随着黑客找出office默认封锁宏的应对之道,微软也跟着强化安全工具。微软宣布windows 11的智慧应用程序管控(smart application control,sac)也将默认封锁来自网络上的iso及link等文件。
微软企业及os安全部门副总裁david weston指出,windows 11的sac现在也支持封锁和宏一样具有mark of the web(motw)的文件,如iso及lnk档。
这是在安全厂商本周公布恶意邮件附件新趋势后,微软做的安全强化。proofpoint指出,微软关闭office xl4及vba宏后,钓鱼诈骗使用包含宏的附件次数骤减66%,但使用iso、rar、lnk等类型文件感染用户则大增数十倍。
微软于4月首次公布sac(下图),宣称是安全防护的一大进展。根据微软的说明,sac是根据微软ai云计算安全分析服务,为用户欲执行的app给定安全预测评分。若app被认定为恶意或不安全文件,就会被sac封锁执行。若无法使用该云计算服务,sac会检查app是否具有有效的签章,未获得签章,或是签章过期,也会被sac判定不安全而封锁。
图片来源/微软
知名安全专家will dormann发现,sac会默认封锁.img、.vhd和.vhdx等文件类型(下图)。bleeping computer的测试则证实,.appref-ms、.bat、.cmd、.chm、.cpl、.js、.jse、.msc、.msp、.reg、.vbe、.vbs、.wsf也在默认封锁之列。
图片来源/will dormann
sac仅在windows 11以全新安装(clean install)时启动。但用户可以手动关闭,或是在评估版(evaluation mode)中,“微软认为用户不适用sac”而将之关闭。
目前只有windows 11有sac,这功能仅释放给windows测试版的insider用户。安装windows 11 22h2预览版的用户已可测试。