{"id":177060,"date":"2016-05-03T01:45:00","date_gmt":"2016-05-02T23:45:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=177060"},"modified":"2021-07-01T18:11:28","modified_gmt":"2021-07-01T16:11:28","slug":"windows-app-werden-aus-sicherheitsgrnden-blockiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/05\/03\/windows-app-werden-aus-sicherheitsgrnden-blockiert\/","title":{"rendered":"Windows: Apps werden aus Sicherheitsgründen blockiert"},"content":{"rendered":"

Speziell bei Windows 10 melden sich immer wieder Anwender, bei denen die Installation einer Anwendung (App) oder eines Druckertreibers aus \"Sicherheitsgr\u00fcnden\" blockiert wird. Es gibt dann den Hinweis, dass der Systemadministrator diese Blockade gesetzt habe. In der Regel ist der Anwender aber sein Administrator, weshalb dann Ratlosigkeit herrscht. Hier ein paar Informationen zu diesem Thema, welches aber nicht ausschlie\u00dflich auf Windows 10 begrenzt ist (obwohl in \u00e4lteren Windows-Versionen andere Mechanismen greifen).<\/p>\n

<\/p>\n

Das Fehlerbild<\/h2>\n

\"\"Die Beschreibung des Fehlers findet sich beispielsweise in diesem Forenthread bei pcgameshardware.de. Die Benutzerkontensteuerung blockiert das Ausf\u00fchren einer App aus Sicherheitsgr\u00fcnden, weil der Herausgeber als nicht vertrauensw\u00fcrdig eingestuft wird. Der Anwender hat sogar den nachfolgenden Screenshot mit publiziert.<\/p>\n

(Quelle)<\/p>\n

Im Screenshot finden sich zwei Informationen, n\u00e4mlich einmal, dass die Benutzerkontensteuerung beteiligt ist und zum Zweiten, dass der Herausgeber der App (sprich Win32-Anwendung) nicht vertrauensw\u00fcrdig ist. Die Vertrauensw\u00fcrdigkeit wird \u00fcber ein Zertifikat, welches in der Programmdatei enthalten ist, gesteuert. Ist das Zertifikat unbekannt oder abgelaufen, schl\u00e4gt die Sicherheitspr\u00fcfung der Benutzerkontensteuerung an.<\/p>\n

Damit entf\u00e4llt vermutlich eine gelegentlich in Foren ge\u00e4u\u00dferte Vermutung, dass die Datenausf\u00fchrungsverhinderung beteiligt sei (siehe hier<\/a>, obwohl die \u00dcberpr\u00fcfung einen Versuch wert zu sein scheint). Auch die Blockade der Programmausf\u00fchrung durch Gruppenrichtlinien (siehe Programm-Blockade durch Gruppenrichtlinie<\/a> oder Ausf\u00fchrung einer Anwendung oder EXE Datei unter Windows verhindern<\/a>\u00a0oder diesen Thread<\/a>) w\u00fcrde ich nicht als Ursache vermuten. Beide Ursachen waren in Windows-Versionen vor Windows 10 der Grund f\u00fcr Blockaden.<\/p><\/blockquote>\n

Das Problem ist bei Druckertreibern bekannt<\/h3>\n

Geht man im Internet auf die Suche, st\u00f6\u00dft man z.B. auf diesen Microsoft Answers-Thread<\/a>, der mir seinerzeit unter die Augen kam. Dort kommen konkrete Hinweise, dass die Zertifikate diverser Samsung-Treiber ung\u00fcltig sind. Auch in diesem Dr.Windows<\/a> Forenthread beschreibt der Threadersteller das Problem sehr anschaulich. Bez\u00fcglich der Samsung-Treiberproblematik gibt es eine L\u00f6sung: Samsung hat ein Tool Samsung Printer Software Installer<\/a> herausgegeben, welches selbst signiert ist und die unsignierten Druckertreiber installieren kann. Warum das funktioniert, erkl\u00e4re ich im Abschnitt zum Workaround.<\/p>\n

Und es gibt noch zwei Fundstellen (hier<\/a>, hier<\/a>) bei HP, die f\u00fcr mich \u00e4hnlich klingen (Herausgeber: Nicht vertrauensw\u00fcrdig), wobei dort der Fehlercode 1625 vom Installer genannt wird. Problem bei HP: Die Seiten sind aus 2014 und schlecht gepflegt. So fehlt sowohl das Bild der Benutzerkontensteuerung und auch der Linkverweis ist zwischenzeitlich gebrochen. In diesem HP-Forenthread<\/a> findet sich der nachfolgend gezeigte Screenshot f\u00fcr ein anderes Programm, der ein zur\u00fcckgezogenes Zertifikat zeigt.<\/p><\/blockquote>\n

