Функция безопасности «Интеллектуальное управление приложениями» – Smart App Control (SAC) – в Windows 11, которая блокирует угрозы на уровне процесса, теперь поддерживает блокировку файлов нескольких типов, которые злоумышленники могут использовать для заражения целевых устройств вредоносным ПО в ходе фишинг-атак.
Дэвид Уэстон (David Weston), директор по корпоративной безопасности и безопасности ОС Microsoft заявил:
Функция безопасности Smart App Control в Windows 11 блокирует файлы iso и lnk с меткой «mark of the web», также как и макросы [в документах Office].
При блокировке опасного файла средствами SAC система показывает диалоговое окно со следующим сообщением:
Smart App Control заблокировал приложение, которое может быть небезопасным. Файл был заблокирован, поскольку файлы этого типа, загруженные из Интернета, могут быть опасными.
При тестировании данной возможности эксперт по безопасности Уилл Дорманн (Will Dormann) также обнаружил, что SAC автоматически блокирует открытие файлов IMG, VHD и VHDX.
Согласно порталу BleepingComputer, блокировке подвергаются и файлы следующих типов: .appref-ms, .bat, .cmd, .chm, .cpl, .js, .jse, .msc, .msp, .reg, .vbe, .vbs, .wsf
Данное изменение представлено после того, как Microsoft снова начала блокировать макросы в файлах Office, загружаемых из Интернета, вынуждая злоумышленников переключаться на новые типы файлов для доставки вредоносных полезных нагрузок на устройства жертв, включая файлы ISO, RAR и Windows Shortcut (LNK).
Функция «Интеллектуальное управление приложениями» была анонсирована в апреле 2022 года. Тогда Уэстон описывал нововведение как «значительное улучшение модели безопасности Windows 11», которое поможет открывать только надежные и безопасные приложения.
Для того, чтобы воспользоваться преимуществами SAC на текущих устройствах Windows 11 нужно выполнить сброс устройств или выполнить чистую установку системы.
Не обошлось без недостатков
Несмотря на очевидную пользу новой функции при защите от атак, работа «Интеллектуальное управление приложениями» в тандеме с антивирусным ПО, таким как Microsoft Defender, несет определенную долю недостатков и проблем.
Наиболее значительным из них является тот факт, что на данный момент его могут протестировать только инсайдеры Windows в системах под управлением Windows 11.
Функцию можно использовать только при выполнении чистой установки Windows 11. Данное условие позволяет убедиться, то что на устройстве еще не запущены ненадежные приложения.
Кроме того, документацию Microsoft нельзя назвать полной. Уэстон признался, что в ней отсутствуют упоминания о том, что SAC блокирует определенные типы файлов. Ранее эта функция рекламировалась как встроенная функция безопасности, ориентированная на защиту от вредоносных или неподписанных приложений.
Редмонд сообщает на веб-сайте поддержки, что эту функцию можно снова включить после ее отключения путем переустановки Windows (например, с помощью опции «Вернуть компьютер в исходное состояние»).
Однако, на практике диалоговые окна не содержат такой информации и указывают, что функция отключена навсегда.
Microsoft также говорит, что SAC может автоматически отключаться в некоторых системах после того, как выполнится «режим оценки» (evaluation mode), чтобы проверить, является ли ваше устройство «подходящим кандидатом».
В режиме оценки SAC будет отключен и не будет ничего блокировать, пока устройство не получит одобрение.
И последнее, но не менее важное: отсутствует список исключений SAC, который предотвратил бы срабатывание защиты при попытке открыть определенное приложение или файл.
Некоторые недостатки Microsoft еще может устранить, пока функция не станет доступной всем пользователям Windows 11. В целом, Smart App Control является функцией с большими ожиданиями, которая должна вывести безопасность системы на новый уровень.
Последние статьи #Windows
• Microsoft сняла блокировку обновления Windows 11, версия 24H2 для игр Star Wars Outlaws и Avatar: Frontiers of Pandora
• Как включить новый индикатор батареи в Windows 11
• Обновление KB5046733 (Build 22635.4580) для Windows 11, версия 23H2 (Beta)
• Обновление KB5048780 (Build 26120.2510) для Windows 11, версия 24H2 (Dev): Функции Recall доступны для Copilot+ ПК на базе Intel и AMD
• Новая уязвимость нулевого дня в Windows, включая Windows 11 24H2, раскрывает учетные данные NTLM. Доступен неофициальный патч от 0patch
• «Вторник Патчей», 10 декабря 2024: Eжемесячные обновления безопасности для Windows 11 и Windows 10