Windows 11 Smart App Control blokuje nieznane pliki wykonywalne przed uruchomieniem

Windows 11 rozszerza Stos zabezpieczeń Microsoftu o Smart App Control (SAC), komponent, który sprawdza aplikacje przed ich uruchomieniem i blokuje niezaufany kod. Funkcja ta działa obok konwencjonalnych silników antywirusowych - takich jak Microsoft Defender - które nadal monitorują system pod kątem znanego złośliwego oprogramowania. Łącząc proaktywnego strażnika z dojrzałym skanerem reaktywnym, system operacyjny ma na celu ograniczenie zarówno początkowych prób infekcji, jak i utrzymujących się zagrożeń.

Konwencjonalne oprogramowanie antywirusowe działa na zasadzie "niewinny, dopóki nie udowodni się winy". Pozwala ono na uruchamianie plików, a następnie szuka złośliwych wzorców poprzez bazy sygnatur, analizę heurystyczną i monitorowanie zachowań. Częste aktualizacje definicji utrzymują wysoki wskaźnik wykrywalności, ale próbki typu zero-day lub polimorficzne mogą unikać sygnatur, dopóki nie pojawi się podejrzane zachowanie. Takie podejście pozostaje skuteczne w usuwaniu znanych zagrożeń, ale może wprowadzać opóźnienie między wykonaniem a powstrzymaniem.

Smart App Control odwraca tę logikę. Przed uruchomieniem pliku wykonywalnego SAC konsultuje się z usługą reputacji w chmurze Microsoftu, sprawdza podpis cyfrowy dewelopera i stosuje modele uczenia maszynowego przeszkolone na dużych zbiorach danych zaufanego i szkodliwego oprogramowania. Jeśli reputacja jest nieznana, a plik jest niepodpisany lub uznany za złośliwy, system operacyjny całkowicie go blokuje. W efekcie każdy nowy program jest "winny, dopóki nie udowodni swojej niewinności", odcinając wiele ataków na etapie dostarczania, a nie po jego aktywacji.

Ponieważ SAC zatrzymuje nieznane pliki binarne przed ich załadowaniem, eliminuje potrzebę ciągłego skanowania aktywnych procesów w tle. Dlatego też wewnętrzne testy Microsoftu wykazały niewielką przewagę wydajności nad tradycyjnymi skanerami, które zużywają cykle procesora podczas sprawdzania plików w czasie rzeczywistym. W międzyczasie Defender nadal obsługuje zadania, których SAC nie wykonuje, takie jak analiza makr lub inspekcja skryptów, dając połączonemu systemowi szeroki zakres bez powielania wysiłku.

SAC działa przez początkowy okres ewaluacji; jeśli przeszkadza w codziennej pracy, system Windows wyłącza go na stałe, chyba że system zostanie ponownie zainstalowany. Podobnie, gdy użytkownik wyłączy SAC, nie można go po prostu ponownie włączyć. Programiści i zaawansowani użytkownicy, którzy polegają na niepodpisanych lub niestandardowych kompilacjach, mogą zatem uznać ograniczenia za przynoszące efekt przeciwny do zamierzonego, podczas gdy zarządzane floty korporacyjne mogą skorzystać z bardziej rygorystycznego domyślnego stanowiska.

Co ważne, SAC został zaprojektowany tak, aby działać obok - a nie zastępować - Microsoft Defender. Jeśli SAC zablokuje plik, decyzja jest ostateczna; nie można go umieścić na białej liście. Defender pozostaje odpowiedzialny za głębsze zadania kryminalistyczne, usuwanie złośliwego oprogramowania i skanowanie zarchiwizowanej zawartości już znajdującej się na dysku. W tym warstwowym modelu SAC zmniejsza ekspozycję, a Defender czyści wszystko, co prześlizgnie się lub poprzedza bieżącą sesję.