SmartScreen что это такое и как это работает
За прошедшие годы инженеры Microsoft усовершенствовали инструменты безопасности, встроенные в Windows. Один из них, безусловно, один из самых известных, называется SmartScreen и дебютировал в Internet Explorer 7 в 2006 году. Изначально это был антифишинговый инструмент, основной задачей которого было предотвращение посещения мошеннических сайтов. Однако первоначальная реализация была довольно незрелой: вредоносные URL-адреса автоматически блокировались только на основе черного списка, размещенного на серверах Microsoft.
С тех пор инструмент, который теперь называется Microsoft Defender SmartScreen, значительно расширился и предлагает интегрированную многоуровневую защиту как на уровне веб-браузера (Edge), так и на уровне операционной системы (Windows 10 и Windows 11).
SmartScreen: основные возможности
Как уже упоминалось, SmartScreen последнего поколения объединяет множество функций:
Защита от вредоносных сайтов. SmartScreen проверяет посещаемые вами сайты по динамическому списку фишинговых и вредоносных сайтов.
Кроме того, в отличие от того, что происходило в прошлом, SmartScreen анализирует содержимое посещенных веб-страниц в поисках подозрительного поведения.
Попробуйте посетить страницу демонстрации репутации URL-адресов SmartScreen в Microsoft Defender (найдите ее в Google и щелкните первую найденную ссылку): это тест, подготовленный Microsoft, который показывает, как отображаются отчеты SmartScreen при посещении вредоносного веб-сайта. Очевидно, что ни одна из страниц не является вредоносной: единственная цель страницы — проверить, с какими предупреждениями SmartScreen вы можете столкнуться при использовании Edge.
Сообщение «Подозрительный сайт». Это может быть не тот сайт, который вам нужен, когда мошенник устанавливает доменное имя, которое имитирует (за исключением нескольких символов) имя известного банка или компании. Это явление также известно как тайпсквоттинг. Посещение страницы с Edge, SmartScreen вызывает появление предупреждения.
При открытии страниц, о которых известно, что они содержат вредоносный или потенциально вредоносный контент, SmartScreen отображает страницу с полностью красным фоном и сообщением «Этот сайт признан небезопасным».
Защита от вредоносных приложений. SmartScreen больше не ограничивает свою область действия только веб-сайтами (и, следовательно, использованием Edge). Функция защиты также проверяет файлы, загруженные в локальную систему, и проверяет, присутствуют ли они в постоянно меняющихся списках, которые хранятся в облаке Microsoft. Эти списки собирают отчеты от всей аудитории пользователей Windows и составляются с использованием поведенческого анализа, искусственного интеллекта и обратной связи с Microsoft Defender.
Когда приложение неизвестно (Microsoft хранит хэши файлов, которые заведомо вредоносные и заведомо незаконные), например, SmartScreen выводит предупреждение Windows Protected PC. Фильтр SmartScreen защитника Майкрософт предотвратил запуск нераспознанного приложения.
В случае неизвестных приложений пользователь может взять на себя ответственность за запуск программы, щелкнув «Дополнительная информация», а затем «Выполнить в любом случае».
Нажав на поле поиска Windows 10 и Windows 11, а затем введя Управление приложениями и браузером, вы получите доступ к главному окну, которое позволяет вам контролировать работу SmartScreen.
Как в Windows 10, так и в Windows 11 вы можете щелкнуть Параметры безопасности на основе репутации, чтобы настроить поведение SmartScreen: как видите, параметры разделены на различные области.
— Проверьте приложения и файлы. Проверьте, приходят ли приложения из удаленных систем. Элементы, загруженные из Интернета, содержат «метку» под названием Mark-of-the-Web (MotW). Щелкнув правой кнопкой мыши по файлу, загруженному из Интернета, а затем выбрав «Свойства», фактически внизу вкладки «Общие» появится сообщение «Файл получен с другого компьютера. В целях защиты вашего компьютера он может быть заблокирован».
Присутствие MotW заставляет офисный пакет Microsoft, Office или Microsoft 365 активировать защищенный просмотр. Однако следует иметь в виду, что некоторые файлы могут пройти механизм защиты и не подвергаться воздействию MotW, даже если они получены из удаленных систем. Так обстоит дело, например, со многими файлами, хранящимися в архивах 7Zip, которые не используют Mark-of-the-Web.
