Помимо знакомых параметров в настройках встроенного антивируса Microsoft Defender, пользователи Windows 11 могут обратить внимание на функцию «Интеллектуальное управление приложениями», причём часто изменение параметров её работы недоступно.
В этом материале о том, что представляет собой новая функция, особенности её включения или отключения и дополнительная информация на тему, которая может быть полезной.
Что такое «Интеллектуальное управление приложениями»
Служба «Интеллектуальное управление приложениями» (Smart App Control, SAC) в Windows 11 — это дополнительный инструмент защиты от небезопасных приложений (помимо фильтра Smart Screen и защиты на основе репутации), призванный предотвращать их выполнение. Механизм работает следующим образом:
- Если функция «Интеллектуальное управление приложениями» включена, облачная «интеллектуальная служба безопасности» Майкрософт оценивает потенциальные риски выполнения запускаемой программы.
- В случае, если угроз безопасности не найдено, Smart App Control разрешает выполнение приложения.
- Если в результате оценки сделан вывод о потенциальной нежелательности или вредоносности программы, её запуск будет заблокирован.
- В тех случаях, когда проверка с помощью облачного сервиса невозможна, решение принимается на основании действительной цифровой подписи исполняемого файла приложения.
Помимо исполняемых файлов .EXE, Smart App Control может блокировать файлы образов ISO, ярлыков LNK и ряд других: .appref-ms, .bat, .cmd, .chm, .cpl, .js, .jse, .msc, .msp, .reg, .vbe, .vbs и .wsf
При попытке запуска программы, которую Smart App Control посчитает небезопасной, пользователь увидит уведомление «Интеллектуальное управление приложениями заблокировало файл, который может быть небезопасным»:
Также в окне будет отображаться пояснение о причинах блокировки, например: «Этот файл заблокирован, так как файлы этого типа из Интернета могут быть опасными». Добавление отдельных файлов или расположений в исключения на момент написания этого материала недоступно.
Включение и отключение функции
Настройки функции «Интеллектуальное управление приложениями» выполняется в окне «Безопасность Windows», открыть которое можно, используя значок в области уведомления панели задач или в Параметры — Конфиденциальность и защита — Безопасность Windows — Открыть службу «Безопасность Windows».
Для перехода к настройкам функции перейдите в раздел «Управление приложениями и браузером» и нажмите по ссылке «Параметры службы Интеллектуальное управление приложениями» в соответствующем разделе:
Включение и отключение функции имеет свои особенности по сравнению с другими опциями в окне «Безопасность Windows»:
- После чистой установки Windows 11 служба «Интеллектуальное управление приложениями» переключается в режим «Оценка» для того, чтобы оценить, насколько её включение может сказаться на пользовательском опыте — не будут ли постоянно блокироваться регулярно используемые или скачиваемые пользователи программы. По результатам будет выполнено либо автоматическое включение, либо — отключение функции.
- Пока служба находится в режиме оценки, вы можете её включить или отключить принудительно вручную.
- Если после оценки был сделан вывод о том, что функцию расширенной защиты от недоверенных приложений следует отключить и она была автоматически отключена, включить её без чистой установки или сброса Windows 11 не получится — соответствующие пункты будут недоступны.
- Если функция включена или находится в режиме оценки, её можно отключить вручную, при этом вы увидите предупреждение о необходимости переустановки системы в дальнейшем, если потребуется снова её включить:
Теоретически, функция может быть полезной, но лишь в случае, если пользователь почти никогда не запускает новые приложения из Интернета, либо речь идёт о каком-либо корпоративном компьютере. Иначе рано или поздно при необходимости запуска неизвестной «Интеллектуальному управлению приложениями» программы придётся отключить функцию, а повторное её включение в текущей реализации недоступно.
