Smart App Control: Windows 11 beveiligingsfunctie met beperkingen

De beveiligingsfunctie Smart App Control die bij de 2022-update geïntroduceerd is, moet Windows 11 eindelijk veilig maken. Het concept kan werken, maar als je van de nieuwe bescherming wilt profiteren, moet je beperkingen accepteren.

Met de introductie van Smart App Control, brengt Microsoft de grootste verandering aan in de beveiliging van Windows sinds de introductie van Windows Defender. Dit nieuwe beveiligingssysteem is ontworpen om te beschermen tegen huidige en toekomstige malware-bedreigingen en beschermt de gebruiker door beperkingen op te leggen aan de uitvoerbaarheid van programma’s die niet als veilig worden beschouwd door Microsoft.

Het concept zal vooral Apple-klanten bekend voorkomen. De mobiele besturingssystemen iOS en iPadOS hebben altijd alleen apps gedraaid die uit de App Store komen en door Apple zijn gecontroleerd en digitaal ondertekend. Dat stimuleert niet alleen de verkoop in de App Store, maar zorgt er ook voor dat iPhones en iPads tot nu toe grotendeels virusvrij zijn gebleven. Het besturingssysteem macOS is niet zo streng, dat waarschuwt wel voor niet-ondertekende apps, maar je kunt ze nog steeds starten door er met de rechtermuisknop op te klikken en ze te openen.

Bij Windows heb je de vrijheid om wat je maar wilt te installeren en uit te voeren. Helaas brengt dit natuurlijk ook gevaren met zich mee op het gebied van beveiliging. Veel gebruikers zijn niet in staat om het risico van een bestand juist in te schatten en dit maakt Windows extra kwetsbaar voor aanvallen van cybercriminelen. Dagelijks worden veel Windows-systemen geïnfecteerd met malware, wat kan leiden tot ernstige problemen voor kritieke doelen zoals energieleveranciers, ziekenhuizen en overheden. Een onbedachtzame actie is vaak al voldoende om het hele systeem te laten crashen.

Microsoft staat voor een uitdaging. Om het probleem op te lossen, zijn ingrijpende veranderingen nodig. Maar Windows is door de jaren heen gegroeid en draait wereldwijd op meer dan een miljard computers. Het is ondenkbaar om de Microsoft Store tot enige bron van software op al die computers te verklaren, ondanks dat dit de veiligheid ten goede zou komen. De S-mode van Windows, die op sommige computers standaard is, is niet erg populair vanwege de beperkingen.

Met de Windows 11 Smart App Control neemt Microsoft een flexibele aanpak. Je kunt programma’s nog steeds uit alle bronnen halen, maar alleen uitvoeren als SAC ze ongevaarlijk acht. Dit onderscheidt zich van antivirusprogramma’s die in grijpen bij vermoedelijke malware. De Windows 11 Smart App Control blokkeert alles wat niet veilig is en kan zelfs malware opsporen die niet bekend is bij je antivirussoftware. SAC versterkt de virusbescherming en werkt met elk antivirusprogramma, aangezien het niet gekoppeld is aan Windows Defender.

Gratis het laatste nieuws ontvangen over Windows? Schrijf je in voor de nieuwsbrief:

Om erachter te komen welke bestanden ongevaarlijk zijn, raadpleegt Smart App Control de Microsoft-cloud. Daar draait een AI-model dat volgens Microsoft dagelijks 43 miljard stukjes informatie te verwerken krijgt. Het is getraind om de betrouwbaarheid van bestanden te beoordelen en levert in realtime een actueel resultaat.

Bovendien controleert de Windows 11 Smart App Control de digitale handtekeningen van de bestanden. Als een bestand een geldige handtekening heeft, kan het worden uitgevoerd – zelfs als de cloud-AI er geen groen licht voor zou geven. Om te voorkomen dat ontwikkelaars van malware die maas in de wet misbruiken, moet de digitale handtekening zijn aangemaakt met een certificaat dat voldoet aan de eisen van Microsofts Authenticode-procedure.

Dergelijke certificaten gaan gepaard met een uitgebreid verificatieproces en kosten gewoonlijk enkele honderden euro’s per jaar. Dat is om ervoor te zorgen dat legitieme fabrikanten zoals Adobe en Mozilla een geschikt certificaat krijgen, maar niet de ontwikkelaars van malware.

De inspanning en de kosten zijn echter ook voor veel ontwikkelaars te hoog – zij die geen geld verdienen met hun software zullen geneigd zijn af te zien van een duur certificaat.