<\/p>\n

In diesem F\u00e4lle w\u00e4re eigentlich die korrekte L\u00f6sung, eine digital korrekt signierte Installationsdatei vom Ger\u00e4tehersteller anzufordern.<\/p>\n

Ein Workaround f\u00fcr das Zertifikateproblem<\/h3>\n

An dieser Stelle zuerst die Frage, wie man als Anwender aus der misslichen Lage kommt, das Programm, dem man nat\u00fcrlich vertrauen muss, doch noch zu installieren. Vorab: Der Versuch, die Installation \u00fcber den Kontextmen\u00fcbefehl Als Administrator ausf\u00fchren <\/em>oder durch Anmeldung an einem Administratorkonto vorzunehmen, wird schlicht scheitern. Der Grund: Dort kommen die gleichen Mechanismen zum Aufrufen der Benutzerkontensteuerung zum Einsatz wie beim Doppelklick auf die .exe-Datei. Denn in der .exe-Datei steuert ein Manifest, dass administrative Berechtigungen gebraucht werden und Windows ruft dann die Benutzerkontensteuerung auf. Aber es gibt einen Kniff, wie man vorgehen kann.<\/p>\n

1. Hierzu ist eine administrative Eingabeaufforderung zu starten (kann man z.B. tun, indem man cmd <\/em>in der Suche angibt und den Treffer der Eingabeaufforderung \u00fcber Als Administrator ausf\u00fchren <\/em>startet).<\/p>\n

2. Dann navigiert man mittels des cd<\/em>-Befehls zum Ordner mit der ausf\u00fchrbaren .exe<\/em>-Datei und startet diese durch Eingabe das Dateinamens und Dr\u00fcckens der Eingabetaste.<\/p>\n

Der \"Tipp\" wird an diversen Stellen im Internet gegeben. Aber warum klappt dann die Installation h\u00f6chstwahrscheinlich? Der Ansatz nutzt den Umstand, dass eine administrative Eingabeaufforderung bereits beim Aufruf die Benutzerkontensteuerungs-Pr\u00fcfung absolviert hat. Alle aus der Eingabeaufforderung gestarteten Prozesse erhalten also ein administratives Token. Der unter Windows beim Doppelklick auf eine Programmdatei\/App erforderliche Aufruf der Benutzerkontensteuerung entf\u00e4llt also. Und damit entf\u00e4llt auch die Sicherheitspr\u00fcfung des Zertifikats durch die Benutzerkontensteuerung.<\/p>\n

Der zweite Tipp besteht darin, die Benutzerkontensteuerung zu deaktivieren. Der entsprechende Registry-Hack ist z.B. in diesem Forentposting<\/a> beschrieben. Denkbar w\u00e4re es auch, dass Benutzerkonto Administrator <\/em>mit net user administrator \/active:yes freizugeben und die Installation dort vorzunehmen (siehe auch Vom Windows-Administratorkonto ausgesperrt<\/a> \u2013 Teil II). Aber die Verwendung der Eingabeaufforderung ist in meinen Augen einfacher. Nachtrag: Bin sogar auf einen Tipp<\/a>, den Built-In-Administrator zu aktivieren, gesto\u00dfen.<\/em><\/p><\/blockquote>\n

Der oben beschriebene Mechanismus ist auch der Grund, warum der Samsung Printer Software Installer funktioniert, oder warum Leute (wie hier<\/a>) das Freeware Tool:\u00a0 NTFS Permissions Tools<\/a>\u00a0<\/em>zur Installation benutzen.<\/p>\n

Zertifikat mit File Unsigner entfernen<\/h3>\n

F\u00fcr H\u00e4rtef\u00e4lle, bei denen die obigen Ans\u00e4tze scheitern, best\u00e4nde noch die M\u00f6glichkeit, das digitale Zertifikat aus der Programmdatei zu entfernen. Hierzu gibt es den \"File Unsigner<\/a>\", der Zertifikate entfernen kann \u2013 die L\u00f6sung ist in diesem HP-Forenthread<\/a> beschrieben.<\/p>\n

1. Zuerst den File Unsigner<\/a> von der betreffenden Webseite herunterladen und in einen Ordner entpacken.<\/p>\n

2. Dann die st\u00f6rrische Datei in Ordner mit dem File Unsigner kopieren und dann das .exe-Programm \u00fcber das File Unsigner-Programm ziehen und ablegen.<\/p>\n