Applies ToWindows 11
При попытке запустить приложение в Windows интеллектуальное управление приложениями будет проверка, чтобы узнать, может ли наша интеллектуальная облачная служба безопасности сделать уверенный прогноз о его безопасности. Если служба считает приложение безопасным, интеллектуальное управление приложениями позволит ему запуститься. Если считается, что приложение является вредоносным или потенциально нежелательным, интеллектуальное управление приложениями заблокит его.
Если службе безопасности не удается сделать уверенный прогноз о приложении, smart App Control проверяет, имеет ли приложение действительную подпись. Если приложение имеет действительную подпись, управление интеллектуальными приложениями позволит ему запуститься. Если приложение не подписано или подпись недействительна, smart App Control сочтет его ненадежным и заблокит его для вашей защиты.
По сути, мы хотим узнать, будет ли интеллектуальное управление приложениями слишком часто ставить на ваш путь. Существуют некоторые законные задачи, которые корпоративные пользователи, разработчики или другие пользователи могут выполнять регулярно, что может оказаться не очень большим опытом работы с интеллектуальным управлением приложениями. Если в режиме оценки вы обнаружите, что вы являетесь одним из этих пользователей, мы автоматически выключим интеллектуальное управление приложениями, чтобы вы могли работать с меньшим количеством прерываний.
Да, если он доступен для вашего устройства, но мы рекомендуем разрешить режиму оценки выполнять свою работу и определять, подходит ли вы для интеллектуального управления приложениями.
Интеллектуальное управление приложениями доступно только при чистых установках Windows 11. Кроме того, существуют и другие причины, по которым может быть отключено управление интеллектуальными приложениями.
-
В режиме оценки мы определили, что вы не подходите для интеллектуального управления приложениями.
-
Он был отключен вручную вами или другим пользователем, вошедшего на компьютер.
-
Ваше устройство работает под управлением Windows в S-режиме. Чтобы перейти в режим оценки, необходимо отключить S-режим, а затем сбросить компьютер.
-
В Windows отключены необязательные диагностические данные . Если вы хотите включить интеллектуальное управление приложениями, необходимо сбросить этот компьютер или переустановить Windows, а затем в процессе установки выбрать Отправить необязательные диагностические данные .
Чтобы обеспечить более безопасную работу, мы включаем интеллектуальное управление приложениями только при чистых установках Microsoft Windows 11. Мы хотим убедиться, что при включении интеллектуального управления приложениями на устройстве еще нет ненадежных приложений.
Совет: Если вы хотите включить интеллектуальное управление приложениями после его отключения, можно сбросить Windows 11, нажав кнопку Пуск, введя сброс в поле поиска, выбрав Сброс компьютера в результатах поиска и начав сброс в меню Восстановление. Вы можете выбрать параметр Сохранить мои файлы сбросить, чтобы сохранить личные файлы и удалить только приложения и параметры. Дополнительные сведения см. в разделе Параметры восстановления в Windows.
Интеллектуальное управление приложениями работает вместе с другим программным обеспечением безопасности, например Microsoft Defender или антивирусными средствами сторонних разработчиков, для обеспечения дополнительных средств защиты.
В настоящее время нет способа обойти защиту интеллектуального управления приложениями для отдельных приложений. Вы можете отключить управление интеллектуальными приложениями или (еще лучше) обратиться к разработчику приложения и порекомендовать ему подписать свое приложение с помощью действительной подписи.
Когда разработчик создает приложение, ему рекомендуется «подписать» приложение с помощью цифрового сертификата, который проверяет его личность, что приложение действительно опубликовано ими, и что приложение не было изменено кем-либо после публикации разработчиком. Вы можете представить его немного как художник подписывать произведение искусства, за исключением того, что труднее подделать.
Подписывание является частью того, что может сделать приложение доверенным или ненадежным. Другая часть — опыт. Наша интеллектуальная облачная служба безопасности ежедневно видит огромное количество приложений и использует эти знания для прогнозирования того, является ли приложение безопасным или небезопасным, даже приложения, которые мы никогда не видели ранее. Однако в некоторых случаях служба не может сделать уверенный прогноз в любом случае.
