Microsoft laat Smart App Control aan- en uitzetten zonder herinstallatie Windows

Windows 11 krijgt de mogelijkheid om Smart App Control in en uit te schakelen zonder dat daarvoor een herinstallatie van het besturingssysteem nodig is. Microsoft maakt dit mogelijk met de securityupdate van april, die het volgende week uitbrengt.

Smart App Control is een functie in Windows om alleen vertrouwde apps te laten draaien. Deze bescherming tegen malafide apps is volgens Microsoft bedoeld voor de hele levensduur van een apparaat en valt dus alleen in of uit te schakelen bij installatie van Windows. Daar komt later deze maand verandering in voor de 24H2- en 25H2-releases van Windows 11.

Voorspelling van veiligheid

De werking van Smart App Control berust op Microsofts 'intelligente cloudbeveiligingsservice' en of die een betrouwbare voorspelling kan doen over de veiligheid van een app, aldus de uitleg van de Windows-producent. "Als de service denkt dat de app veilig is, laat Smart App Control deze uitvoeren. Als wordt aangenomen dat de app schadelijk of mogelijk ongewenst is, wordt deze door Smart App Control geblokkeerd." Als de beveiligingsfunctie geen goede voorspelling over een app kan doen, controleert zij of de app een geldige digitale handtekening heeft. Wanneer dat het geval is, kan de app alsnog draaien.

De mogelijkheid om Smart App Control aan of uit te zetten, is straks te vinden in het instellingenscherm voor Windows' beveiliging, bij het tabblad voor app- en browserbeheer, meldt Ghacks. Deze verandering zat al in een testrelease van de komende update voor Windows 11.

Smart App Control, Windows 11. Bron: Microsoft
Smart App Control, Windows 11. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 06-04-2026 09:54
44 • submitter: TheVivaldi

06-04-2026 • 09:54

44

Submitter: TheVivaldi

Lees meer

3 apr 2026

Windows-updates onder druk door tempo, complexiteit en minder kwaliteitscontrole

123

25 mrt 2026

Microsoft draait bij: krijgt de Windows-gebruiker eindelijk weer voorrang?

226
Windows 11-update laat gebruikers 365-abonnement beheren in Instellingen
Windows 11-update laat gebruikers 365-abonnement beheren in Instellingen Nieuws van 16 april 2026
Windows-gebruikers mogen updates overslaan bij ingebruikname van nieuwe pc
Windows-gebruikers mogen updates overslaan bij ingebruikname van nieuwe pc Nieuws van 14 april 2026
Windows-beveiligingsapp toont of pc nieuw Secure Boot-certificaat heeft
Windows-beveiligingsapp toont of pc nieuw Secure Boot-certificaat heeft Nieuws van 3 april 2026
Microsoft toont video verplaatsbare taakbalk Windows 11
Microsoft toont video verplaatsbare taakbalk Windows 11 Nieuws van 2 april 2026
Windows 11 gaat oude, niet-ondertekende drivers standaard blokkeren
Windows 11 gaat oude, niet-ondertekende drivers standaard blokkeren Nieuws van 27 maart 2026
'Topmensen binnen Microsoft willen versoepeling verplicht account voor Windows'
'Topmensen binnen Microsoft willen versoepeling verplicht account voor Windows' Nieuws van 22 maart 2026
Meer producten en artikelen
Besturingssystemen Netwerk en systeembeheer Politiek en recht Apps Cybersecurity Malware Security Update Windows 11 Windows update

Reacties (44)

-Moderatie-faq
44
43
20
2
0
15
Wijzig sortering

Sorteer op:

