![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Blog-Leser Martin F. hat mich die Tage per E-Mail kontaktiert, weil ihm unter Windows 11 25H2 das (vermeintlich neue\u00a0 Feature) \"Smart App Control\" in die Quere gekommen ist. Ihm wurde n\u00e4mlich pl\u00f6tzlich die Installation von Software verweigert und es sieht f\u00fcr ihn so aus, als ob das \"neue Feature\" irgendwie Amok l\u00e4uft und auch Microsoft-Software blockt. Ich ziehe mal einige Informationen zusammen.
\n<\/p>\n
Selbst das BSI hat sich bereits im Beitrag\u00a0Smart App Control<\/a> mit der Analyse dieser Funktion auseinander gesetzt. Dort hei\u00dft es, dass\u00a0Smart App Control (SAC) mit Windows 11 Version 22H2 (Version 22572 oder h\u00f6her) von Microsoft als neue Funktion eingef\u00fchrt wurde. Die Funktion soll das Risiko der Ausf\u00fchrung von Schadprogrammen verringern.\u00a0 Bei SAC handelt es sich um eine automatische und optionale Funktion, deren Zweck darin besteht, auf dem System ausgef\u00fchrte Anwendungen zu blockieren, wenn ihnen die (Sicherheits-)analyse des cloudbasierten Backends von Microsoft nicht vertraut.\u00a0Microsoft bewertet das Vertrauen einer Anwendung dabei basierend auf zwei Kriterien:<\/p>\n Eine Anwendung, die keine digitale Signatur enth\u00e4lt, oder die von dem Cloud-Dienst als nicht vertrauensw\u00fcrdig bewertet wird, wird blockiert. Die Funktion ist durch den Nutzenden nicht konfigurierbar, d.h. es ist nicht m\u00f6glich, Ausnahmen seitens des Benutzers oder des Administrators hinzuzuf\u00fcgen. Es besteht nur die M\u00f6glichkeit, Microsoft Feedback zu geben und m\u00f6glicherweise die blockierte Anwendung offenzulegen oder diese Anwendung mit einem von Microsoft akzeptierten Zertifikat zu signieren (bzw. signieren zu lassen).<\/p>\n Benutzerinnen und Benutzer k\u00f6nnen nur entscheiden, ob SAC deaktiviert ist oder nicht, da der Deaktivierungsvorgang endg\u00fcltig ist und es daher keinen Weg zur\u00fcck in den aktivierten Zustand gibt. Dabei ist zu beachten, dass SAC nicht mehr aktiviert werden kann, wenn es bereits deaktiviert ist.<\/p>\n Das BSI schreibt: \"Falls das Senden optionaler Diagnosedaten (sog. Telemetriedaten) w\u00e4hrend des Installationsvorgangs oder w\u00e4hrend der Evaluierungsphase von Windows 11 deaktiviert wurde, wird auch SAC automatisch deaktiviert.\" Durch die untrennbare Verkn\u00fcpfung der Funktion mit den Telemetriedaten empfiehlt das BSI bereits vorher abzuw\u00e4gen, ob das Teilen der Informationen mit dem Hersteller stattfinden soll. Diese Entscheidung kann sich beispielsweise abh\u00e4ngig von der Einsatzumgebung und den dort verarbeiteten Daten oder dem Einsatz im privaten bzw. beruflichen Umfeld, stark unterscheiden.<\/p>\n Blog-Leser Martin F. schrieb mir zum 17. Januar 2026 \"mir ist heute bei zwei von f\u00fcnf Computern mit Windows 11 Pro 25H2 ein neues 'Feature' aufgefallen: 'Smart App Control', quasi ein Smart Screen 2.0.\" Gut, laut obigen Ausf\u00fchrungen ist das \"Feature\" nicht mehr so neu. Das Problem des Lesers: Von 'Smart App Control' werden nicht nur seri\u00f6se EXE-Installer, z. B. Loxone Config (Smart Home-Programmierung) blockiert, sondern auch Transform-Dateien (MST) f\u00fcr Windows-Installer-Pakete.<\/p>\n Obiger Screenshot zeigt eine solche durch die Windows Sicherheit blockierte App (addedploy.mst<\/em>). Martin schrieb dazu, dass es sich dabei um eine von ihm selbst erstellte Datei handelte, mit der der Windows Installer von Visual C++-Runtime 2015-2022 per Skript automatisch installiert werden kann. Auf reddit.com gibt es diesen Thread<\/a> mit \u00e4hnlichen Beobachtungen.<\/p>\n Als Administrator k\u00f6nnte man schnell auf die Idee kommen: \"Gut deaktiviere ich das Teil f\u00fcr die Zeit der Software-Installation\". Aber Microsoft hat da einen Riegel vorgeschoben, ein deaktiviertes \"Smart App Control\" l\u00e4sst sich nicht mehr aktivieren. Auf diesen Sachverhalt wurde in der obigen BSI-Analyse bereits hingewiesen.<\/p>\n Martin schrieb mir dazu: \"Der Knaller kommt im 'Kleingedruckten' \u2013 es l\u00e4sst sich wirklich nicht erneut aktivieren, sobald es einmal deaktiviert ist\".\u00a0 Als Beleg hat mir der Leser obigen Screenshot geschickt.\u00a0Ich spiele mal den Ball an die Leserschaft: Ist euch dieses Feature bereits in die Quere gekommen? Und wie geht ihr in Unternehmen damit um?<\/p>\n","protected":false},"excerpt":{"rendered":" Blog-Leser Martin F. hat mich die Tage per E-Mail kontaktiert, weil ihm unter Windows 11 25H2 das (vermeintlich neue\u00a0 Feature) \"Smart App Control\" in die Quere gekommen ist. Ihm wurde n\u00e4mlich pl\u00f6tzlich die Installation von Software verweigert und es sieht … Weiterlesen In Windows 11 hat Microsoft die neue Funktion Smart App Control eingef\u00fchrt. Die Kollegen von deskmodder.de haben das Feature in diesem Beitrag<\/a> beschrieben. Smart App Control sei ein zus\u00e4tzlicher Schutz f\u00fcr Windows 11, da diese sch\u00e4dliche oder nicht-vertrauensw\u00fcrdige Apps blockiert. Microsoft hat diese FAQ<\/a> zur Funktion ver\u00f6ffentlicht.<\/p>\n
Eine Analyse des BSI<\/h2>\n
\n
Smart App Control blockt fast alles<\/h2>\n
![\"Smart](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/image001.png\")
<\/a><\/p>\nDeaktiviertes Smart App Control nicht mehr aktivierbar<\/h2>\n
![\"Smart](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/image-95.png\" "\\"Smart")
<\/p>\n