- בקרת אפליקציות חכמות היא שכבת אבטחה של Windows 11 שחוסם את ביצוען של יישומים לא מהימנים על ידי שילוב של חתימות דיגיטליות ובינת ענן.
- פעולתו מבוססת על מצב הערכה ראשוני ומצב תאימות מחמיר יותר, עם דרישות גרסת המערכת וסוג ההתקנה.
- הוא מציע הגנה פרואקטיבית מפני תוכנות זדוניות ו-PUA, אך הוא יכול לייצר תוצאות חיוביות שגויות עם תוכנה פחות מוכרת או לא מאושרת.
- הגרסאות האחרונות של Windows 11 מאפשרים לך להפעיל ולבטל את SAC מבלי להתקין אותו מחדש, מה שמקל על השימוש בו לצד Microsoft Defender ו-SmartScreen.
אם אתם משתמשים ב-Windows 11 מדי יום לעבודה, לימודים או סתם גלישה באינטרנט, תרצו לדעת בדיוק מה הוא עושה. בקרת אפליקציות חכמות וכיצד היא יכולה לשנות את אופן הפעלת התוכניות שלךזה לא "סתם עוד אנטי-וירוס", אלא שכבת אבטחה שונה, הרבה יותר מחמירה מבחינת מה שהיא מאפשרת להיפתח במחשב האישי שלך.
תכונה זו יכולה לחסוך לכם הרבה צרות על ידי חסימת תוכנות זדוניות, תוכנות פרסום ואפליקציות זבל, אך היא גם יכולה לגרום לכם לכאבי ראש אם פתאום תוכנית שאתה צריך מפסיקה לפעול.הבנת אופן פעולתו, מתי הוא מופעל, כיצד הוא מוגדר ואילו מגבלות יש לו היא המפתח ל... נצלו את זה בלי שזה יהרוס לכם את היום או יכריח אתכם להתקין מחדש את Windows באקראי.
מהי בדיוק בקרת אפליקציות חכמות וכיצד היא מגנה על המחשב האישי שלך?
בקרת אפליקציות חכמות, או SAC, היא תכונת אבטחה מובנית ב-Windows 11 הפועלת כמסנן ביצוע יישומיםהוא לא ממתין לקובץ שיפעל לפני שהוא מנתח אותו; במקום זאת, הוא מחליט מראש האם לקובץ ההפעלה יש הרשאה לפעול במחשב שלך.
כדי לקבל את ההחלטה הזו, Windows משלבת מודיעין אבטחת הענן של מיקרוסופט ותכונות שלמות הקוד של מערכת ההפעלה עצמהכלומר, הוא מערבב כמויות אדירות של מידע על מיליוני אנשים. אפליקציות ידוע (לטוב ולרע) עם בדיקות כיצד הקובץ נחתם והאם חתימה זו אמינה.
בפועל, בקרת אפליקציות חכמות מאפשרת לאפליקציה או קובץ בינארי לפעול רק אם המערכת קובעת שזה נכון סביר מאוד שזה בטוחאם הענן של מיקרוסופט נותן דירוג שלילי או מפוקפק והקובץ אינו מציע כל ערבויות, הביצוע ייחסם ללא דיחוי נוסף, גם אם תרצו לפתוח אותו.
בניגוד ל-Microsoft Defender (האנטי-וירוס הקלאסי) או SmartScreen (שמתמקד יותר ב- descargas וגלישה באינטרנט), SAC מתפקד כ- מחסום מניעתי המבוסס על מודלים של בינה מלאכותית ולמידת מכונה אשר מחליט אם משהו בכלל יקום. זה מפחית את משטח ההתקפה, במיוחד נגד איומים חדשים או פחות מוכרים.
כיצד בקרת אפליקציות חכמה מחליטה אם אפליקציה אמינה
כאשר מנסים להפעיל תוכנית, SAC מעריך שני דברים בסיסיים: החתימה הדיגיטלית של הקובץ והמוניטין שיש לקובץ ההפעלה במערכות מיקרוסופטמשם, הוא מסווג אותו כאמין, חשוד או מסוכן ממש.