Ondanks cloudintelligentie en handtekeningcontroles kan het gebeuren dat SAC het uitvoeren van een legitiem bestand verhindert. Die kans is bijzonder groot bij programma’s die niet wijd verspreid zijn, zelf gecompileerde binary’s en tools die theoretisch ook voor aanvallen kunnen worden misbruikt. In dat geval word je geconfronteerd met een echt probleem, omdat er momenteel geen manier is om zo’n bestand toch te starten – er is geen voorziening om een uitzondering te definiëren.

De Windows 11 Smart App Control houdt ook rekening met actuele aanvalstrends, zoals virusinfecties via snelkoppelingsbestanden (.lnk) of ISO-containers. Het houdt een lijst bij van potentieel gevaarlijke bestandstypen en blokkeert het openen ervan als de bestanden afkomstig zijn van internet. De volgende 39 bestandstypen staan op de zwarte lijst:

• .appref-ms
• .appx
• .appxbundle
• .bat
• .chm
• .cmd
• .com
• .cpl
• .dll
• .drv
• .gadget
• .hta
•  .iso
• .js
• .jse
• . lnk
• .msc
• .msp
• .ocx
• .pif
• .ppkg
• .printerexport
• .ps1
• .rdp
• .reg
• .scf
• .scr
• .settingcontent-ms
• .sys
• .url
• .vb
• .vbe
• .vbs
• .vhd
• .vhdx
• .vxd
• .website
• .wsf
• .wsh.

De Windows 11 Smart App Control gebruikt Mark of the Web (MotW) om te bepalen of een bestand afkomstig is van internet. Dat is een tekstmarkering in de Alternate Data Streams (ADS) van een bestand die is ingesteld door het programma dat het bestand heeft gedownload – meestal een browser of mailclient.

Je kunt zelf eenvoudig controleren of de Mark of the Web voor een bestand ingesteld is:

• klik met de rechtermuisknop op het bestand
• selecteer Eigenschappen.
• Als je onderaan het tabblad Algemeen het onderdeel Beveiliging vindt met de opmerking ‘Dit bestand is afkomstig van een andere computer en wordt mogelijk geblokkeerd om deze computer beter te beveiligen’, dan is de markering ingesteld.

Als je een kijkje achter de schermen wilt nemen, kun je de betreffende ADS bekijken door het volgende commando in Opdrachtprompt of Terminal te typen: notepad.exe BESTANDSNAAM:Zone.Identifier Als de MotW is ingesteld, opent de editor met de volgende inhoud: [ZoneTransfer] ZoneId=3 De ZoneId 3 staat voor het internet. Als de editor gebruiken om een lijst te maken van alle bestanden met een MotW.

MotW bestaat al vele jaren, maar werd pas onlangs herontdekt door Microsoft. Na een update voor MS Office waarschuwt het kantoorpakket heel duidelijk tegen macro’s als aan de MotW te zien is dat het document van internet afkomstig is. Sindsdien worden Office-gebruikers op de mogelijke gevaren gewezen met een rode waarschuwing voordat de macro’s kunnen worden uitgevoerd.

Dat richt zich op het belangrijkste distributiekanaal van ransomware: cybercriminelen sturen vooral Office-documenten met macro’s rond, die de eigenlijke malware downloaden en uitvoeren vanaf internet. Als Smart App Control actief is, kunnen andere potentieel gevaarlijke bestandstypen niet meer zo makkelijk uitgevoerd worden. De MotW is echter geen betrouwbare bescherming: soms gaat hij verloren bij het uitpakken of kopiëren van de gedownloade bestanden, bijvoorbeeld als het uitpakprogramma de markering voor de uitgepakte bestanden niet instelt.

Het concept van Smart App Control klinkt overtuigend. Zo zou de Windows 11 Smart App Control ervoor kunnen zorgen dat je besturingssysteem gespaard blijft van de volgende golf virussen. Er zijn echter een paar addertjes onder het gras. We hebben er hierboven al één genoemd: als de Windows 11 Smart App Control een bestand blokkeert, is er geen mogelijkheid om het toch uit te voeren. Vermoedelijk wil Microsoft voorkomen dat de computer wordt geïnfecteerd als de beveiligingsfunctie even niet oplet. De enige uitzonderingen zijn bestanden die uitsluitend vanwege hun MotW geblokkeerd zijn. Dat kan eenvoudig worden verwijderd door bij de bestandseigenschappen onder Algemeen helemaal onderaan het vinkje Toestaan te zetten.

