Con Windows 11 nella versione 22H2, Microsoft ha implementato, tra le altre innovazioni, una nuova funzione di protezione chiamata Smart App Control, che funziona insieme a Windows Defender o a qualsiasi altro scanner antivirus e può bloccare i file non attendibili. Nell’articolo che segue scoprirete cosa fa esattamente Smart App Control, come attivare la funzione e quando è meglio farne a meno.

1. il punto cruciale della libertà in Windows

Windows è apprezzato dagli utenti di tutto il mondo anche perché ogni utente può decidere da solo quali programmi eseguire sul sistema. A differenza di iOS, dove è possibile eseguire solo applicazioni verificate dallo store di Apple, Microsoft non è ancora riuscita ad affermare il proprio store come unica fonte di programmi affidabili.

Ciò significa che la libertà degli utenti di decidere autonomamente quali programmi utilizzare e da dove provengono diventa anche il problema principale di Windows: gli attacchi informatici a infrastrutture critiche come enti pubblici, ospedali o fornitori di energia, ma anche nel settore privato, sono spesso attribuiti all’esecuzione di software o allegati dannosi. La protezione antivirus attiva è in grado di intercettare molte minacce note, ma non tutte.

2 Smart App Control esegue solo file affidabili

Un antivirus interviene solo se il file richiesto è classificato come “dannoso” tramite le firme o l’euristica. Smart App Control (SAC), introdotto con la versione 22H2 di Windows 11, invece, segue l’approccio di eseguire solo programmi e file affidabili dal punto di vista di Microsoft. Microsoft ottiene questa classificazione attraverso diversi criteri:

• Un cloud AI valuta l’affidabilità del file da eseguire. A tal fine, l’intelligenza artificiale accede a miliardi di informazioni anonime.
• Se non sono disponibili informazioni sul file, Smart App Control verifica se il file ha una firma digitale creata con un certificato di qualità superiore. Questi certificati costano diverse centinaia di euro all’anno e sono quindi generalmente utilizzati solo da fornitori commerciali. Microsoft ha descritto i suoi requisiti per il “Trusted Root Program” in modo più dettagliato nel link.
• I file con estensioni come sys, url, vb*, vhd*, wsf, wsh, reg, rdp, ps1, sfc, scr, bat, chm, cmd, cpl, com, dll, drv, hta, iso, js, jse, msc, msp, ocx, lnk, ppkg sono generalmente classificati come non affidabili se provengono da Internet, ma questo può essere aggirato con un trucco.

3 Come attivare o disattivare il Controllo intelligente delle app

Smart App Control è integrato nella sicurezza di Windows.

Dopo una nuova installazione, SAC funziona inizialmente solo in modalità di valutazione e analizza per un periodo di tempo più lungo quali programmi vengono eseguiti da quali fonti.

.

Smart App Control non può essere attivato: In caso di aggiornamento, invece, la funzione SAC viene disattivata in modo permanente ed èdisponibile solo dopo una nuova installazione tramite il “reset di questo PC”. Inoltre, è necessario attivare i dati diagnostici opzionali, che vengono richiesti già durante l’installazione, altrimenti possono essere attivati anche in seguito nelle impostazioni alla voce Privacy di Windows.

Se dopo un certo periodo di tempo l’algoritmo giunge alla conclusione che si utilizzano solo programmi affidabili provenienti da fonti sicure, SAC si attiva da solo, altrimenti il servizio viene disattivato. Tuttavia, potete anche impostare Smart App Control come attivo direttamente a mano.

Da questo momento in poi, Windows blocca tutti i programmi che non sono classificati come innocui o che non hanno una firma con un certificato di qualità superiore.

Poiché la nuvola SAC non può conoscere tutti i programmi del mondo, c’è il rischio che non ci siano informazioni per un programma. Se inoltre il produttore non utilizza un certificato come definito da Microsoft, il file viene bloccato all’attivazione di SAC. Ciò riguarda soprattutto gli strumenti e le utility di sistema, come quelli presenti sul sito web di Nirsoft.

Poiché gli sviluppatori non utilizzano affatto una firma digitale o solo una con un certificato “economico”, Microsoft nega l’accesso a tali strumenti caso per caso.

3.1 Come si possono impostare le eccezioni per Smart App Control?

Il concetto di sicurezza di SAC non prevede la possibilità di definire un’eccezione per singole app e programmi. È quindi possibile eseguire il file in questione solo in una macchina virtuale o nella sandbox di Windows, ma non nel sistema reale.

3.2 Come posso utilizzare i tipi di file bloccati da Internet?

SAC blocca i tipi di file menzionati all’inizio solo se sono stati scaricati da Internet. È possibile visualizzare lo stato di un file nelle proprietà e consentire l’accesso anche manualmente per i singoli download.

.

Ciò significa che il file non è più considerato non sicuro e non è più bloccato da Smart App Control. Solo l’antivirus installato potrebbe comunque negare l’accesso.

3.3 Come posso disattivare Smart App Control?

Se si devono accettare troppe restrizioni tramite SAC, la funzione può essere disattivata anche tramite Windows Security. Tuttavia, questa disattivazione è permanente. È possibile utilizzare nuovamente il servizio solo dopo una nuova installazione.

4 La nostra conclusione

La nuova funzione di protezione Smart App Control potrebbe davvero significare meno minacce per Windows nel medio termine. Per gran parte degli utenti, Windows si imposta in modalità attiva dopo la valutazione. I power user e gli utenti di programmi molto sofisticati sono già classificati come “non adatti” attraverso la valutazione e quindi il CAS non viene nemmeno attivato. Il blocco degli allegati di file pericolosi provenienti da Internet è altrettanto coerente e garantisce una sicurezza ancora maggiore. Al momento non è possibile sapere se Microsoft accoglierà la richiesta di consentire anche le eccezioni per i programmi, ma a nostro avviso questo silura la protezione soprattutto per gli utenti meno esperti.