Smart App Control

Die Smart App Control von Windows 11 im Blick

Von /

Sicherheit Windows

Mit Windows 11 in Version 22H2 hat Microsoft neben weiteren Neuerungen auch eine neue Schutzfunktion mit dem Namen Smart App Control implementiert, welche im Zusammenspiel mit Windows Defender oder jedem anderen Virenscanner funktioniert und nicht vertrauenswürdige Dateien blockieren kann. In dem folgenden Artikel erfahren Sie, was Smart App Control genau macht, wie man die Funktion aktivieren kann und wann man besser darauf verzichtet.

Was ist Smart App Control?

Smart App Control ist Bestandteil von Windows 11 Version 22H2 und kann nicht vertrauenswürdige Programme und Dateien blockieren.

Ersetzt Smart App Control einen Antivirus?

Nein, die neue Schutzfunktion ergänzt die Antivirenprogramme wie Windows Defender, arbeitet aber auch mit jedem anderen Virusschutz zusammen.

Wie kann man Smart App Control aktivieren?

Der Dienst wird sich entweder nach einer Zeit im Auswertemodus selbst aktivieren oder deaktivieren, wenn nach der Auswertedauer Microsoft zu dem Schluss kommt, dass Sie mit der Smart App Control eventuell Probleme bekommen würden.

1. Die Krux der Freiheit in Windows

Windows wird von Anwendern auf der ganzen Welt auch deshalb geschätzt, da jeder Nutzer selbst drüber entscheiden kann, welche Programme er auf dem System ausführt. Gegenüber iOS, bei dem nur geprüfte Apps aus dem Store von Apple ausführbar sind, konnte Microsoft seinen Store bisher nicht als einzige Quelle für vertrauenswürdige Programme etablieren.

Damit wird die Freiheit der Anwender, über die Wahl der genutzten Programme und deren Herkunft selbst zu entscheiden, auch zum größten Problem von Windows: Cyberangriffe auf die kritische Infrastruktur wie Behörden, Krankenhäuser oder Energieversorger, aber auch im privaten Bereich, gehen häufig der Ausführung schadhafter Software oder Anhängen zurück. Ein aktiver Virenschutz kann viele bekannte Bedrohungen abfangen, aber eben nicht alle.

2. Smart App Control führt nur vertrauenswürdige Dateien aus

Ein Virenscanner greift nur ein, wenn die angeforderte Datei über Signaturen oder Heuristik als „böse“ eingestuft wird. Die Smart App Control (SAC), welche mit Windows 11 Version 22H2 neu eingeführt wurde, verfolgt dagegen den Ansatz nur Programme und Dateien auszuführen, welche aus Sicht von Microsoft vertrauenswürdig sind. Diese Einstufung erreicht Microsoft über mehrere Kriterien:

  • Eine KI-Cloud bewertet, wie vertrauenswürdig die gerade auszuführende Datei ist. Dabei greift die KI auf Milliarden von anonymisierten Informationen zu.
  • Liegen zu der Datei noch keine Information vor, prüft die Smart App Control, ob die Datei eine digitale Signatur besitzt, welche mit einem höherwertigen Zertifikat erstellt wurde. Diese Zertifikate kosten jährlich mehrere 100 Euro und werden daher in aller Regel nur von kommerziellen Anbietern eingesetzt. Microsoft hat seine Anforderungen an das „Trusted Root Program“ in dem Link näher beschrieben.
  • Dateien mit den Endungen wie sys, url, vb*, vhd*, wsf, wsh, reg, rdp, ps1, sfc, scr, bat, chm, cmd, cpl, com, dll, drv, hta, iso, js, jse, msc, msp, ocx, lnk, ppkg werden grundsätzlich als nicht vertrauenswürdig eingestuft, wenn diese aus dem Internet stammen, was sich aber mit einem Kniff umgehen lässt.

3. So können Sie Smart App Control ein- oder ausschalten

Die Smart App Control ist in die Windows-Sicherheit eingebunden

Windows-Sicherheit mit Smart App Control
In Windows-Sicherheit im Abschnitt App- und Browersteuerung finden Sie die SAC.

Nach einer Neuinstallation arbeitet SAC zunächst nur im Auswertemodus und analysiert über einen längeren Zeitraum, welche Programme Sie aus welchen Quellen ausführen.

Smart App Control im Auswertemodus
SAC von Windows 11 22H2 arbeitet zunächst im Auswertemodus.  

