Microsoft SmartScreen
SmartScreen (officiellt kallad Windows SmartScreen , Windows Defender SmartScreen och SmartScreen Filter på olika platser) är en molnbaserad anti-phishing och anti-malware- komponent som ingår i flera Microsoft-produkter, inklusive operativsystem Windows 8 och senare, applikationerna Internet Explorer , Microsoft Edge . SmartScreen-intelligens används även i backend av Microsofts onlinetjänster som webbappen Outlook.com och Microsoft Bing sökmotor.
SmartScreen som affärsenhet inkluderar intelligensplattformen, backend, betjänande frontend, UX, policy, expertklassare och sluten-loop intelligens (inklusive maskininlärning och statistiska tekniker ) utformade för att skydda Microsoft-kunder mot säkerhetshot som social ingenjörskonst och kör- genom nedladdningar .
SmartScreen i Internet Explorer
Internet Explorer 7: Nätfiskefilter
SmartScreen introducerades först i Internet Explorer 7 , då känt som nätfiskefiltret. Nätfiskefilter kontrollerar inte alla webbplatser som besöks av användaren, bara de som är kända för att vara misstänkta.
Internet Explorer 8: SmartScreen-filter
Med lanseringen av Internet Explorer 8 döptes nätfiskefiltret om till SmartScreen och utökades till att omfatta skydd mot socialt utvecklad skadlig programvara. Varje webbplats och nedladdning kontrolleras mot en lokal lista över populära legitima webbplatser; om webbplatsen inte finns med i listan skickas hela adressen till Microsoft för ytterligare kontroller. Om den har märkts som en bedragare eller skadlig, visar Internet Explorer 8 en skärm som uppmanar att webbplatsen rapporteras skadlig och inte bör besökas. Därifrån kan användaren antingen besöka sin hemsida , besöka föregående webbplats eller fortsätta till den osäkra sidan. Om en användare försöker ladda ner en fil från en plats som rapporterats vara skadlig, avbryts nedladdningen. Effektiviteten hos SmartScreen-filtrering har rapporterats vara överlägsen socialt utvecklat skydd mot skadlig programvara i andra webbläsare.
Enligt Microsoft var SmartScreen-tekniken som användes av Internet Explorer 8 framgångsrik mot nätfiske eller andra skadliga webbplatser och blockering av socialt utvecklad skadlig kod.
Från och med Internet Explorer 8 kan SmartScreen tillämpas med grupprincip .
Internet Explorer 9: Applikationsrykte
Bygger på toppen av SmartScreen-filtret som introducerades i Internet Explorer 8, Internet Explorer 9 :s skydd mot nedladdningar av skadlig programvara utökas med SmartScreen Application Reputation som upptäcker opålitliga körbara filer. Detta varnar en person om de laddar ner ett körbart program utan ett säkert rykte, från en webbplats som inte har ett säkert rykte.
Internet Explorer Mobile 10
Internet Explorer Mobile 10 var den första versionen av Internet Explorer Mobile som stödde SmartScreen-filtret.
Microsoft Edge
Microsoft Edge var Microsofts nya webbläsare som började i Windows 10 , ursprungligen byggd på samma Windows-webbplattform som driver Internet Explorer, senare ombyggd på Googles Chromium webbläsarstack för att gå över plattformsoberoende till macOS och ner till Windows 8.1 och senare. SmartScreen levereras med varje version av Microsoft Edge, mestadels med Internet Explorer-paritet, i progressiva versioner som lägger till skyddsförbättringar riktade mot nya konsumenthotklasser som teknisk supportbedrägeri eller lägger till nya företagskonfigurationsfunktioner.
Bemött kritik
I oktober 2017 togs kritik angående metoder för inlämning av webbadresser upp med skapandet av sidan Rapportera osäkra webbadresser . Före 2017 krävde Microsoft att en användare skulle besöka en potentiellt farlig webbplats för att använda rapporteringsverktyget i webbläsaren, vilket potentiellt exponerade användare för farligt webbinnehåll. Under 2017 vände Microsoft om den policyn genom att lägga till sidan för inlämning av URL, så att en användare kunde skicka in en godtycklig URL utan att behöva besöka webbplatsen.
SmartScreen-filtret i Microsoft Outlook kunde tidigare förbigås på grund av ett datagap i Internet Explorer. Vissa nätfiskeattacker använder ett nätfiske-e-postmeddelande som länkar till en front-end-URL som är okänd för Microsoft; genom att klicka på denna URL i inkorgen öppnas URL:en i Internet Explorer; den laddade webbplatsen omdirigerar sedan användaren till den skadliga webbplatsen med hjälp av omdirigeringar på klientsidan eller serversidan. I den ursprungliga implementeringen av SmartScreen rapporterade alternativet "Rapportera den här webbplatsen" i Internet Explorer endast den för närvarande öppna sidan (den slutliga webbadressen i omdirigeringskedjan); den ursprungliga hänvisningsadressen i nätfiskeattacken rapporterades inte till Microsoft och förblev tillgänglig. Detta mildrades med början i tidiga versioner av Microsoft Edge genom att skicka hela omdirigeringskedjan till Microsoft för vidare analys.
