随着黑客找出Office默认封锁宏的应对之道,微软也跟着强化安全工具。微软宣布Windows 11的智慧应用程序管控(Smart Application Control,SAC)也将默认封锁来自网络上的ISO及LINK等文件。
微软企业及OS安全部门副总裁David Weston指出,Windows 11的SAC现在也支持封锁和宏一样具有Mark of the Web(MoTW)的文件,如ISO及LNK档。
这是在安全厂商本周公布恶意邮件附件新趋势后,微软做的安全强化。Proofpoint指出,微软关闭Office XL4及VBA宏后,钓鱼诈骗使用包含宏的附件次数骤减66%,但使用ISO、RAR、LNK等类型文件感染用户则大增数十倍。
微软于4月首次公布SAC(下图),宣称是安全防护的一大进展。根据微软的说明,SAC是根据微软AI云计算安全分析服务,为用户欲执行的App给定安全预测评分。若App被认定为恶意或不安全文件,就会被SAC封锁执行。若无法使用该云计算服务,SAC会检查App是否具有有效的签章,未获得签章,或是签章过期,也会被SAC判定不安全而封锁。
图片来源/微软
知名安全专家Will Dormann发现,SAC会默认封锁.img、.VHD和.VHDX等文件类型(下图)。Bleeping Computer的测试则证实,.appref-ms、.bat、.cmd、.chm、.cpl、.js、.jse、.msc、.msp、.reg、.vbe、.vbs、.wsf也在默认封锁之列。
图片来源/Will Dormann
SAC仅在Windows 11以全新安装(clean install)时启动。但用户可以手动关闭,或是在评估版(evaluation mode)中,“微软认为用户不适用SAC”而将之关闭。
目前只有Windows 11有SAC,这功能仅释放给Windows测试版的Insider用户。安装Windows 11 22H2预览版的用户已可测试。