מצד אחד, יש את החתימה. מפתחים יכולים "לחתום" על האפליקציות שלהם באמצעות תעודה דיגיטלית שהונפקה על ידי רשות אישורים (CA) המוכרת במסגרת תוכנית הבסיס המהימנה של מיקרוסופטחברה זו מאמתת מי פרסם את התוכנית ושהיא לא שונתה מאז שפורסמה.
כדי לתת לך מושג, זה כמו חתימה של צייר על ציור, רק... הרבה יותר קשה לזיוף ולאימות אוטומטיתWindows בודק את האישור, מי הנפיק אותו, האם הוא תקף והאם הוא מגיע מרשות אישורים מהימנה.
עמוד התווך השני הוא ניסיון מצטבר. שירותי האבטחה החכמים של מיקרוסופט הם רואים כמות עצומה של קבצי הרצה מדי יום. והם מייצרים תחזיות לגבי האם כל אחד מהם בטוח או לא, אפילו באפליקציות שמעולם לא "ראו" קודם לכן, הודות לדפוסי התנהגות ודמיון עם איומים אחרים.
אם שירות הענן יכול להסיק שהאפליקציה מאובטחת, או שיש לה חתימה תקפה ואמינה, Smart App Control נותנת לו אור ירוק. עם זאת, אם המערכת לא יכולה לבצע חיזוי אמין וגם הקובץ הבינארי אינו חתום כהלכה, הוא נופל אוטומטית לקטגוריה "לא מהימן". והוא קופא.
מהמפעל, ל-SAC יש יד די כבדה: תוכנות זדוניות, יישומים לא רצויים (PUAs), קבצים בינאריים לא ידועים ולא חתומים חסומים כברירת מחדל, בלי שתצטרכו לעשות דבר.
דרישות ותאימות: באילו מכשירים ניתן להשתמש ב-Smart App Control
אחד ההיבטים הפחות אינטואיטיביים של תכונה זו הוא ש זה לא זמין בכל מערכות Windows 11 או בכל התקנה.מיקרוסופט הציבה מספר תנאים על מנת לאפשר זאת ולנצל את מלוא יכולותיו.
מצד אחד, אתה צריך גרסה מודרנית של Windows. SAC הוצג עם חלונות 11 22H2 והוא לא קיים ב-Windows 10 או בגרסאות קודמות של המערכת. יתר על כן, מיקרוסופט שיפרה והרחיבה את התכונה בגירסאות הבאות, במיוחד בנוגע לגמישות ואזורים נתמכים.
דרישה חשובה נוספת היא סוג ההתקנה. בקרת אפליקציות חכמות נועדה להגן על הציוד. לאורך כל מחזור חייוזו הסיבה שבמקור ניתן היה להפעיל אותו רק על אחד התקנה נקייה של Windows 11 שכבר כללה את התכונה הזו מההתחלה אתחול.
אם שדרגתם מגרסה קודמת של Windows או שהייתם נושאים הרבה תוכנות מדור קודם, היה די נפוץ שתמיכה ללקוחות (SAC) לא הייתה זמינה או מושבתת. למעשה, מיקרוסופט המליצה "להתחיל עם מערכת חדשה" או לאפס את Windows 11 ל... תיהנו מהתכונות המתקדמות ביותר של Smart App Control.
יש גם מרכיב גיאוגרפי. ההגנה פעילה בעיקר ב אזורים מסוימים (בין היתר צפון אמריקה ואירופה)ומיקרוסופט הרחיבה את הזמינות עם הזמןהרעיון של החברה הוא לפרוס אותו לאזורים נוספים, אך ראוי לציין כי בהתאם למדינה, ייתכן שייקח זמן עד שחלק מהאפשרויות יופיעו.