Если служба безопасности не может сделать надежный прогноз о приложении и приложение не имеет действительной подписи, оно считается ненадежным.
Мы будем рады вашим отзывам об интеллектуальном управлении приложениями. Чтобы сообщить нам, что вы думаете или предлагаете предложения по функциям, выполните следующие действия:
-
В Windows перейдите в Центр отзывов. (в меню Пуск или нажмите клавишу Windows + F)
-
Когда вы перейдите к шагу 2. Выбор категории, выберите Безопасность и конфиденциальность — интеллектуальное управление приложениями.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Sign in to your MUO account
Windows 11 gives you some of the best security tools ever found in a Microsoft operating system. And with the 22H2 update comes Smart App Control, which gives you a new way to protect your computer from malicious apps and software.
What Is Smart App Control?
Smart App Control (SAC) arrived with the 22H2 update for Windows 11. It is a security filter designed to block malicious apps or software that could harm your computer. It can also help you to avoid potentially unwanted apps (PUAs) that can affect performance.
With SAC running on your computer, any app or software that starts up gets checked by a cloud-based security service. If the software passes the checks and is deemed safe, it will run as expected. Any software that doesn’t pass will be prevented from running.
One of the things it looks for is unsigned apps. All apps that work with Windows should be «Signed» with a digital certificate before they are released for use. If the software has been altered by a third party, after the initial release by the app developer, it becomes unsigned.
Smart App Control isn’t a replacement for your antivirus software. Instead, it runs alongside Microsoft Defender or your third-party AV software to add an extra layer of protection. It should run silently and unobtrusively in the background unless it encounters a problem app.
How to Enable Smart App Control
Smart App Control is only available on new Windows 11 installations. If you updated to version 22H2 from an earlier version, it won’t be available to use.
The only ways around this are to reset or completely reinstall Windows 11.
- To check if SAC is available to you, open Settings > Privacy & Security > Windows Security. Click the Open Windows Security button.
- Select the App & Browser Control section of the security app and then click Smart App Control Settings.
- If the feature is available to you, it should be in Evaluation Mode, with the option to turn it On or Off.
- Click either of these options or leave it in Evaluation Mode. You can learn more about Evaluation Mode below.
Why Is Smart App Control in «Evaluation Mode?»
The security feature will be in evaluation mode for some time after being added to Windows Security. It will use this time to monitor how you use Windows to determine if Smart App Control is needed. It also watches to see if the feature will adversely impact your day-to-day use and computer performance.
If Windows thinks that Smart App Control will be helpful to you, it will automatically switch the feature to On. If it decides otherwise, it will switch itself Off.
After the testing period ends, or if you turn the feature on or off, you can’t switch it back to Evaluation mode unless you reinstall Windows.
Should You Turn Smart App Control On or Off?
Microsoft recommends leaving SAC to finish the evaluation and turn it off or on based on your usage. But if you don’t think you need the feature, or you notice that it’s taking up a lot of resources when you check your RAM, GPU, and CPU usage on Windows, you can turn it off.
Remember that turning Smart App Control off is a permanent step. Well, permanent unless you reinstall Windows on your computer. You can always turn the feature off at a later date, so it is probably a good idea to let the evaluation period run and then decide when it is complete.
Getting to Grips With Smart App Control in Windows 11
The Windows Security app and the tools it contains continue to get better and better. This already capable and powerful suite of tools can now also protect you and your computer from malicious or untrusted apps. Even if you use a third-party antivirus service such as Malwarebytes or Norton Antivirus.
На прошлой неделе Microsoft официально пообещала для осеннего выпуска Windows 11 новую защитную функцию Smart App Control (далее SAC, благо аббревиатура освободилась:) Помимо краткого анонса в блоге безопасности компания опубликовала в базе знаний большую статью KB5008908 с многообещающим заголовком What is Smart App Control?
