Windows 11 nâng cấp bảo mật: Smart App Control “chặn đứng” mã độc, máy tính miễn nhiễm virus?

Windows 11 tiếp tục mở rộng bộ tính năng bảo mật của Microsoft với sự ra mắt của Smart App Control (SAC) – một thành phần mới giúp sàng lọc ứng dụng trước khi chúng được thực thi và chặn các mã không đáng tin cậy.

Tính năng này hoạt động song song với các công cụ chống virus truyền thống như Microsoft Defender, vốn vẫn tiếp tục giám sát hệ thống để tìm kiếm phần mềm độc hại đã biết. Bằng cách kết hợp một “người gác cổng” chủ động với một “máy quét” phản ứng trưởng thành, hệ điều hành này đặt mục tiêu giảm thiểu cả các nỗ lực lây nhiễm ban đầu và các mối đe dọa còn tồn tại.

Phần mềm chống virus thông thường hoạt động theo nguyên tắc “vô tội cho đến khi được chứng minh có tội”. Nó cho phép các tệp chạy và sau đó tìm kiếm các mẫu độc hại thông qua cơ sở dữ liệu chữ ký, phân tích heuristic (phân tích hành vi) và giám sát hoạt động. Các bản cập nhật định nghĩa thường xuyên giúp tỷ lệ phát hiện cao, nhưng các mẫu tấn công zero-day (chưa từng được biết đến) hoặc đa hình có thể trốn tránh các chữ ký cho đến khi hành vi đáng ngờ xuất hiện. Cách tiếp cận này vẫn hiệu quả để dọn dẹp các mối đe dọa đã biết nhưng có thể tạo ra độ trễ giữa thời điểm thực thi và việc ngăn chặn.

Smart App Control đã đảo ngược logic đó. Trước khi một tệp thực thi khởi chạy, SAC sẽ tham vấn dịch vụ uy tín đám mây của Microsoft, kiểm tra chữ ký số của nhà phát triển và áp dụng các mô hình học máy được huấn luyện trên các bộ dữ liệu lớn về phần mềm đáng tin cậy và độc hại. Nếu uy tín không xác định và tệp không có chữ ký số – hoặc được dự đoán là độc hại – hệ điều hành sẽ chặn nó ngay lập tức. Trên thực tế, mọi chương trình mới đều bị coi là “có tội cho đến khi được chứng minh vô tội”, cắt đứt nhiều cuộc tấn công ngay ở giai đoạn chuyển giao thay vì sau khi chúng được kích hoạt.

Hiệu suất được cải thiện, không trùng lặp chức năng

Vì SAC ngăn chặn các tệp nhị phân không xác định trước khi chúng được tải, nó loại bỏ nhu cầu quét nền liên tục các tiến trình đang hoạt động. Do đó, các thử nghiệm nội bộ của Microsoft báo cáo một lợi thế hiệu suất khiêm tốn so với các phần mềm quét truyền thống, vốn tiêu thụ chu kỳ CPU khi kiểm tra các tệp trong thời gian thực. Trong khi đó, Defender vẫn tiếp tục xử lý các tác vụ mà SAC không thực hiện, như phân tích macro hoặc kiểm tra script, mang lại sự toàn diện cho hệ thống mà không trùng lặp nỗ lực.

Lưu ý quan trọng cho người dùng

SAC chạy trong một khoảng thời gian đánh giá ban đầu; nếu nó gây cản trở cho các tác vụ hàng ngày, Windows sẽ tự động tắt vĩnh viễn trừ khi hệ thống được cài đặt lại. Tương tự, một khi người dùng tắt SAC, nó không thể bật lại một cách đơn giản. Do đó, các nhà phát triển và người dùng chuyên nghiệp thường xuyên sử dụng các bản dựng không có chữ ký số hoặc tùy chỉnh có thể thấy những hạn chế này không hiệu quả. Ngược lại, các hệ thống doanh nghiệp được quản lý sẽ được hưởng lợi từ lập trường mặc định nghiêm ngặt hơn.

Điều quan trọng là SAC được thiết kế để hoạt động song song – chứ không phải thay thế – Microsoft Defender. Nếu SAC chặn một tệp, quyết định là cuối cùng; tệp đó không thể được đưa vào danh sách trắng (whitelist). Defender vẫn chịu trách nhiệm cho các tác vụ phân tích pháp y sâu hơn, khắc phục phần mềm độc hại và quét nội dung đã lưu trữ trên đĩa. Trong mô hình phân lớp này, SAC giảm thiểu rủi ro, và Defender dọn dẹp bất cứ thứ gì lọt qua hoặc đã tồn tại trước phiên làm việc hiện tại.