Windows 11 25H2: Feature "Smart App Control" macht Probleme

Veröffentlicht am 21. Januar 2026 von Günter Born

WindowsBlog-Leser Martin F. hat mich die Tage per E-Mail kontaktiert, weil ihm unter Windows 11 25H2 das (vermeintlich neue  Feature) "Smart App Control" in die Quere gekommen ist. Ihm wurde nämlich plötzlich die Installation von Software verweigert und es sieht für ihn so aus, als ob das "neue Feature" irgendwie Amok läuft und auch Microsoft-Software blockt. Ich ziehe mal einige Informationen zusammen.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Sponsored by IT Pro)

Was ist Smart App Control?

In Windows 11 hat Microsoft die neue Funktion Smart App Control eingeführt. Die Kollegen von deskmodder.de haben das Feature in diesem Beitrag beschrieben. Smart App Control sei ein zusätzlicher Schutz für Windows 11, da diese schädliche oder nicht-vertrauenswürdige Apps blockiert. Microsoft hat diese FAQ zur Funktion veröffentlicht.

Eine Analyse des BSI

Selbst das BSI hat sich bereits im Beitrag Smart App Control mit der Analyse dieser Funktion auseinander gesetzt. Dort heißt es, dass Smart App Control (SAC) mit Windows 11 Version 22H2 (Version 22572 oder höher) von Microsoft als neue Funktion eingeführt wurde. Die Funktion soll das Risiko der Ausführung von Schadprogrammen verringern.  Bei SAC handelt es sich um eine automatische und optionale Funktion, deren Zweck darin besteht, auf dem System ausgeführte Anwendungen zu blockieren, wenn ihnen die (Sicherheits-)analyse des cloudbasierten Backends von Microsoft nicht vertraut. Microsoft bewertet das Vertrauen einer Anwendung dabei basierend auf zwei Kriterien:

  • Überprüfung des digitalen Zertifikats der Anwendung
  • Nutzung der bereits vorliegenden Informationen zu der Anwendung

Eine Anwendung, die keine digitale Signatur enthält, oder die von dem Cloud-Dienst als nicht vertrauenswürdig bewertet wird, wird blockiert. Die Funktion ist durch den Nutzenden nicht konfigurierbar, d.h. es ist nicht möglich, Ausnahmen seitens des Benutzers oder des Administrators hinzuzufügen. Es besteht nur die Möglichkeit, Microsoft Feedback zu geben und möglicherweise die blockierte Anwendung offenzulegen oder diese Anwendung mit einem von Microsoft akzeptierten Zertifikat zu signieren (bzw. signieren zu lassen).

Benutzerinnen und Benutzer können nur entscheiden, ob SAC deaktiviert ist oder nicht, da der Deaktivierungsvorgang endgültig ist und es daher keinen Weg zurück in den aktivierten Zustand gibt. Dabei ist zu beachten, dass SAC nicht mehr aktiviert werden kann, wenn es bereits deaktiviert ist.

Das BSI schreibt: "Falls das Senden optionaler Diagnosedaten (sog. Telemetriedaten) während des Installationsvorgangs oder während der Evaluierungsphase von Windows 11 deaktiviert wurde, wird auch SAC automatisch deaktiviert." Durch die untrennbare Verknüpfung der Funktion mit den Telemetriedaten empfiehlt das BSI bereits vorher abzuwägen, ob das Teilen der Informationen mit dem Hersteller stattfinden soll. Diese Entscheidung kann sich beispielsweise abhängig von der Einsatzumgebung und den dort verarbeiteten Daten oder dem Einsatz im privaten bzw. beruflichen Umfeld, stark unterscheiden.

Smart App Control blockt fast alles

Blog-Leser Martin F. schrieb mir zum 17. Januar 2026 "mir ist heute bei zwei von fünf Computern mit Windows 11 Pro 25H2 ein neues 'Feature' aufgefallen: 'Smart App Control', quasi ein Smart Screen 2.0." Gut, laut obigen Ausführungen ist das "Feature" nicht mehr so neu. Das Problem des Lesers: Von 'Smart App Control' werden nicht nur seriöse EXE-Installer, z. B. Loxone Config (Smart Home-Programmierung) blockiert, sondern auch Transform-Dateien (MST) für Windows-Installer-Pakete.

