当我们试图从Windows的本地驱动器或者网络文件夹运行exe、msi、bat、cmd和其他可执行文件类型时，我们可以看到以下警告：“ 打开文件-安全警告”。为了继续程序，用户必须通过点击 运行按钮手动确认启动该文件。运行从Internet下载的应用程序文件或者位于网络共享文件夹中的可执行文件时，通常会出现此Windows安全警告。

这种Windows行为旨在保护计算机不运行从Internet或者其他不可信来源下载的潜在危险的可执行文件。此功能在Windows 7和Windows 10中都存在。

在某些情况下，当使用计划程序任务、组策略、SCCM脚本等在后台运行或者安装此软件时，由于警告窗口不会出现在用户会话中，因此可能会导致一些问题。因此，以批处理方式安装/运行这样的应用程序变得不可能。

让我们来提醒一下警告窗口是什么样子的。例如，当我们试图从网络文件夹中打开文件时，安全警告警报如下所示：

 **Open File — Security Warning**  
The Publisher could not be verified. Are you sure you want to run this software?

当运行从Internet从本地驱动器(或者通过net use挂载的网络共享)下载的文件时，警告文本略有不同：

 **Open File — Security Warning**  
Do you want to run this file?
While files from the Internet can be useful, this file type can potentially harm your computer. Only run software from publishers you trust.

让我们尝试了解在Windows7和Windows10中运行可执行文件或者安装文件时如何删除安全警告(本指南也适用于所有其他Microsoft操作系统，从Windows XP开始)。

我们提供了几个关于如何禁用此安全警告窗口的选项。根据所需的解决方案选择合适的解决方案(在某些情况下，我们必须将解决方案组合起来)。

重要。在大多数情况下，不建议使用安全警告禁用此窗口，因为这会降低计算机保护级别并增加用户感染的风险。

运行从互联网下载的应用程序时，禁用警告窗口

从Internet下载的可执行文件将自动标记为潜在危险(从不受信任的源下载)。这一特性是在替代的NTFS文件流技术(替代数据流-ADS)的帮助下实现的。为了简单起见，让我们把它看作是一个特殊的文件标记，它会自动分配给下载的文件(请参阅一篇文章“Windows如何知道文件是否从Internet下载”)。若要删除此标记，需要取消阻止此文件。要做到这一点：

打开可执行文件的属性；

在 常规选项卡上，点击按钮或者标记 解锁复选框。如果文件已从Internet下载，则按钮(复选框)旁边将显示以下警告：

 This file came from another computer and might be blocked to help protect this computer.

单击“确定”按钮保存更改。取消阻止文件后，它将在不显示警告窗口的情况下运行(删除NTFS备用数据流)。

把戏。要防止自动为通过浏览器从Internet下载的文件指定标记，可以将下载的文件保存到FAT32或者exFAT格式的驱动器中。替代的NTFS流在这些文件系统上不起作用。

替代的NTFS流标记区域标识符可以使用以下两个命令重置(将创建一个新文件)：

move oldapp.exe > newapp
type newapp > oldapp.exe

或者在Sysinternal实用程序的帮助下：

streams.exe

还可以使用PowerShell取消阻止文件：

Unblock-File -Path C:\Downloads\somefile.exe

如果要仅对使用浏览器下载的文件禁用此警告，则可以禁用设置区域标识符不同浏览器中的属性：

对于Google Chrome和IE，我们需要创建这样一个注册表项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"SaveZoneInformation"=dword:00000001

对于Mozilla Firefox，在设置页面上 **关于：配置]更改 **browser.download.savezone信息)错误。

从网络共享运行应用时的安全警告

使用UNC路径从共享网络文件夹启动程序时，可能会出现警告窗口。这个问题通常适用于在组织网络中工作的用户。在这种情况下，最简单的方法是将存储可执行文件的服务器的名称和/或者IP地址添加到Internet Explorer设置中的 本地Intranet zone。这将表明资源是可信的。要做到这一点：

• 转到“控制面板”→“Internet选项”

• 安全选项卡

• 打开本地内网→站点→高级 提示。]这些设置存储在注册表项HKEY\U CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Internet settings\ZoneMap\Domains中。

• 在下一个窗口中，添加服务器的名称和/或者IP地址。例如，\10.0.0.6\srv.contoso.com网站或者本地计算机的\127.0.0.1\。可以使用通配符。例如，可以使用以下行将本地子网的所有本地地址添加到本地Intranet区域：file://192.168.1.*。

我们还可以使用GPO将网络文件夹和服务器的地址添加到本地Intranet区域。打开本地(gpedit.msc)或者域策略编辑器(gpmc.msc). 启用策略 **计算配置->管理模板->Windows组件->Internet Explorer->Internet控制面板->安全页面->站点到区域分配列表。]在策略设置中，必须按以下格式指定受信任服务器的列表：

• 服务器名称(例如。，文件：//服务器名称，\服务器名称、服务器名称或者IP)

• 区域号(1表示本地Intranet区域)

保存策略更改并在客户端上更新(gpupdate/focre)。从指定的共享文件夹中打开可执行文件时，将停止显示警告。

另外，在组策略中，我们可以在 **用户配置->管理模板->Windows组件->Internet Explorer->Internet控制面板->安全页面]中启用以下设置。这是域用户的最佳选择：

内网站点：包括所有未在其他区域列出的本地(内网)站点

内网站点：包括所有网络路径(UNC)

开启内网自动检测