SmartScreen: cos'è e come funziona in Windows 10 e 11

• Antimalware
• Microsoft

Con il passare degli anni, i tecnici di Microsoft hanno fatto evolvere gli strumenti di sicurezza integrati in Windows. Uno di essi, sicuramente uno dei più conosciuti, si chiama SmartScreen e ha debuttato in Internet Explorer 7 nel 2006. Inizialmente era uno strumento antiphishing che aveva come obiettivo primario quello di impedire la visita su siti truffaldini. L’implementazione iniziale era tuttavia piuttosto immatura: gli URL dannosi venivano automaticamente bloccati soltanto sulla base di una blacklist ospitata sui server Microsoft.

Da allora lo strumento che oggi si chiama Microsoft Defender SmartScreen è cresciuto molto tanto da offrire una protezione multilivello integrata sia a livello di browser Web (Edge) che di sistema operativo (Windows 10 e Windows 11).

SmartScreen: le principali funzionalità

Come detto, sono molteplici le caratteristiche che integra lo SmartScreen di più recente generazione:

Protezione contro i siti dannosi. SmartScreen effettua una verifica dei siti visitati rispetto a un elenco dinamico di siti phishing e siti dannosi.
Inoltre, diversamente rispetto a ciò che avveniva in passato, SmartScreen analizza il contenuto delle pagine Web visitate alla ricerca di comportamenti sospetti.

Provate a visitare la pagina Microsoft Defender SmartScreen URL Reputation Demos (cercatela su Google e cliccare sul primo link restituito): si tratta di un test predisposto da Microsoft che mostra come appaiono le segnalazioni di SmartScreen quando si dovesse visitare un sito Web malevolo. Ovviamente nessuna delle pagine è dannosa: la pagina ha come unico scopo quello di verificare in quali segnalazioni SmartScreen ci si potrebbe imbattere usando Edge.

Il messaggio Sito sospetto. Questo potrebbe non essere il sito desiderato compare quando un truffatore allestisce un nome a dominio che imita (con la differenza di qualche carattere) quello di una banca o di un’azienda famosa. Il fenomeno è conosciuto anche come typosquatting. Visitando con Edge la pagina, SmartScreen provoca la comparsa di un avviso come quello in figura.

All’apertura di pagine note per la presenza di contenuti malevoli o potenzialmente tali, SmartScreen espone una pagina a sfondo completamente rosso con il messaggio “Questo sito è stato segnalato come non sicuro“.

Protezione contro applicazioni dannose. SmartScreen non limita più il suo raggio d’azione ai soli siti Web (e quindi all’utilizzo di Edge). La funzione di protezione controlla anche i file scaricati sul sistema locale e controlla se sono presenti negli elenchi, continuamente in divenire, che sono memorizzati sul cloud di Microsoft. Tali elenchi raccolgono le segnalazioni provenienti dall’intera platea degli utenti di Windows e sono composti utilizzando l’analisi comportamentale, l’intelligenza artificiale e quindi i riscontri provenienti da Microsoft Defender.

Quando un’applicazione è sconosciuta (Microsoft conserva gli hash dei file certamente malevoli e certamente legittimi), ad esempio, SmartScreen fa comparire l’avviso PC protetto da Windows. Microsoft Defender SmartScreen ha impedito l’avvio di un’app non riconosciuta.

Nel caso delle applicazioni sconosciute l’utente può assumersi la responsabilità di eseguire il programma cliccando su Ulteriori informazioni e poi su Esegui comunque.

Cliccando sulla casella di ricerca di Windows 10 e Windows 11 quindi digitando Controllo delle app e del browser si accede alla finestra principale che permette di controllare il funzionamento di SmartScreen.

Sia in Windows 10 che in Windows 11 si può fare clic su Impostazioni di protezione basate sulla reputazione per regolare il comportamento di SmartScreen: come si vede, le impostazioni sono suddivise in varie aree.

– Controlla app e file. Verifica se le applicazioni provengono o meno da sistemi remoti. Gli elementi scaricati dalla rete Internet contengono un'”etichetta” chiamata Mark-of-the-Web (MotW). Cliccando con il tasto destro del mouse su un file scaricato da Internet quindi scegliendo Proprietà, infatti, nella parte inferiore della scheda Generale appare il messaggio “Il file proviene da un altro computer. Per facilitare la protezione del computer, potrebbe essere bloccato“.

La presenza del MotW induce la suite per l’ufficio Microsoft, Office o Microsoft 365, ad attivare la Visualizzazione protetta. Va comunque tenuto presente che alcuni file possono superare il meccanismo di protezione e non esporre il MotW seppur provenienti da sistemi remoti. È il caso, ad esempio, di tanti file conservati all’interno di archivi 7Zip che non usano il Mark-of-the-Web.

