Windows: Apps werden aus Sicherheitsgründen blockiert

Speziell bei Windows 10 melden sich immer wieder Anwender, bei denen die Installation einer Anwendung (App) oder eines Druckertreibers aus “Sicherheitsgründen” blockiert wird. Es gibt dann den Hinweis, dass der Systemadministrator diese Blockade gesetzt habe. In der Regel ist der Anwender aber sein Administrator, weshalb dann Ratlosigkeit herrscht. Hier ein paar Informationen zu diesem Thema, welches aber nicht ausschließlich auf Windows 10 begrenzt ist (obwohl in älteren Windows-Versionen andere Mechanismen greifen).


Anzeige

Das Fehlerbild

Die Beschreibung des Fehlers findet sich beispielsweise in diesem Forenthread bei pcgameshardware.de. Die Benutzerkontensteuerung blockiert das Ausführen einer App aus Sicherheitsgründen, weil der Herausgeber als nicht vertrauenswürdig eingestuft wird. Der Anwender hat sogar den nachfolgenden Screenshot mit publiziert.

(Quelle)

Im Screenshot finden sich zwei Informationen, nämlich einmal, dass die Benutzerkontensteuerung beteiligt ist und zum Zweiten, dass der Herausgeber der App (sprich Win32-Anwendung) nicht vertrauenswürdig ist. Die Vertrauenswürdigkeit wird über ein Zertifikat, welches in der Programmdatei enthalten ist, gesteuert. Ist das Zertifikat unbekannt oder abgelaufen, schlägt die Sicherheitsprüfung der Benutzerkontensteuerung an.

Damit entfällt vermutlich eine gelegentlich in Foren geäußerte Vermutung, dass die Datenausführungsverhinderung beteiligt sei (siehe hier, obwohl die Überprüfung einen Versuch wert zu sein scheint). Auch die Blockade der Programmausführung durch Gruppenrichtlinien (siehe Programm-Blockade durch Gruppenrichtlinie oder Ausführung einer Anwendung oder EXE Datei unter Windows verhindern oder diesen Thread) würde ich nicht als Ursache vermuten. Beide Ursachen waren in Windows-Versionen vor Windows 10 der Grund für Blockaden.

Das Problem ist bei Druckertreibern bekannt

Geht man im Internet auf die Suche, stößt man z.B. auf diesen Microsoft Answers-Thread, der mir seinerzeit unter die Augen kam. Dort kommen konkrete Hinweise, dass die Zertifikate diverser Samsung-Treiber ungültig sind. Auch in diesem Dr.Windows Forenthread beschreibt der Threadersteller das Problem sehr anschaulich. Bezüglich der Samsung-Treiberproblematik gibt es eine Lösung: Samsung hat ein Tool Samsung Printer Software Installer herausgegeben, welches selbst signiert ist und die unsignierten Druckertreiber installieren kann. Warum das funktioniert, erkläre ich im Abschnitt zum Workaround.

Und es gibt noch zwei Fundstellen (hier, hier) bei HP, die für mich ähnlich klingen (Herausgeber: Nicht vertrauenswürdig), wobei dort der Fehlercode 1625 vom Installer genannt wird. Problem bei HP: Die Seiten sind aus 2014 und schlecht gepflegt. So fehlt sowohl das Bild der Benutzerkontensteuerung und auch der Linkverweis ist zwischenzeitlich gebrochen. In diesem HP-Forenthread findet sich der nachfolgend gezeigte Screenshot für ein anderes Programm, der ein zurückgezogenes Zertifikat zeigt.

In diesem Fälle wäre eigentlich die korrekte Lösung, eine digital korrekt signierte Installationsdatei vom Gerätehersteller anzufordern.

Ein Workaround für das Zertifikateproblem

An dieser Stelle zuerst die Frage, wie man als Anwender aus der misslichen Lage kommt, das Programm, dem man natürlich vertrauen muss, doch noch zu installieren. Vorab: Der Versuch, die Installation über den Kontextmenübefehl Als Administrator ausführen oder durch Anmeldung an einem Administratorkonto vorzunehmen, wird schlicht scheitern. Der Grund: Dort kommen die gleichen Mechanismen zum Aufrufen der Benutzerkontensteuerung zum Einsatz wie beim Doppelklick auf die .exe-Datei. Denn in der .exe-Datei steuert ein Manifest, dass administrative Berechtigungen gebraucht werden und Windows ruft dann die Benutzerkontensteuerung auf. Aber es gibt einen Kniff, wie man vorgehen kann.


Anzeige

1. Hierzu ist eine administrative Eingabeaufforderung zu starten (kann man z.B. tun, indem man cmd in der Suche angibt und den Treffer der Eingabeaufforderung über Als Administrator ausführen startet).

