Il Controllo intelligente delle app di Windows 11 blocca gli eseguibili sconosciuti prima dell'avvio

Windows 11 espande Lo stack di sicurezza di Microsoft con Smart App Control (SAC), un componente che esamina le applicazioni prima dell'esecuzione e blocca il codice non attendibile. Questa funzione si affianca ai motori antivirus tradizionali, come Microsoft Defender, che continuano a monitorare il sistema alla ricerca di malware noti. Abbinando un gatekeeper proattivo con uno scanner reattivo maturo, il sistema operativo mira a ridurre sia i tentativi di infezione iniziale che le minacce persistenti.

Il software antivirus convenzionale funziona secondo il principio "innocente fino a prova contraria". Permette l'esecuzione dei file e poi cerca i modelli dannosi attraverso i database delle firme, l'analisi euristica e il monitoraggio comportamentale. I frequenti aggiornamenti delle definizioni mantengono alti i tassi di rilevamento, ma i campioni zero-day o polimorfi possono eludere le firme finché non emerge un comportamento sospetto. Questo approccio rimane efficace per ripulire le minacce note, ma può introdurre un ritardo tra l'esecuzione e il contenimento.

Smart App Control inverte questa logica. Prima del lancio di un eseguibile, SAC consulta il servizio di reputazione cloud di Microsoft, controlla la firma digitale dello sviluppatore e applica modelli di apprendimento automatico addestrati su ampi set di dati di software affidabili e dannosi. Se la reputazione è sconosciuta e il file non è firmato - o si prevede che sia dannoso - il sistema operativo lo blocca completamente. In effetti, ogni nuovo programma è "colpevole fino a prova contraria", e blocca molti attacchi nella fase di consegna, anziché dopo l'attivazione.

Poiché SAC blocca i binari sconosciuti prima che vengano caricati, elimina la necessità di una costante scansione in background dei processi attivi. I test interni di Microsoft, quindi, riportano un modesto vantaggio in termini di prestazioni rispetto agli scanner tradizionali, che consumano cicli di CPU mentre ispezionano i file in tempo reale. Nel frattempo, Defender continua a gestire le attività che SAC non svolge, come l'analisi delle macro o l'ispezione degli script, dando al sistema combinato un'ampiezza senza duplicare gli sforzi.

SAC ha un periodo di valutazione iniziale; se interferisce con i carichi di lavoro quotidiani, Windows lo disattiva in modo permanente, a meno che il sistema non venga reinstallato. Allo stesso modo, una volta che un utente disattiva SAC, non può semplicemente riaccenderlo. Gli sviluppatori e i power user che si affidano a build non firmate o personalizzate possono quindi trovare le restrizioni controproducenti, mentre le flotte aziendali gestite possono trarre vantaggio dalla posizione predefinita più rigida.

È importante notare che SAC è stato progettato per operare accanto a Microsoft Defender, piuttosto che sostituirlo. Se SAC blocca un file, la decisione è definitiva; non può essere inserito nella whitelist. Defender rimane responsabile delle attività forensi più profonde, della correzione del malware e della scansione dei contenuti archiviati già presenti sul disco. In questo modello stratificato, SAC riduce l'esposizione e Defender pulisce tutto ciò che sfugge o che è precedente alla sessione corrente.