SmartScreen i Windows
Windows 8 och Windows 8.1
SmartScreen-filtrering på skrivbordsnivå, som utför anseendekontroller som standard på alla filer eller program som laddats ner från Internet, introducerades i Windows 8 . I likhet med hur SmartScreen fungerar i Internet Explorer 9, om programmet inte har ett etablerat gott rykte, varnas användaren om att körning av programmet kan skada deras dator.
När SmartScreen lämnas med sina standardinställningar måste administratören starta och köra programmet.
Microsoft mötte farhågor kring det nya systemets integritet, laglighet och effektivitet, vilket antydde att den automatiska analysen av filer (vilket innebär att en kryptografisk hash av filen och användarens IP-adress skickas till en server) skulle kunna användas för att bygga en databas med användare ' nedladdningar online, och att användningen av det föråldrade SSL 2.0-protokollet för kommunikation kan tillåta en angripare att avlyssna data. Som svar utfärdade Microsoft senare ett uttalande som noterade att IP-adresser endast samlades in som en del av den normala driften av tjänsten och periodvis skulle raderas, att SmartScreen på Windows 8 endast skulle använda SSL 3.0 av säkerhetsskäl och att information som samlats in via SmartScreen skulle inte användas i reklamsyfte eller säljas till tredje part.
Windows 10 och Windows 11
Från och med Windows 10 placerade Microsoft SmartScreen-inställningarna i Windows Defender Security Center .
Ytterligare uppdateringar av Windows 10 och Windows 11 har lagt till mer företagskonfigurerbarhet som en del av Microsofts produkt för slutpunktsskydd för företag.
SmartScreen i Outlook
Outlook.com använder SmartScreen för att skydda användare från oönskade e-postmeddelanden (spam/skräp), bedrägliga e-postmeddelanden (nätfiske) och skadlig programvara som sprids via e-post. Efter den första granskningen av brödtexten fokuserar systemet på hyperlänkarna och bilagorna.
Skräppost (spam)
För att filtrera spam använder SmartScreen Filter maskininlärning från Microsoft Research som lär sig av kända spamhot och användarfeedback när e-postmeddelanden markeras som "Spam" av användaren.
Med tiden hjälper dessa inställningar SmartScreen Filter att skilja mellan egenskaperna hos oönskad och legitim e-post och kan även fastställa avsändarens rykte genom att ett antal e-postmeddelanden har fått detta kontrollerat. Genom att använda dessa algoritmer och avsändarens rykte tilldelas ett SCL-värde (Spam Confidence Level-poäng) till varje e-postmeddelande (ju lägre poäng, desto mer önskvärt). En poäng på -1, 0 eller 1 anses inte vara skräppost, och meddelandet levereras till mottagarens inkorg. En poäng på 5, 6, 7, 8 eller 9 anses vara skräppost och levereras till mottagarens skräppostmapp. Poäng på 5 eller 6 anses vara misstänkt skräppost, medan en poäng på 9 anses säkert vara spam. SCL-poängen för ett e-postmeddelande kan hittas i de olika x-rubrikerna i det mottagna e-postmeddelandet.
Nätfiske
SmartScreen Filter analyserar också e-postmeddelanden från bedrägliga och misstänkta webblänkar. Om sådana misstänkta egenskaper hittas i ett e-postmeddelande skickas meddelandet antingen [ förtydligande behövs ] direkt till skräppostmappen med ett rött informationsfält högst upp i meddelandet som varnar för de misstänkta egenskaperna. SmartScreen skyddar också mot falska domännamn (spoofing) i e-postmeddelanden för att verifiera om ett e-postmeddelande skickas av den domän som det påstår sig skickas. För detta använder den teknologin Sender ID och DomainKeys Identified Mail ( DKIM). SmartScreen-filtret säkerställer också att ett e-postmeddelande [ förtydligande behövs ] från autentiserade avsändare lättare kan särskiljas genom att placera en grön sköldikon för ämnesraden för dessa e-postmeddelanden.
Effektivitet
Webbläsarens sociala ingenjörsskydd
I slutet av 2010 publicerades resultaten av testning av skadlig programvara som utförts av NSS Labs. Studien tittade på webbläsarens förmåga att förhindra att användare följer socialt utvecklade länkar av skadlig karaktär och laddar ner skadlig programvara. Den testade inte webbläsarens förmåga att blockera skadliga webbsidor eller kod.