Un ricercatore ha scoperto una vulnerabilità in SmartScreen che ha a che fare con la verifica del Mark-of-the-Web: cliccando due volte su un file scaricato dalla rete Internet può verificarsi l’esecuzione di codice arbitrario con l’opzione Controlla app e file attivata. Il bug di sicurezza è piuttosto pericoloso perché già sfruttato dagli autori di ransomware: bene tenere alta la guardia ed evitare di fare doppio clic su file di provenienza incerta.

– SmartScreen per Microsoft Edge. Come abbiamo osservato in precedenza, SmartScreen consente di proteggere il sistema da pagine Web e download potenzialmente dannosi o certamente nocivi. La protezione si integra strettamente con il browser Edge.

– Protezione antiphishing. La protezione antiphishing della quale abbiamo già parlato segnala all’utente pagine Web che sono state sviluppate con l’obiettivo di sottrarre credenziali di accesso e dati personali.
In Windows 11 sono state aggiunte anche le caselle Avvisa in caso di riutilizzo della password e Avvisa in caso di archiviazione password non sicura.
Se spuntate permettono di avvisare l’utente quando incolla la password dove non dovrebbe e quando riutilizzasse la stessa password su più servizi online.
Al momento l’implementazione è piuttosto basilare perché la verifica si riferisce alla sola password usata a protezione dell’account Windows e non funziona se Windows Hello è usato come meccanismo di autenticazione.

– Blocco app potenzialmente indesiderata. Si tratta di una funzione che permette non soltanto di bloccare da browser Edge il download di file potenzialmente dannosi ma di evitare l’installazione di applicazioni che ospitano contenuti indesiderati (i cosiddetti PUP, Potentially Unwanted Programs).

– SmartScreen per le app di Microsoft Store. Ora che il Microsoft Store accoglie un ampio ventaglio di applicazioni, compresi i programmi Win32, SmartScreen verifica anche reputazione e contenuto delle applicazioni distribuite attraverso questo strumento.

I contorni di SmartScreen risultano sfumati perché buona parte del suo comportamento va a braccetto con Microsoft Defender che continua a restare gratuito sulle singole installazioni di Windows.
In Windows 11 Microsoft ha introdotto Controllo intelligente delle app (Smart App Control) che però funziona solamente sui sistemi installati da zero. Questa funzione verifica infatti i programmi in esecuzione sul PC e utilizza il machine learning per smascherare eventuali applicazioni che dovessero manifestare un comportamento sospetto.

Il nostro consiglio è quello di ottimizzare Microsoft Defender in Windows 10 e 11 servendosi di un programma gratuito come DefenderUI: è ragionevole optare per Profilo raccomandato in modo da attivare anche quelle funzionalità di protezione di Defender che di norma non risultano abilitate.

Come spiegato nell’articolo sulle impostazioni segrete di Microsoft Defender, scegliendo il Profilo raccomandato di DefenderUI si impedisce alle applicazioni Office e ad Adobe Reader di creare processi figlio, si evita la creazione da parte di Office di codice eseguibile e l’inserimento di codice in altri processi, si può bloccare l’esecuzione di script offuscati, si bloccano le chiamate API Win32 dalle macro di Office, il caricamento di processi non attendibili e non firmati eseguiti dai supporti USB, gli eseguibili provenienti da client email Webmail, viene attivata la protezione avanzata contro i ransomware e altro ancora.

Tenendo presenti le possibili controindicazioni (malfunzionamento di alcuni programmi legacy o applicazioni sviluppate in modo approssimativo…), dalla scheda Regole ASR di DefenderUI si può anche attivare l’opzione Bloccare il furto di credenziali dal sottosistema LSASS di Windows. Si tratta di un’impostazione avanzata di Microsoft Defender che protegge dagli attacchi che sottraggono le credenziali di autenticazione degli utenti. Non è presente solo in Microsoft Defender for Endpoint ma anche nella versione di Defender presente in tutti i sistemi Windows 10 e 11.

Attivare il registro degli eventi di SmartScreen

In Windows 10 e 11 è possibile attivare il registro degli eventi che tiene traccia di tutte le volte in cui, sul sistema in uso, SmartScreen è entrato in esecuzione e della risposta che è stata eventualmente fornita dall’utente.
Il log di SmartScreen non risulta attivo per impostazione predefinita: per abilitarlo basta premere Windows+X, scegliere Windows PowerShell (amministratore) oppure Terminale (Admin) quindi incollare ciò che segue:

wevtutil sl Microsoft-Windows-SmartScreen/Debug /e:true

Premendo Windows+R, digitando eventvwr.msc quindi cliccando su Registri applicazioni e servizi, Microsoft, Windows, SmartScreen, Debug si trovano le indicazioni su tutte le attivazioni di SmartScreen.

Il consiglio è quello di cliccare sulla scheda Dettagli quindi su XML per verificare attentamente cos’è successo sul sistema alla data e all’ora indicata nel registro.