Blog-Leser Martin F. hat mich die Tage per E-Mail kontaktiert, weil ihm unter Windows 11 25H2 das (vermeintlich neue Feature) "Smart App Control" in die Quere gekommen ist. Ihm wurde nämlich plötzlich die Installation von Software verweigert und es sieht für ihn so aus, als ob das "neue Feature" irgendwie Amok läuft und auch Microsoft-Software blockt. Ich ziehe mal einige Informationen zusammen.
Was ist Smart App Control?
In Windows 11 hat Microsoft die neue Funktion Smart App Control eingeführt. Die Kollegen von deskmodder.de haben das Feature in diesem Beitrag beschrieben. Smart App Control sei ein zusätzlicher Schutz für Windows 11, da diese schädliche oder nicht-vertrauenswürdige Apps blockiert. Microsoft hat diese FAQ zur Funktion veröffentlicht.
Eine Analyse des BSI
Selbst das BSI hat sich bereits im Beitrag Smart App Control mit der Analyse dieser Funktion auseinander gesetzt. Dort heißt es, dass Smart App Control (SAC) mit Windows 11 Version 22H2 (Version 22572 oder höher) von Microsoft als neue Funktion eingeführt wurde. Die Funktion soll das Risiko der Ausführung von Schadprogrammen verringern. Bei SAC handelt es sich um eine automatische und optionale Funktion, deren Zweck darin besteht, auf dem System ausgeführte Anwendungen zu blockieren, wenn ihnen die (Sicherheits-)analyse des cloudbasierten Backends von Microsoft nicht vertraut. Microsoft bewertet das Vertrauen einer Anwendung dabei basierend auf zwei Kriterien:
- Überprüfung des digitalen Zertifikats der Anwendung
- Nutzung der bereits vorliegenden Informationen zu der Anwendung
Eine Anwendung, die keine digitale Signatur enthält, oder die von dem Cloud-Dienst als nicht vertrauenswürdig bewertet wird, wird blockiert. Die Funktion ist durch den Nutzenden nicht konfigurierbar, d.h. es ist nicht möglich, Ausnahmen seitens des Benutzers oder des Administrators hinzuzufügen. Es besteht nur die Möglichkeit, Microsoft Feedback zu geben und möglicherweise die blockierte Anwendung offenzulegen oder diese Anwendung mit einem von Microsoft akzeptierten Zertifikat zu signieren (bzw. signieren zu lassen).
Benutzerinnen und Benutzer können nur entscheiden, ob SAC deaktiviert ist oder nicht, da der Deaktivierungsvorgang endgültig ist und es daher keinen Weg zurück in den aktivierten Zustand gibt. Dabei ist zu beachten, dass SAC nicht mehr aktiviert werden kann, wenn es bereits deaktiviert ist.
Das BSI schreibt: "Falls das Senden optionaler Diagnosedaten (sog. Telemetriedaten) während des Installationsvorgangs oder während der Evaluierungsphase von Windows 11 deaktiviert wurde, wird auch SAC automatisch deaktiviert." Durch die untrennbare Verknüpfung der Funktion mit den Telemetriedaten empfiehlt das BSI bereits vorher abzuwägen, ob das Teilen der Informationen mit dem Hersteller stattfinden soll. Diese Entscheidung kann sich beispielsweise abhängig von der Einsatzumgebung und den dort verarbeiteten Daten oder dem Einsatz im privaten bzw. beruflichen Umfeld, stark unterscheiden.
Smart App Control blockt fast alles
Blog-Leser Martin F. schrieb mir zum 17. Januar 2026 "mir ist heute bei zwei von fünf Computern mit Windows 11 Pro 25H2 ein neues 'Feature' aufgefallen: 'Smart App Control', quasi ein Smart Screen 2.0." Gut, laut obigen Ausführungen ist das "Feature" nicht mehr so neu. Das Problem des Lesers: Von 'Smart App Control' werden nicht nur seriöse EXE-Installer, z. B. Loxone Config (Smart Home-Programmierung) blockiert, sondern auch Transform-Dateien (MST) für Windows-Installer-Pakete.
Obiger Screenshot zeigt eine solche durch die Windows Sicherheit blockierte App (addedploy.mst). Martin schrieb dazu, dass es sich dabei um eine von ihm selbst erstellte Datei handelte, mit der der Windows Installer von Visual C++-Runtime 2015-2022 per Skript automatisch installiert werden kann. Auf reddit.com gibt es diesen Thread mit ähnlichen Beobachtungen.
Deaktiviertes Smart App Control nicht mehr aktivierbar
Als Administrator könnte man schnell auf die Idee kommen: "Gut deaktiviere ich das Teil für die Zeit der Software-Installation". Aber Microsoft hat da einen Riegel vorgeschoben, ein deaktiviertes "Smart App Control" lässt sich nicht mehr aktivieren. Auf diesen Sachverhalt wurde in der obigen BSI-Analyse bereits hingewiesen.
