Contents

Microsoft はついに Smart App Control を無効にすることを許可しました。私はすぐに無効にするつもりです。

<本文>/images/surface-laptop-7-34.jpg

Smart App Control (SAC) は、署名されていないアプリや認識されないアプリの実行をブロックすることで、Windows システムを保護します。実行可能ファイルを起動すると、SAC はクラウドベースのデータベースにクエリを実行して、そのレピュテーション スコアを確認します。アプリが Microsoft の評価しきい値をクリアしている場合、または信頼できる認証局からの有効な署名がある場合、アプリの実行が許可されます。それ以外の場合、SAC はそれをブロックします。

これは理論的には優れた機能であり、間違いなく多くのユーザーが知らず知らずのうちに悪質なソフトウェアを実行するのを防ぐことができます。しかし、SAC の問題は、Microsoft が選択した実装方法にあります。 SAC のデビューから 3 年が経ち、SAC を永久にオフにすることなく無効にする方法が得られたばかりです。以前は、これは一方向のオフ スイッチのみでした。一度オンにすると、SAC をオンに戻すには Windows を再インストールする必要がありました。

/images/windoiws-11-laptop-system-restore.jpg

関連

私はパワー ユーザーであり、これらの Windows 機能を意図的に無効にしています

Windows 11 をある程度の期間使用したことがある人なら、理解できるでしょう。

最終的に変わったこと

3年遅れですが、これで完成です

SAC が実行可能ファイルに疑わしいフラグを付けるたびに、警告を無視して続行するための「とにかく実行」ボタンはありません。アプリが安全であることが確実にわかっていても問題ありません。 SAC はあなたの判断を気にせず、SAC 自身の判断のみを気にします。この警告に遭遇したユーザーとして次に考えるのは、SAC を一時的に無効にすることです。しかし、それは最近のアップデートまで不可能でした。安全であることがわかっているプログラムに関する警告を回避するには、SAC を永久に無効にして、将来の保護を放棄する必要があります。

さらに悪いことに、安全で広く普及しているソフトウェアが SAC によってフラグが付けられることがあります。 Asus の Armory Crate ソフトウェアは、メーカーのデバイスにバンドルされており、ユーザーがコンピュータの重要な部分を制御できるようにするものですが、ある時点で SAC によってブロックされていました。 SAC の施行は厳格であるため、ダウンロードするものにあまり注意を払わず、危険な目に遭わないように注意する必要があるユーザーにとっては最適です。しかし、カスタム ツール、ホーム ラボ ソフトウェア、または Microsoft の目に留まる無名のプログラムを実行している人にとって、SAC はセキュリティ機能というよりも障害になります。

Microsoft は、Smart App Control の適切な切り替えを提供することで、最終的にこの問題に対処しました。これは、アプリとブラウザー コントロール -> スマート アプリ コントロール設定 の Windows セキュリティ にあります。 SAC 自体、その動作方法と潜在的に安全でないものを決定する方法はまったく変わっていません。変更された点は、OS が工場出荷時設定へのリセットを強制することなく、ユーザーが必要なときにいつでも SAC を無効にし、後でオンに戻すことができることです。実際には、これは、取り消し可能な決定を下すことなく、SAC を無効にし、必要なインストーラーまたはスクリプトを実行し、その直後に再度有効にすることができることを意味します。これは、SAC を無効にすると二度と使用できなくなるという元の実装とは概念的に大きく異なります。

同じアップデートにバンドルされている Microsoft は、SAC がブロックするすべてのものを確認する方法を提供してくれました。イベント ビューアでは、レコードは Microsoft -> Windows -> CodeIntegrity に保存されます。イベント ID 3076 は評価モード (SAC がブロックするはずだったがブロックしなかったもの) をカバーし、3077 はアクティブな強制ブロックをカバーします。新しいトグルと比較すると微妙な更新ですが、SAC がバックグラウンドでの実行を密かにブロックしているものを確認するのに便利であることがわかります。以前は、どのプログラムの実行を妨げているかを監査する簡単な方法はありませんでした。

Microsoft の弁護では…

私は本当にそれを入力しただけですか?

/images/restore-drivers-windows-11-2.jpg

元の切り替えなしポリシーには、実際にはその背後にいくつかのロジックがありました。信じられないかもしれませんが、Microsoft は単に面白半分でシステムのキーを私たちの前にぶら下げていたわけではありません。元の実装の背後にある思考プロセスは、一度マルウェアが PC に植え付けられると、SAC を再度有効にしても役に立たないというものでした。実際のところ、それは誤った安心感を与えてしまい、まったく逆の効果をもたらす可能性があります。 Microsoft は、コンピューターに疑わしい実行可能ファイルを公開することは一方通行であり、実行を許可するとシステムを確実に保護することはできないことを認識してもらいたいと考えています。

Windows セキュリティの報道と実践的な洞察を購読してください

このニュースレターを Windows セキュリティに関する頼りになるものにしてください。Smart App Control の微妙な違いから CodeIntegrity ログの解読まで、明確で実践的な内容をカバーします。システム保護の管理に関する詳細な説明と実用的なガイダンスが期待できます。

アップデートを取得する

購読すると、ニュースレターとマーケティング電子メールの受信に同意し、利用規約とプライバシー ポリシーに同意したものとみなされます。いつでも購読を解除できます。

机上では理にかなっていたのかもしれませんが、現実には、保証できる署名のないスクリプトや自己コンパイルしたツールを実行する必要があるユーザーがたくさんいて、システムの安全を保つのに役立つ重要な機能を永久に無効にすることを余儀なくされていたのです。控えめに言っても、これほど柔軟性のない消費者向け機能を構築するのは近視眼的でした。そしてマイクロソフトの典型的なやり方で、最終的に耳を傾けるまでユーザーからのフィードバックを 3 年間聞き続けました。トグルを追加したのは正しい判断であり、イベント ビューアーに SAC ログが追加されたことは歓迎すべき変更です。

SAC を有効にしておくユースケースがありません

Defender、カスタム ファイアウォール ルール、およびインターネットから潜在的に有害なプログラムを実行することに対する一般的な考え方の間では、システムにインストールするために意図的に選択したソフトウェアをクラウド ゲートキーパーが後から推測する必要はありません。必要だったのは、機能のオンとオフを切り替える選択でしたが、最終的に SAC 用の機能を入手しました。トグルが存在するようになったことで、それをオフにすることは、一方通行のドアではなく、単純な構成の決定になりました。

*️⃣ 出典リンク:

スマート アプリ コントロール (SAC)、未署名または認識されていないアプリのブロック、私はパワー ユーザーであり、これらの Windows 機能を意図的に無効にしています、スマート アプリ コントロール、イベント ビューアーの切り替え、、、、、、 利用規約プライバシー ポリシー、Defender、カスタム ファイアウォール ルール、