Anzeige

Am Puls von Microsoft

Anzeige

Smart App Control: So funktioniert das neue Sicherheitsfeature im Windows 11 2022 Update

DrWindows

Redaktion
Smart App Control: So funktioniert das neue Sicherheitsfeature im Windows 11 2022 Update
von Martin Geuß
Microsoft Defender Titelbild


Im Windows 11 2022 Update steckt eine neue Sicherheitsfunktion, die auf den Namen „Smart App Control“ hört. Sie soll vor der Ausführung schon potentiell schädlichen Applikationen und Scripten schützen. Wie das genau funktioniert und warum die meisten Nutzer dieses Feature erst einmal nicht zu sehen bekommen, beleuchten wir in diesem Beitrag.

Smart App Control ist so etwas wie die „Consumerisierte“ Form von Windows Defender Application Control, einem Sicherheitsfeature für größere Unternehmen. Hier können die Admins die Ausführung von Programmen unter anderem mittels einer „schwarzen Liste“ verhindern. Kleine Unternehmen, Selbständige oder Privatnutzer haben keine solche vorgeschaltete Instanz nicht, hier springt die „Smart App Control“ ein.

Die Funktionsweise ist aufgrund der „smarten“ Komponente ein wenig schwierig zu erklären, aber ich will es versuchen.

Es gibt mehrere Faktoren, die einen Einfluss darauf haben, ob Smart App Control die Ausführung eines Programms zulässt oder blockiert. Einer der wichtigsten Faktoren ist die digitale Signatur, Programme ohne eine solche sind grundsätzlich weniger vertrauenswürdig.

Microsofts Datenbank mit „potentiell unerwünschter Software“ spielt ebenfalls eine große Rolle. Programme, die Adware beinhalten, ungefragt andere Programme mit installieren oder dafür bekannt sind, den Computer auszubremsen, werden von Microsoft zu „potential unwanted Apps“ (PUA) erklärt und eventuell an der Ausführung gehindert.

Ein weiterer Baustein ist der cloudbasierte Microsoft Security Graph, der beispielsweise über die Telemetriedaten millionenfach mit Informationen versorgt wird, welche Programme gestartet werden und welche Risiken dadurch entstehen können. Die „bösen“ Telemetriedaten tragen an dieser Stelle erheblich dazu bei, potentiell schädliche Programme frühzeitig zu erkennen.

Last but not least gibt es noch die heuristische Komponente, die beim Start eines Programms anspringt und unerwünschtes Verhalten zu erkennen versucht. Hierbei spielt die Speicher-Integritätsprüfung eine große Rolle und das ist einer der Gründe, warum Microsoft für Windows 11 mindestens eine Intel CPU der achten Generation verlangt, denn auf älteren Prozessoren wäre damit ein spürbarer Performanceverlust verbunden (die Diskussion, ob die Systemanforderungen wegen einzelner Features generell hochgesetzt werden müssen oder ob man diese nicht einfach hardwarebasiert freischalten kann, schenken wir uns an dieser Stelle).

Eine KI verarbeitet alle diese Signale und trifft schließlich die Entscheidung, ob ein Programm ausgeführt werden darf. Diese Entscheidung ist endgültig, das heißt anders als bei Antivirenprogrammen kann man keine Ausnahmen definieren. Will man dieses Programm unbedingt ausführen, muss man Smart App Control deaktivieren und auch das ist eine endgültige Entscheidung, eine Reaktivierung ist nicht mehr möglich, ohne den PC neu aufzusetzen.

Nach dem letzten Abschnitt werden jetzt sicherlich einige von euch denken: „Geht’s noch? Was soll denn diese Bevormundung? Auf meinem PC herrsche immer noch ich!“

Das ist verständlich, aber genau für euch ist Smart App Control auch nicht gemacht. Das ist auch der Grund, warum Smart App Control zumindest derzeit nur im Rahmen einer Neuinstallation aktiviert werden kann.

Standardmäßig startet sie im Evaluierungsmodus und prüft, ob sie auf diesem Computer und seinem Nutzungsprofil eine Hilfe ist, oder ob sie dem Anwender, wie es im folgenden Screenshot schön umschrieben ist, zu oft „in die Quere kommt“.

