Speziell bei Windows 10 melden sich immer wieder Anwender, bei denen die Installation einer Anwendung (App) oder eines Druckertreibers aus "Sicherheitsgründen" blockiert wird. Es gibt dann den Hinweis, dass der Systemadministrator diese Blockade gesetzt habe. In der Regel ist der Anwender aber sein Administrator, weshalb dann Ratlosigkeit herrscht. Hier ein paar Informationen zu diesem Thema, welches aber nicht ausschließlich auf Windows 10 begrenzt ist (obwohl in älteren Windows-Versionen andere Mechanismen greifen).
Anzeige
Das Fehlerbild
Die Beschreibung des Fehlers findet sich beispielsweise in diesem Forenthread bei pcgameshardware.de. Die Benutzerkontensteuerung blockiert das Ausführen einer App aus Sicherheitsgründen, weil der Herausgeber als nicht vertrauenswürdig eingestuft wird. Der Anwender hat sogar den nachfolgenden Screenshot mit publiziert.
(Quelle)
Im Screenshot finden sich zwei Informationen, nämlich einmal, dass die Benutzerkontensteuerung beteiligt ist und zum Zweiten, dass der Herausgeber der App (sprich Win32-Anwendung) nicht vertrauenswürdig ist. Die Vertrauenswürdigkeit wird über ein Zertifikat, welches in der Programmdatei enthalten ist, gesteuert. Ist das Zertifikat unbekannt oder abgelaufen, schlägt die Sicherheitsprüfung der Benutzerkontensteuerung an.
Damit entfällt vermutlich eine gelegentlich in Foren geäußerte Vermutung, dass die Datenausführungsverhinderung beteiligt sei (siehe hier, obwohl die Überprüfung einen Versuch wert zu sein scheint). Auch die Blockade der Programmausführung durch Gruppenrichtlinien (siehe Programm-Blockade durch Gruppenrichtlinie oder Ausführung einer Anwendung oder EXE Datei unter Windows verhindern oder diesen Thread) würde ich nicht als Ursache vermuten. Beide Ursachen waren in Windows-Versionen vor Windows 10 der Grund für Blockaden.
Das Problem ist bei Druckertreibern bekannt
Geht man im Internet auf die Suche, stößt man z.B. auf diesen Microsoft Answers-Thread, der mir seinerzeit unter die Augen kam. Dort kommen konkrete Hinweise, dass die Zertifikate diverser Samsung-Treiber ungültig sind. Auch in diesem Dr.Windows Forenthread beschreibt der Threadersteller das Problem sehr anschaulich. Bezüglich der Samsung-Treiberproblematik gibt es eine Lösung: Samsung hat ein Tool Samsung Printer Software Installer herausgegeben, welches selbst signiert ist und die unsignierten Druckertreiber installieren kann. Warum das funktioniert, erkläre ich im Abschnitt zum Workaround.
Anzeige
Und es gibt noch zwei Fundstellen (hier, hier) bei HP, die für mich ähnlich klingen (Herausgeber: Nicht vertrauenswürdig), wobei dort der Fehlercode 1625 vom Installer genannt wird. Problem bei HP: Die Seiten sind aus 2014 und schlecht gepflegt. So fehlt sowohl das Bild der Benutzerkontensteuerung und auch der Linkverweis ist zwischenzeitlich gebrochen. In diesem HP-Forenthread findet sich der nachfolgend gezeigte Screenshot für ein anderes Programm, der ein zurückgezogenes Zertifikat zeigt.
In diesem Fälle wäre eigentlich die korrekte Lösung, eine digital korrekt signierte Installationsdatei vom Gerätehersteller anzufordern.
Ein Workaround für das Zertifikateproblem
An dieser Stelle zuerst die Frage, wie man als Anwender aus der misslichen Lage kommt, das Programm, dem man natürlich vertrauen muss, doch noch zu installieren. Vorab: Der Versuch, die Installation über den Kontextmenübefehl Als Administrator ausführen oder durch Anmeldung an einem Administratorkonto vorzunehmen, wird schlicht scheitern. Der Grund: Dort kommen die gleichen Mechanismen zum Aufrufen der Benutzerkontensteuerung zum Einsatz wie beim Doppelklick auf die .exe-Datei. Denn in der .exe-Datei steuert ein Manifest, dass administrative Berechtigungen gebraucht werden und Windows ruft dann die Benutzerkontensteuerung auf. Aber es gibt einen Kniff, wie man vorgehen kann.