שלבי הפעלה: מצב הערכה ומצב תאימות
בקרת האפליקציות החכמות אינה מופעלת במצב מוגבל במיוחד מההתחלה. מיקרוסופט תכננה פריסה הדרגתית כדי לנסות לאזן בין אבטחה לשימושיות, במיוחד במחשבים שבהם היא נמצאת בשימוש. יישומים לא שגרתיים, כלי נישה או תוכנה פנימית של החברה.
כאשר המכשיר עומד בדרישות, SAC מתחיל במה שמכונה מצב הערכהבשלב זה, הפונקציה פועלת ברקע ומוקדשת למעקב אחר סוגי התוכניות שאתה בדרך כלל פותח, מה אתה מתקין וכיצד אתה משתמש במחשב.
במהלך תקופה זו, המערכת מנתחת האם מדיניות החסימה הלוגית שלה זה מתאים לסגנון העבודה שלך בלי לגרום לך יותר מדי כאבי ראשאם הוא מזהה שאתה משתמש בעיקר באפליקציות פופולריות, חתומות או בעלות מוניטין, הוא נוטה לראות אותך כמועמד טוב להגנה מחמירה יותר.
אם הכל יסתדר, Smart App Control עוברת למה שנקרא מצב תאימות או מצב פעילמאותו רגע ואילך, ההגנה אינה מוגבלת עוד לתצפית: היא הופכת למסנן קשיח. רק יישומים המזוהים על ידי המודיעין של מיקרוסופט יופעלו. חתום עם תעודה מקובלתהשאר ייחסמו.
במצב זה, בכל פעם ש-SAC מקבל החלטה רלוונטית, ייתכן ש-Windows יציג לך התראות המזהירות אותך ש-Smart Control חוסם משהו או שמצב ההגנה על הציוד השתנה.
בגרסאות קודמות של Windows 11, לקפיצה הזו היה חיסרון חמור מאוד: לאחר ש-Smart App Control הופעל במצב תאימות, לא ניתן היה עוד לבטל זאת.אם כיבית אותו בכל שלב, המערכת לא תאפשר לך להפעיל אותו שוב, והדרך היחידה לשחזר זאת הייתה על ידי ביצוע התקנה מחדש נקייה של Windows.
זה יצר מצב לא מעשי: אם השבתת את SAC פעם אחת כדי לבצע משימה ספציפית, נותרת ללא הפונקציה לנצח (או עד שפרמטת את המחשב). משתמשים רבים פשוט בחרו ב... להיפטר משכבת האבטחה כי עלות הטעות הייתה גבוהה מדי.
שינוי המיקוד: הפעלה והשבתה של Smart App Control ללא עיצוב
עם גרסאות ה-build האחרונות של Windows 11 בערוצי הפיתוח והבטא (לדוגמה, build 26220.7070 ומקבילות נוספות), מיקרוסופט ריככה בבירור את המדיניות הנוקשה הזו. המטרה היא כדי להפוך את SAC לשימושי בעולם האמיתי, שבו לפעמים צריך להפעיל כלים לא מוכרים מבלי להרוס את התפקוד לצמיתות.
החדשות הגדולות הן שעכשיו משתמשים יכולים הפעל ובטל את בקרת האפליקציה החכמה בכל עת מההגדרותמבלי שתצטרך להתקין מחדש את מערכת ההפעלה. בדרך זו, אם עליך לפתוח תוכנית ש-SAC מחשיבה כחשודה אך אתה יודע שהיא אמינה, תוכל להשבית זמנית את הפונקציה, להפעיל את האפליקציה ולאחר מכן להפעיל אותה מחדש.
עם זאת, מיקרוסופט עדיין לא יישמה אחד כזה. רשימה לבנה מפורטת לכל יישוםאין סעיף שבו ניתן להוסיף "חריגים" ספציפיים ש-SAC תמיד יכבד. הניהול נשאר גלובלי: או שבקרה חכמה פעילה עבור המערכת כולה, או שהיא כבויה.
