近日,微软在其 Windows 11 22H2 版本中推出了一项新的安全功能 —— 智能应用控制(Smart App Control, SAC),作为 Microsoft Defender 安全体系的一部分,旨在从源头阻止未知或不受信任的程序运行。
微软称,该功能采用“有罪推定”的安全策略,在保障系统安全的同时,对电脑性能的影响也相对较小,是一种更加高效、主动的防病毒方案。
一、什么是“智能应用控制”?
智能应用控制(SAC)是微软引入的一种新型应用程序白名单机制。它通过以下方式判断一个程序是否可以运行:
- 检查微软智能安全图谱(Microsoft Intelligent Security Graph):
- 这是一个基于云的信誉数据库,记录了数百万个已知合法和恶意程序的信息。
- 验证数字签名:
- 如果程序不在信誉数据库中,SAC 会进一步检查其是否由可信开发者签名。
- 拦截不可信程序:
- 如果程序被标记为可疑或未签名,SAC 将直接阻止其运行。
这种方式不同于传统的“无罪推定”型防病毒软件(如 Windows Defender),后者通常是在程序运行过程中监测行为异常,属于事后响应机制。
二、“有罪推定” vs “无罪推定”:两种安全思路对比
| 安全机制 | 检测方式 | 响应时机 | 性能开销 | 适用场景 |
|---|---|---|---|---|
| Microsoft Defender(传统 AV) | 签名识别 + 行为启发式检测 | 程序运行后实时监控 | 相对较高 | 个人用户、广泛兼容性需求 |
| 智能应用控制(SAC) | 白名单机制 + 云信誉评估 | 程序运行前拦截 | 更低 | 企业环境、安全性优先 |
微软表示,SAC 能够显著减少对 CPU 和内存资源的占用,因为其核心逻辑是在程序启动前完成判断,而不是持续监控其运行状态。
三、优势与限制并存:谁更适合启用 SAC?
✅ SAC 的优势:
- 更高的安全性:防止未经验证的应用执行,有效抵御零日攻击;
- 更低的性能影响:无需长时间运行行为分析引擎;
- 简化安全管理:自动依赖云端信誉数据库,减少人工干预。
⚠️ 但也有明显限制:
- 不支持误报处理:如果 SAC 判断某个程序为“不可信”,你无法手动将其加入白名单;
- 不适合开发者或爱好者:如果你经常运行测试软件、自定义脚本或非官方工具,可能会频繁遇到阻拦;
- 仅限全新安装 Windows 的设备使用:升级安装的系统无法启用 SAC;
- 关闭后无法重新启用:一旦禁用,除非重装系统,否则无法再次开启。
四、微软如何确保 SAC 不干扰日常使用?
为了防止 SAC 对用户造成不必要的困扰,微软在启用该功能时会先让它进入“评估模式”。在此阶段,SAC 会监控哪些程序可能被拦截,但不会真正阻止它们运行。
只有当系统确认 SAC 不会影响你的正常使用后,才会正式启用该功能。
不过,这个过程是单向的:
- 如果评估结果显示 SAC 不适合你的使用习惯,它将被永久禁用;
- 如果你后续想重新启用,只能通过重新安装 Windows 来实现。
评论