A Windows 11 intelligens alkalmazásvezérlés blokkolja az ismeretlen futtatható fájlokat indítás előtt

A Windows 11 bővül A Microsoft biztonsági csomagját a Smart App Control (SAC) komponenssel, amely az alkalmazások futtatása előtt átvizsgálja azokat, és blokkolja a nem megbízható kódot. A funkció a hagyományos vírusirtó motorok - például a Microsoft Defender - mellett helyezkedik el, amelyek továbbra is figyelik a rendszert az ismert rosszindulatú programok után. A proaktív kapuőr és a kiforrott reaktív szkenner párosításával az operációs rendszer célja a kezdeti fertőzési kísérletek és a tartós fenyegetések csökkentése.

A hagyományos vírusirtó szoftverek az "ártatlan, amíg bűnösnek nem bizonyul" elv alapján működnek. Engedélyezi a fájlok futtatását, majd az aláírás-adatbázisok, a heurisztikus elemzés és a viselkedésfigyelés segítségével rosszindulatú mintákat keres. A gyakori definíciófrissítések magasan tartják a felismerési arányt, ugyanakkor a nulladik napi vagy polimorf minták mindaddig elkerülhetik az aláírásokat, amíg gyanús viselkedés nem merül fel. Ez a megközelítés továbbra is hatékony az ismert fenyegetések megtisztításában, de késleltetést okozhat a végrehajtás és a megfékezés között.

A Smart App Control megfordítja ezt a logikát. A SAC a futtatható program indítása előtt konzultál a Microsoft felhőalapú hírnévszolgáltatásával, ellenőrzi a fejlesztő digitális aláírását, és a megbízható és káros szoftverek nagy adathalmazain képzett gépi tanulási modelleket alkalmaz. Ha a hírnév ismeretlen, és a fájl aláírás nélküli - vagy rosszindulatúnak ítélt -, az operációs rendszer azonnal blokkolja azt. Gyakorlatilag minden új program "bűnös, amíg ártatlannak nem bizonyul", így számos támadást már a szállítás szakaszában, nem pedig az aktiválás után vágnak el.

Mivel a SAC még betöltés előtt leállítja az ismeretlen bináris programokat, nincs szükség az aktív folyamatok folyamatos háttérellenőrzésére. A Microsoft belső tesztjei ezért szerény teljesítményelőnyről számoltak be a hagyományos szkennerekhez képest, amelyek a fájlok valós idejű vizsgálata során CPU-ciklusokat fogyasztanak. Eközben a Defender továbbra is ellátja azokat a feladatokat, amelyeket a SAC nem, például a makroelemzést vagy a szkriptek ellenőrzését, így a kombinált rendszer a duplikált erőfeszítések nélkül széleskörűvé válik.

A SAC egy kezdeti értékelési időszakot fut le; ha zavarja a mindennapi munkaterhelést, a Windows véglegesen letiltja, kivéve, ha a rendszert újratelepítik. Hasonlóképpen, ha a felhasználó egyszer kikapcsolja a SAC-ot, azt nem lehet egyszerűen visszakapcsolni. Az aláírás nélküli vagy egyéni buildekre támaszkodó fejlesztők és power userek ezért kontraproduktívnak találhatják a korlátozásokat, míg a menedzselt vállalati flották számára előnyös lehet a szigorúbb alapértelmezett álláspont.

Fontos, hogy a SAC-t úgy tervezték, hogy a Microsoft Defender mellett, és nem annak helyettesítésére működjön. Ha a SAC blokkol egy fájlt, a döntés végleges; nem lehet fehér listára tenni. A Defender továbbra is felelős a mélyebb törvényszéki feladatokért, a rosszindulatú programok helyreállításáért és a már lemezen lévő archivált tartalmak átvizsgálásáért. Ebben a többszintű modellben a SAC csökkenti a kitettséget, a Defender pedig megtisztít mindent, ami átcsúszik vagy az aktuális munkamenet előtt történt.