我之前在微软内部技术社区和对接的几个企业客户那里，遇到过和你完全一致的问题——这确实是Windows 10 1803更新对Smartscreen验证逻辑的调整引发的，核心是ClickOnce部署的签名验证流程和Smartscreen的交互出现了冲突。

问题根源拆解 #

• Smartscreen验证前置导致卡住：Windows 10 1803之前，ClickOnce的部署清单验证是在后台静默完成的；但1803更新后，微软强制把Smartscreen的安全验证环节，前置到了应用启动时的“检查更新”步骤。由于你的应用是内网部署，没有公域信任的代码签名证书，Smartscreen无法通过联网验证签名的合法性，就会静默卡住，既不报错也不继续，直接停在"Checking for updates..."窗口。
• 断网启动的逻辑：断网时ClickOnce会跳过联网的更新检查和签名验证流程，直接启动本地缓存的应用副本，所以能正常打开，但因为断网自然无法访问内网数据库，对应的功能按钮也会被隐藏。
• 临时方案失效的原因：从本地目录启动时，Smartscreen是针对本地可执行文件做单独验证，用户手动确认“运行”后，系统会生成一条临时信任记录。但发布新版本后，新的部署清单和应用文件的哈希值发生变化，之前的信任记录失效，而更新流程中的Smartscreen验证还是卡在联网环节，所以又会出现无法启动的情况。

可行的解决方案 #

• 添加企业信任的代码签名证书：这是最彻底的解决办法。用企业内部PKI体系颁发的代码签名证书，或者购买正规的第三方代码签名证书，对ClickOnce部署包进行签名。这样Smartscreen会直接识别到信任的签名，不会再卡在验证环节。
• 修改ClickOnce更新策略：在Visual Studio的发布设置里，把“更新检查模式”改为从不检查更新。之后可以通过内网共享文件夹、企业内部应用商店等方式手动推送更新，跳过启动时的更新检查步骤，避免触发Smartscreen的冲突逻辑。
• 内网组策略禁用Smartscreen验证：如果是企业内网环境，可以通过组策略统一配置：打开组策略编辑器，找到计算机配置>管理模板>Windows组件>Smart Screen>Explorer，启用“配置Smart Screen检查应用和文件”并设置为“关闭”。注意这是全局设置，适合内网环境统一部署。
• 手动预信任部署清单：找到ClickOnce的.application部署文件，右键点击选择“属性”，切换到“数字签名”选项卡，选中签名后点击“详细信息”→“查看证书”→“安装证书”，将证书导入到“受信任的发布者”存储区。这样系统会信任该发布者的所有部署包，更新后也不会再触发验证问题。

社区反馈情况 #

确实有不少内网企业用户遇到过这个问题，微软在后续的Windows 10 1809更新中，对ClickOnce和Smartscreen的交互逻辑做了部分修复，但如果你的环境无法升级系统，上面的方案都能有效解决问题。

内容的提问来源于stack exchange，提问作者Young Grasshopper