Enligt NSS Labs blockerade Internet Explorer 9 99 % av nedladdningar av skadlig programvara jämfört med 90 % för Internet Explorer 8 som inte har funktionen SmartScreen Application Reputation, i motsats till de 13 % som uppnås av Firefox , Chrome och Safari ; som alla använder ett Google Safe Browsing- filter för skadlig programvara. Opera 11 visade sig blockera bara 5% av skadlig programvara. SmartScreen Filter noterades också för att lägga till legitima webbplatser till sina blockeringslistor nästan omedelbart, i motsats till de flera timmar som det tog för blocklistor att uppdateras i andra webbläsare.
I början av 2010 hade liknande tester gett Internet Explorer 8 ett godkänt betyg på 85 %, förbättringen på 5 % tillskrevs "fortsatta investeringar i förbättrad dataintelligens". Som jämförelse visade samma forskning att Chrome 6, Firefox 3.6 och Safari 5 fick 6 %, 19 % respektive 11 %. Opera 10 fick 0 % och misslyckades med att "upptäcka något av de socialt utvecklade skadliga proverna".
I juli 2010 hävdade Microsoft att SmartScreen i Internet Explorer hade blockerat över en miljard försök att komma åt webbplatser som innehöll säkerhetsrisker. Enligt Microsoft blockerar SmartScreen-filtret som ingår i Outlook.com 4,5 miljarder oönskade e-postmeddelanden dagligen från att nå användare. Microsoft hävdar också att endast 3 % av inkommande e-post är skräppost men ett test av Cascade Insights säger att knappt hälften av all skräppost fortfarande kommer till användarnas inkorg. I ett blogginlägg från september 2011 uppgav Microsoft att 1,5 miljarder försök till skadlig programvara och över 150 miljoner försök till nätfiske har stoppats.
Kritik
Giltighet av webbläsarskyddstester
Tillverkare av andra webbläsare har kritiserat tredje parts tester som hävdar att Internet Explorer har överlägset skydd mot nätfiske och skadlig programvara jämfört med Chrome, Firefox eller Opera. Kritiken har mest fokuserat på bristen på transparens hos testade webbadresser och bristen på hänsyn till skiktad säkerhet utöver webbläsaren, där Google kommenterade att "Rapporten själv anger tydligt att den inte utvärderar webbläsarsäkerhet relaterad till sårbarheter i plugin-program eller webbläsarna själva", och Opera kommenterade att resultaten verkade "märkligt att de inte fick några resultat från våra dataleverantörer" och att "socialt skydd mot skadlig programvara inte är en indikator på övergripande webbläsarsäkerhet".
Skydd mot skadlig programvara i Windows
SmartScreen bygger ett rykte baserat på kodsigneringscertifikat som identifierar författaren till programvaran. Detta innebär att när ett rykte väl har byggts kan nya versioner av en applikation signeras med samma certifikat och behålla samma rykte.
Kodsigneringscertifikat måste dock förnyas vartannat år. SmartScreen relaterar inte ett förnyat certifikat till ett utgånget. Detta innebär att rykten måste byggas om vartannat år, med användare som får skrämmande meddelanden under tiden. Extended Validation (EV)-certifikat verkar undvika detta problem, men de är dyra och svåra att få tag på för små utvecklare.
SmartScreen Filter skapar problem för små programvaruleverantörer när de distribuerar en uppdaterad version av installationsfiler eller binära filer över internet. Närhelst en uppdaterad version släpps, svarar SmartScreen med att säga att filen inte är vanligt att ladda ner och därför kan installera skadliga filer på ditt system. Detta kan åtgärdas genom att författaren digitalt signerar den distribuerade programvaran. Ryktet baseras då inte bara på en fils hash utan också på signeringscertifikatet. En vanlig distributionsmetod för författare att kringgå SmartScreen-varningar är att packa sitt installationsprogram (till exempel Setup.exe) i ett ZIP-arkiv och distribuera det på det sättet, även om det kan förvirra nybörjare.
En annan kritik är att SmartScreen ökar kostnaderna för icke-kommersiell och småskalig mjukvaruutveckling. Utvecklare måste antingen köpa standardkodsigneringscertifikat eller dyrare utökade valideringscertifikat. Utökade valideringscertifikat tillåter utvecklaren att omedelbart etablera rykte med SmartScreen men är ofta oöverkomliga för människor som utvecklar programvara antingen gratis eller inte för omedelbar vinst. Standardkodsigneringscertifikaten utgör dock en " catch-22 " för utvecklare, eftersom SmartScreen-varningar gör människor ovilliga att ladda ner mjukvara, som en konsekvens av detta för att få nedladdningar kräver att man först passerar SmartScreen, att godkänna SmartScreen kräver ett rykte och att få rykte är beroende av nedladdningar.