Winget CLI 中 MotW 安全警告导致安装挂起问题的分析与解决方案

问题背景

在 Windows Package Manager (Winget CLI) 的使用过程中，当从内部 REST 源下载安装程序时，系统会自动添加一个标记(MotW，即 Mark of the Web)。如果下载源未被识别为受信任区域，Windows 会在执行安装程序时弹出一个图形界面的安全警告对话框。这个对话框会导致 Winget 安装进程无限期挂起，严重影响自动化部署和远程管理场景。

技术原理分析

MotW 是 Windows 系统为从互联网下载的文件添加的安全标记，用于标识文件的来源区域。当文件被执行时，系统会根据来源区域的安全设置决定是否显示安全警告。Winget 默认会对下载的安装程序添加此标记：

1. 对于官方社区仓库，Winget 会在验证文件 SHA256 哈希后修改区域标记
2. 但对于自定义 REST 源，目前缺乏相同的处理机制
3. 当文件来自"互联网"区域而非"本地内网"区域时，系统会触发安全警告

问题重现条件

该问题在以下环境中可稳定复现：

1. 使用内部搭建的 REST 源服务(如 rewinged)
2. 安装程序文件托管在与 REST 源相同的域名下
3. 该域名未被明确添加到 IE 信任站点或内网区域
4. 通过 Winget 命令安装软件包时

影响范围

此问题对以下场景造成严重影响：

1. 自动化部署脚本
2. 远程管理(RDP/SSH)环境
3. 无图形界面的服务器环境
4. 持续集成/持续部署(CI/CD)流程

解决方案

方案一：将源域名加入信任区域(推荐)

通过修改注册表，将内部源域名明确标记为内网区域：

$YourSourceURL = 'https://source.company.internal/api'
$ParsedSourceUri = [uri]$YourSourceURL
reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\$($ParsedSourceUri.Host)" /v http /t REG_DWORD /d 1 /f
reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\$($ParsedSourceUri.Host)" /v https /t REG_DWORD /d 1 /f

方案二：禁用文件区域标记(不推荐)

通过组策略禁用文件区域标记功能：

New-Item -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments'
New-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments' -Name 'SaveZoneInformation' -Type DWord -Value 1

注意：此方案会降低系统安全性，不建议在生产环境使用。

未来改进方向

微软 Winget 开发团队表示将在未来版本中：

1. 为自定义源添加与官方源相同的区域标记处理逻辑
2. 可能通过管理员设置或组策略提供配置选项
3. 优化非默认源的安全标记处理机制

最佳实践建议

1. 对于企业内网部署，优先将内部源域名加入信任区域
2. 在自动化脚本中添加区域检查逻辑
3. 避免在生产环境完全禁用安全标记功能
4. 关注 Winget 版本更新，及时应用相关修复

通过以上解决方案，用户可以有效规避 MotW 安全警告导致的安装挂起问题，确保 Winget 在各种环境下都能稳定运行。