Smart App Control
Windows-11-Sicherheitsfunktion, die mithilfe von Microsofts Intelligent Security Graph (Cloud-KI) vorhersagt, ob eine Anwendung vertrauenswürdig ist, und unsichere oder unbekannte Programme automatisch blockiert — ohne manuelle Regelerstellung.
Smart App Control (SAC) ist eine in Windows 11 integrierte Sicherheitsfunktion, die Application Control ohne manuelle Konfiguration ermöglicht. Anstatt wie WDAC oder AppLocker auf vom Administrator erstellte Richtlinien zu setzen, nutzt SAC Microsofts Intelligent Security Graph — eine cloudbasierte KI-Plattform, die Milliarden von Signalen aus dem Microsoft-Ökosystem auswertet — um in Echtzeit zu entscheiden, ob eine Anwendung ausgeführt werden darf. Damit schließt Smart App Control die Lücke zwischen dem vollständigen Verzicht auf Application Control und einer ausgewachsenen WDAC-Bereitstellung.
Funktionsweise und Entscheidungslogik
Smart App Control kombiniert drei Vertrauenssignale, um über die Ausführung einer Anwendung zu entscheiden. Erstens prüft SAC die Code-Signatur: Gültig signierte Anwendungen von bekannten Herausgebern werden zugelassen. Zweitens wird die Cloud-Reputation über den Intelligent Security Graph abgefragt — Microsoft bewertet auf Basis von Telemetriedaten, ob eine Datei als sicher gilt. Drittens fließt eine KI-gestützte Vorhersage ein, die anhand von Dateimerkmalen und Verhaltensmustern auch bisher unbekannte Anwendungen einschätzt.
Kann SAC keine positive Vertrauensentscheidung treffen, wird die Ausführung blockiert. Neben ausführbaren Dateien betrifft dies auch unsignierte Skripte, makroaktivierte Office-Dokumente und potenziell unerwünschte Anwendungen (PUA). Da SAC für seine Reputationsabfragen eine aktive Internetverbindung benötigt, werden unbekannte Anwendungen bei fehlender Konnektivität ebenfalls blockiert.
Die drei Modi: Evaluation, On, Off
Smart App Control durchläuft einen vorgegebenen Lebenszyklus mit drei Modi. Bei einer Neuinstallation von Windows 11 startet SAC im Evaluierungsmodus. In dieser Phase überwacht die Funktion das Nutzungsverhalten und lernt, welche Anwendungen auf dem Gerät eingesetzt werden. Gleichzeitig bewertet SAC, ob eine aktive Durchsetzung den Arbeitsalltag spürbar beeinträchtigen würde — blockiert in dieser Phase aber noch keine Anwendungen.
Fällt die Bewertung positiv aus, wechselt SAC automatisch in den aktiven Modus (On) und beginnt, nicht vertrauenswürdige Anwendungen tatsächlich zu blockieren. Stellt der Evaluierungsmodus dagegen fest, dass zu viele regulär genutzte Anwendungen betroffen wären, schaltet sich SAC selbständig ab.
Entscheidend ist die Einweglogik: Wird Smart App Control einmal deaktiviert (Off) — sei es manuell durch den Benutzer oder automatisch durch die Evaluierung — lässt sich die Funktion ohne eine vollständige Windows-Neuinstallation nicht wieder aktivieren. Diese Designentscheidung soll verhindern, dass Schadsoftware SAC vorübergehend deaktiviert und anschließend wieder einschaltet. Für Unternehmen bedeutet dies: SAC sollte auf Geräten, auf denen die Funktion aktiv sein soll, von Anfang an im Evaluierungsmodus belassen werden.
Technische Grundlage: WDAC unter der Haube
Unter der Oberfläche basiert Smart App Control auf der gleichen Kernel-basierten Code-Integrity-Technologie wie WDAC. Die Durchsetzung erfolgt auf Kernel-Ebene und ist durch lokale Administratoren nicht umgehbar. Der wesentliche Unterschied liegt in der Verwaltung: Während WDAC explizite Code-Integrity-Richtlinien erfordert, die als XML erstellt, kompiliert und verteilt werden müssen, generiert SAC seine Vertrauensentscheidungen vollautomatisch auf Basis der Cloud-Reputation.
Es ist keine Richtlinienerstellung, kein Audit-Modus-Tuning und keine Regelwartung erforderlich. Im Gegenzug akzeptiert man den Verlust jeglicher Granularität: Was der Intelligent Security Graph als unsicher einstuft, wird blockiert — ohne Ausnahme und ohne Einspruchsmöglichkeit auf Geräteebene.
Grenzen in verwalteten Umgebungen
Smart App Control richtet sich an ein anderes Einsatzszenario als WDAC oder AppLocker. SAC ist für Geräte konzipiert, auf denen kein dediziertes IT-Management die Application-Control-Richtlinien pflegt — typischerweise Einzelgeräte, kleine Büros oder Prosumer-Umgebungen. In verwalteten Unternehmensumgebungen stößt SAC an klare Grenzen.
Es gibt keine Möglichkeit, granulare Ausnahmen für branchenspezifische Software zu definieren. Eine zentrale Verwaltung über Microsoft Intune oder Gruppenrichtlinien ist nicht vorgesehen. Ergänzungsrichtlinien für abteilungsspezifische Anforderungen existieren nicht. Und die Einweglogik bedeutet, dass ein einmal deaktiviertes SAC auf dem betroffenen Gerät dauerhaft verloren ist. Unternehmen, die eine differenzierte Application-Control-Strategie benötigen, sind weiterhin auf WDAC angewiesen — gegebenenfalls ergänzt durch AppLocker im Sinne von Defense in Depth.
Relevanz für KMUs
Für kleine und mittelständische Unternehmen ohne dediziertes Security-Team bietet Smart App Control einen echten Mehrwert: Application Control mit null Konfigurationsaufwand. Geräte, die nicht zentral verwaltet werden — etwa Notebooks von Geschäftsführern, Außendienstmitarbeitern oder Freelancern — erhalten damit einen Grundschutz gegen unsignierte Malware und potenziell unerwünschte Software, der ohne SAC schlicht nicht vorhanden wäre.
SAC ersetzt dabei keine umfassende Sicherheitsarchitektur. In Kombination mit EDR, WDAC für verwaltete Endpoints und einer Zero-Trust-Strategie entsteht ein abgestuftes Schutzkonzept: SAC für nicht verwaltete Geräte, WDAC für die kontrollierte Unternehmensumgebung und EDR als übergreifende Erkennungs- und Reaktionsschicht. Wer Windows 11 auf Einzelgeräten einsetzt und bisher keine Application-Control-Lösung betreibt, sollte sicherstellen, dass SAC im Evaluierungsmodus verbleibt und nicht voreilig deaktiviert wird.