Microsoft bietet mit Windows Defender Application Control und Smart App Control zwei mächtige Bordmittel in Windows Server 2022 und Windows 11 22H2 an, mit denen sich Windows vor gefährlichen Dateien wie zum Beispiel Ransomware schützen lässt. Wir zeigen wie die Tools funktionieren.
Wie man mit Windows Defender Application Control und Smart App Control Windows vor gefährlichen Dateien wie Ransomware schützt, zeigen wir in diesem Video-Tipp.
(Bild: James Thew - stock.adobe.com)
Windows Defender Application Control (WDAC) schützt Windows vor gefährlichen Anwendungen und Admins können eigene Filterlisten erstellen, um bestimmte Anwendungen im Netzwerk auf den Arbeitsstationen zu blockieren. Dazu kommen Empfehlungen von Microsoft, die über XML-Dateien in Windows integriert werden können. Über diese XML-Dateien lassen sich potentiell gefährliche Anwendungen in Windows sperren, sodass Cyberkriminelle diese nicht ausnutzen können.
Wie man mit Windows Defender Application Control und Smart App Control Windows vor gefährlichen Dateien wie Ransomware schützt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Wir zeigen nachfolgend die praktische Umsetzung von WDAC und gehen noch etwas tiefer, um die zahlreichen neue Sicherheitsfunktionen in Windows 11 22H2 und Windows Server vNext zu zeigen. Es lohnt sich diese Bordmittel im Kampf gegen Ransomware und Phishing zu nutzen.
Microsoft-Empfehlungen in wenigen Minuten im Netzwerk integrieren
Die generellen Möglichkeiten von WDAC sind in der Dokumentation bei Microsoft zu finden. Parallel dazu hat Microsoft eine Liste von Programmen und DLL-Dateien veröffentlicht, die potentielle Schwachstellen enthalten, und deren Ausführung in Windows blockiert werden sollten. Die dazu gehörige XML-Datei lässt sich ebenfalls direkt bei Microsoft herunterladen.
Danach wird in der PowerShell auf Basis der heruntergeladenen XML-Datei eine neue Richtlinie erstellt und die Richtlinie gleich in das richtige Format konvertiert:
Der nächste Schritt besteht darin die Richtlinie über Gruppenrichtlinien zu verteilen. Die Einstellungen dazu sind im Pfad ""Computerkonfiguration\Administrative Vorlagen\System\Device Guard" zu finden. Nach Aktivierung der "Windows Defender Anwendungssteuerung" wird die P7b-Datei über eine Freigabe hinterlegt. Danach führen alle angebundenen Computer diese Richtlinie aus.
Smart App Control in Windows 11 22H2 und Windows Server vNext
Parallel dazu sollte bei Windows 11 22H2 und beim Einsatz des Nachfolgers von Windows Server 2022 auf Smart App Control (SAC). Ob SAC auch nachträglich in Windows 10 und Windows Server 2022 eingefügt wird, ist aktuell noch nicht klar. Die Aufgabe von SAC besteht darin potentiell gefährliche Apps vor der Ausführung zu finden. Zur Aktivierung muss Windows 11 22H2 neu auf einem Computer installiert werden. Danach lässt sich über das Startmenü oder der Windows-Sicherheits-App nach "Smart App Control" suchen und die Funktion aktivieren. Das geht nur einmalig und lässt sich nur durch eine Neuinstallation rückgängig machen. Wenn der Computer nicht neu installiert ist, dann ist SAC automatisch ebenfalls deaktiviert.
Derzeit ist SAC noch nicht vollständig ausgereift. Es gibt noch keine Möglichkeit die Anpassungen über Gruppenrichtlinien vorzunehmen oder eigene Whitelists zu pflegen. Es ist aber zu erwarten, dass Microsoft nachbessert. In jedem Fall ist es in Unternehmen empfehlenswert zu testen, ob nach Aktivierung von SAC in Windows 11 22H2 alle Unternehmens-Apps noch funktionieren. Ist das der Fall, macht die Aktivierung in jedem Fall Sinn, da dies ein weiterer Baustein im Schutz gegen Ransomware darstellt.