1. Hierzu ist eine administrative Eingabeaufforderung zu starten (kann man z.B. tun, indem man cmd in der Suche angibt und den Treffer der Eingabeaufforderung über Als Administrator ausführen startet).
2. Dann navigiert man mittels des cd-Befehls zum Ordner mit der ausführbaren .exe-Datei und startet diese durch Eingabe das Dateinamens und Drückens der Eingabetaste.
Der "Tipp" wird an diversen Stellen im Internet gegeben. Aber warum klappt dann die Installation höchstwahrscheinlich? Der Ansatz nutzt den Umstand, dass eine administrative Eingabeaufforderung bereits beim Aufruf die Benutzerkontensteuerungs-Prüfung absolviert hat. Alle aus der Eingabeaufforderung gestarteten Prozesse erhalten also ein administratives Token. Der unter Windows beim Doppelklick auf eine Programmdatei/App erforderliche Aufruf der Benutzerkontensteuerung entfällt also. Und damit entfällt auch die Sicherheitsprüfung des Zertifikats durch die Benutzerkontensteuerung.
Der zweite Tipp besteht darin, die Benutzerkontensteuerung zu deaktivieren. Der entsprechende Registry-Hack ist z.B. in diesem Forentposting beschrieben. Denkbar wäre es auch, dass Benutzerkonto Administrator mit net user administrator /active:yes freizugeben und die Installation dort vorzunehmen (siehe auch Vom Windows-Administratorkonto ausgesperrt – Teil II). Aber die Verwendung der Eingabeaufforderung ist in meinen Augen einfacher. Nachtrag: Bin sogar auf einen Tipp, den Built-In-Administrator zu aktivieren, gestoßen.
Der oben beschriebene Mechanismus ist auch der Grund, warum der Samsung Printer Software Installer funktioniert, oder warum Leute (wie hier) das Freeware Tool: NTFS Permissions Tools zur Installation benutzen.
Zertifikat mit File Unsigner entfernen
Für Härtefälle, bei denen die obigen Ansätze scheitern, bestände noch die Möglichkeit, das digitale Zertifikat aus der Programmdatei zu entfernen. Hierzu gibt es den "File Unsigner", der Zertifikate entfernen kann – die Lösung ist in diesem HP-Forenthread beschrieben.
1. Zuerst den File Unsigner von der betreffenden Webseite herunterladen und in einen Ordner entpacken.
2. Dann die störrische Datei in Ordner mit dem File Unsigner kopieren und dann das .exe-Programm über das File Unsigner-Programm ziehen und ablegen.
Sobald das Zertifikat entfernt ist, kann man mit den obigen Ansätzen experimentieren. Allerdings soll an dieser Stelle eine fette Warnung ausgesprochen werden: Ein Zertifikat wird nicht unbedingt aus Jux und Dollerei zurückgezogen. Ich wäre sehr vorsichtig mit dem Entfernen des digitalen Zertifikats aus einer Installationsdatei.
Weitere Diagnoseinformationen aus dem Web
Beim Schreiben des Beitrags hat mich interessiert, ob man noch weitere Informationen zu diesem Problem bekommen kann. Bei Microsoft Answers findet sich dieser Thread, in dem ein Nutzer eine log-Datei eines gescheiterte Installationsversuchs unter Windows 7 vorlegt. Dort gibt es von einem Nutzer Catalin Dobrescu den Hinweis, den MSI-Installer durch einen Registrierungseintrag wieder freizugeben. Ich bin aber unsicher, ob das in obigem Windows 10-Fall hilft.
Auch in diesem Forenthread legt jemand Log-Dateien für Installationsprobleme vor und dann gibt es einen Link auf diesen MSDN-Blog-Beitrag von Aron Stebner, in dem er das Tool SubInACL thematisiert, um Zugriffsberechtigungsprobleme in der Registrierung zu beheben. Ich bin mir aber unsicher, dass das bei obigen Windows 10-Problem hilft.
