Windows 11 Smart App Control blockerar okända körbara program före start

Windows 11 utökar Microsofts säkerhetsstack med Smart App Control (SAC), en komponent som granskar applikationer innan de körs och blockerar opålitlig kod. Funktionen finns vid sidan av konventionella antivirusmotorer - som Microsoft Defender - som fortsätter att övervaka systemet efter känd skadlig kod. Genom att kombinera en proaktiv gatekeeper med en mogen reaktiv skanner strävar operativsystemet efter att minska både initiala infektionsförsök och kvardröjande hot.

Konventionella antivirusprogram fungerar enligt principen "oskyldig tills motsatsen bevisats". Det låter filer köras och letar sedan efter skadliga mönster genom signaturdatabaser, heuristisk analys och beteendeövervakning. Frekventa definitionsuppdateringar håller upptäcktsfrekvensen hög, men nolldagars- eller polymorfa prover kan undvika signaturer tills misstänkt beteende dyker upp. Detta tillvägagångssätt är effektivt för att rensa upp bland kända hot, men kan medföra en fördröjning mellan utförande och begränsning.

Smart App Control vänder på den logiken. Innan en körbar fil startas konsulterar SAC Microsofts molntjänst för rykte, kontrollerar utvecklarens digitala signatur och tillämpar maskininlärningsmodeller som tränats på stora datamängder av betrodd och skadlig programvara. Om ryktet är okänt och filen är osignerad - eller förutspås vara skadlig - blockerar operativsystemet den helt och hållet. I själva verket är varje nytt program "skyldigt tills det bevisats vara oskyldigt", vilket innebär att många attacker stoppas redan vid leveransstadiet snarare än efter aktivering.

Eftersom SAC stoppar okända binära filer innan de laddas, elimineras behovet av konstant bakgrundsskanning av aktiva processer. Microsofts interna tester visar därför på en blygsam prestandafördel jämfört med traditionella skannrar, som förbrukar CPU-cykler när de inspekterar filer i realtid. Under tiden fortsätter Defender att hantera uppgifter som SAC inte gör, som makroanalys eller skriptinspektion, vilket ger det kombinerade systemet bredd utan att duplicera ansträngningen.

SAC kör en inledande utvärderingsperiod; om det stör den dagliga arbetsbelastningen inaktiverar Windows det permanent om inte systemet installeras om. När en användare stänger av SAC kan det inte heller enkelt kopplas på igen. Utvecklare och avancerade användare som förlitar sig på osignerade eller anpassade system kan därför tycka att begränsningarna är kontraproduktiva, medan hanterade företagsparker kan dra nytta av den striktare standardinställningen.

Det är viktigt att SAC är utformat för att fungera tillsammans med - snarare än att ersätta - Microsoft Defender. Om SAC blockerar en fil är beslutet slutgiltigt; den kan inte vitlistas. Defender förblir ansvarig för djupare kriminaltekniska uppgifter, sanering av skadlig programvara och skanning av arkiverat innehåll som redan finns på disken. I den här skiktade modellen minskar SAC exponeringen och Defender rensar upp allt som slinker igenom eller är äldre än den aktuella sessionen.