Mit der Einstellung "Auswertung" blockiert Windows 11 22H2 die Apps nicht, sondern wertet die einzelnen Apps nur aus. Lässt sich SAC nicht sinnvoll aktivieren, deaktiviert Windows diese Funktion automatisch.
Zuverlässigkeitsbasierter Schutz und SmartScreen für Microsoft Edge aktivieren
Parallel zu WDAC und SAC sollten Unternehmen beim Einsatz von Windows 11 22H2 und später auch von Windows Server vNext den zuverlässigkeitsbasierten Schutz in der Windows-Sicherheits-App bei "App- und Browsersteuerung" aktivieren sowie "SmartScreen für Microsoft Edge. Das schützt Windows und Edge noch mehr vor Phishing-Seiten und damit auch vor Ransomware.
Parallel dazu steht auf der Seite noch der "Phishingschutz" und die Option "Potentiell unerwünschte Apps werden blockiert" zur Verfügung. Diese beiden Funktionen sollten ebenfalls auf allen aktuellen Rechnern mit Windows 11 22H2 aktiviert werden. Wer intern auf den Microsoft Store setzt, sollte darüber hinaus noch "SmartScreen für Microsoft Store-Apps" aktivieren.
Viele diese Einstellungen sind über den Bereich Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Defender SmartScreen zu finden. Es ist sehr empfehlenswert alle diese Möglichkeiten zu nutzen, um Cyberangriffe zuverlässig zu verhindern. Die aktuellen Vorlagen für Gruppenrichtlinien stellt Microsoft kostenlos zur Verfügung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wie man mit Windows Defender Application Control und Smart App Control Windows vor gefährlichen Dateien wie Ransomware schützt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/05/0f/050f8cf109a0e39d81d79f314640a8a7/0112085545.jpeg "Windows Defender Application Control kann Windows 10/11 und Windows Server 2019/2022 vor gefährlichen Sicherheitslücken schützen.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/15/13/15133a00aaba6f613f1615d01357fef3/0112085546.jpeg "Die virtualisierungsbasierte Sicherheit ist ein wichtiges Feature in Windows 10/11 und Windows Server 2019/2022. Sie sollte in jedem Fall aktiviert werden.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/cf/90/cf908c1209e8b6b19dbb78a0de4022e7/0112085549.jpeg "Windows Defender Application Control lässt sich auch im Windows Admin Center anzeigen, um den Schutzstatus eines Servers anzuzeigen.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/65/e7/65e779749f895f3ee8f60e38c48840a1/0112085553.jpeg "Microsoft stellt XML-Dateien als Vorlagen zur Verfügung, die in WDAC eingebunden werden können.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/50/a6/50a6070b15ddd2298bb23f34225b35f1/0111452944.jpeg "Windows 11 22H2 und Windows Server vNext bekommen eine ganze Reihe neuer Sicherheitsfunktionen, zum Schutz gegen Phishing, Ransomware, nicht vertrauenswürdiger Apps und Passwortdiebstahl. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/11/0811ad55664aa6d6272d58eec0544d76/0108951021.jpeg "Mit Windows Server vNext, dem Nachfolger von Windows Server 2022, hält Windows 11 Einzug in die Server-Welt. (Bild: gopixa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/57/5b578151a4fe8f1e725af42722317d11/0125497476v2.jpeg "In diesem Video-Tipp zeigen wir, wie man mit dem quelloffenen PowerShell-Modul „Harden Windows Security“ Windows-11-PCs einfach und schnell sicherer macht. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/17/e017e94b738b4914781c11567a3febbb/0124883866v2.jpeg "Neben neuen Gruppenrichtlinienvorlagen für Windows 11 24H2 und Windows Server 2025, stellt Microsoft auch neue Vorlagen für das Security Compliance Toolkit zur Verfügung. (Bild: © igor.nazlo - stock.adobe.com)")