In diesem MS Answers-Forenbeitrag wird das Problem "Administratorrichtlinien verhindern die Installation" für Windows 7 thematisiert und es werden log-Dateien analysiert. Ein Fix für dieses Problem findet sich hier – wobei ich vom Gefühl her davon ausgehe, dass es ebenfalls nichts mit dem obigen Windows 10-Problem zu tun hat.
Im Adobe-Forum habe ich noch diesen Thread zum Adobe Reader gefunden, wo Adobe Abhilfe für die eigene Software verspricht. Auch hier gibt es einen ähnliche Thread für den Adobe Reader, der wohl eher nicht für obiges Problem zielführend ist.
Noch ein Verdacht …
Die Häufung bestimmter Anfragen von Windows 10-Benutzern wegen des Problems hat mich noch etwas suchen lassen. Ich gebe es zu, der Ansatz ist noch etwas nebulös. In Windows 10 lässt sich in der Systemsteuerung unter Sicherheit und Wartung auf die Windows SmartScreen-Einstellungen ändern-Option zugreifen.
Es ist nur ein Bauchgefühl – und ich kann daneben liegen. Wir haben mit DoNotSpy10 oder Optimierungstools einige Möglichkeiten, mit denen ungeplant in die Registrierungseinstellungen eingegriffen werden kann. Möglicherweise liegt da der Hund begraben. Falls also jemand betroffen ist und hier im Blog vorbei kommt, ggf. mal in der Ecke nachschauen.
Nachtrag: Nachdem ich den Blog-Beitrag verfasst hatte, bin ich bei der Suche im Web auf ähnliche Gedanken gestoßen. Auch in diesem Thread gibt jemand den Hinweis, den SmartScreen-Filter zu überprüfen.
Der Beitrag ist ein wenig "work in progress", bei dem ich mein Wissen und etwas Bauchgefühl mit den Tipp, die man im Internet (aber ohne Erklärung bzgl. des Warum) findet, zusammen gebracht habe. Vielleicht hat jemand noch weitere Erkenntnisse, die in Form von Kommentaren hier zusammen getragen werden können.
Anzeige
Hallo Günter,
im Gegensatz zum gestrigen Win10-Bashing (Windows 10: Cortana-Bing Zwangssuche passé!) und der daraus, aus meiner Sicht, berechtigten Kritik an Dich, ist dieser Artikel mal wieder absolut lesenswert. Zwar ist mir eine solche Meldung noch nie untergekommen, aber aus meiner Praxis als "Helfer in der Not", weiß ich, daß genau solche Meldungen, aus welchen Gründen auch immer, auftauchen und man dann, erst einmal ziemlich ratlos, da steht.
Deinen Lösungsansatz werde ich festhalten. Vielen Dank dafür!
Berechtigte Kritik ist kein Bashing.
Diese Webseite (Born City) ist sehr hilfreich, seitdem Microsoft keinerlei vernünftige Hilfefunktion mehr anbietet.
Beispiel: Nach "diskpart" googlen. Der erste Treffer führt zu Technet und betrifft Windows Vista… Wenn Microsoft die Hilfe wirklich pflegen würde, stünde dort: Windows Vista, 7, 8/8.1 und 10
Als User kann ich nur sagen, der letzte Sch…, Fehlermeldungen ohne hinweis auf Lösungen sind heutzutage schlichtweg die absolute Frechheit. Was ich an Zeit verbrate und jeder Jahr an Geld ausgeben muss um in einen kleinen Betrieb 6 PC's mit Updates, und sonstigen Problemen am laufen zu halten geht auf keine Kuhaut. Aber ein Versprechen kann ich heute schon geben, wenn ich in Rente wird der Schrott abgeschaft. PS: Eigentlich sollte man Microsoft für den Mist den die Produzieren zur Rechnenschaft ziehen und auf Schadenersatz verklagen.
Jo hab ich schon vor ein paar Monaten bemerkt das dieser Windows SmartScreen Filter für was auch immer dieser gut ist diverse Sachen zb. Treiber Installationen sang und klanglos blockiert.