2. Dann navigiert man mittels des cd-Befehls zum Ordner mit der ausführbaren .exe-Datei und startet diese durch Eingabe das Dateinamens und Drückens der Eingabetaste.

Der “Tipp” wird an diversen Stellen im Internet gegeben. Aber warum klappt dann die Installation höchstwahrscheinlich? Der Ansatz nutzt den Umstand, dass eine administrative Eingabeaufforderung bereits beim Aufruf die Benutzerkontensteuerungs-Prüfung absolviert hat. Alle aus der Eingabeaufforderung gestarteten Prozesse erhalten also ein administratives Token. Der unter Windows beim Doppelklick auf eine Programmdatei/App erforderliche Aufruf der Benutzerkontensteuerung entfällt also. Und damit entfällt auch die Sicherheitsprüfung des Zertifikats durch die Benutzerkontensteuerung.

Der zweite Tipp besteht darin, die Benutzerkontensteuerung zu deaktivieren. Der entsprechende Registry-Hack ist z.B. in diesem Forentposting beschrieben. Denkbar wäre es auch, dass Benutzerkonto Administrator mit net user administrator /active:yes freizugeben und die Installation dort vorzunehmen (siehe auch Vom Windows-Administratorkonto ausgesperrt – Teil II). Aber die Verwendung der Eingabeaufforderung ist in meinen Augen einfacher. Nachtrag: Bin sogar auf einen Tipp, den Built-In-Administrator zu aktivieren, gestoßen.

Der oben beschriebene Mechanismus ist auch der Grund, warum der Samsung Printer Software Installer funktioniert, oder warum Leute (wie hier) das Freeware Tool:  NTFS Permissions Tools zur Installation benutzen.

Zertifikat mit File Unsigner entfernen

Für Härtefälle, bei denen die obigen Ansätze scheitern, bestände noch die Möglichkeit, das digitale Zertifikat aus der Programmdatei zu entfernen. Hierzu gibt es den “File Unsigner”, der Zertifikate entfernen kann – die Lösung ist in diesem HP-Forenthread beschrieben.

1. Zuerst den File Unsigner von der betreffenden Webseite herunterladen und in einen Ordner entpacken.

2. Dann die störrische Datei in Ordner mit dem File Unsigner kopieren und dann das .exe-Programm über das File Unsigner-Programm ziehen und ablegen.

Sobald das Zertifikat entfernt ist, kann man mit den obigen Ansätzen experimentieren. Allerdings soll an dieser Stelle eine fette Warnung ausgesprochen werden: Ein Zertifikat wird nicht unbedingt aus Jux und Dollerei zurückgezogen. Ich wäre sehr vorsichtig mit dem Entfernen des digitalen Zertifikats aus einer Installationsdatei.

Weitere Diagnoseinformationen aus dem Web

Beim Schreiben des Beitrags hat mich interessiert, ob man noch weitere Informationen zu diesem Problem bekommen kann. Bei Microsoft Answers findet sich dieser Thread, in dem ein Nutzer eine log-Datei eines gescheiterte Installationsversuchs unter Windows 7 vorlegt. Dort gibt es von einem Nutzer Catalin Dobrescu den Hinweis, den MSI-Installer durch einen Registrierungseintrag wieder freizugeben. Ich bin aber unsicher, ob das in obigem Windows 10-Fall hilft.

Auch in diesem Forenthread legt jemand Log-Dateien für Installationsprobleme vor und dann gibt es einen Link auf diesen MSDN-Blog-Beitrag von Aron Stebner, in dem er das Tool SubInACL thematisiert, um Zugriffsberechtigungsprobleme in der Registrierung zu beheben. Ich bin mir aber unsicher, dass das bei obigen Windows 10-Problem hilft.

In diesem MS Answers-Forenbeitrag wird das Problem “Administratorrichtlinien verhindern die Installation” für Windows 7 thematisiert und es werden log-Dateien analysiert. Ein Fix für dieses Problem findet sich hier – wobei ich vom Gefühl her davon ausgehe, dass es ebenfalls nichts mit dem obigen Windows 10-Problem zu tun hat.

Im Adobe-Forum habe ich noch diesen Thread zum Adobe Reader gefunden, wo Adobe Abhilfe für die eigene Software verspricht. Auch hier gibt es einen ähnliche Thread für den Adobe Reader, der wohl eher nicht für obiges Problem zielführend ist.

Noch ein Verdacht …

Die Häufung bestimmter Anfragen von Windows 10-Benutzern wegen des Problems hat mich noch etwas suchen lassen. Ich gebe es zu, der Ansatz ist noch etwas nebulös. In Windows 10 lässt sich in der Systemsteuerung unter Sicherheit und Wartung auf die Windows SmartScreen-Einstellungen ändern-Option zugreifen.