Weergave:
Mic2000 6 april 2026 11:08
Zelf als .NET ontwikkelaar hier ook mee gestruggled, wat mij nu duidelijk is geworden met Smart App Control voor de applicaties die ik ontwikkel:
  1. Niet alleen de executable maar elke dll in je applicatie moet je signen (indien nog niet gesigned), anders krijg je alsnog een blokkering. Ook als je de applicatie published als single file, moet je alle dlls die in de single file komen al van te voren signen. Dit kan je in je csproj file zo instellen dat voor het publishen al je files worden gesigned.
  2. Een snelkoppeling naar een fully signed applicatie met een extra parameter zoals /open "filename", wordt ook niet geaccepteerd.
  3. Een snelkoppeling naar een batch file die dezelfde executable opent met dezelfde parameters, wel toegestaan!
  4. Een fully signed applicatie openen vanaf een netwerk schijf? Vergeet het maar.
Smart App Control kan je op dit moment via de GUI maar eenmalig uitzetten totdat je Windows herinstalleert. Echter via het register is dit ten alle tijden gewoon aan / uit te zetten.
edit:
Typo

[Reactie gewijzigd door Mic2000 op 6 april 2026 11:09]

Reageer
fastedje @Mic20006 april 2026 11:38
Op linux RHEL is sit toch echt veel beter gerelged:

Software installeer je normaal via een standaard repo. Die key van de repo moet je dan vertrouwen en accepreren. Hierna controleert de package manager standaard of de gesignde packages niet zijn aaangepast achteraf. Na instqqltie kan je ook controleen welke bestanden zijn aangepast.

Maar om libraries runtime te checken en dan wel of niet te laden is nogal een andere insteek.
Reageer
GertMenkel
@fastedje6 april 2026 15:57
Op Linux is ondertekening van binaries er eigenlijk bijna niet. Je moet wel heel diep "enterprise" gaan om die handtekeningen in je binaries terug te vinden.

Je kunt (net als bij een .msi) vanuit een RPM wel zien welke bestanden er in het pakket zaten, maar een pre/post-install script kan veel meer bestanden op je systeem plaatsen, verwijderen, en aanpassen. Als je echt per pakket wilt gaan onderzoeken wat de wijzigingen zijn, zul je een immutable distro moeten pakken en iedere layer gaan bekijken, en zelfs dan zijn je home directory en andere datamappen doorgaans vrij spel.

De handtekeningen die je hier noemt, zijn vooral vergelijkbaar met de handtekening van een setup.exe of een setup.msi, dat heeft Windows natuurlijk ook al eeuwen. Qua repositories kun je met winget nog het een en ander doen natuurlijk.

Je kunt op Windows, net zoals op Linux, je eigen certificaten importeren als vertrouwde ondertekenaars voor software. Gaat doorgaans met een commando of een wizard in plaats van zelf keys en configuratiebestanden in de juiste mappen te plaatsen, maar het proces is bijna hetzelfde. Bedrijven met beheerde netwerken doen dit vaak standaard om hun eigen software en updates uit te rollen. Alleen op gebied van drivers is Microsoft wat strikter, maar die schrijf je doorgaans niet in dotnet :)

Als softwareontwikkelaar die binaries uitlevert, ga je weinig mensen overtuigen om je certificaat te importeren. De wereld van Windows-software is eentje die nu eenmaal een stuk laagdrempeliger en makkelijker moet zijn dan die van Linux. Voor veel mensen is het executable markeren van een AppImage al complex genoeg dat hun Linux-experiment eindigt.
Reageer
!_Roy_! @Mic20006 april 2026 12:32
Wat jij beschrijft heb ik precies zo ervaren met applicaties van derden waarvan DLL's niet digitaal ondertekend waren.
Reageer
GertMenkel
@Mic20006 april 2026 16:01
Een programma dat ondertekend is maar on-ondertekende DLL's inlaadt, is eigenlijk natuurlijk ook al verkeerd. Criminelen gebruiken dat soort programma's al langer om kwaadaardige code te injecteren dus ik snap wel dat Microsoft hier nu eindelijk een stokje voor steekt. Overigens kan ondertekenen ook buiten je build om, het is wel zo makkelijk om dat vanuit je build pipeline te doen maar als je bijvoorbeeld oude versies wilt ondertekenen waarvan je de exacte broncode niet meer hebt, is dat ook een optie.

