O aplicativo interno da sua empresa está sendo bloqueado pelo Windows Defender SmartScreen, exibindo um aviso de que o app não é reconhecido ou pode ser inseguro. Isso ocorre porque o SmartScreen compara arquivos baixados com um banco de dados de reputação na nuvem, e aplicativos internos assinados com certificados autoassinados ou não públicos geralmente não têm reputação suficiente. Este artigo explica por que o SmartScreen bloqueia aplicativos internos legítimos e fornece dois métodos confiáveis para contornar o bloqueio mantendo a segurança.
Principais Conclusões: Desbloqueando Aplicativos Internos Bloqueados pelo SmartScreen
- Propriedades do Arquivo > Marcação Desbloquear: Remove a Marca da Web de um único arquivo baixado para permitir sua execução sem o aviso do SmartScreen.
- Política de Grupo > Windows Defender SmartScreen > Configurar Windows Defender SmartScreen: Desativa o SmartScreen para todos os usuários no dispositivo quando você precisa executar vários aplicativos internos sem prompts.
- Assinar o aplicativo com um certificado de assinatura de código confiável: A solução permanente que impede o SmartScreen de bloquear versões futuras do seu aplicativo interno.
Por que o SmartScreen Bloqueia Aplicativos Internos
O Windows Defender SmartScreen protege seu sistema verificando arquivos baixados e executáveis contra o banco de dados de reputação da Microsoft. Arquivos baixados da internet recebem um fluxo de dados NTFS oculto chamado Marca da Web. Quando o SmartScreen vê essa marca, ele consulta o serviço de nuvem da Microsoft para determinar a reputação do arquivo. Aplicativos internos que não são amplamente distribuídos pela internet têm pouca ou nenhuma reputação, então o SmartScreen os rotula como não reconhecidos e bloqueia a execução.
O bloqueio não é uma detecção de vírus. É uma decisão baseada em reputação. Se seu aplicativo interno for assinado com um certificado autoassinado ou um certificado de uma CA interna que não é confiável pelo repositório raiz da Microsoft, o SmartScreen não pode verificar o editor. A mensagem de aviso diz “O Windows protegeu seu PC” e oferece um botão “Não executar”. O link “Mais informações” revela uma opção “Executar assim mesmo”, mas isso é uma liberação por execução que pode ser inconveniente para uso repetido.
O SmartScreen é executado no Microsoft Edge e no próprio Windows. O bloqueio pode aparecer quando você baixa o app pelo Edge, copia de um compartilhamento de rede ou recebe como anexo de e-mail. A causa raiz é sempre a mesma: o arquivo carrega a Marca da Web e não tem reputação suficiente na nuvem da Microsoft.
Passos para Desbloquear um Aplicativo Interno Bloqueado pelo SmartScreen
Você tem três opções dependendo do seu ambiente e da frequência com que o aplicativo precisa ser executado. O primeiro método desbloqueia um único arquivo. O segundo método desativa o SmartScreen no dispositivo. O terceiro método é a correção adequada de longo prazo para implantação empresarial.
Método 1: Desbloquear o Arquivo Usando Propriedades do Arquivo
Este método remove a Marca da Web de um único executável ou instalador. Funciona imediatamente e não requer direitos administrativos se o arquivo estiver em sua unidade local.
- Localize o arquivo bloqueado
Abra o Explorador de Arquivos e navegue até a pasta que contém o instalador ou executável do aplicativo interno. O arquivo pode exibir uma mensagem de aviso do SmartScreen ao tentar executá-lo. - Abra as Propriedades do Arquivo
Clique com o botão direito no arquivo e selecione Propriedades no menu de contexto. A caixa de diálogo Propriedades é aberta. - Marque a caixa Desbloquear
Na guia Geral, observe a parte inferior da caixa de diálogo na seção Segurança. Se o arquivo foi baixado da internet, você verá uma caixa de seleção chamada Desbloquear. Marque esta caixa. - Aplique a alteração
Clique em Aplicar e depois em OK. A Marca da Web é removida do arquivo. - Execute o aplicativo
Clique duas vezes no arquivo para iniciá-lo. O SmartScreen não deve mais bloqueá-lo. Se o aviso reaparecer, o arquivo pode ter sido baixado novamente ou copiado de uma fonte que reaplica a marca.
Método 2: Desativar o SmartScreen via Política de Grupo
Use este método em um dispositivo ingressado em domínio ou em uma edição Windows 11 Pro, Enterprise ou Education. Desativar o SmartScreen interrompe a verificação de todos os arquivos. Faça isso apenas em um dispositivo gerenciado onde outros controles de segurança estejam em vigor.
