Что такое Mark of the Web?

Mark of the Web (MOTW) — это альтернативный поток данных ZoneIdentifier, который Windows добавляет к файлам, скачанным из интернета. Поле ZoneId=3 означает Internet Zone. При открытии файла с MOTW Windows и офисные приложения включают защитные механизмы: Protected View, блокировку макросов, предупреждения SmartScreen.

Как посмотреть или снять MOTW с файла?

В проводнике: правый клик → Свойства → кнопка Разблокировать. В PowerShell: Unblock-File -Path C:\path\file.docx. Проверить: Get-Item file.docx -Stream Zone.Identifier. Поток также виден командой dir /R.

Можно ли полностью отключить MOTW?

Можно, но это плохая идея. MOTW — бесплатный рабочий слой защиты от фишинга. Отключение через GPO или реестр (SaveZoneInformation=1) открывает сотрудников для макросов в документах из интернета. В корпоративной среде — наоборот, усиливайте MOTW дополнительными политиками.

Почему макросы всё равно запускаются на некоторых файлах?

Если файл пришёл не через браузер, а через копирование по SMB, распаковку архива 7-Zip старой версии или через облачный клиент без MOTW-интеграции — MOTW не ставится. С июля 2022 Microsoft ввёл блокировку макросов в файлах с MOTW по умолчанию, но без MOTW этот барьер не сработает.

Как настроить MOTW для всего домена через GPO?

User Configuration → Administrative Templates → Windows Components → Attachment Manager. Включите Do not preserve zone information in file attachments в Disabled, включите Hide mechanisms to remove zone information в Enabled, и Notify antivirus programs when opening attachments в Enabled.

Безопасность 2 октября 2025 · 14 мин чтения

Mark of the Web: используем встроенный механизм Windows для блокировки опасных превью

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет администрирования офисных сетей на Windows я расследовал десятки инцидентов с шифровальщиками, и 8 из 10 случаев начинались одинаково: бухгалтер открывает «акт выполненных работ.xlsx» из письма, жмёт «Разрешить редактирование», выполняется макрос, через 20 минут все файлы на общих папках зашифрованы. Эту цепочку можно разорвать бесплатным инструментом, который встроен в Windows и называется Mark of the Web.

Что такое MOTW и как он работает

Mark of the Web — это небольшая метка, которую Windows ставит на любой файл, попавший в систему из внешнего источника: браузер, почтовый клиент, скачивание через Outlook, SharePoint, OneDrive. Физически это альтернативный поток данных (Alternate Data Stream) NTFS с именем Zone.Identifier. Внутри — номер зоны:

ZoneId	Зона	Где ставится
0	Local Machine	Локальный диск
1	Intranet	Внутренний ресурс
2	Trusted Sites	Доверенные сайты IE
3	Internet	Скачано из интернета
4	Restricted Sites	Запрещённые сайты

Любое значение >= 3 запускает защитные механизмы: Protected View в Office, блокировку макросов, SmartScreen-предупреждения при запуске EXE, блокировку CHM-справки, отключение динамического контента.

Проверяем MOTW руками

# Посмотреть метку
Get-Item .\contract.docx -Stream Zone.Identifier | Format-List
Get-Content .\contract.docx -Stream Zone.Identifier

# Убрать MOTW (разблокировать)
Unblock-File .\contract.docx

# Пакетно на всю папку
Get-ChildItem C:\work\inbox -Recurse | Unblock-File

# Посмотреть через cmd
dir /R contract.docx
# Увидите :Zone.Identifier:$DATA

У нас на практике я всегда начинаю расследование инцидента с проверки MOTW на «нехорошем» файле — это показывает, пришёл он из интернета или был подложен изнутри сети.

Protected View в Office — основной барьер

Когда Word, Excel или PowerPoint открывает файл с MOTW, документ запускается в изолированном режиме Protected View. Макросы не работают, OLE-объекты отключены, ссылки не активны. Пользователь видит жёлтую полоску «Включить редактирование» — и это критический момент. 70% инцидентов происходит именно после нажатия этой кнопки без раздумий.

С июля 2022 Microsoft ввёл блокировку макросов в документах с MOTW по умолчанию — вместо полоски «Включить контент» пользователь видит красное сообщение «Microsoft заблокировал выполнение макросов» с ссылкой на разъяснение. Это важно включить в GPO для всех версий Office.

# Через реестр (для каждой версии Office отдельно)
# Word
reg add "HKCU\Software\Microsoft\Office\16.0\Word\Security" /v BlockContentExecutionFromInternet /t REG_DWORD /d 1 /f
# Excel
reg add "HKCU\Software\Microsoft\Office\16.0\Excel\Security" /v BlockContentExecutionFromInternet /t REG_DWORD /d 1 /f
# PowerPoint
reg add "HKCU\Software\Microsoft\Office\16.0\PowerPoint\Security" /v BlockContentExecutionFromInternet /t REG_DWORD /d 1 /f

GPO для корпоративной блокировки

Точечные реестровые правки — для одной машины. На домене это делается централизованно через Group Policy и административные шаблоны Office (admx-файлы от Microsoft).