Martin schrieb mir dazu: "Der Knaller kommt im 'Kleingedruckten' – es lässt sich wirklich nicht erneut aktivieren, sobald es einmal deaktiviert ist". Als Beleg hat mir der Leser obigen Screenshot geschickt. Ich spiele mal den Ball an die Leserschaft: Ist euch dieses Feature bereits in die Quere gekommen? Und wie geht ihr in Unternehmen damit um?
MVP: 2013 – 2016
Als Administrator könnte man auf die Idee kommen, ein Feature dessen Verwaltung in einem faschistischem Land betrieben wird, von einem Konzern dessen CEOs dem Dikator in den unbeleuchteten Teil kriechen, das dazu geeignet ist Software auf lokalen Systemen zu deaktivieren oder dessen Installation zu verunmöglichen, auf keinen Fall zu aktiveren.
Ich würde es deaktivieren, weil es oft schlicht das normale Arbeiten behindert bis unmöglich macht.
Was machen Softwareentwickler?
Die können dann noch nicht einmal die selbst geschriebenen Anwendungen testen.
Oder was macht man, wenn man noch ältere Anwendungen nutzt, für die es keinen Ersatz gibt und die wegen des Alters nicht signiert sind?
Und Microsoft geht es auch rein gar nichts an, welche Anwendungen ich nutze.
IMHO ist Microsoft mit diesem Feature übers Ziel hinaus geschossen:
Besser ist es, man benutzt Applocker, das ist konfigurierbar und bietet im Grunde die gleiche Sicherheit.
Schwieriges Thema, Nun Gut ich lebe auch ohne die Smart App Control, wie ich eben gerade festgestellt habe, habe ich die schon deaktiviert. Ist halt ein Privat PC mit Windows und Linux im Dualboot kann man in einer Firma kaum selbstständig beeinflussen bzw. machen.
Ich lasse mir jedoch von Microsoft nicht vorschreiben, welche Software ich auf meiner Hardware installiere oder nicht, das geht die einen Feuchten Kehricht an.
Im Deskmodder Artikel https://www.deskmodder.de/wiki/index.php?title=Smart_App_Control_ohne_Neuinstallation_aktivieren_oder_auf_Auswertung_setzen steht es ja auch wie man es wieder Aktivieren kann, ohne den PC Neu zu installieren, wobei ein Inplace Update auch eher etwas für Privat als für die Firma ist.
Kann mir das auch weniger schon vorstellen bei 99 Firmen PCs wegen einer Software die von der Smart App Control geblockt wird, überall ein Inplace Upgrade durchzuführen.
Wenn Microsoft so weiter macht wird die Software einfach untragbar!
Am 9. Januar teilte Windows mir freudestrahlend mit, daß mein 24h2 auserwählt sei, voll umfänglich in den Genuß von SAC zu kommen und es deshalb von nun an aktiviert sei… Nach etwas Recherche kam ich zu dem Schluss, daß diese SAC alles andere als gut für mich, meine Nerven und vor allem meinen Laptop (welcher erst im Dezember, nach über 5 Wochen Reparatur, zurück kam) ist, daher habe ich sie deaktiviert, und mir anschließend Luft gemacht…
SAC macht häufig Probleme: ich habe in einigen Firmen selbstgeschriebene Software (auf Basis Delphi und C++) und die ist jeweils nicht signiert. Bei diesen Firmen wurde SAC komplett auf allen PC deaktiviert – bei den anderen Firmen warte ich auf die ersten Problem, um das Zeugs dann auch abzuschalten.
Ganz ehrlich: der Quatsch ist absolut überflüssig, da so nicht zu gebrauchen – mal wieder ein weiterer Rohrkrepierer von Microschrott. Das Problem im Firmenbereich ist weiterhin, dass viele Software nur für MS zu bekommen ist und daher ein Umstieg auf ein alternatives OS nicht möglich ist – im privaten Bereich bin ich schon lange auf Linux unterwegs…
War auch schon damit konfrontiert, als ich letzte Woche bei einem Bekannten Paintshop Pro (2023) installieren sollte und mir SAC die Installation verweigerte.
Nach Umstieg auf Windows 11 24H2 im letzten Jahr, kam es durch SAC zu erheblichen Performanceproblemen. Wir haben einige Softwareprogramme die von einem Netzlaufwerk gestartet werden. Auf den PCs auf denen SAC aktiviert war, dauerte der Start der Anwendungen teilweise 1-2 Minuten, vor allem beim ersten Start der Anwendung. Wir haben es deshalb bei uns deaktiviert.
Wow, die meinen es auf jeden Fall ernst mit der SAC. Habt ihr den Grund gelesen, warum man es nicht wieder aktivieren kann?
https://support.microsoft.com/de-de/windows/smart-app-control-h%C3%A4ufig-gestellte-fragen-285ea03d-fa88-4d56-882e-6698afdb7003#bkmk_off
[…] Um eine sicherere Umgebung zu gewährleisten, aktivieren wir Smart App Control nur bei sauber Installationen von Microsoft Windows 11. Wir möchten sicherstellen, dass nicht bereits nicht vertrauenswürdige Apps auf dem Gerät ausgeführt werden, wenn wir smarte App-Steuerung aktivieren.
