Windows 11 Smart App Control блокирует неизвестные исполняемые файлы перед запуском

Windows 11 расширяет Стек безопасности Microsoft с помощью Smart App Control (SAC) - компонента, который проверяет приложения перед выполнением и блокирует недоверенный код. Эта функция стоит в одном ряду с обычными антивирусными системами, такими как Microsoft Defender, которые продолжают отслеживать систему на предмет известных вредоносных программ. Сочетая проактивный привратник с зрелым реактивным сканером, операционная система стремится уменьшить как первоначальные попытки заражения, так и затянувшиеся угрозы.

Обычное антивирусное программное обеспечение работает по принципу "невиновен, пока не доказано, что виновен". Оно позволяет файлам запускаться, а затем ищет вредоносные модели с помощью баз сигнатур, эвристического анализа и поведенческого мониторинга. Частые обновления определений поддерживают высокий уровень обнаружения, однако образцы "нулевого дня" или полиморфные образцы могут ускользать от сигнатур до тех пор, пока не появится подозрительное поведение. Такой подход остается эффективным для устранения известных угроз, но может создавать задержку между выполнением и сдерживанием.

Smart App Control меняет эту логику на противоположную. Перед запуском исполняемого файла SAC обращается к облачной службе репутации Microsoft, проверяет цифровую подпись разработчика и применяет модели машинного обучения, обученные на больших массивах данных доверенного и вредоносного ПО. Если репутация неизвестна, а файл не имеет подписи или признан вредоносным, операционная система блокирует его. По сути, каждая новая программа "виновна, пока не доказана ее невиновность", отсекая многие атаки на стадии доставки, а не после активации.

Поскольку SAC останавливает неизвестные двоичные файлы до их загрузки, это избавляет от необходимости постоянного фонового сканирования активных процессов. Поэтому внутренние тесты Microsoft показывают, что SAC имеет небольшое преимущество в производительности по сравнению с традиционными сканерами, которые расходуют циклы процессора, проверяя файлы в режиме реального времени. При этом Defender продолжает выполнять задачи, которые SAC не выполняет, например, анализ макросов или проверка сценариев, что дает объединенной системе широкие возможности без дублирования усилий.

SAC работает в течение начального периода оценки; если он мешает повседневной работе, Windows отключает его навсегда, пока система не будет переустановлена. Аналогичным образом, если пользователь отключает SAC, его нельзя просто включить обратно. Поэтому разработчики и опытные пользователи, которые полагаются на неподписанные или пользовательские сборки, могут счесть ограничения непродуктивными, в то время как управляемые корпоративные системы выиграют от более строгой позиции по умолчанию.

Важно отметить, что SAC предназначен для работы рядом с Microsoft Defender, а не для замены его. Если SAC блокирует файл, это решение является окончательным; его нельзя внести в белый список. Defender по-прежнему отвечает за более глубокие задачи криминалистики, устранение вредоносных программ и сканирование архивного содержимого, уже находящегося на диске. В этой многоуровневой модели SAC снижает подверженность риску, а Defender очищает все, что проскочило или предшествовало текущей сессии.