Smart App Control (SAC)¶
Cloud/AI app-trust prediction'ı code-integrity enforcement ile birleştiren, untrusted, imzasız veya bilinmeyen kodu varsayılan olarak bloklayan bir Windows 11 app-execution-control özelliği.
Mechanism¶
Invariant
Smart App Control varsayılan trust model'ini tersine çevirir: bir binary yalnızca trust'ı kazanırsa çalışır. Microsoft'a göre, "selectively allows apps and binaries to run only if they're likely to be safe." Trust iki sinyalden biriyle verilir — (1) Microsoft'un app intelligence servisleri app'in güvenli olduğunu predict eder, ya da (2) prediction yapılamazsa, app "is signed with a certificate issued by a certificate authority (CA) within the Trusted Root Program." Geri kalan her şey reddedilir: "Malware, Potentially Unwanted Apps (PUA), and unknown, unsigned code are blocked by default." SAC "is itself a special type of WDAC policy" / App Control for Business üzerine inşa edildiğinden, enforcement boundary'si bir userland heuristic değil, kernel code-integrity engine'idir.
Bu, bir defansif mitigation'dır, bir vulnerability değil. "goes beyond previous built-in browser protections by adding another layer of security that's woven directly into the core of the OS at the process level," ve "builds on top of the same cloud-based AI used in App Control for Business to predict the safety of an application." Ayrıca "blocks unknown script files and macros from the web."
Walkthrough¶
Kavramsal / operasyonel
Microsoft'un herkese açık dokümanlarından yüksek seviyeli davranış.
- Lifetime / clean-install kısıtı. SAC "is designed to protect a device for its entire lifetime. As such, it can only be enabled on a clean install" — özelliği içeren bir Windows sürümünün temiz kurulumunda (PC'yi resetlemek temiz kurulum sayılır). Windows 11 sürüm 22572 veya üstünü gerektirir ve bölgeyle kapılıdır.
- Evaluation mode. SAC "runs in the background, observing activity on the device … evaluating whether the device is a good fit for the protection it offers based on the variety of apps installed and used." Kullanıcının yoluna çıkacaksa (ör. developer'lar/kurumsal kullanıcılar), "we automatically turn Smart App Control off."
- Enforcement mode. SAC "actively protecting your device. Apps cannot be run unless they are recognized by Microsoft's app intelligence services, or they are signed with a trusted certificate." Enforcement'a geçişte kullanıcı bir toast notification alır.
- Binary başına karar. Launch'ta SAC, günlük güncellenen cloud intelligence'a danışır; no-prediction sonucunda trusted-CA signing kontrolüne geri düşer; aksi halde binary (exe, dll, installer temp dosyaları, script'ler, uninstaller'lar) bloklanır.
Durumu nasıl inceleyebilirsiniz
Microsoft kullanıcıları Settings > Windows Security > App and Browser Control'e yönlendirir: bir On seçimi enforcement mode demektir, Evaluation evaluation mode demektir, Off SAC'nin çalışmadığı anlamına gelir. Bazı eski Microsoft binary'leri unsafe olarak ele alınır (App Control "enforced blocks" listesinde görünürler) ve trust-signed değilse bloklanır.
Detection¶
- Enabled olduğunu / hangi mode'da olduğunu doğrulayın. Settings > Windows Security > App and Browser Control'ü okuyun (On / Evaluation / Off), ya da SAC bir WDAC/App Control policy olarak implemente edildiğinden policy durumunu programatik olarak sorgulayın — App Control policy status'ü ve code-integrity event kanalları bunu yansıtır.
- Block telemetrisi. SAC enforcement ve audit kararları Code Integrity / AppLocker tarzı event kanalları üzerinden ortaya çıkar (ör. CodeIntegrity Operational ve App Control event log'ları) — blocked-binary event'leri dosyayı, hash'i ve signer'ı tanımlar. Defender for Endpoint bunları merkezi olarak avlayabilir.
- Bypass denemeleri şöyle görünür: imzasız/bilinmeyen binary'ler için tekrar eden code-integrity block event'leri; enforced-block listesindeki trusted-ama-suistimal-edilebilir Microsoft binary'lerini (LOLBin'ler) çalıştırma girişimleri; bir kullanıcıyı SAC'yi Off yapmaya sosyal mühendislikle yönlendirme (ki bu, tasarım gereği, geri alınması zordur — bkz. Mitigation); veya fallback signing kontrolünü tatmin etmek için payload'ları signed-by-trusted-CA kod olarak yerleştirme.
Mitigation¶
- SAC mitigation'ın kendisidir. Önerilen hardening: cihazları aylık Windows Update'te tutun ki cloud intelligence ve deneyim güncel kalsın; ve developer'lar/ISV'ler için, "sign all their application code with a code signing certificate from any certificate authority in the Microsoft Trusted Root Program … include all binaries, such as exe, dll, temp installer files, scripts, and uninstallers" (Microsoft Trusted Signing bunu basitleştirir).
- Uyarılar / kapsam:
- Tek yönlü off switch. SAC bir cihazın ömrü boyunca sürmek için inşa edilmiştir; bir kez kapatıldığında yalnızca bir clean install/reset ile yeniden enable edilebilir. Bir Off geçişini yüksek-değerli bir security event olarak ele alın.
- Yönetilen kurumlar için değil. "Smart App Control is disabled on devices enrolled in enterprise management." Microsoft, line-of-business app'leri çalıştıran kurumlara açık policy kontrolü için "continue to use App Control for Business" önerir.
- Trust-fallback maruziyeti. Bir Trusted Root Program CA tarafından imzalı her binary no-prediction fallback'ini geçer, bu yüzden trusted/suistimal-edilebilir imzalı binary'lerin (LOLBin'ler, vulnerable imzalı driver'lar) suistimali artık bir kalıntı yüzey olarak kalır — Microsoft vulnerable driver blocklist ve açık WDAC kuralları ile eşleştirin.
- Bölge- ve clean-install-kapılı; evrensel olarak mevcut değil.