Die snelkoppeling is wel een aparte restrictie, al gok ik dat dat vooral bedoeld is om de aanvalsvector "ondertekend programma met bekende kwetsbaarheid en exploitbestand" tegen te gaan. Maar goed, denk ik dan, blokkeer dan ook batch files en sta dan alleen ondertekende PowerShellscripts toe.
Reageer
cyble 6 april 2026 09:58
Een knopje om uitzonderingen toe te voegen op dat scherm zou ook een stuk handiger zijn.
Reageer
R_Zwart @cyble6 april 2026 10:34
Is dat nu helemaal niet.mogelijk in Windows? Bij MacOS komen "onveilige" apps bij de security settings te staan en kan je daarvandaan toch toelaten.
Reageer
Eagle Creek @R_Zwart6 april 2026 10:51
Dat is iets anders - wat je daar noemt is vergelijkbaar met Windows ' "Mark of the Web" (MotW) en kun je inderdaad met een klik (vink in eigenschappen) uitschakelen.

Waar het hier om gaat is is App control en vertrouwde apps. Daarbij wordt een applicatie getoetst en ontstaat een lijst van veilige applicaties.

Het is een doorontwikkeling van functionaliteiten uit medio Windows 7 (uit m'n hoofd) zoals AppLocker (effectief white listing van applicaties).

[Reactie gewijzigd door Eagle Creek op 6 april 2026 10:53]

Reageer
Blokker_1999
@Eagle Creek6 april 2026 12:28
AppLocker is toch echt een totaal andere technologie. Dat is letterlijk gewoon een whitelist, lokaal op je systeem, van wat wel en niet vertrouwd is. Redelijk rudimentair, en in de basis ga je dat alleen maar vinden in bedrijfsomgevingen omdat het niet eenvoudig is om dat goed te beheren.

Smart App Control bouwt daarentegen verder op andere technologieen van Microsoft waarbij het vooral het verzamelen van veel informatie is die ervoor zorgt dat zij een bepaling kunnen doen of iets wel of niet vertrouwd moet kunnen worden.
Reageer
MZONDERL @Blokker_19997 april 2026 08:19
Ja en nee, App Control for Business (eerder WDAC en CodeIntegrity) zijn wel een soort van Applocker 2.0. Smart App Control is eigenlijk de "consumenten versie" hiervan, voor business/enterprise heb je meer opties zoals Applocker (ondanks je dit ook kan toepassen op de Home editie):

Application Control for Windows | Microsoft Learn
Reageer
cnieuweboer @cyble6 april 2026 18:20
Wat is precies het verschil tussen die mogelijkheid, en het helemaal uitschakelen. Als je in standaard Windows 11 een programma start wat unsigned is, krijg je een waarschuwing en moet je in twee stappen toestemming geven.
Reageer
MZONDERL @cnieuweboer7 april 2026 08:21
Zie Microsoft Docs, Smart App Control is gebaseerd op App Control for Business (WDAC/CodeIntegrity):
Application Control for Windows | Microsoft Learn
Reageer
!_Roy_! 6 april 2026 10:26
Afgelopen maand al meerdere pc's gehad met Windows 11 waarbij Windows het nodig vond om Smart App Control maar in te schakelen, dit waren geen pc's die recentelijk een schone installatie gehad hebben,

Wat resulteerde in meest wazige foutmeldingen bij het opstarten van applicaties omdat DLL's en EXE's geblokkeerd werden.

Hou mijn hart vast als Windows na deze update zelf te pas en onpas deze functie gaat inschakelen.
Reageer
IStealYourGun @!_Roy_!6 april 2026 10:58
Ik vermoed dat het dan gaat om in house ontwikkelde apps? Want we draaien dit al meer dan een jaar zonder issues, enkel onze in house app gaf bij een een update een fout omdat de compile time redelijk recent was, maar dat was op te lossen met een exception.
Reageer
!_Roy_! @IStealYourGun6 april 2026 12:29
In één geval betrof het een applicatie van derden die al gedateerd was, geen digitale ondertekening van DLL's.
Rest waren toch applicaties die goed onderhouden worden door derden.
Reageer
Loller1
@!_Roy_!6 april 2026 13:01
Wat je hier zegt is natuurlijk allemaal jereinste onzin...