- Abra o Editor de Política de Grupo Local
Pressione Win + R, digite gpedit.msc e pressione Enter. Se o comando não for encontrado, sua edição não suporta Política de Grupo. - Navegue até a política do SmartScreen
Vá para Configuração do Computador > Modelos Administrativos > Componentes do Windows > Windows Defender SmartScreen > Explorer. - Abra a política Configurar Windows Defender SmartScreen
Clique duas vezes na política chamada Configurar Windows Defender SmartScreen. A janela da política é aberta. - Defina a política como Desabilitada
Selecione o botão de opção Desabilitado. Clique em Aplicar e depois em OK. - Reinicie o dispositivo
Reinicie o computador para que a alteração da política entre em vigor. Após a reinicialização, o SmartScreen não bloqueará mais nenhum arquivo.
Método 3: Assinar o Aplicativo com um Certificado de Assinatura de Código Confiável
Esta é a solução recomendada para ambientes empresariais. Um certificado de assinatura de código de uma CA pública confiável pela Microsoft elimina permanentemente o aviso do SmartScreen. O certificado deve ser adquirido de uma CA cujo certificado raiz está incluído no Programa de Raiz Confiável da Microsoft, como DigiCert, Sectigo ou GlobalSign.
- Adquira um certificado de assinatura de código
Compre um certificado de assinatura de código com Validação Estendida ou Validação de Organização de uma CA confiável. A CA verificará a identidade da sua organização antes de emitir o certificado. - Instale o certificado na máquina de compilação
Importe o certificado para o repositório de certificados Pessoais da máquina que compila o aplicativo interno. Use o snap-in Certificados do MMC ou o assistente de importação de certificados. - Assine o aplicativo usando o SignTool
Abra um prompt de comando como Administrador. Execute o comando: signtool sign /fd SHA256 /a /tr http://timestamp.digicert.com /td SHA256 seu_app.exe. Substitua a URL do servidor de carimbo de data/hora pela do servidor da sua CA. - Verifique a assinatura
Clique com o botão direito no arquivo assinado, selecione Propriedades e vá para a guia Assinaturas Digitais. Você deve ver o certificado listado. O SmartScreen confiará no arquivo após um curto período de construção de reputação.
Se o SmartScreen Ainda Bloquear o App Após o Desbloqueio
A caixa Desbloquear está ausente nas Propriedades do Arquivo
A caixa Desbloquear só aparece quando o arquivo tem a Marca da Web. Se a caixa estiver ausente, o arquivo não veio da internet ou a marca já foi removida. Nesse caso, o SmartScreen pode estar bloqueando com base na reputação do hash do arquivo, não na marca. A única correção é assinar o app com um certificado confiável ou desativar o SmartScreen via Política de Grupo.
A configuração da Política de Grupo não se aplica após a reinicialização
Se você desativou o SmartScreen via Política de Grupo, mas ele ainda bloqueia arquivos, confirme se nenhuma política de prioridade mais alta está substituindo sua configuração. Abra um prompt de comando como Administrador e execute gpresult /h gpresult.html. Abra o relatório HTML e procure pela política do SmartScreen. Se mostrar “Desabilitado” mas o SmartScreen ainda estiver ativo, um Objeto de Política de Grupo em nível de domínio pode estar aplicando a política. Entre em contato com o administrador do domínio para ajustar a política.
O SmartScreen bloqueia o app no Microsoft Edge
O filtro SmartScreen no Microsoft Edge é separado do SmartScreen do Windows. Para desativá-lo no Edge, vá para Configurações do Edge > Privacidade, pesquisa e serviços > Segurança e desative Microsoft Defender SmartScreen. Esta configuração é por usuário e não requer direitos administrativos.
Desbloqueio de Arquivo vs Desativação do SmartScreen vs Assinatura de Código
| Item | Desbloqueio de Arquivo | Desativação do SmartScreen via Política de Grupo | Assinatura de Código com Certificado Confiável |
|---|---|---|---|
| Escopo | Arquivo único | Todos os arquivos no dispositivo | Todas as versões do app assinado |
| Requer direitos administrativos | Não | Sim | Sim |
| Persistência após atualização do arquivo | Deve desbloquear cada nova versão | Permanece desativado | Deve assinar cada nova versão |
| Risco de segurança | Nenhum, apenas remove a marca | Reduz a proteção para todos os downloads | Nenhum, usa identidade confiável |
| Melhor para | Download único de ferramenta interna | Máquinas de laboratório ou teste | Implantação empresarial em produção |
Agora você tem três métodos para lidar com aplicativos internos bloqueados pelo Windows 11 Defender SmartScreen. Para um único arquivo, use a caixa Desbloquear nas Propriedades. Para um ambiente de laboratório gerenciado, desative o SmartScreen via Política de Grupo. Para uso empresarial contínuo, assine seu aplicativo interno com um certificado de assinatura de código confiável. Como dica avançada, combine a assinatura de código com um carimbo de data/hora para garantir que a assinatura permaneça válida após a expiração do certificado, o que impede o SmartScreen de bloquear versões mais antigas do seu app.