5 月 25 日消息，微軟于 2022 年 9 月發(fā)布的 Windows 11 22H2 版本中首次引入了 Smart App Control（智能應用控制，簡稱 SAC），在最近的一篇文章中，微軟詳細闡述了該功能相較于傳統(tǒng)殺毒軟件的諸多優(yōu)勢。微軟在Windows 11中引入的智能應用控制（Smart App Control, SAC）是一項基于人工智能和云技術的安全功能，旨在通過主動防御機制補充甚至替代傳統(tǒng)殺毒軟件的部分功能。以下是其相較于傳統(tǒng)殺毒軟件的核心優(yōu)勢及技術解析：

1. 主動防御 vs 被動響應

• 傳統(tǒng)殺毒軟件：依賴病毒特征庫（簽名）或行為規(guī)則（啟發(fā)式分析），需先捕獲惡意樣本并更新數(shù)據(jù)庫后才能識別新威脅，存在滯后性。

• 智能應用控制：

  • AI實時評估：通過本地AI模型和云端微軟Defender智能安全圖（Intelligent Security Graph）動態(tài)分析應用行為、代碼簽名、發(fā)行者信譽等，即使未見過的新型威脅也可攔截。

  • 代碼信任鏈驗證：強制檢查應用是否由可信證書簽名，并驗證其供應鏈完整性（如是否來自已知惡意分發(fā)渠道）。

2. 減少誤報與用戶干擾

• 傳統(tǒng)殺毒軟件：頻繁彈窗詢問用戶是否允許操作，依賴用戶判斷（易被社會工程攻擊利用）。

• 智能應用控制：

  • 自動化決策：AI直接阻止高可疑行為（如勒索軟件加密文件、腳本注入），僅在低風險場景下提示用戶。

  • 學習模式：初期以評估模式運行，記錄用戶行為模式后自動切換為強制執(zhí)行，減少誤報。

3. 輕量化與性能優(yōu)化

• 傳統(tǒng)殺毒軟件：實時監(jiān)控文件讀寫、網(wǎng)絡流量等可能占用系統(tǒng)資源。

• 智能應用控制：

  • 云優(yōu)先架構(gòu)：多數(shù)分析由云端完成，本地僅保留輕量模型，降低CPU/內(nèi)存占用。

  • 聚焦關鍵風險：僅攔截可能造成實質(zhì)性危害的操作（如提權、敏感數(shù)據(jù)訪問），而非掃描所有文件。

4. 針對性防護現(xiàn)代威脅

• 傳統(tǒng)殺毒軟件：對無文件攻擊（Fileless Malware）、供應鏈攻擊（如SolarWinds事件）檢測能力有限。

• 智能應用控制：

  • 內(nèi)存行為監(jiān)控：檢測惡意腳本（PowerShell、宏代碼）的異常內(nèi)存操作。

  • 應用隔離：通過Windows Sandbox和AppContainer限制未驗證應用的權限，阻斷0day漏洞利用。

5. 與Windows生態(tài)深度集成

• 硬件級安全：依賴TPM 2.0和Secure Boot確保啟動鏈未被篡改，為SAC提供可信執(zhí)行環(huán)境。

• Microsoft Defender協(xié)同：與Defender防火墻、ASLR（地址空間隨機化）等技術聯(lián)動，形成多層防護。

局限性

• 依賴聯(lián)網(wǎng)：部分AI模型需云端數(shù)據(jù)支持，離線環(huán)境效果受限。

• 企業(yè)兼容性：可能誤攔截定制化內(nèi)部工具，需手動配置例外（可通過Microsoft Intune管理）。

適用場景建議

• 普通用戶：SAC+內(nèi)置Defender足夠應對多數(shù)威脅，無需額外殺毒軟件。

• 高風險用戶（如企業(yè)）：可搭配EDR（端點檢測與響應）解決方案增強追溯能力。

微軟通過SAC將安全策略從“事后查殺”轉(zhuǎn)向“事前預防”，尤其適合應對快速演變的定向攻擊。不過，傳統(tǒng)殺毒軟件在離線環(huán)境或深度自定義掃描中仍有不可替代性。根據(jù)微軟的說法，為了確保更安全的體驗，僅在干凈安裝 Windows 11 時啟用 Smart App Control，因為該公司希望在打開 Smart App Control 時確保設備上尚未運行不受信任的應用。