Smart App Control kan niet ingeschakelt worden als het niet aan stond bij het installeren van Windows. Windows 11 gaat dus ook niet zomaar die functie inschakelen. Dat het überhaubt aangezet kan worden zal pas gaan vanaf de komende update in april. In de meest courante productie versie van Windows 11 is de nodige infrastructuur daar gewoon nog niet voor aanwezig.

Het idee dat functies zoals deze automatisch zouden inschakelen is onzin. Het idee dat functies die publikelijke nog niet eens beschikbaar zijn dat zouden doen is gewoon ronduit lachwekkend. Om dit überhaubt mogelijk te maken moet je al een Windows Insider zijn en dan zijn fouten zoals dat toch echt volledig je eigen verantwoordelijkheid (om maar even in het midden te laten dat er ook in het WIP geen rapporteringen zijn dat dit automatisch zou gebeuren).
Reageer
!_Roy_! @Loller16 april 2026 13:39
Omdat jij van mening bent dat het onmogelijk is, is het je reinste onzin?
Toch bijzonder dat ik bij meerdere klanten random pc's heb gehad waar Smart App Control toch echt al aanstond.

Het betreffen dan geen pc's waarvan de eindgebruiker zich heeft aangemeld voor Windows Insider Release. (laat staan dat men weet hoe dit moet).

Mooi voorbeeld is dit screenshot (afbeeldingen in een post zetten is niet mogelijk?), dit was begin maart dit jaar. In deze situatie waren alle pc's identiek, en alleen deze pc had Smart App Control ingeschakeld
Reageer
sircampalot @Loller16 april 2026 22:13
Wat je hier zegt is natuurlijk allemaal jereinste onzin...
Wat je hier zegt is dat Roy een dombo is en jij de wijsheid in pacht hebt. Dat bedoel je vast niet, daarom zou je dat handiger kunnen zeggen.
Dat kan je leren, op een communicatie training bijvoorbeeld.

Klein tipje: begin niet met iemand onzin praat, maar zeg dat je het niet eens bent om dat vervolgens te onderbouwen.

[Reactie gewijzigd door sircampalot op 6 april 2026 22:31]

Reageer
Blackie85 6 april 2026 11:48
Huh? Op het werk een week of twee geleden een programma gehad wat niet wou installeren door smart app control. De helpdesk kon dit gewoon uitzetten, zonder herinstallatie van Windows. Ik snap dit artikel dan ook niet...
Reageer
henk717 @Blackie856 april 2026 12:26
Uitzetten was geen probleem, aanzetten wel. Dus als je het uit zou willen zetten voor een programma die je tijdelijk wil gebruiken kon het niet meer aan om een onduidelijke reden. Dat is dus nu aangepast.
Reageer
Jemboy @henk7176 april 2026 21:37
Ongeveer anderhalve maand geleden moest ik Smart App Control uitzetten, omdat het een intern gecompileerde app blokkeerde. Later heb ik de app geëxcludeerd en bij Microsoft aangemeld als false positive.

Toen wilde ik Smart App Control weer aanzetten, maar dat bleek niet zomaar te kunnen. Na wat zoeken vond ik de oplossing: door de registry key VerifiedAndReputablePolicyState op 1 te zetten in
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy
werd Smart App Control weer ingeschakeld.

[Reactie gewijzigd door Jemboy op 6 april 2026 21:37]

Reageer
thalx 6 april 2026 16:16
Smart App Control blijft een gedrocht.... Ik kan niet eens meer een batchbestand starten!
Reageer
rubzman @thalx6 april 2026 17:02
Neem aan dat knopje properties.unblock wel gevonden hebt? Check
Reageer
Monday 6 april 2026 11:27
Ik ben eigenlijk wel benieuwd of dit straks ook in Windows 12 komt, je hoort hier vrijwel niets over terwijl er eerder altijd wel dingen werden gelekt over de nieuwe Windows.
Reageer
henk717 6 april 2026 12:21
Dit is mooi maar ik vind het uberhaupt een slecht idee. We hebben met KoboldCpp al gebruikers gehad die het niet konden starten omdat dit aan stond. De oplossing zou zijn dat we voor een gratis project waar we geen donaties voor vragen een duur certificaat kopen elk jaar op persoonlijke titel of een organisatie moeten starten en hetzelfde doen.