По ссылкам говорится, что SAC опирается на искусственный интеллект (ИИ) и контроль подписанного кода, но конкретную технологию для этого контроля не озвучили. Проничкин навел на WDAC, и действительно, он упоминается в описании фичи в Windows 11 Security Book (PDF). Тогда все становится намного понятнее!
👉 Я подробно разбирал и показывал настройку политик WDAC в блоге: Принцип работы S Mode в Windows 10 и настройка Device Guard своими руками.
[+] Сегодня в программе
Вкратце и упрощенно, в устройствах с S Mode разрешен только запуск приложений, идущих в комплекте с ОС и установленных из магазина. SAC обещает более интеллектуальный подход — сначала проводится аудит запускаемого кода на протяжении какого-то времени. Затем уже принимается решение о целесообразности включении защиты.
В статье базы знаний на первое место ставится сверка с облачным компонентом. Если в облаке нет сведений о приложении, запуск разрешается в зависимости от того, есть ли у приложения цифровая подпись. Вероятно, если во время оценочного периода вы запускаете много неподписанных программ, SAC не включится. Ведь это лишь породит ваше раздражение и недовольство.
В Smart App Control не предусмотрено исключений для приложений. Можно только полностью выключить функцию.
Вице-президент Microsoft по безопасности ОС опубликовал в Твиттере демо работы SAC, блокирующего запуск HTA.
/blog/wp-content/uploads/sac.mp4
ИИ, видимо, будет использоваться для оценки нового исполняемого кода до и после включения политики. Легкая модель машинного обучения (МО) может находиться и на клиенте, а более точная — в облаке. Собирать массивную телеметрию для этого не нужно, достаточно отправить в облако часть хэша исполняемого файла.
Такая схема применяется в облачном компоненте защитника Windows, о чем я рассказывал в 2017 году. Похожий принцип и у репутации SmartScreen, хотя 11 лет назад ИИ и МО в рассказах разработчиков не фигурировали.
На каких устройствах и системах будет работать Smart App Control
По утверждениям в анонсе и базе знаний, SAC будет работать только на новых устройствах, а также в Windows 11 после чистой установки или сброса.
Возможно, такое решение призвано гарантировать целостность системы на момент начала применения политик. Но остается открытым вопрос о работе SAC при обновлении с Windows 10 до Windows 11, а также после переустановки Windows 11 поверх. Думаю, в итоге это будет работать, а текущие оговорки связаны с тем, что SAC пока доступен лишь в инсайдерской версии. Поживем — увидим.
О перспективах S Mode
Думаю, S Mode отжил свое. Выпуск новых устройств с этим режимом теряет актуальность с появлением SAC в составе ОС. Дешевые компьютеры с S mode изначально были нацелены на самых нетребовательных или аскетичных людей, которые могут обходиться без широкого ассортимента приложений за пределами магазина. Да, со слов Microsoft четыре года назад, 60% владельцев ПК с S Mode оставались в этом режиме. Но с тех пор компания ни разу не похвасталась достижениями на этом поприще.
С другой стороны, появление ярлыков в магазине Windows дополнительно затрудняет маркетинг и уничтожает UX получения приложений в S Mode. Попробуйте объяснить целевой аудитории, почему скачанное из магазина приложение не запускается.
Заключение
S Mode так и остался нишевым решением. А SAC будет массовым, но не просто потому, что теперь идет в комплекте с Windows 11. Новая технология балансирует между закручиванием гаек и возможностью запуска популярных приложений. Под капотом все те же хорошо зарекомендовавшие себя политики WDAC, которые компания поставила на новые рельсы.
Теперь цель Microsoft — не возведение в высшую степень безопасности отдельных ПК, а усиление защиты всей экосистемы Windows.
Спустя 2-3 года SAC будет работать на сотнях миллионах систем. Положительный эффект неизбежен, как и в случае с появлением защитника Windows в составе Windows 8.