Das ganze lässt sich aber auch über, Start > Einstellungen > Update und Sicherheit > Wiederherstellung > Erweiterter Start > Jetzt Neustarten > Erzwingen der Treibersignatur deaktivieren mittels [F7] Taste > Windows neu Starten, den unsignierten Treiber installieren. Anschließend auf gleichem Weg wieder einschalten.
Gute Sache. Das habe ich so auch schon einmal gemacht. Wäre mir aber jetzt nicht eingefallen. Bei mir wars glaube ich ein älterer Bildschirmtreiber für einen alten Monitor. Damals kam direkt die Meldung mit den unsignierten Treiber.
Übel ist auch für Laien: Acronis bricht beim Booten der Windows PE Umgebung ab. Wegen eines unsignierten Treibers. Als Laie und zusätzlich nervös wegen Systemcrash sitze da erstmal mit roten Kopf.
Habe ich auch nur im Rahmen einer Software Installation mit unsignierten Treiber herausgefunden, aber wenn man es dann weiß ist es nicht mehr ganz so tragisch, wie es andere darstellen.
Ich habe das Problem auch mit HP-Drucker und zwar mit der Toolbox-Fax bei Upgrade von Win 7 auf Win 10. Das Zertifikat ist abgelaufen.
Das kann aber das Problem nicht sein, denn bei einem anderen PC mit Upgrade von Win 7 auf Win 10 hat er das nicht moniert und dort funktioniert es. Am Zertifikat liegt es nicht.
Ich muss mal weiter suchen oder hat jemand eine Idee?
Danke Günter!
Ich habe das nun mit File Unsigner gemacht und das Zertifikat entfernt. Damit geht es. Die Datei habe ich gesichert.
Komisch ist nur, dass auf anderen Win10 PC (Upgrade) es problemlos funktioniert.
Danke, war nützlich!
Danke war erstmal Hilfreich, ich konnte das Programm starten. Aber über desktop geht es von heute auf morgen nicht mehr ohne das ich weis warum. Das Programm war installiert, hat immer funktioniert bis aus heiterem himmel der start verweigert wird.
Wer eine Idee wie man es zum laufen bekommen kann?
Moin!
Ich bin auf diesen Beitrag gestoßen, weil Easytune6 von Gigabyte nach Installation zwar lief, aber nach einigen Aufrufen mit der oben genannten Fehlermeldung blockiert wurde.
Neuere Versionen von Easytune führten auf meinem alten MB (P55 USB3) sogar zu BlueScreens.
Da ich das alte Easytune zur Lüftersteuerung benötige, habe ich einfach mal versucht, das Zertifikat mit FileUnsigner zu entfernen.
Danach war der Blockade aufgehoben.
Vielen Dank für diese Info.
Gruß
Matthias
Hi,
habe mich auch gerade mit diesem Problem herumgeschlagen. Ein Universal Scannertreiber für einen recht alten Samsung/HP MFC.
Der Witz: Die beanstandete EXE ist nur ein selbstextrahierendes Archiv!
Ich hätte fast ein virtuelles Windows XP gestartet um den Mist auszupacken (vielleicht hätte es auch 7zip getan?), da kam der Rat mit der Admin Console gerade recht.
Danke!
Hallo
Ich habe beide Möglichkeiten probiert, werde aber in der Eingabeaufforderung immer mit den Worten "Systemfehler 5" und "Zugriff verweigert" abgeblockt. Was kann ich stattdessen tun und vor allem wie GENAU, ich bin nämlich ein absoluter Laie. Das Programm, dass ich installieren will, ist vertrauenswürdig, das Zertifikat ist aber wahrscheinlich veraltet oder nicht mehr gültig. Kann ich da überhaupt etwas tun?
Gruß,
Elisabeth
HP Scan Jet 3800 hat mit Solution Center auch unter WIN 10 reibungslos funktioniert. Seit einem Win 10 update im Dez. 2020 ist beim Start des Solution Center eine Bilddatei vorgeschaltet "f u. i". Seit dem kann das Solution Center nicht mehr gestartet werden. Was kann ich tun um den alten Zustand wieder zu erhalten?
Wenn ich es richtig sehe, hängt es am Flash-Player, der 2020 das Supportende erreicht hat. Da geht nix.