Jak przekazać smart screen na Win8 po zainstalowaniu podpisanej aplikacji?

Właśnie przeszliśmy przez cały proces przechodzenia ze starego certyfikatu Authenticode do nowego (nie certyfikatu EV, tylko zwykłego certyfikatu, który może być użyty w naszym zautomatyzowanym procesie budowania).

Microsoft nie zapewnia już żadnych sposobów przeniesienia reputacji z istniejącego certyfikatu na nowy. Więc nie próbuj dzwonić do ich wsparcia. Po prostu zmarnujesz dużo czasu i energii. I nie będą w stanie pomóc.

Microsoft twierdzi, że jeśli stare i nowe certyfikaty mają tę samą treść tekstową, reputacja zyskuje szybszą reputację. Dokładniej, oto odpowiedź, którą otrzymałem od zespołu wsparcia SmartScreen® Filter ' s Application Reputation feature:

Pamiętaj, że za każdym razem, gdy odnawiasz certyfikat o znanej reputacji, prawdopodobnie zobaczysz ostrzeżenia podczas początkowego pobierania plików podpisanych odnowionym certyfikatem. Jednak znana reputacja na odnowionym certyfikacie jest zazwyczaj ustanowiony szybciej niż na nowym certyfikacie. Podczas gdy Odnowiony certyfikat ustanawia reputację, użytkownicy mogą nadal klikać, aby uruchomić lub zapisać pobieranie. Aby to zrobić, wybierają akcje / więcej opcji / Uruchom i tak z menedżera pobierania.

Najlepszym sposobem, aby upewnić się, że SmartScreen nie ostrzega użytkowników, jest uruchomienie Windows App Certification Kit (WACK), który powinien być zawarty w Windows SDK download:

Po wykonaniu testów, WACK wyjaśnia, jak postępować:

Prześlij wynik XML pomyślnej certyfikacji aplikacji do https://sysdev.microsoft.com . kilka dni później SmartScreen będzie wiedział o podpisie cyfrowym używanym dla certyfikowanego programu i nie będzie już ostrzegał użytkowników przy pobieraniu.

Uwaga nie byliśmy w stanie poświadczyć naszej aplikacji o najnowszych aktualizacjach systemu Windows 8.1 i musieliśmy użyć czystej instalacji systemu Windows 8.1, aby uzyskać WACK pomyślnie Zatwierdź wszystkie nasze programy.

Szukam od jakiegoś czasu, więc podzielę się tym, co do tej pory znalazłem.

Nie znalazłem żadnej dokumentacji na temat tej funkcji w Windows 8 od Microsoftu, ale może po prostu szukam w niewłaściwych miejscach.

Większość artykułów, które czytałem, omawia, że filtr SmartScreen działa w następujący sposób:

• przed uruchomieniem Instalatora lub pliku wykonywalnego, który został pobrany, Windows 8 konsultuje się z bazą danych.
• baza danych może raportować, czy dany program ma been:
  [7]}zgłoszony jako złośliwy / phishing (i zweryfikowany przez pracownika firmy Microsoft).
• używany/prowadzony przez wiele osób.

Jeśli wystarczająco dużo osób uruchomiło ten instalator, bez zgłaszania go jako złośliwego, w końcu program zostanie oznaczony jako bezpieczny, a inni użytkownicy nie otrzymają irytującego komunikatu.

Niektóre źródła: (tutaj) (tutaj )

Informacje wysyłane do Microsoft, gdy użytkownik instaluje program, zawierają adres IP, a hash instalatora i podpisu cyfrowego oraz ewentualnie nazwę pliku aplikacji. ( zobacz tutaj )

Pracownicy firmy Microsoft mieliby bezpośredni dostęp do bazy danych, aby dodawać i oznaczać bezpieczne wszystkie aplikacje firmy Microsoft.

Być może Microsoft przygotował sposób wstępnej certyfikacji instalatora, jeśli nie, możesz po prostu poczekać, aż wystarczająca liczba osób uruchomi instalator. (ale nie wiem, ile to będzie).

Właśnie przeszedłem przez ten proces, i dodam kilka ciekawostek informacji do tego.

1) Pobierz EV. Warto. Następnym razem, gdy uaktualnisz swoje certyfikaty, zaktualizuj je do certyfikatu EV. Cena jest o $100 więcej rocznie. Certyfikaty EV są uważane za bezpieczniejsze, ponieważ trudniej je ukraść. Po wydaniu użytkownikowi zostanie wydany sprzętowy token, aby wypełnić znak. Niestety, znak końcowy nie jest kompatybilny z automated builds.

To nie brzmi okropnie. Dostarczą Ci drugi certyfikat do podpisania plików wykonywalnych (wewnątrz instalatora), który pozostaje kompatybilny z automatyzacją. Podpis w instalatorze musi być podpisany w połączeniu z tokenem sprzętowym.

2) Jeśli nie chcesz uzyskać certyfikatu EV, potrzebujesz reputacji. W przypadku aktualizacji Microsoft przeniesie reputację ze starego certyfikatu na nowy. Musisz skontaktować się z Pomocą techniczną MSDN, a za około tydzień będzie załatwione. Złożyłem moje stare i nowe instalatory-ze starymi i nowymi certyfikatami - i oni to naprawili.