Ist das der Fall, schaltet sich die Funktion ab, andernfalls wird sie aktiv und ist fortan der erwähnt strenge Aufpasser. Hand auf’s Herz, nach kurzem Überlegen fallen jedem von uns ein paar Beispiele aus dem Familien- und Freundeskreis ein, für die ein solch unerbittlicher Wächter genau richtig ist.

Smart App Control

Die Einstellungen von Smart App Control findet man in der App „Windows Sicherheit“, wenn ihr aber ein Upgrade auf das Windows 11 2022 Update vorgenommen habt, werdet ihr sie nicht sehen, weil zur Nutzung wie gesagt eine Neuinstallation nötig ist. Über die Startmenüsuche nach „Smart App“ gelangt man trotzdem dorthin, vorgenommene Einstellungen haben aber aus genannten Gründen keine Wirkung.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Warum kann die Funktion denn bei einem Update nicht nachträglich aktiviert werden, und warum kann sie nach einer Deaktivierung nicht wieder aktiviert werden? Das habe ich nicht so ganz verstanden.
 
Ich kann es dir nicht erklären, aber ich erkläre dir mal, wie ich es mir selbst erkläre :D.
Die KI nimmt das, was bereits auf dem System ist, als Grundlage dafür, was sie als "sicher" betrachtet. Wenn man also zu dem Zeitpunkt, zu dem die KI aktiviert wird, schon Murks auf dem System hat, wird weiterer Murks nicht mehr als schädlich erkannt, weil die KI "denkt": Sowas Ähnliches hat er ja schon, dann wird das auch ok sein. Daher sind auch keine Ausnahmen und keine zeitweise Deaktivierung erlaubt.
Es ist ja eine komplett neue Funktion, die wird sich weiterentwickeln und irgendwann wird das dann vielleicht auch flexibler werden.
 

Smart App Control manuell aktivieren durch regedit !​

Regedit als admin starten:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy

Den Schlüssel:
VerifiedAndReputablePolicyState
öffnen.

Wert Eingabe (0, 1, 2):
0 = Deaktiviert
1 = Aktiviert
2 = Auswertung

Kontrolle unter:
Einstellungen und bitte bei
suchen eingeben:

Smart App Control​

Da kannst sofort sehen wo Du gerade bist ... (Deaktiviert, Aktiviert oder Auswertung), nachdem du bestätigt hast (Return im Schlüssel: "VerifiedAndReputablePolicyState").

Dabei spelt es keine Rolle ob Du vorher Aktiviert Hattest / hast, oder nicht !

Viel Spaß
Beste Grüße
 
Zuletzt bearbeitet:
Danke für den Input @Benno01 , ich weiß aber wirklich nicht, ob das eine gute Idee ist und ob das wirklich dazu geeignet ist, um zu testen, ob die Funktion was taugt oder nicht.
 
Wenn diese Smart App Control die Installation von zB. Autoruns oder Dism++ verhindern will, ist das so nützlich wie ein offenes Knie. Autoruns hatte ich am letzten Wochenende erst nicht herunterladen können und danach wollte sich der PC gegen mich durchsetzen und das nicht installieren. Die komplette Suite will ich mir nicht auf jedem PC installieren. Ist ne Menge Holz.
Dism++ dasselbe Spiel. Ich weiß nicht ob es dieses Teil war oder vermutlich der SmartScreen.
Vor allem, wenn man einen PC zum „wieder flott machen“ bekommt, auf dem sowas aktiv ist, gehen die Möglichkeiten zur Diagnose gegen Null. HWInfo, Taiphoon Burner - wer weiß was dann überhaupt noch geht. Auch wenn ich als Helfer kein Problem mit diesem Zinnober hätte, kann ich das auf einem „Kunden-PC“ auch nicht deaktivieren.
Alles hat zwei Seiten und diese Seite der Medaille ist tiefschwarz.
Bin ich gerade wieder der Schwarzmaler? Nützt nix.
 
Wie steht es aktuell um die Deaktivierung des Defenders bei 11?
Wird leider immer komplizierter. Mal eben per Gruppenrichtlinie setzen geht nicht mehr. Spätestens nach zwei Neustarts ist dieser wieder aktiv. Mal eben DisableAntiSpyware REG_DWORD1 Disable Antivirus REG_DWORD1 in die registry setzen reicht auch nicht.
Teilweise ist dann der Defender zwar inaktiv, baumelt aber immernoch als MsMpEng.exe im Prozess rum und nimmt RAM weg.