למרות זאת, גמישות חדשה זו מבטלת במידה רבה את הפחד מלהיות "לכודים" ללא הגנה או מלהצטרך לבחור בין אבטחה לפרודוקטיביות. כעת תוכלו לתחזק בקרת האפליקציה החכמה פועלת רוב הזמןורק במקרים ספציפיים מאוד להשבית אותו לשימוש בתוכנה אשר, מכל סיבה שהיא, IA זה לא מכיר בזה כביטוח.
במצבים אמיתיים, זה עוזר מאוד מפתחים, סטרימרים, משתמשים מתקדמים או אנשי מקצוע המשתמשים בכלים קנייניים או נישתיים מאוד של צד שלישיבעבר, הם היו בדיוק הפרופיל ש-SAC פגע בו הכי הרבה, עקב מספר התוצאות החיוביות השגויות שנוצרו באמצעות קבצים בינאריים פחות מוכרים או לא חתומים.
הבדלים בין Microsoft Defender ו-SmartScreen
חשוב להבהיר ש-Smart App Control אינו מחליף את Microsoft Defender או SmartScreen; הוא פועל לצדם. כל אחד מהם מכסה תחום שונה, והבנת ההפרדה הזו עוזרת לכם... אל תבטל שום דבר במחשבה ש"כבר יש לי את השני".
מיקרוסופט דיפנדר עובד כמו פתרון אנטי-וירוס מסורתי ופתרון נגד תוכנות זדוניותהוא מנתח קבצים (בדיסק, בזיכרון, בזמן אמת), מזהה איומים על סמך חתימות והתנהגות, ומגיב כאשר משהו כבר הגיע למחשב שלך ומנסה להפעיל או לשנות את המערכת.
בקרת אפליקציות חכמות פועלת צעד אחד קדימה: מתערב רגע לפני הביצוע המקומי של הקובץאפילו אם ההורדה כבר הושלמה. אפשר לחשוב על SAC כ"שוער האחרון" שמחליט אם השוער הבינארי חוצה את קו המגרש או נשאר מחוץ לתחום.
אם משלבים את שלוש השכבות (Defender, SmartScreen ו-SAC), המערכת משיגה הגנה מקיפה למדי: ראשית, איומים נעצרים במהלך ההורדה, לאחר מכן ביצועם נדחה, ואם משהו בכל זאת מצליח לחמוק, האנטי-וירוס המסורתי נכנס לתמונה..
יתרונות עיקריים של שימוש ב- Smart App Control
האטרקציה העיקרית של SAC היא היכולת שלה ל חסום יישומים זדוניים או יישומים שעלולים להיות לא רצויים לפני שהם יעשו משהו במחשב שלךזה כולל תוכנות זדוניות קלאסיות, תוכנות פרסום, תוכנות מתקינות עמוסות זבל וכלים שנועדו לנצל לרעה את המערכת.
באמצעות בינה מלאכותית ומאגר ענן ענק, Smart App Control יכול הערך בזמן אמת קבצי הרצה שמעולם לא ראית קודם לכן.היא מעריכה את הסיכון שלהם על סמך דפוסים, חתימות התנהגותיות ודמיון לאיומים ידועים אחרים. היא אינה מסתמכת אך ורק על רשימה סגורה של וירוסים.
יתר על כן, לגישה פרואקטיבית זו יש השפעה נמוכה יחסית על הביצועים, מכיוון כל הדיסק לא נסרק ברציפות.המאמץ מרוכז בכל ניסיון ביצוע, השוואה בענן ואימות חתימות, דבר שבדרך כלל מהיר ושקוף.
עבור המשתמש הממוצע, זה מתורגם לסביבה שבה, בתיאוריה, רק תוכניות מהימנות או כאלה החתומות עם אישורים תקפים מופעלות.להגנה על נתונים רגישים, אישורים ומסמכי עבודה, זוהי חיזוק משמעותי על פני ההגנות המסורתיות.