3) jeśli jest to twój pierwszy certyfikat, utkniesz z SmartScreen, dopóki nie otrzymasz reputacji. Prawdopodobnie powinieneś uzyskać certyfikat aplikacji poprzez sysdev.microsoft.com. ale tak naprawdę nie wiadomo, ile plików do pobrania potrzebujesz, zanim zdobędziesz pozytywną reputację w firmie Microsoft.

To moje doświadczenie.

Ponieważ Windows 8.1 jest już nieaktualny.

• Microsoft wyłączył wszystkie standardowe Certyfikaty podpisywania kodu, aby były zaufane, gdy pobierasz je przez internet na komputer i próbujesz je zainstalować, ale standardowa aplikacja certyfikatów podpisywania kodu działa, jeśli rozpowszechniasz aplikację przez USB lub CD-ROM.

• Nie używaj signtool.exe, aby zweryfikować (signtool.exe verify /pa mysetup.exe pokaże sukces, ale nie powiedzie się, gdy inni użytkownicy będą go pobrać i spróbować zainstalować SmartScreen popup będzie zachować wyświetlanie)

Użyj Windows App Certification Kit (WACK)

• te standardowe certyfikaty podpisywania kodu są martwe. Oznacza to, że jeśli masz standardowy certyfikat podpisywania kodu, nie będzie on już działał niezawodnie, tak jak w przeszłości, nawet jeśli Windows App Certification Kit (WACK) pokazuje przepustkę z ostrzeżeniem, nie oznacza to 100% sukcesu weryfikacji

Musisz kupić certyfikat EV ( https://www.globalsign.com/en/code-signing/)

Krok 1: Przejdź do https://sysdev.microsoft.com i login

A) Utwórz konto firmowe > next

B) Pobierz winqual.plik exe, który jest plikiem zip dostarczonym przez microsoft, teraz podpisz winqual.exe ze standardowym certyfikatem lub certyfikatem EV, a następnie kliknij przycisk Dalej, aby przesłać plik do walidacji.

W moim przypadku nie powiodło się, ponieważ mam standardowy certyfikat, na który Microsoft przestaje zezwalać. Więc wszystko, co musisz teraz zrobić, to kupić licencję EV, w przeciwnym razie masz przerąbane i możesz spędzić całe życie rozwiązując ten problem bez żadnego pojęcia.

Przetestowałem rozwiązanie EV cert i działa.

Niestety, wspomnę również, że certy EV są niezgodne z TeamBuild, który wykonuje podpisywanie w kontekście usługi. Certyfikaty EV wymagają tokena sprzętowego, który łączy się z dostawcą usług Kryptograficznych dostarczanym przez SafeNet, Inc do użytku ze wszystkimi autoryzowanymi dostawcami certyfikatów EV (VeriSign i DigiCert).

Podczas podpisywania sterowniki z Safenet zapytają o hasło, które jest nieco niezgodny z realizacją w kontekście usługi. Dodatkowo Safenet zapewnia ochronę, która zapobiega podpisywaniu z niczego poza rzeczywistą konsolą. Nie można nawet zalogować się z poziomu sesji pulpitu zdalnego. Tak więc podpisywanie z poziomu Teambuild jest w najlepszym przypadku problematyczne, a w najgorszym niemożliwe.

Pracowałem z firmą Microsoft i nie byli w stanie zapewnić obejścia problemu podpisywania lub jakiegokolwiek innego sposobu osiągnięcia natychmiastowej reputacji w ramach SmartScreen.

Niestety nie mam dość rep, aby po prostu skomentować jedną z powyższych odpowiedzi. Jeśli jednak określisz częściowe zaufanie dla opublikowanej aplikacji (wybrałem strefę internetową) i posiadasz certyfikat podpisywania kodu, nie zostanie wyświetlone ostrzeżenie o inteligentnym ekranie (zaznaczone na Win10).

Podpisuję swoją aplikację w sposób zautomatyzowany za pomocą certyfikatu EV na tokenie (GlobalSign). Użyj a .plik bat. w ".bat " plik, Typ ex: (dla sha1)

SignTool.exe sign /n "Exact Enterprise name in the cert - token" /t "http://timestamp.globalsign.com/scripts/timstamp.dll" "c:\Patch_to_file\Filename.exe"

"Wersja pliku nie jest zgodna z uruchomioną wersją systemu windows". Pod Windows 2008 server nie ma przycisku "Więcej informacji", aby wybrać instalację i tak.

Gdy tworzymy oprogramowanie komputerowe dla systemu windows (nie "Aplikacje") przy użyciu produktów innych niż Microsoft (Delphi) i używamy Innosetup dla naszego instalatora, Walidacja aplikacji nie ma znaczenia. Siedzi tam przez 30 minut nic nie robiąc, po prostu uruchamiamy aplikację, a następnie ręcznie zamykamy aplikację i generuje przepustkę raport.

Podpisujemy wszystkie nasze wydania i każdy plik wykonywalny w nich zawarty.

Kiedy przesyłamy XML do Microsoft, certyfikowany XML znajduje się na stronie niezwiązanej z naszym głównym kontem dewelopera, bez możliwości opublikowania go w Sklepie Microsoft Store. 45 minut straconych na aplikację.