Исследователь обнаружил в SmartScreen уязвимость, связанную с проверкой Mark-of-the-Web: двойной щелчок по файлу, загруженному из Интернета, может вызвать выполнение произвольного кода с включенной опцией Check app и файлом. Ошибка безопасности довольно опасна, потому что она уже использовалась авторами программ-вымогателей: хорошо быть настороже и избегать двойного щелчка по файлам неизвестного происхождения.
— SmartScreen для Microsoft Edge. Как мы отмечали ранее, SmartScreen помогает защитить вашу систему от потенциально опасных или заведомо опасных веб-страниц и загрузок. Защита тесно интегрируется с браузером Edge.
— Защита от фишинга. Защита от фишинга, о которой мы уже говорили, уведомляет пользователя о веб-страницах, которые были разработаны с целью кражи учетных данных для входа и личных данных.
В Windows 11 также добавлены флажки «Предупреждать о повторном использовании пароля» и «Предупреждать о небезопасном хранении паролей».
Если этот флажок установлен, они позволяют предупреждать пользователя, когда он вставляет пароль туда, куда не следует, и когда он повторно использует один и тот же пароль в нескольких онлайн-сервисах.
На данный момент реализация довольно проста, потому что проверка относится только к паролю, используемому для защиты учетной записи Windows, и не работает, если Windows Hello используется в качестве механизма проверки подлинности.
— Блокировщик потенциально нежелательных приложений. Это функция, которая позволяет не только блокировать загрузку потенциально опасных файлов из браузера Edge, но и избегать установки приложений, содержащих нежелательный контент (так называемые ПНП, потенциально нежелательные программы).
— SmartScreen для приложений Microsoft Store. Теперь, когда Microsoft Store приветствует широкий спектр приложений, включая программы Win32, SmartScreen также проверяет репутацию и содержимое приложений, распространяемых с помощью этого инструмента.
Границы SmartScreen размыты, потому что большая часть его поведения идет рука об руку с Microsoft Defender, который по-прежнему остается бесплатным в отдельных установках Windows.
В Windows 11 Microsoft представила Smart App Control (Умный контроль приложений), который, однако, работает только в системах, установленных с нуля. Фактически, эта функция проверяет программы, работающие на ПК, и использует машинное обучение, чтобы разоблачать любые приложения, которые могут вести себя подозрительно.
Наш совет — оптимизировать Microsoft Defender в Windows 10 и 11 с помощью бесплатной программы, такой как DefenderUI: разумно выбрать рекомендуемый профиль, чтобы активировать даже те функции защиты Defender, которые обычно не включены.
Выбор рекомендуемого профиля DefenderUI не позволяет приложениям Office и Adobe Reader создавать дочерние процессы, не позволяет Office создавать исполняемый код и другие процессы, выполнение запутанных сценариев может быть заблокировано, вызовы Win32 API из макросов Office заблокированы, загрузка ненадежных и неподписанных процессов, выполняемых с USB-носителей, исполняемых файлов из почтовых клиентов веб-почты, включена расширенная защита от программ-вымогателей и многое другое.
Принимая во внимание возможные противопоказания (сбои в работе некоторых устаревших программ или плохо разработанные приложения…), на вкладке «Правила ASR» DefenderUI вы также можете активировать параметр «Блокировать кражу учетных данных» из подсистемы Windows LSASS. Это расширенный параметр Microsoft Defender, который защищает от атак с целью кражи учетных данных пользователей. Он присутствует не только в Microsoft Defender для конечной точки, но и в версии Defender, присутствующей во всех системах Windows 10 и 11.
Включить журнал событий SmartScreen
В Windows 10 и 11 можно активировать журнал событий, который отслеживает все моменты времени, когда в используемой системе SmartScreen выполнялся, и ответ, который, возможно, был предоставлен пользователем.
Журнал SmartScreen неактивен по умолчанию: чтобы включить его, просто нажмите Windows+X, выберите Windows PowerShell (администратор) или Терминал (администратор), затем вставьте следующее:
wevtutil sl Microsoft-Windows-SmartScreen/Debug /e:true
Нажав Windows + R, набрав eventvwr.msc, затем щелкнув «Реестры приложений и служб», «Microsoft», «Windows», «SmartScreen», «Debug», вы найдете информацию обо всех активациях SmartScreen.
Щелкните вкладку «Подробности», а затем XML, чтобы тщательно проверить, что произошло в системе в дату и время, указанные в журнале.