Smart App Control blockt MSI-Installer

Obiger Screenshot zeigt eine solche durch die Windows Sicherheit blockierte App (addedploy.mst). Martin schrieb dazu, dass es sich dabei um eine von ihm selbst erstellte Datei handelte, mit der der Windows Installer von Visual C++-Runtime 2015-2022 per Skript automatisch installiert werden kann. Auf reddit.com gibt es diesen Thread mit ähnlichen Beobachtungen.

Deaktiviertes Smart App Control nicht mehr aktivierbar

Als Administrator könnte man schnell auf die Idee kommen: "Gut deaktiviere ich das Teil für die Zeit der Software-Installation". Aber Microsoft hat da einen Riegel vorgeschoben, ein deaktiviertes "Smart App Control" lässt sich nicht mehr aktivieren. Auf diesen Sachverhalt wurde in der obigen BSI-Analyse bereits hingewiesen.

Smart App Control

Martin schrieb mir dazu: "Der Knaller kommt im 'Kleingedruckten' – es lässt sich wirklich nicht erneut aktivieren, sobald es einmal deaktiviert ist".  Als Beleg hat mir der Leser obigen Screenshot geschickt. Ich spiele mal den Ball an die Leserschaft: Ist euch dieses Feature bereits in die Quere gekommen? Und wie geht ihr in Unternehmen damit um?

Dieser Beitrag wurde unter Problem, Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows 11 25H2: Feature "Smart App Control" macht Probleme

  1. Karli sagt:
    21. Januar 2026 um 00:17 Uhr

    Als Administrator könnte man auf die Idee kommen, ein Feature dessen Verwaltung in einem faschistischem Land betrieben wird, von einem Konzern dessen CEOs dem Dikator in den unbeleuchteten Teil kriechen, das dazu geeignet ist Software auf lokalen Systemen zu deaktivieren oder dessen Installation zu verunmöglichen, auf keinen Fall zu aktiveren.

    Antworten
  2. R.S. sagt:
    21. Januar 2026 um 00:32 Uhr

    Ich würde es deaktivieren, weil es oft schlicht das normale Arbeiten behindert bis unmöglich macht.
    Was machen Softwareentwickler?
    Die können dann noch nicht einmal die selbst geschriebenen Anwendungen testen.
    Oder was macht man, wenn man noch ältere Anwendungen nutzt, für die es keinen Ersatz gibt und die wegen des Alters nicht signiert sind?

    Und Microsoft geht es auch rein gar nichts an, welche Anwendungen ich nutze.

    IMHO ist Microsoft mit diesem Feature übers Ziel hinaus geschossen:
    Besser ist es, man benutzt Applocker, das ist konfigurierbar und bietet im Grunde die gleiche Sicherheit.

    Antworten
  3. Red++ sagt:
    21. Januar 2026 um 03:43 Uhr

    Schwieriges Thema, Nun Gut ich lebe auch ohne die Smart App Control, wie ich eben gerade festgestellt habe, habe ich die schon deaktiviert. Ist halt ein Privat PC mit Windows und Linux im Dualboot kann man in einer Firma kaum selbstständig beeinflussen bzw. machen.
    Ich lasse mir jedoch von Microsoft nicht vorschreiben, welche Software ich auf meiner Hardware installiere oder nicht, das geht die einen Feuchten Kehricht an.

    Im Deskmodder Artikel https://www.deskmodder.de/wiki/index.php?title=Smart_App_Control_ohne_Neuinstallation_aktivieren_oder_auf_Auswertung_setzen steht es ja auch wie man es wieder Aktivieren kann, ohne den PC Neu zu installieren, wobei ein Inplace Update auch eher etwas für Privat als für die Firma ist.
    Kann mir das auch weniger schon vorstellen bei 99 Firmen PCs wegen einer Software die von der Smart App Control geblockt wird, überall ein Inplace Upgrade durchzuführen.

    Wenn Microsoft so weiter macht wird die Software einfach untragbar!

    Antworten

Schreibe einen Kommentar zu R.S. Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.