Gaat ons veel te ver dus dat doen we niet. Iedereen mag de software gratis hebben of zelf compileren vanaf de broncode, maar dan moeten ze dit wel uitzetten. Bij android is iedereen boos dat je je bij google moet registreren voor je apps geinstalleerd mogen worden en dit is min of meer hetzelfde maar dan met verschillende providers die je kunt kiezen voor het certificaat.

Dus zet dit gewoon lekker uit. Een virus maker koopt of jat gewoon een certificaat en dan ben je niet veel veiliger dan je was met je antivirus.
Reageer
Henk Poley @henk7177 april 2026 10:13
Een klein detail is dat Microsoft dan alsnog dat ene (gestolen of gekochte) certificaat kan intrekken.

Nu snap ik ook niet waarom het ondertekenen super duur moet zijn. Er is overigens iets als 'Microsoft Artifact Signing', wat dan wel weer €8.68 per maand is. Microsoft doet ook nog wel eens wat Azure credits cadeau aan non-profits (moet je eerst ook weer registreren + terugkerende kosten 💸).

Onder macOS, als ik toevallig de allereerste ben die een nog niet ondertekende applicatie open, dan ondertekent mijn computer die ('notarization'), en dient dat in bij Apple. Daardoor krijg je ook zo'n "1 in te trekken certificaat" situatie. Dit is allemaal gratis, zit in de prijs van de Mac inbegrepen.
Reageer
ccnl 6 april 2026 16:17
Ze schrijven dat dit mogelijk is vanaf april update, maar ik kan nu al. Wat is verkeerd bij mijn Windows 11? Windows 11 Pro 25H2 Build 26200.8037
Reageer
rtv @ccnl6 april 2026 19:11
Je kan het UIT zetten, maar daarna niet meer zonder herinstall AAN. Er komt dus een update om AAN/UIT te zetten zonder herinstall.

[Reactie gewijzigd door rtv op 6 april 2026 19:13]

Reageer
ccnl @rtv6 april 2026 19:16
Nee, het staat uit van begin aan, ik wist van deze instelling niet tot vandaag. Nu kan ik aan zetten en ook meteen weer uit zetten. Alleen 'evaluatie' is grijs.

[Reactie gewijzigd door ccnl op 6 april 2026 19:17]

Reageer
rtv @ccnl6 april 2026 19:24
Bij mijn nieuwe laptop stond het aan (niet bewust gedaan/gezien) Net uitgezet, maar gaat dus niet meer aan...
Reageer
Henk Poley @ccnl7 april 2026 10:36
Ik draai hier Windows-beveiliging toepassingsversie 1000.29510.0.1001, Windows 11 25H2 26200.8117, en uit is uit. Het kan niet aan.

Misschien even een ViVeTool /query exportje ergens plaatsen, dan kunnen we vergelijken welke FeatureManager flag bij jou aan staat, en bij ons niet.
Reageer
ccnl @Henk Poley7 april 2026 17:38
Zoek je een specifieke waarde? Ik kreeg een bestand met 10217 regels, het lijkt niet verstandig om deze lange bestand te posten.
Reageer
Henk Poley @ccnl8 april 2026 08:55
🤭 Ik zoek naar een waarde die bij jouw op Enabled staat, en bij mij op Disabled. Dat zijn er waarschijnlijk maar een paar. Maar zeker niet proberen dat hele bestand hier op de Tweakers pagina te posten, nee.
Reageer
spokje @teek26 april 2026 10:58
Waarom wordt dit zo hard gedownvote. Zo is het toch inmiddels met Windows? Je bent al lang geen power user meer maar gewoon een domme consument die moet dealen met de grillen van MS.
Reageer
Blokker_1999
@spokje6 april 2026 12:13
Ik zou net zeggen dat de reden dat er net vele mensen zijn die maar overal op klikken en denken dat niemand hen kwaad wil doen de reden is dat we dit soort functionaliteit nodig hebben. Er gaat tegenwoordig geen week voorbij en soms zelfs geen dag voorbij voordat er opnieuw een verhaal in het nieuws komt van mensen die al hun spaargeld verloren zijn aan oplichters of hackers. Maar oh nee, bedrijven die je bescherming willen aanbieden, dat gaat blijkbaar weer te ver.

