Отключить блокировку загруженных файлов в Windows 10

Мужчина работает за компьютером с Windows 10

Windows 10 может предотвратить открытие скачанных файлов. Система выдаёт предупреждение, что файл пришёл из неизвестного источника и может быть небезопасен. Это поведение — функция Attachment Manager. Она добавляет метаданные (Zone Information) к файлам и блокирует те, которые считает сомнительными.

Ниже подробно объяснено, как это работает, когда это полезно и как безопасно остановить автоматическую блокировку скачанных файлов. Приведены пошаговые инструкции для реестра и локальной политики группы, чек-листы для разных ролей, план тестирования и шаги отката.

Что такое Attachment Manager и Zone Information

Attachment Manager — встроенный компонент безопасности Windows. Он использует API IAttachmentExecute для определения типа файла и связанности с приложениями. Когда вы скачиваете файл, Windows добавляет к нему метаданные Zone Information в альтернативный поток данных (Alternate Data Stream). При попытке открыть файл Проводник читает эти метаданные и определяет, пришёл ли файл из интернета, электронной почты или другого «зона» (например, «Internet» или «Intranet»). Если Attachment Manager считает источник ненадёжным, он блокирует файл и показывает предупреждение SmartScreen.

Коротко: Zone Information — это метка происхождения файла. Attachment Manager использует её, чтобы предотвратить запуск потенциально опасных приложений.

Когда Windows блокирует файлы и что это значит

Файлы, скачанные из браузера или вложения писем, обычно помечаются как «из Интернета».
Windows показывает предупреждение SmartScreen: «Windows SmartScreen prevented an unrecognized app from starting. Running this app might put your PC at risk.»
Если файл безопасен и вы доверяете источнику, его можно разблокировать вручную через Свойства → Разблокировать.

Вручную разблокировать файл: щёлкните правой кнопкой по файлу → Свойства → на вкладке Общие нажмите «Разблокировать», затем «Применить» и «OK».

Важно: ручное разблокирование безопасно для конкретного файла, но утомительно при частых загрузках.

Стратегия: когда отключать блокировку и когда нет

Отключайте сохранение Zone Information только если вы уверены в источниках загрузки: надёжные сайты, подписанные дистрибутивы, корпоративные репозитории.
Если вы часто скачиваете файлы из неизвестных источников, лучше оставить защиту включённой и использовать песочницу (VM) для проверки.
В корпоративной среде сначала согласуйте изменения с отделом безопасности. Отдельные политики могут быть принудительно применены и переопределять локальные настройки.

Метод 1 — изменить реестр (подходит для всех изданий Windows 10)

Подходит, когда у вас Windows 10 Home или вы предпочитаете правки через реестр.

Нажмите Windows + R, введите regedit и нажмите Enter. Подтвердите запрос контроля учётных записей (UAC) кнопкой «Да».

Открытие редактора реестра в Windows 10

Перейдите к ключу:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
Если ключа Attachments нет, создайте его: правый клик на Policies → New → Key → назовите Attachments.

Навигация к ключу Attachments в редакторе реестра

Внутри Attachments правый клик → New → DWORD (32-bit) Value.

Создание ключа Attachments в редакторе реестра

Назовите новый DWORD SaveZoneInformation и нажмите Enter.

Выбор DWORD (32-bit) Value в редакторе реестра

Дважды кликните по SaveZoneInformation и установите значение Value data = 1. Нажмите OK.

Создание нового ключа SaveZoneInformation в редакторе реестра

Перезагрузите компьютер, чтобы изменения вступили в силу.

Результат: Windows перестаёт сохранять Zone Information для новых загруженных файлов. Это позволяет открывать скачанные файлы без запроса «Разблокировать».

Как вернуть всё обратно: в том же ключе SaveZoneInformation установите значение 3, либо удалите параметр.

Отключение Attachment Manager через редактор реестра

Примечание: некоторые корпоративные политики или сторонние защитные решения могут переписать этот параметр при повторном применении групповой политики.

Метод 2 — локальная политика группы (gpedit.msc)

Этот способ работает только на Windows 10 Pro, Enterprise и Education. На Home-издании gpedit.msc недоступен.

Нажмите Windows + R, введите gpedit.msc и нажмите Enter.

Открытие редактора локальной групповой политики

Перейдите: User Configuration → Administrative Templates → Windows Components → Attachment Manager.

Навигация к Attachment Manager в редакторе групповой политики

В правой панели откройте политику Do not preserve zone information in file attachments.

Выбор опции не сохранять информацию о зоне в вложениях файлов

Установите переключатель в положение Enabled, нажмите Apply и OK.

Включение опции не сохранять информацию о зоне в редакторе групповой политики

Перезагрузите систему.

Эффект аналогичен записи в реестре: Windows не будет сохранять Zone Information для новых загрузок. Чтобы вернуть стандартное поведение, установите политику в Disabled или Not Configured.