מגבלות, תוצאות חיוביות שגויות ובעיות נפוצות
זה לא רק יתרונות. דווקא בגלל שזה כל כך קפדני, בקרת אפליקציות חכמות יכולה להסתיים חסימה של יישומים שאינם זדוניים כללבמיוחד כאלה שנוצרו על ידי עסקים קטנים, מפתחים עצמאיים או פרויקטים בקוד פתוח שאין להם תעודות יקרות או מוניטין מצטבר גדול.
במקרים אלה, SAC נוטה לסווג את הקובץ הניתן להרצה כ"לא מהימן" פשוט משום הוא לא מזהה אותו, והחתימה לא קיימת או שלא מגיעה מרשות אישורים של שורש תוכנית האמון.עבור המשתמש, התחושה היא ש-Windows מגוננת יתר על המידה ומונעת ממנו להשתמש בתוכנה לגיטימית לחלוטין.
דוגמה די מציאותית היא של אנשים שמתקינים אפליקציות כמו Revit, Clip Studio Paint, או אפילו תוכנות ידועות כמו 7-Zip ואז, אחרי כמה ימים של שימוש רגיל, הם מגלים ש-Smart App Control מתחיל לחסום את הפעלתו. פתאום, הם לא יכולים לפתוח את כלי העבודה שלהם או לפענח דחיסה של קבצים עם המדחס המועדף עליהם.
כאשר זה קורה, ההודעה האופיינית היא שהאפליקציה נחסמה על ידי Smart App Control מכיוון שהיא אינה מהימנה. והנה הבעיה המעשית: כבר מהקופסה, המערכת לא מציעה אפשרות פשוטה "לתת אמון באפליקציה הזו ולהמשיך".זה לא כמו חומת אש ששואלת אותך אם אתה רוצה לאפשר או לדחות וזוכרת.
אם אתם משתמשים בגרסה של Windows 11 שבה המדיניות הישנה עדיין בתוקף, לאחר ש-SAC יגיע למצב תאימות וחוסם תוכניות שאתם מחשיבים כחיוניות, ייתכן שהדרך היחידה להסיר את ההגבלה לצמיתות היא... השבת את בקרת האפליקציות החכמות, ובמקרים מסוימים, התקן מחדש את המערכת אם ברצונך לנסות זאת שוב מאוחר יותר..
עם הגירסאות החדשות והגמישות יותר, הפתרון כרוך במעבר להגדרות Windows ו- כבה זמנית את בקרת האפליקציה החכמההפעילו את התוכנית שאתם צריכים והפעילו אותה מחדש כשתסיימו. זה פחות משבש, אבל זה עדיין לא מציע דרך מעודנת לסמן חריגים לכל יישום.
כיצד לדעת אם למכשיר שלך יש בקרת אפליקציה חכמה ובאיזה מצב הוא נמצא
בדיקה אם המחשב שלך כולל תכונה זו היא די פשוטה. מ-Windows 11 ואילך, תוכל לעבור אל הגדרות > אבטחת Windows > בקרת יישומים ודפדפןאם המערכת שלך תומכת בכך, תראה בלוק ספציפי בשם "בקרת אפליקציה חכמה".
בתוך סעיף זה, יופיעו בדרך כלל שלוש אפשרויות: הפעלה, הערכה וביטולהפריט שנבחר מציין את המצב הנוכחי:
- להפעילSAC נמצאת במצב אכיפה/ציות, וחוסמת באופן פעיל את מה שהיא מחשיבה כלא אמינה.
- הערכההמערכת מנתחת את השימוש שלך באפליקציה כדי להחליט האם כדאי להפעיל הגנה מלאה.
- השבתבקרת האפליקציה החכמה לא עובדת במכשיר הזה.