Der Anspruch gefällt mir, aber MS wird wie man sieht wieder an der Ausführung scheitern. Naja, und Cloudmonitoring aller (Downloads) Produkte war schon mit SmartScreen ein NoGo aus Privatssphären sicht.
Wir verteilen unsere Windows 11 Images mit Zenworks auf die Rechner.
Wenn im Basis Image das SAC aktiviert war hat die Installation des Zen Agenten bis zu 1 Stunde Zeit benötigt. Der Agent entpackt beim Installieren 21 .msi Dateien diese werden nacheinander installiert. Jede einzelne Datei wurde geprüft, der Vorgang wurde von der zentralen Firewall geblockt. Wir haben es daher schon im Basis Image abgeschalten.
Loerdy
@Günther: Im verlinkten Deskmodder Artikel gibt es diese Aktualisierung:
"Hinweis
Mit der 26220.7070 als Insider (November 2025) führt Microsoft eine Änderung ein. Dann ist über die Einstellungen unter Smart App Control eine Änderung zwischen "Aktiviert", "Auswertung" und "Deaktiviert" auch ohne Neuinstallation möglich. Wann diese Funktion in der Windows 11 Retail eingeführt wird, steht derzeit noch nicht fest."
Vielleicht kommt hier ein erstes Einlenken von Microsoft.
Da wir auf allen Rechnern die Telemetrie so weit wie möglich ausschalten, scheint SAC bei uns nicht aktiv zu sein. Im Deskmodder Artikel findet man die Reg Keys, falls man per Script kontrollieren will.
Bei Kunden war bei einer sehr SMB lastigen Software die Performance so eine Katastrophe, dass ich es irgendwann deaktiviert habe.
Hat aber leider etwas gedauert bis ich festgestellt hatte, dass es daran liegt. Es gibt einfach kein Feedback, dass da gerade das Feature SmartAppControl die Ladezeiten extrem erhöht. Nachdem die angefallenen Erfahrungen so inkonsistent waren (manchmal ging es ja normal schnell), kein Feedback und einfach nur unzuverlässig, wurde es per default für alle deaktiviert.
Das bisschen mehr an Sicherheit wiegt nicht den enormen Verlust an Funktionalität auf.
Kein Fan der SAC. Ich hatte mit dieser auch schon Schwierigkeiten, dass sie PCs verlangsamt hat, die per Intune gemanaged waren. Auch hier einzige Möglichkeit abzuschalten.
Immerhin erspare ich mir damit gleich die aktuellen Probleme.
Hat bei mir auf vielen Geräten RDP-Verbindungen blockiert -> Direkt per Registry deaktiviert
SmartApp Control ist seltsam:
Neulich, als ich davon erfuhr, habe ich nachgeschaut und es wurde als aktiv angezeigt, obwohl es nicht die Voraussetzungen (Diagnosedaten) hatte. Hat sich aber nie bemerkbar gemacht.
Gerade nochmal geschaut, jetzt ist es deaktiviert und die anderen Optionen ausgegraut …
MS = "manchmal (oder meistens) seltsam" ;-)
Edition Windows 11 Pro
Version 25H2
Betriebssystembuild 26200.7623
Funktionspaket Windows Feature Experience Pack 1000.26100.275.0
Ich habe bei allen Windows Installationen alles deaktiviert was geht. "optionale Telemetrie" gehört dazu. Daher ist mir SAC noch nicht begegnet. Ein Tool was bei jedem Programmstart mit Redmond diskutiert ob das auch gut für Redmond ist sehe ich auch sehr kritisch.
Wenn MS eine Liste mit Signaturen/Hashes etc von bösen Programmen zu mir lokal schickt wäre ich bei einer lokalen Kontrolle des App-Starts dabei. Alles andere geht MS nichts an.
https://support.microsoft.com/en-us/windows/smart-app-control-frequently-asked-questions-285ea03d-fa88-4d56-882e-6698afdb7003#bkmk_off
Betroffen von der Blockade ist u.a. pcvisit. Wunderbar, wenn einem Kunden spontan Hilfestellung gegeben werden soll…
Heute hatte ich die erste zweifelhafte Begegnung damit. Wollte auf einem frischen Windows 11 DATEV installieren – keine Chance.
Hab den Quatsch dann einfach abgeschaltet – musste ja irgendwie weiter kommen.
Als dann alles fertig war, stellte ich fest, dass es nicht mehr aktivierbar ist.
Microsoft: Echt jetzt? Ne Whitelist gibt's auch nicht. Einfach unglaublich!
Da hat Microsoft definitiv wieder alles gegeben. Bis gestern machte SAC keine Probleme. Dann hat Asus Armoury Crate neue Updates gefunden und SAC hat sich einfach mal gedacht, das es mich die Updates nicht installieren lässt und den ROG Live Service als nicht sicher empfindet. Danke Microsoft.
Haarsträubender Murks: An 2 identischen Clients mit 25H2, gleicher Update-Stand, wird seit kurzem NUR bei einem eine bestimmte, übrigens geschäftskritische SW bemängelt. Gut dass man es doch recht einfach und anscheinend dauerhaft deaktivieren kann. (Aktivieren nur per Neuinstallation? Geschenkt…)