Of het beschermingsconcept voor jou werkt, hangt af van je individuele gebruiksgedrag. Als je voornamelijk met Windows surft en werkt en populaire software gebruikt zoals Google Chrome, Microsoft Office en Photoshop, dan merk je waarschijnlijk niets van de beperkingen omdat de beveiligingsfunctie die allemaal doorlaat. Ben je daarentegen een Windows-poweruser en probeer je graag gloednieuwe of exotische tools uit, dan ben je misschien niet blij met Smart App Control omdat het je steeds in de weg zit. Hetzelfde geldt voor ontwikkelaars.

In principe is SAC alleen beschikbaar na een nieuwe installatie van Windows 11 versie 22H2. Als je vanuit een bestaande Windows-installatie een upgrade uitvoert, moet het besturingssysteem eerst resetten met de ingebouwde resetfunctie. Dit lijkt overigens veel op een herinstallatie.

De Windows 11 Smart App Control wordt aanvankelijk niet ingeschakeld. Deze functie draait namelijk geruisloos in een evaluatiemodus. In die modus observeert het je gebruiksgedrag en probeert het uit te vinden of de beveiligingsfunctie voor je geschikt is. In dat geval gaat hij na enige tijd automatisch aan. Dat brengt toch twee voordelen met zich mee:

• Microsoft voorkomt dat powerusers niet gestoord worden door de Windows 11 Smart App Control
• De Windows 11 Smart App Control bereikt de gebruikers die helemaal niets geven om de beveiliging van hun systeem en de extra bescherming dus het hardst nodig hebben

Als je niet wilt wachten tot Windows de Smart App Control inschakelt, kun je ook zelf actie ondernemen. Dit doe je als volgt:

• Zoek naar Smart App Control in het startmenu
• Klik vervolgens op On om de bescherming te activeren

Denk  hier echter wel goed over na. Je kunt namelijk vervolgens niet meer terugkeren naar de evaluatiemodus. Ook kun je de Windows 11 Smart App Control op elk op elk moment uitschakelen door op Off te klikken. Hierbij geldt wel dat die keuze dan definitief is. Daarna kun je de Windows 11 Smart App Control pas weer activeren nadat je Windows opnieuw ingesteld hebt.

Wij testten Smart App Control in de praktijk om te ontdekken hoe beperkingen het dagelijks leven beïnvloeden. Onze test begon met een Insider-previewversie van Windows 11 22H2, voordat Smart App Control breed beschikbaar was. Toen kwamen we vaak onschadelijke bestanden tegen die niet uitgevoerd mochten worden. Na de verspreiding van de nieuwe Windows-versie verbetert de situatie, waarschijnlijk door grotere gebruikersaantallen en meer softwareontwikkelaars die digitale handtekeningen gebruiken.

Tijdens onze test liepen we tegen een aantal problemen aan. Een voorbeeld hiervan is het bestand gwt.exe. Volgens de Windows 11 Smart App Control kon dit bestand persoonlijke gegevens stelen ons apparaat gebruiken om andere apparaten aan te vallen. Het bestand konden we alleen uitvoeren mits het was ondertekend met een certificaat. Het nadeel hiervan  is dat niet elk bestand zo’n certificaat heeft. Dit kun je omzeilen door te werken in een virtuele machine of in bijvoorbeeld Sandboxie Plus.

Smart App Control is verwant aan Windows Defender Application Guard, maar biedt automatische bescherming door beleid. Echter, SRP’s (Software Restriction Policies) die eerst in Home Edition beschikbaar waren, zijn niet meer van toepassing. Hierdoor werkt ons beschermingsprogramma Restric’tor niet meer met Windows 11.

De Windows 11 Smart App Control is een poging van Microsoft om de Windows-beveiliging te moderniseren zonder powerusers te verstoren. Als je het gebruikt, verkleint de kans op virussen. Maar je moet akkoord gaan met niet-toegestane bestanden niet te kunnen openen.

Je moet beslissen of de nieuwe beveiliging werkt voor jou. In principe is er niets tegen het aanzetten en zien wat het doet. Maar pas op, het is maar één keer uit te schakelen.

Zelfs als Smart App Control voor jou persoonlijk geen optie is, moet je het in gedachten houden. Als je een familiebeheerder bent, kan het nuttig zijn. Schakel het in bij installatie van volgende computer voor anderen. Het bespaart misschien noodgevallen door trojans.

Gratis het laatste nieuws ontvangen over Windows? Schrijf je in voor de nieuwsbrief: