Smart App Control (SAC) wurde mit Windows 11 Version 22H2 (Version 22572 oder höher) von Microsoft als neue Funktion eingeführt, die das Risiko der Ausführung von Schadprogrammen verringern soll. Dabei handelt es sich um eine automatische und optionale Funktion, deren Zweck darin besteht, auf dem System ausgeführte Anwendungen zu blockieren, wenn ihnen die (Sicherheits-)analyse des cloudbasierten Backends von Microsoft nicht vertraut.

Microsoft bewertet das Vertrauen einer Anwendung dabei basierend auf zwei Kriterien:

1. Überprüfung des digitalen Zertifikats der Anwendung
2. Nutzung der bereits vorliegenden Informationen zu der Anwendung

Eine Anwendung, die keine digitale Signatur enthält, oder die von dem Cloud-Dienst als nicht vertrauenswürdig bewertet wird, wird blockiert. Die Funktion ist durch den Nutzenden nicht konfigurierbar,
d.h. es ist nicht möglich, Ausnahmen seitens des Benutzers oder des Administrators hinzuzufügen. Es besteht nur die Möglichkeit, Microsoft Feedback zu geben und möglicherweise die blockierte Anwendung offenzulegen oder diese Anwendung mit einem von Microsoft akzeptierten Zertifikat zu signieren (bzw. signieren zu lassen).

Benutzerinnen und Benutzer können nur entscheiden, ob SAC deaktiviert ist oder nicht, da der Deaktivierungsvorgang endgültig ist und es daher keinen Weg zurück in den aktivierten Zustand gibt. Dabei ist zu beachten, dass SAC nicht mehr aktiviert werden kann, wenn es bereits deaktiviert ist. Ebenfalls ist die neue Sicherheitsfunktion deaktiviert, wenn auf dem Computer Windows im S-Modus ausgeführt wird. Falls das Senden optionaler Diagnosedaten (sog. Telemetriedaten) während des Installationsvorgangs oder während der Evaluierungsphase von Windows 11 deaktiviert wurde, wird auch SAC automatisch deaktiviert. Durch die untrennbare Verknüpfung der Funktion mit den Telemetriedaten ist bereits vorher abzuwägen, ob das Teilen der Informationen mit dem Hersteller stattfinden soll. Diese Entscheidung kann sich beispielsweise abhängig von der Einsatzumgebung und den dort verarbeiteten Daten oder dem Einsatz im privaten bzw. beruflichen Umfeld, stark unterscheiden.

Die Firma ERNW GmbH (Enno Rey Netzwerke GmbH) hat im Auftrag des BSI eine Studie erstellt, die aufgrund der durchgeführten Analysen ermöglicht besser zu verstehen, wie die Funktion funktioniert, und die Ergebnisse mit Fachexpertinnen und -experten zu teilen. Auch wenn es aus praktischen Gründen nicht möglich ist, eine cloudbasierte Analyse der von Microsoft verwendeten Lernmodelle durchzuführen, blieb bei der vorliegenden Analyse nur die Möglichkeit, diese neue Funktion „im Black-Box-Kontext“ zu bewerten. Hierbei wurden sowohl öffentliche Informationen ausgewertet, wie auch eigene Fragestellungen funktional untersucht. Hierzu zählen beispielsweise:

• Welche Art von ausführbaren Dateien befinden sich in den von SAC betroffenen Anwendungen?
• Wo ist der erste Einstiegspunkt der SAC-Funktion?
• Was bedeuten die verschiedenen SAC-Modi und wie ist der Übergang von einem zum anderen möglich?

Das Ergebnis der Analyse ist in einem englischsprachigen Bericht "Smart App Control" verfügbar.