Smart App Control lässt sich nicht aktivieren: Im Falle eines Upgrades ist die Funktion SAC dagegen dauerhaft deaktiviert und steht erst nach einer Neuinstallation zur Verfügung, indem Sie „diesen PC zurücksetzen“. Darüber hinaus müssen die optionalen Diagnosedaten aktivieren, was bereits bei der Installation abgefragt wird, sonst später auch in den Einstellungen unter Datenschutz in Windows aktiviert werden kann.

Kommt der Algorithmus nach einer gewissen Zeit zu dem Schluss, dass Sie nur vertrauenswürdige Programme aus sicheren Quellen nutzen, wird sich SAC selbstständig aktivieren, sonst wird der Dienst für Sie deaktiviert. Sie können die Smart App Control aber auch von Hand direkt auf aktiv stellen.

Smart App Control aktiviert
SAC können Sie auch manuell aktivieren.

Ab diesem Zeitpunkt blockiert Windows alle Programme, welche nicht als unbedenklich eingestuft werden oder über keine Signatur mit einem höherwertigen Zertifikat verfügen.

Da die Cloud der SAC nicht alle Programme dieser Welt kennen kann besteht die Gefahr, dass es für ein Programm keine Informationen gibt. Verwendet der Hersteller auch kein Zertifikat im Sinne von Microsoft, wird die Datei bei aktivierter SAC blockiert. Betroffen sind hiervon vor allem systemnahe Tools und Hilfsprogramme, wie sie sich auch auf der Webseite von Nirsoft befinden.

Smart App Control hat eine App blockiert
SAC hat eine App blockiert.

Da die Entwickler gar keine digitale Signatur oder nur eine mit einem „günstigen“ Zertifikat verwenden, verwehrt Microsoft den Zugriff auf solche Tools im Einzelfall.

3.1. Wie kann ich Ausnahmen für die Smart App Control festlegen?

Das Sicherheitskonzept von SAC sieht keine Möglichkeit vor, eine Ausnahme für einzelne Apps und Programme zu definieren. Sie können die betreffende Datei daher nur in einer virtuellen Maschine oder der Sandbox von Windows ausführen, nicht aber im Echtsystem selbst.

3.2. Wie kann ich blockierte Dateitypen aus dem Internet trotzdem nutzen?

Die zu Anfang genannten Dateitypen blockiert SAC nur, wenn diese aus dem Internet heruntergeladen wurden. Den Status einer Datei können Sie in den Eigenschaften einsehen und hier für einzelne Downloads auch einen Zugriff manuell zulassen.

Eigenschaften einer Datei wenn diese aus dem Internet heruntergeladen wurde
Sie können in den Eigenschaften den Zugriff auf Dateien aus dem Internet zulassen.

Damit gilt die Datei nicht mehr als unsicher und wird von der Smart App Control nicht mehr blockiert. Einzig der installierte Virenscanner könnte Ihnen noch den Zugriff verwehren.

3.3. Wie kann ich die Smart App Control abschalten?

Wenn Sie zu viele Einschränkungen durch SAC hinnehmen müssen, lässt sich die Funktion über Windows-Sicherheit auch abschalten. Diese Abschaltung ist aber dauerhaft. Sie können den Dienst erst wieder nach einer Neuinstallation nutzen.

Smart App Control deaktiviert
SAC lässt sich auch deaktivieren.

4. Unser Fazit

Die neue Schutzfunktion Smart App Control könnte mittelfristig wirklich weniger Bedrohungen unter Windows bedeuten. Für einen Großteil der Anwender stellt sich Windows nach der Auswertung auf den aktiven Modus. Power-User und Anwender von sehr ausgefallenen Programmen werden über die Auswertung bereits als „ungeeignet“ eingestuft und damit SAC erst gar nicht aktiviert. Das Blockieren von gefährlichen Dateianhängen aus dem Internet ist dabei ebenso konsequent und sorgt für noch mehr Sicherheit. Ob Microsoft dem Wunsch nachkommt, auch Ausnahmen für Programme zuzulassen, kann aktuell nicht beantwortet werden, torpediert nach unserer Auffassung aber den Schutz gerade für wenig versierte Anwender.

Ähnliche Artikel:

1 Star2 Stars3 Stars4 Stars5 Stars (22 votes, average: 4,80 out of 5)
Loading...

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert