На прошлой неделе Microsoft официально пообещала для осеннего выпуска Windows 11 новую защитную функцию Smart App Control (далее SAC, благо аббревиатура освободилась:) Помимо краткого анонса в блоге безопасности компания опубликовала в базе знаний большую статью KB5008908 с многообещающим заголовком What is Smart App Control?

По ссылкам говорится, что SAC опирается на искусственный интеллект (ИИ) и контроль подписанного кода, но конкретную технологию для этого контроля не озвучили. Проничкин навел на WDAC, и действительно, он упоминается в описании фичи в Windows 11 Security Book (PDF). Тогда все становится намного понятнее!

👉 Я подробно разбирал и показывал настройку политик WDAC в блоге: Принцип работы S Mode в Windows 10 и настройка Device Guard своими руками.

[+] Сегодня в программе

Как работает Smart App Control

Вкратце и упрощенно, в устройствах с S Mode разрешен только запуск приложений, идущих в комплекте с ОС и установленных из магазина. SAC обещает более интеллектуальный подход — сначала проводится аудит запускаемого кода на протяжении какого-то времени. Затем уже принимается решение о целесообразности включении защиты.

В статье базы знаний на первое место ставится сверка с облачным компонентом. Если в облаке нет сведений о приложении, запуск разрешается в зависимости от того, есть ли у приложения цифровая подпись. Вероятно, если во время оценочного периода вы запускаете много неподписанных программ, SAC не включится. Ведь это лишь породит ваше раздражение и недовольство.

В Smart App Control не предусмотрено исключений для приложений. Можно только полностью выключить функцию.

Вице-президент Microsoft по безопасности ОС опубликовал в Твиттере демо работы SAC, блокирующего запуск HTA.

ИИ, видимо, будет использоваться для оценки нового исполняемого кода до и после включения политики. Легкая модель машинного обучения (МО) может находиться и на клиенте, а более точная — в облаке. Собирать массивную телеметрию для этого не нужно, достаточно отправить в облако часть хэша исполняемого файла.

Такая схема применяется в облачном компоненте защитника Windows, о чем я рассказывал в 2017 году. Похожий принцип и у репутации SmartScreen, хотя 11 лет назад ИИ и МО в рассказах разработчиков не фигурировали.

На каких устройствах и системах будет работать Smart App Control

По утверждениям в анонсе и базе знаний, SAC будет работать только на новых устройствах, а также в Windows 11 после чистой установки или сброса.

Возможно, такое решение призвано гарантировать целостность системы на момент начала применения политик. Но остается открытым вопрос о работе SAC при обновлении с Windows 10 до Windows 11, а также после переустановки Windows 11 поверх. Думаю, в итоге это будет работать, а текущие оговорки связаны с тем, что SAC пока доступен лишь в инсайдерской версии. Поживем — увидим.

О перспективах S Mode

Думаю, S Mode отжил свое. Выпуск новых устройств с этим режимом теряет актуальность с появлением SAC в составе ОС. Дешевые компьютеры с S mode изначально были нацелены на самых нетребовательных или аскетичных людей, которые могут обходиться без широкого ассортимента приложений за пределами магазина. Да, со слов Microsoft четыре года назад, 60% владельцев ПК с S Mode оставались в этом режиме. Но с тех пор компания ни разу не похвасталась достижениями на этом поприще.

С другой стороны, появление ярлыков в магазине Windows дополнительно затрудняет маркетинг и уничтожает UX получения приложений в S Mode. Попробуйте объяснить целевой аудитории, почему скачанное из магазина приложение не запускается.

Заключение

S Mode так и остался нишевым решением. А SAC будет массовым, но не просто потому, что теперь идет в комплекте с Windows 11. Новая технология балансирует между закручиванием гаек и возможностью запуска популярных приложений. Под капотом все те же хорошо зарекомендовавшие себя политики WDAC, которые компания поставила на новые рельсы.

Теперь цель Microsoft — не возведение в высшую степень безопасности отдельных ПК, а усиление защиты всей экосистемы Windows.

Спустя 2-3 года SAC будет работать на сотнях миллионах систем. Положительный эффект неизбежен, как и в случае с появлением защитника Windows в составе Windows 8.