בתרחישים מסוימים, במיוחד עם גרסאות ישנות יותר של התכונה, לאחר סיום תקופת ההערכה, המערכת מקבלת החלטה אוטומטיתאם זה לא גורם יותר מדי צרות, זה מפעיל מצב קפדני; אם זה מזהה שאתה משתמש שמתקין הרבה כלי פיתוח, סקריפטים יוצאי דופן או כלי עזר לא שגרתיים, זה עלול... הישאר מושבת כדי שלא תפריע לנו.
יתר על כן, כאשר SAC נכנס למצב תאימות, בדרך כלל, Windows שולח הודעה זה מודיע לך שבקרת יישומים חכמה החלה להגן באופן פעיל על המחשב שלך. עליך לשים לב להודעה זו, מכיוון שמאותו רגע ואילך, קריסות עלולות להיות תכופות יותר אם תשתמש בתוכנה שאינה סטנדרטית.
שיטות עבודה מומלצות לחיים עם בקרת אפליקציות חכמות
אם אתם רוצים לנצל את שכבת האבטחה הזו מבלי שהיא תהפוך למכשול, ישנן מספר המלצות סבירות. הראשונה היא שמור תמיד על Windows 11 מעודכןהסיבה לכך היא שרבים מהשיפורים של SAC מגיעים באמצעות גרסאות חדשות שמתאימים את האגרסיביות, מתקנים באגים ומרחיבים תאימות אזורית.
גם סדרי עדיפויות עוזרים מאוד תוכנה ממקורות ידועים ומפתחים שחותמים על היישומים שלהםלתוכניות מספקים גדולים או לפרויקטים מבוססים בקוד פתוח יש בדרך כלל מוניטין טוב יותר בענן של מיקרוסופט ושיעור נמוך יותר של תוצאות חיוביות שגויות.
במסגרות מקצועיות, ייתכן שיהיה מעניין לשקול שימוש תעודות חתימת קוד עבור כלים פנימיים. בדרך זו, אפליקציות של החברה עצמה נוטות יותר להתקבל כאפליקציות מהימנות על ידי Smart App Control, מה שמונע חסימה המונית של תחנות עבודה.
כמשתמש ביתי, אסור לך להגביל את עצמך רק ל-SAC: תחזוקה סיסמאות חזקות, אימות דו-שלבי במידת האפשרגיבויים קבועים ושימוש זהיר בדוא"ל ובגלישה באינטרנט נותרו חיוניים. בקרת אפליקציות חכמות היא עוד חלק בפאזל, לא קו ההגנה היחיד.
לבסוף, אם אתם מתחילים לראות צווארי בקבוק שמשפיעים בבירור על העבודה היומיומית שלכם ואינכם יכולים להחליף את האפליקציות באפליקציות מקבילות, חשוב להעריך באופן אובייקטיבי האם זה שווה את זה. השאר את התכונה פעילה או השבת אותה והסתמך אך ורק על Defender ואמצעים אחריםאין תשובה אוניברסלית; זה תלוי מאוד בסוג התוכנה שבה משתמשים.
בקרת אפליקציות חכמות מביאה שכבת אבטחה נוספת וחזקה ל-Windows 11, המבוססת על בינה מלאכותית והמוניטין הגלובלי של אפליקציות, שיכולה לעצור את ביצוע קוד זדוני, קוד זבל או פשוט קוד מפוקפק. בתמורה, היא דורשת פעולה בתוך מערכת אקולוגית תוכנה "מהימנה" יותר וקבלת העובדה שמדי פעם, תצטרכו להתקשות מעט עם המגבלות שלהם כשאתם עובדים עם כלים פחות מוכרים או כאלה ללא חתימה דיגיטלית..
כותב נלהב על עולם הבתים והטכנולוגיה בכלל. אני אוהב לחלוק את הידע שלי באמצעות כתיבה, וזה מה שאעשה בבלוג הזה, אראה לכם את כל הדברים הכי מעניינים על גאדג'טים, תוכנה, חומרה, טרנדים טכנולוגיים ועוד. המטרה שלי היא לעזור לך לנווט בעולם הדיגיטלי בצורה פשוטה ומשעשעת.