Es ist nur ein Bauchgefühl – und ich kann daneben liegen. Wir haben mit DoNotSpy10 oder Optimierungstools einige Möglichkeiten, mit denen ungeplant in die Registrierungseinstellungen eingegriffen werden kann. Möglicherweise liegt da der Hund begraben. Falls also jemand betroffen ist und hier im Blog vorbei kommt, ggf. mal in der Ecke nachschauen.

Nachtrag: Nachdem ich den Blog-Beitrag verfasst hatte, bin ich bei der Suche im Web auf ähnliche Gedanken gestoßen. Auch in diesem Thread gibt jemand den Hinweis, den SmartScreen-Filter zu überprüfen.

Der Beitrag ist ein wenig “work in progress”, bei dem ich mein Wissen und etwas Bauchgefühl mit den Tipp, die man im Internet (aber ohne Erklärung bzgl. des Warum) findet, zusammen gebracht habe. Vielleicht hat jemand noch weitere Erkenntnisse, die in Form von Kommentaren hier zusammen getragen werden können.


Anzeige
Dieser Beitrag wurde unter Problemlösung, Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Vista abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Windows: Apps werden aus Sicherheitsgründen blockiert


  1. Anzeige
  2. Pingback: Anonymous

  3. Ralf-Dieter Ernst sagt:

    Hallo Günter,
    im Gegensatz zum gestrigen Win10-Bashing (Windows 10: Cortana-Bing Zwangssuche passé!) und der daraus, aus meiner Sicht, berechtigten Kritik an Dich, ist dieser Artikel mal wieder absolut lesenswert. Zwar ist mir eine solche Meldung noch nie untergekommen, aber aus meiner Praxis als “Helfer in der Not”, weiß ich, daß genau solche Meldungen, aus welchen Gründen auch immer, auftauchen und man dann, erst einmal ziemlich ratlos, da steht.
    Deinen Lösungsansatz werde ich festhalten. Vielen Dank dafür!

    • Dieter Schmitz sagt:

      Berechtigte Kritik ist kein Bashing.

      Diese Webseite (Born City) ist sehr hilfreich, seitdem Microsoft keinerlei vernünftige Hilfefunktion mehr anbietet.

      Beispiel: Nach “diskpart” googlen. Der erste Treffer führt zu Technet und betrifft Windows Vista… Wenn Microsoft die Hilfe wirklich pflegen würde, stünde dort: Windows Vista, 7, 8/8.1 und 10

      • Frank sagt:

        Als User kann ich nur sagen, der letzte Sch…, Fehlermeldungen ohne hinweis auf Lösungen sind heutzutage schlichtweg die absolute Frechheit. Was ich an Zeit verbrate und jeder Jahr an Geld ausgeben muss um in einen kleinen Betrieb 6 PC’s mit Updates, und sonstigen Problemen am laufen zu halten geht auf keine Kuhaut. Aber ein Versprechen kann ich heute schon geben, wenn ich in Rente wird der Schrott abgeschaft. PS: Eigentlich sollte man Microsoft für den Mist den die Produzieren zur Rechnenschaft ziehen und auf Schadenersatz verklagen.

  4. Anzeige

  5. Jo hab ich schon vor ein paar Monaten bemerkt das dieser Windows SmartScreen Filter für was auch immer dieser gut ist diverse Sachen zb. Treiber Installationen sang und klanglos blockiert.

    Das ganze lässt sich aber auch über, Start > Einstellungen > Update und Sicherheit > Wiederherstellung > Erweiterter Start > Jetzt Neustarten > Erzwingen der Treibersignatur deaktivieren mittels [F7] Taste > Windows neu Starten, den unsignierten Treiber installieren. Anschließend auf gleichem Weg wieder einschalten.

    • Thomas Bauer sagt:

      Gute Sache. Das habe ich so auch schon einmal gemacht. Wäre mir aber jetzt nicht eingefallen. Bei mir wars glaube ich ein älterer Bildschirmtreiber für einen alten Monitor. Damals kam direkt die Meldung mit den unsignierten Treiber.
      Übel ist auch für Laien: Acronis bricht beim Booten der Windows PE Umgebung ab. Wegen eines unsignierten Treibers. Als Laie und zusätzlich nervös wegen Systemcrash sitze da erstmal mit roten Kopf.

      • Habe ich auch nur im Rahmen einer Software Installation mit unsignierten Treiber herausgefunden, aber wenn man es dann weiß ist es nicht mehr ganz so tragisch, wie es andere darstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.