Когда отключение не решит проблему (контрпримеры)

SmartScreen иногда прибегает к репутации приложений и может продолжать блокировать неподписанные или малораспространённые исполняемые файлы даже без Zone Information.
Антивирусы и решения EDR в корпоративной сети могут блокировать запуск файлов независимо от Zone Information.
Если на компьютере применяются доменные политики, локальные изменения могут быть перезаписаны при следующей синхронизации.

План тестирования перед массовым применением (минимум шагов)

Создайте контрольную виртуальную машину (VM) или используйте отдельный тестовый ПК.
Примените изменения через реестр или локальную политику.
Скачайте несколько типов файлов: .exe, .msi, .zip, .docx, .pdf и вложение электронной почты.
Попробуйте открыть файлы и зафиксируйте поведение (блокировка/открытие). Если какие-то типы всё ещё блокируются — задокументируйте.
Проверьте логи Windows и систем безопасности на предмет событий, связанных с блокировкой.
При успешном тесте планируйте развёртывание и укажите период наблюдения.

Критерии приёмки:

Скачанные файлы открываются без запроса «Разблокировать».
SmartScreen и антивирус не блокируют законные пакеты после проверки.
Централизованные политики не перезаписывают изменения в течение тестового периода.

Чек-лист по ролям

Администратору:

Сделать резервную копию реестра или точку восстановления.
Тестировать на VM и выбрать способ применения (реестр/GP).
Подготовить инструкцию отката.

Пользователю (Home):

Использовать метод реестра, если нет gpedit.msc.
Не отключать защиту без необходимости. Проверять источники скачивания.

ИТ-поддержке:

Документировать изменения и уведомить отдел безопасности.
Наблюдать за инцидентами после изменения.

Пошаговое восстановление и план отката

Если последствия неприемлемы или появились инциденты:

Реестр: откройте HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments и установите SaveZoneInformation = 3 или удалите параметр. Перезагрузите ПК.
Локальная политика: откройте gpedit.msc → Attachment Manager и установите Do not preserve zone information in file attachments в Disabled или Not Configured. Перезагрузите.
Проверьте логи и запустите сканирование антивирусом.

Риски и способы снижения (матрица)

Риск: запуск вредоносного файла из неизвестного источника.
- Митигатор: оставьте SmartScreen и антивирус включёнными, проверяйте подписи файлов.
Риск: корпоративная политика будет нарушена.
- Митигатор: согласуйте изменения с отделом безопасности и используйте конечную систему тестирования.
Риск: локальные изменения будут перезаписаны доменной политикой.
- Митигатор: внедрять изменения через централизованную конфигурацию (GPO) при необходимости.

Альтернативные подходы

Разрешать отдельные сайты/домены в корпоративном прокси и скачивать файлы только с доверенных адресов.
Использовать подписанные дистрибутивы и проверять подписи перед запуском.
Работать в песочнице (Windows Sandbox, виртуальная машина) для проверки сомнительных файлов.

Краткие рекомендации по безопасности

Даже после отключения Zone Information не пренебрегайте антивирусом и SmartScreen для браузера.
Не отключайте сохранение Zone Information для всех пользователей в корпоративной сети без согласования.
Для разработчиков и администраторов: подписывайте исполняемые файлы и распространяйте через доверенные каналы.

Дерево принятия решения (Mermaid)

flowchart TD
  A[Нужно перестать вручную разблокировать файлы?] --> B{Используется Windows 10 Home?}
  B -- Да --> C[Использовать Регистp 'regedit' и SaveZoneInformation = 1]
  B -- Нет --> D{Нужна централизация для группы пользователей?}
  D -- Да --> E[Использовать локальную/доменную политику 'gpedit/GPO' и включить политику]
  D -- Нет --> C
  C --> F[Тест на VM и откатный план]
  E --> F
  F --> G[Внедрять и мониторить инциденты]

Примеры сценариев, когда отключение не подходит

Вы работаете с конфиденциальными данными и соблюдаете жёсткие стандарты безопасности.
Компания требует журналирование и контроль запуска приложений через EDR/MDM.
Вы получаете много вложений из неизвестных источников и не готовы проверять каждый файл.

Заключение

Отключение сохранения Zone Information устраняет повторную необходимость разблокировать скачанные файлы. Это повышает удобство, но снижает один уровень защиты. Применяйте изменения осознанно: тестируйте на отдельной машине, сохраняйте точку восстановления и согласуйте изменения при работе в корпоративном окружении.

Ключевые шаги ещё раз:

Для Home: правка реестра — создайте SaveZoneInformation = 1 в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments.
Для Pro/Enterprise/Education: включите политику Do not preserve zone information in file attachments в gpedit.msc.
Тестируйте, наблюдайте и имейте план отката.

Если у вас есть вопросы по конкретным шагам (например, экспорт/импорт реестра, развертывание через GPO или сценарии для корпоративного использования), напишите, и я подготовлю пошаговые инструкции под ваш случай.