Скачайте Administrative Templates for Microsoft 365 Apps / Office 2019/2021 с сайта Microsoft.
Положите admx в \\domain.local\SYSVOL\domain.local\Policies\PolicyDefinitions\.
В GPMC создайте политику «Office-Security-MOTW» и привяжите к OU с пользователями.
Включите ключевые параметры:

User Configuration → Policies → Admin Templates → Microsoft Word 2016 → Word Options → Security → Trust Center → Block macros from running in Office files from the Internet = Enabled
Те же пути для Excel, PowerPoint, Visio, Access.
User Configuration → Policies → Admin Templates → Windows Components → Attachment Manager → Do not preserve zone information in file attachments = Disabled.
Computer Configuration → Policies → Admin Templates → Windows Components → Windows Defender SmartScreen → Configure Windows Defender SmartScreen = Enabled, Warn and prevent bypass.

Почему MOTW иногда не ставится

Если пользователь получил файл не через браузер, метки может не быть. Типовые случаи:

Старые версии 7-Zip (до 22.00) не пробрасывали MOTW в файлы внутри архива. Обновляйтесь до 24.x.
Сетевая папка SMB с доверенного сервера. Windows считает её Intranet Zone.
ISO/VHD-файлы. До Windows 11 22H2 MOTW не пропагировался в содержимое — популярный трюк фишеров. Сейчас исправлено.
Копия через USB. Флешка обнуляет ADS-поток, если файловая система не NTFS.
Ручное удаление. Юзеры с админ-правами могут снять блок в свойствах файла.

Я всегда рекомендую комбинировать MOTW с AppLocker или WDAC — тогда даже без метки исполняемый файл вне белого списка не запустится.

SmartScreen и Reputation-based защита

SmartScreen — это облачный сервис Microsoft, который проверяет репутацию исполняемых файлов и URL. При запуске EXE/MSI с MOTW Windows спрашивает SmartScreen, и если файл неизвестен или имеет плохую репутацию, показывает предупреждение.

# Проверка состояния
Get-MpPreference | Select-Object EnableSmartScreen*

# Включение в режиме Block
Set-MpPreference -PUAProtection Enabled
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v EnableSmartScreen /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v ShellSmartScreenLevel /t REG_SZ /d "Block" /f

Кейс: защита офиса юридической фирмы от шифровальщика

В сентябре 2025 к нам обратилась юркомпания — 35 сотрудников, Windows 10/11, Office 2019. В августе они получили массовый фишинг: 22 письма за два дня с вложениями «Уведомление суда.docm». Три сотрудника открыли вложение, двое нажали «Включить содержимое» — макросы запустились, началось шифрование. К счастью, серверный бэкап на Veeam был не повреждён, но данные на трёх ноутбуках пропали.

Мы за 2 дня развернули:

GPO «Office-Security-MOTW» с блокировкой макросов из интернета для всех пользователей.
Блокировку OLE-объектов и ActiveX в Office.
Обновление 7-Zip до 24.08 на всех машинах.
AppLocker с белым списком исполняемых файлов.
SmartScreen в режиме Block на всех ПК.
Тренинг 40 минут для персонала по распознаванию фишинга.

За полгода с момента внедрения — 47 заблокированных фишинговых вложений по логам Defender, ноль инцидентов с шифрованием. Стоимость работ — 95 000 руб, включая обучение и документацию.

Тест MOTW в вашем офисе

# PowerShell-скрипт проверки: скачиваем тестовый файл и смотрим метку
$url = "https://example.com/test.docx"
$path = "$env:TEMP\test.docx"
Invoke-WebRequest -Uri $url -OutFile $path
Get-Item $path -Stream Zone.Identifier -ErrorAction SilentlyContinue
if ($?) {
  Write-Host "MOTW установлен корректно" -ForegroundColor Green
} else {
  Write-Host "MOTW не установлен — проверьте политики SaveZoneInformation" -ForegroundColor Red
}

Настройка защиты офисной почты и документооборота

Провожу аудит политик безопасности Office и Windows, разворачиваю GPO с MOTW-блокировкой, AppLocker, SmartScreen, Defender ASR-правилами. Обучение сотрудников распознаванию фишинга. Работаю с инфраструктурами Windows Server 2016/2019/2022 и клиентскими ОС.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — Mark of the Web

Что такое Mark of the Web?: MOTW — это метка ZoneIdentifier, которую Windows добавляет к файлам из интернета. При открытии включается Protected View, блокировка макросов, SmartScreen.
Как посмотреть или снять MOTW?: PowerShell: Get-Item / Unblock-File. В проводнике — свойства файла → Разблокировать.
Можно ли полностью отключить MOTW?: Технически можно, но категорически нельзя — это бесплатный слой защиты от фишинга.
Почему макросы всё равно запускаются?: Если файл пришёл не через браузер, MOTW может не стоять. Проверяйте источник и версию архиваторов.
Как настроить MOTW для домена?: Через GPO: User Configuration → Administrative Templates → Windows Components → Attachment Manager.