Met Windows 11 in versie 22H2 heeft Microsoft, naast andere vernieuwingen, een nieuwe beschermingsfunctie geïmplementeerd, genaamd Smart App Control, die samenwerkt met Windows Defender of een andere virusscanner en onvertrouwde bestanden kan blokkeren. In het volgende artikel leert u wat Smart App Control precies doet, hoe u de functie activeert en wanneer u deze beter niet kunt gebruiken.

1. de kern van vrijheid in Windows

Windows wordt door gebruikers over de hele wereld ook gewaardeerd omdat iedere gebruiker zelf kan bepalen welke programma’s hij op het systeem draait. In tegenstelling tot iOS, waar alleen gecontroleerde apps uit de winkel van Apple kunnen worden gedraaid, is Microsoft er nog niet in geslaagd zijn winkel als enige bron voor betrouwbare programma’s aan te wijzen.

Dit betekent dat de vrijheid van gebruikers om zelf te bepalen welke programma’s ze gebruiken en waar ze vandaan komen ook het grootste probleem van Windows wordt: cyberaanvallen op kritieke infrastructuur zoals overheidsinstanties, ziekenhuizen of energiebedrijven, maar ook in de particuliere sector, worden vaak toegeschreven aan de uitvoering van kwaadaardige software of bijlagen. Actieve antivirusbescherming kan veel bekende bedreigingen onderscheppen, maar niet alle.

2 Smart App Control voert alleen vertrouwde bestanden uit

Een virusscanner grijpt alleen in als het opgevraagde bestand via handtekeningen of heuristiek als “kwaadaardig” wordt geclassificeerd. Smart App Control (SAC), dat met Windows 11 versie 22H2 werd geïntroduceerd, volgt daarentegen de aanpak om alleen programma’s en bestanden uit te voeren die vanuit Microsofts oogpunt betrouwbaar zijn. Microsoft bereikt deze classificatie via verschillende criteria:

• Een AI-cloud beoordeelt hoe betrouwbaar het uit te voeren bestand is. Daartoe heeft de AI toegang tot miljarden geanonimiseerde stukjes informatie.
• Als er geen informatie over het bestand beschikbaar is, controleert de Smart App Control of het bestand een digitale handtekening heeft die is aangemaakt met een certificaat van hogere kwaliteit. Deze certificaten kosten enkele honderden euro’s per jaar en worden daarom doorgaans alleen door commerciële aanbieders gebruikt. Microsoft heeft zijn vereisten voor het “Trusted Root Program” in meer detail beschreven in de link.
• Bestanden met extensies als sys, url, vb*, vhd*, wsf, wsh, reg, rdp, ps1, sfc, scr, bat, chm, cmd, cpl, com, dll, drv, hta, iso, js, jse, msc, msp, ocx, lnk, ppkg worden over het algemeen als onbetrouwbaar aangemerkt als ze van internet afkomstig zijn, maar dit kan met een trucje worden omzeild.

3 Hoe Smart App Control in- of uitschakelen

Smart App Control is geïntegreerd in de beveiliging van Windows.

Na een nieuwe installatie werkt SAC aanvankelijk alleen in de evaluatiemodus en analyseert over een langere periode welke programma’s je vanuit welke bronnen uitvoert.

.

Smart App Control kan niet worden geactiveerd: Bij een upgrade daarentegen wordt de SAC-functie permanent gedeactiveerd en isalleen beschikbaar na een nieuwe installatie door “deze pc te resetten”. Bovendien moeten de optionele diagnostische gegevens worden geactiveerd, wat al tijdens de installatie wordt gevraagd, anders kan het ook later worden geactiveerd in de instellingen onder Privacy in Windows.

Als het algoritme na een bepaalde tijd tot de conclusie komt dat u alleen betrouwbare programma’s uit veilige bronnen gebruikt, activeert SAC zichzelf, anders wordt de dienst voor u gedeactiveerd. U kunt Smart App Control echter ook direct met de hand op actief zetten.

Vanaf dat moment blokkeert Windows alle programma’s die niet als ongevaarlijk zijn geclassificeerd of geen handtekening hebben met een certificaat van hogere kwaliteit.

Omdat de SAC-cloud niet alle programma’s in de wereld kan kennen, bestaat het risico dat er voor een programma geen informatie is. Als de fabrikant ook geen certificaat gebruikt zoals gedefinieerd door Microsoft, wordt het bestand geblokkeerd wanneer SAC wordt geactiveerd. Dit treft vooral systeemgerelateerde tools en hulpprogramma’s, zoals die van de Nirsoft-website.

.

Omdat de ontwikkelaars helemaal geen digitale handtekening gebruiken of alleen een met een “goedkoop” certificaat, weigert Microsoft per geval de toegang tot dergelijke tools.

3.1 Hoe kan ik uitzonderingen instellen voor Smart App Control?

Het beveiligingsconcept van SAC voorziet niet in de mogelijkheid om voor afzonderlijke apps en programma’s een uitzondering te definiëren. U kunt het betreffende bestand dus alleen uitvoeren in een virtuele machine of de Windows sandbox, maar niet in het echte systeem zelf.

3.2 Hoe kan ik toch geblokkeerde bestandstypen van het internet gebruiken?

SAC blokkeert de in het begin genoemde bestandstypen alleen als ze van internet zijn gedownload. U kunt de status van een bestand bekijken in de eigenschappen en ook handmatig toegang verlenen voor individuele downloads.

.

Dit betekent dat het bestand niet langer als onveilig wordt beschouwd en niet langer wordt geblokkeerd door de Smart App Control. Alleen de geïnstalleerde virusscanner zou u de toegang nog kunnen weigeren.

3.3 Hoe kan ik Smart App Control uitschakelen?

Als u via SAC te veel beperkingen moet accepteren, kan de functie ook via Windows Beveiliging worden uitgeschakeld. Deze uitschakeling is echter permanent. Pas na een nieuwe installatie kunt u de dienst weer gebruiken.

4 Onze conclusie

De nieuwe Smart App Control beschermingsfunctie zou op middellange termijn echt minder bedreigingen op Windows kunnen betekenen. Voor een groot deel van de gebruikers zet Windows zichzelf na de evaluatie in de actieve modus. Power users en gebruikers van zeer fancy programma’s worden via de evaluatie al als “ongeschikt” aangemerkt en dus wordt SAC niet eens geactiveerd. Het blokkeren van gevaarlijke bestandsbijlagen van het internet is net zo consequent en zorgt voor nog meer veiligheid. Of Microsoft zal ingaan op het verzoek om ook voor programma’s uitzonderingen toe te staan is nu nog niet te beantwoorden, maar volgens ons torpedeert het de bescherming vooral voor minder ervaren gebruikers.