Quick Links
-
What Is Smart App Control and How Does It Work?
-
How to Turn On Smart App Control
-
How to Turn Off Smart App Control
Summary
- Smart App Control is a Windows 11 Security feature that stops malicious apps running on your computer.
- Smart App Control can only be enabled on a clean Windows installation.
- While you can force enable Smart App Control on an existing Windows installation using a registry tweak, this can affect its efficacy.
Smart App Control (SAC) is a Windows Security feature that helps protect you against malicious apps. While it’s available on all devices running Windows 11 22H2 or above, you might find you can’t turn it on—and for a good reason.
Let’s explore how Smart App Control works, why it’s turned off on some systems, and how to enable it.
What Is Smart App Control and How Does It Work?
Smart App Control is a feature within Windows Security that provides protection against untrustworthy apps. When you try to run an app, SAC analyzes its credibility using Microsoft’s Intelligent Security Graph, a cloud-based security service. If the service is unable to make a confident prediction, it then checks the app for a valid signature (which identifies where the file originates from and if it’s a trusted source).
Apps from known publishers or with valid signatures will run as expected. If not, the program is blocked. There’s no manual override option, nor can you add an app to an exemption list.
Microsoft intends that SAC is only useable on a clean Windows installation. By doing so, Windows can ensure that all the apps installed on your computer are vetted by SAC, thus ensuring the devices’ safety. If you received SAC as a part of a Windows 11 update, you’ll need to perform a factory reset or clean install Windows 11 before you can use it (unless you perform a registry tweak, explained below).
Windows doesn’t automatically enable SAC completely. By default, it starts in Evaluation mode. During the evaluation period, Windows monitors your application usage pattern to determine if you are a suitable candidate to have SAC enabled full-time.
Once the evaluation is complete, if Windows thinks SAC can work without too many interruptions on your system, it’s automatically turned on. If not, it’s disabled.
How to Turn On Smart App Control
Assuming you meet the conditions explained above, you can skip Evaluation mode and turn on Smart App Control in Windows Security settings.
First, press Win+i to open the Settings app. Select the «Privacy & Security» tab in the left pane, then click «Windows Security» on the right.
Click «Open Windows Security» to launch the Windows Security app.
In Windows Security, select the «App & Browser Control» tab. Then, beneath «Smart App Control», click «Smart App Control Settings».
Select «On» to enable Smart App Control on your Windows device. Once enabled, SAC starts monitoring and blocks any suspicious app execution on your computer.
How to Force Enable Smart App Control Using the Registry Editor
If SAC is turned off on your Windows computer for any reason, you can force enable it using a registry tweak.
This method bypasses the intended implementation for Smart App Control. We recommend you only enable Smart App Control on a clean installation for a more secure experience. If you do want to proceed, be aware that modifying your Windows Registry involves risk. Create a restore point before proceeding.
Press Win+i to open Run. Type «regedit» and click «OK» to open the Registry Editor.
In the Registry Editor, navigate to the following location:
Computer > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > CI > Policy
In the right pane, locate and double-click the «VerifiedAndReputablePolicyState» value.
In the «Value Data» field, type 1 to enable Smart App Control and click «OK» to save the changes. Alternatively, type 2 to put SAC in Evaluation mode, or 0 to turn it off. You need to relaunch the Windows Security app to apply the changes.
How to Turn Off Smart App Control
If you find SAC to be too intrusive, you can turn it off manually in Windows Security settings. Disabling SAC is permanent, and you can’t enable it again without reinstalling Windows or altering the registry (as explained above).
Open the Start menu, search for «Smart App Control», and select the matching result.
Within the Smart App Control window, select «Off.»
Read the confirmation prompt, then click «Yes, I’m Sure» to disable Smart App Control.
Smart App Control should work without issue for you. However, if you’re unsure whether to use SAC, leave it in Evaluation mode and let Windows decide what’s best for you. If you find it too intrusive, you can always turn it off in Windows Security settings.