICOUS可执行文件的方法,然后可以由已感染的PC或用户本身启动。
解决该问题的正确方法是签名可执行的,该可执行文件可通过受信任的和有效的代码签名证书进行签名,该证书最好使用EV(扩展验证)。运行文件时,Windows将检查证书,并允许其在没有进一步操作的情况下运行。