Windows 11 Smart App Control blokkeert onbekende uitvoerbare bestanden voordat ze worden gestart

Windows 11 breidt de Microsoft's beveiligingspakket uit met Smart App Control (SAC), een component die toepassingen screent voordat ze worden uitgevoerd en onvertrouwde code blokkeert. De functie staat naast conventionele antivirusprogramma's, zoals Microsoft Defender, die het systeem blijven controleren op bekende malware. Door een proactieve gatekeeper te combineren met een volwassen reactieve scanner, probeert het besturingssysteem zowel de eerste infectiepogingen als de aanhoudende bedreigingen te verminderen.

Conventionele antivirussoftware werkt volgens het principe "onschuldig tot het tegendeel is bewezen". Het laat bestanden draaien en zoekt dan naar kwaadaardige patronen door middel van handtekeningendatabases, heuristische analyse en gedragsbewaking. Frequente definitie-updates houden het detectiepercentage hoog, maar zero-day of polymorfe samples kunnen handtekeningen ontwijken totdat verdacht gedrag opduikt. Deze aanpak blijft effectief voor het opruimen van bekende bedreigingen, maar kan een vertraging introduceren tussen uitvoering en indamming.

Smart App Control keert die logica om. Voordat een uitvoerbaar bestand wordt gestart, raadpleegt SAC de reputatieservice in de cloud van Microsoft, controleert de digitale handtekening van de ontwikkelaar en past machine-learning modellen toe die zijn getraind op grote datasets van vertrouwde en schadelijke software. Als de reputatie onbekend is en het bestand niet ondertekend is of als er wordt voorspeld dat het kwaadaardig is, dan blokkeert het besturingssysteem het volledig. In feite is elk nieuw programma "schuldig totdat zijn onschuld is bewezen", waardoor veel aanvallen al in het leveringsstadium worden gestopt in plaats van nadat het is geactiveerd.

Omdat SAC onbekende binaries stopt voordat ze geladen worden, is het niet meer nodig om constant op de achtergrond actieve processen te scannen. De interne tests van Microsoft melden daarom een bescheiden prestatievoordeel ten opzichte van traditionele scanners, die CPU-cycli verbruiken terwijl ze bestanden in realtime inspecteren. Ondertussen blijft Defender taken uitvoeren die SAC niet uitvoert, zoals macro-analyse of scriptinspectie, waardoor het gecombineerde systeem uitgebreid is zonder dubbel werk te doen.

SAC heeft een initiële evaluatieperiode; als het de dagelijkse werkzaamheden verstoort, schakelt Windows het permanent uit, tenzij het systeem opnieuw wordt geïnstalleerd. Ook als een gebruiker SAC uitschakelt, kan het niet zomaar weer ingeschakeld worden. Ontwikkelaars en power users die vertrouwen op niet-ondertekende of aangepaste builds kunnen de beperkingen daarom contraproductief vinden, terwijl beheerde bedrijfsomgevingen voordeel hebben van de strengere standaardinstelling.

Belangrijk is dat SAC ontworpen is om naast Microsoft Defender te werken en niet om deze te vervangen. Als SAC een bestand blokkeert, is de beslissing definitief; het kan niet op de witte lijst worden gezet. Defender blijft verantwoordelijk voor diepere forensische taken, het herstellen van malware en het scannen van gearchiveerde inhoud die zich al op de schijf bevindt. In dit gelaagde model vermindert SAC de blootstelling en ruimt Defender alles op wat er doorheen glipt of van voor de huidige sessie dateert.