Sobald das Zertifikat entfernt ist, kann man mit den obigen Ans\u00e4tzen experimentieren. Allerdings soll an dieser Stelle eine fette Warnung ausgesprochen werden: Ein Zertifikat wird nicht unbedingt aus Jux und Dollerei zur\u00fcckgezogen. Ich w\u00e4re sehr vorsichtig mit dem Entfernen des digitalen Zertifikats aus einer Installationsdatei.<\/p>\n

Weitere Diagnoseinformationen aus dem Web<\/h3>\n

Beim Schreiben des Beitrags hat mich interessiert, ob man noch weitere Informationen zu diesem Problem bekommen kann. Bei Microsoft Answers findet sich dieser Thread<\/a>, in dem ein Nutzer eine log-Datei eines gescheiterte Installationsversuchs unter Windows 7 vorlegt. Dort gibt es von einem Nutzer Catalin Dobrescu<\/em> den Hinweis, den MSI-Installer durch einen Registrierungseintrag wieder freizugeben. Ich bin aber unsicher, ob das in obigem Windows 10-Fall hilft.<\/p>\n

Auch in diesem Forenthread<\/a> legt jemand Log-Dateien f\u00fcr Installationsprobleme vor und dann gibt es einen Link auf diesen MSDN-Blog-Beitrag<\/a> von Aron Stebner, in dem er das Tool SubInACL thematisiert, um Zugriffsberechtigungsprobleme in der Registrierung zu beheben. Ich bin mir aber unsicher, dass das bei obigen Windows 10-Problem hilft.<\/p>\n

In diesem MS Answers-Forenbeitrag<\/a> wird das Problem \"Administratorrichtlinien verhindern die Installation\" f\u00fcr Windows 7 thematisiert und es werden log-Dateien analysiert. Ein Fix f\u00fcr dieses Problem findet sich hier \u2013 wobei ich vom Gef\u00fchl her davon ausgehe, dass es ebenfalls nichts mit dem obigen Windows 10-Problem zu tun hat.<\/p>\n

Im Adobe-Forum habe ich noch diesen Thread zum Adobe Reader gefunden, wo Adobe Abhilfe f\u00fcr die eigene Software verspricht. Auch hier gibt es<\/a> einen \u00e4hnliche Thread f\u00fcr den Adobe Reader, der wohl eher nicht f\u00fcr obiges Problem zielf\u00fchrend ist.<\/p>\n

Noch ein Verdacht \u2026<\/h3>\n

Die H\u00e4ufung bestimmter Anfragen von Windows 10-Benutzern wegen des Problems hat mich noch etwas suchen lassen. Ich gebe es zu, der Ansatz ist noch etwas nebul\u00f6s. In Windows 10 l\u00e4sst sich in der Systemsteuerung unter Sicherheit und Wartung <\/em>auf die Windows SmartScreen-Einstellungen \u00e4ndern<\/em>-Option zugreifen.<\/p>\n

<\/p>\n

Es ist nur ein Bauchgef\u00fchl \u2013 und ich kann daneben liegen. Wir haben mit DoNotSpy10 oder Optimierungstools einige M\u00f6glichkeiten, mit denen ungeplant in die Registrierungseinstellungen eingegriffen werden kann. M\u00f6glicherweise liegt da der Hund begraben. Falls also jemand betroffen ist und hier im Blog vorbei kommt, ggf. mal in der Ecke nachschauen.<\/p>\n

Nachtrag: Nachdem ich den Blog-Beitrag verfasst hatte, bin ich bei der Suche im Web auf \u00e4hnliche Gedanken gesto\u00dfen. Auch in diesem Thread<\/a> gibt jemand den Hinweis, den SmartScreen-Filter zu \u00fcberpr\u00fcfen.<\/p><\/blockquote>\n

Der Beitrag ist ein wenig \"work in progress\", bei dem ich mein Wissen und etwas Bauchgef\u00fchl mit den Tipp, die man im Internet (aber ohne Erkl\u00e4rung bzgl. des Warum) findet, zusammen gebracht habe. Vielleicht hat jemand noch weitere Erkenntnisse, die in Form von Kommentaren hier zusammen getragen werden k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Speziell bei Windows 10 melden sich immer wieder Anwender, bei denen die Installation einer Anwendung (App) oder eines Druckertreibers aus \"Sicherheitsgr\u00fcnden\" blockiert wird. Es gibt dann den Hinweis, dass der Systemadministrator diese Blockade gesetzt habe. In der Regel ist der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,3694,2557],"tags":[36,4980,2539,3288],"class_list":["post-177060","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows-10","category-windows-server","tag-administrator","tag-app-blockiert","tag-problembehandlung","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177060","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=177060"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177060\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=177060"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=177060"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=177060"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}