De power user kan nog altijd Windows gebruiken zoals deze dat altijd gedaan heeft. Zowat alles kan uitgeschakeld worden, als je maar weet hoe. En dat is net aan de power user, om te weten hoe en de gevolgen in te schatten.

Maar sommigen willen blijkbaar dat een eenvoudige gebruiker, die niets van technische achtergrond heeft, die niet weet wat men doet ook in staat moet zijn om alle vormen van bescherming uit te schakelen, gewoon omdat iemand anders zegt dat het slecht is. En jij ziet daar het probleem niet mee?
Reageer
Firestorm666 @Blokker_19996 april 2026 14:00
voordat er opnieuw een verhaal in het nieuws komt van mensen die al hun spaargeld verloren zijn aan oplichters of hackers
En dat komt dus al lang niet meer door malafide programma's
  1. Trap in een bericht in welke vorm dan ook (phising / social enginering)
    • Je moet je bankkastje vernieuwen want..
    • Hey "echte naam van dochter", ik zit echt in de nood kan je mij "x-bedrag" overmaken?
    • Ik ben van dienst "xyz" we hebben onregelmatigheden ontdekt..."
  2. Phisher
    • Laat zijn/haar slachtoffer een volkomen legitiem programma installeren à la teamviewer o.i.d.
  3. Het slachtoffer
    • Doet alle acties zoals de instructie zegt: pincode invullen, mfa code ingeven, ....
  4. Phisher: kassa kassa
Allemaal volkomen legitiem voor een besturingssysteem of eender welk beveiligingsmaatregel.

Dit kan je het beste vergelijken met een ondoordringbare bunker bouwen, als de sleutelbewaarder een simpele ziel is/financiele problemen heeft/whatever issue heeft. Dan zal die de deur voor je openen. Tot zover "ondoordringbaar"
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@spokje6 april 2026 11:28
Het gaat hier om functionaliteit die je zelf moet inschakelen en dat kan ook alleen op een schone installatie van Windows 11. Dat inschakelen is een bewuste actie. De functie gaat niet ineens vanzelf aan. Je hebt dus zelf alle controle als (power) user .
Reageer
henk717 @Bor6 april 2026 12:23
Naar mijn weten klopt dat niet. De default is als het goed is een leer modus welke bepaald of het aan of uit moet staan voor die gebruiker.
Reageer
!_Roy_! @Bor6 april 2026 12:36
Dan heb ik slecht nieuws voor je. Afgelopen maand bij meerdere klanten telefoontjes gehad dat bijvoorbeeld hun ERP pakket niet meer wilde openen.
Hier was Smart App Ccontrol ook "spontaan" ingeschakeld. na het uitschakelen er van werken de programma's weer zoals het hoort.

De optie om het opnieuw inschakelen of in leer modus zetten zijn dan wel grayed-oud.
Reageer
GurbieV @teek26 april 2026 10:05
U koopt dit programma 'as is', bij enige andere wensen mag u naar een ander systeem omkijken.
Reageer
rko4u @GurbieV6 april 2026 10:15
Je zit er volledig naast, het programma wordt te pas en te onpas aangepast.
Reageer
R_Zwart @rko4u6 april 2026 10:36
Dan is het nog steeds "as is". Het staat vast ergens in de voorwaarden dat de licensor de functionaliteit ten alle tijde mag aanpassen.
Reageer
Ryunoru @R_Zwart6 april 2026 10:43
Dat is letterlijk het tegenovergestelde van "as is".
Reageer

Om te kunnen reageren moet je ingelogd zijn