Folgendes hat bei mir geholfen. Im Defender erstmal den Manupulationsschutz deaktivieren (und alles andere, was man weg haben will. Echtzeitschutz lässt sich ja nicht dauerthaft deaktivieren).

Folgende Registrys setzen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
"DisableAntiVirus"=dword:00000001

Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
WdFilter
WdNisDrv
WdNisSvc
WinDefend

Start auf 4 ändern.

Hier wird man aber schnell feststellen, dass man als Nutzer Administrator keine Schreibrechte hat. Jetzt könnte man sich mit Benutzergruppen, Schreibrechen TrustedInstaller rumärgern, ich nehme einfach NSudo, um dort cmd.exe mit erhöten Rechten zu starten und rammel einfach folgende Befehle durch.

Code:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdFilter /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisDrv /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /v Start /t REG_DWORD /d 4 /f

Neustarten und Defender ist endlich vollständig deaktiviert. Keine nervigen False Positive Meldungen mehr.

Wem das zu kompliziert ist, kann auch einfach Defender Control nehmen. Das macht im Grunde das gleiche. Ich persönlich bevorzuge es aber die Einstellungen manuell vorzunehmen, da ich gerne Änderungen an meinem System nachvollziehen möchte.
 
Um zum eigentlichen Thema zurück zu kommen :
Bei mir steht die "Smart App Control" auch auf AUS und ich werde mich hüten da was dran zu ändern.
smart.jpg

Ich denke, was Martin weiter oben erklärt hat ,trifft die Sache exakt.
Ähnlichen Hintergrund dürfte auch die Einstellung wegen der Treiber haben:
treib.jpg

Das steht auf ON und ist ausgegraut, heisst also,MS hindert Nutzer daran,dieses Feature aus zu schalten.
Wird sicher einen guten Grund haben. Es verhindert schliesslich, dass Nutzer irgendwelche unsignierte Treiber installieren wollen die ihr System dann schlussendlich abstürzen lassen könnten.
OT: Ich hoffe, dass dies diversen obscuren "Driver UpdaterTools" im Netz ,( zb. Driver Easy,Driver Booster,Driver Genius, und viele Weitere) das Genick bricht !!
 
Zuletzt bearbeitet:
Tipps von Jörg Schieb
Es empfiehlt sich, die Option Auswertung zu aktivieren. Damit wägt Windows den Schutz und die Einschränkungen durch die Eingriffe gegeneinander ab und aktiviert/deaktiviert die Funktion automatisch, abhängig von Eurem Nutzungsverhalten. Diese Einstellung ist der Standard. Sollte sie nicht aktiv sein oder sich nicht aktivieren lassen, dann klickt auf den Link unter der Option, um Ursachen angezeigt zu bekommen.
Hier wird u.A auf die Vermutung eingegangen, dass Smart App das System verlangsamen könnte.

Düsseldorf Eine kleine Unachtsamkeit hat Continental ins Chaos gestürzt. Weil ein einzelner Mitarbeiter einen nicht autorisierten Browser aus dem Internet heruntergeladen hat, sei es Cyberkriminellen möglich gewesen, 40 Terabyte an Daten des Autozulieferers zu „exfiltrieren“. Das hat der IT-Sicherheitschef des Konzerns, Dirk Ahrens, in einem internen Webcast gesagt, den das Handelsblatt einsehen konnte.
Smart App hätte/sollte es verhindern können
 
Zuletzt bearbeitet:
Ähnlichen Hintergrund dürfte auch die Einstellung wegen der Treiber haben:
Anhang anzeigen 253281
Das steht auf ON und ist ausgegraut, heisst also,MS hindert Nutzer daran,dieses Feature aus zu schalten.

Die Treiber-Blacklist gibt es bei mir gar nicht, warum auch immer. Mein System ist aktuell und die Speicher-Integrität ist eingeschaltet. Wird diese Funktion ebenfalls nur nach einer Neuinstallation bereitgestellt?

Nachtrag: Laut Registry-Eintrag, ist die Funktion angeblich mit "1" bei mir aktiviert. Der Schalter wird mir hingegen (s. Screenshot) im Defender nicht angezeigt.

Blacklist.jpg
Blacklist.jpg
 
Zuletzt bearbeitet:
Anzeige
Oben