Gruppenrichtlinienverwaltung
body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
Pfad für Einstellungen:
Erklärung
Für diese Einstellung ist keine Erklärung vorhanden.
Unterstützt auf:
Nicht verfügbar
gp-pack.com-ALLin One-BSI-20H2
Computerkonfiguration (Aktiviert)
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Kontorichtlinien/Kennwortrichtlinien
RichtlinieEinstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechenAktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter24 gespeicherte Kennwörter
Kennwörter mit umkehrbarer Verschlüsselung speichernDeaktiviert
Maximales Kennwortalter365 Tage
Minimale Kennwortlänge12 Zeichen
Minimales Kennwortalter1 Tage
Kontorichtlinien/Kontosperrungsrichtlinien
RichtlinieEinstellung
Administratorkontosperrung zulassenAktiviert
Kontensperrungsschwelle10 ungültige Anmeldeversuche
Kontosperrdauer15 Minuten
Zurücksetzungsdauer des Kontosperrungszählers10 Minuten
Lokale Richtlinien/Zuweisen von Benutzerrechten
RichtlinieEinstellung
Ändern der SystemzeitVORDEFINIERT\Administratoren
Anmelden als Batchauftrag verweigernVORDEFINIERT\Gäste, NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Anmelden als Dienst verweigernVORDEFINIERT\Gäste, NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Anmelden über Terminaldienste verweigernNT-AUTORITÄT\Lokales Konto, VORDEFINIERT\Gäste, GALLIER\Domänen-Admins
Anmelden über Terminaldienste zulassenVORDEFINIERT\Benutzer, VORDEFINIERT\Remotedesktopbenutzer
Annehmen der Clientidentität nach AuthentifizierungNT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst, NT-AUTORITÄT\DIENST, VORDEFINIERT\Administratoren
Anpassen von Speicherkontingenten für einen Prozess
Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen
Auf diesen Computer vom Netzwerk aus zugreifenVORDEFINIERT\Administratoren, VORDEFINIERT\Remotedesktopbenutzer
Debuggen von ProgrammenVORDEFINIERT\Administratoren
Durchführen von VolumewartungsaufgabenVORDEFINIERT\Administratoren
Einsetzen als Teil des Betriebssystems
Ersetzen eines Tokens auf ProzessebeneNT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst
Erstellen einer AuslagerungsdateiVORDEFINIERT\Administratoren
Erstellen eines Profils der SystemleistungNT SERVICE\WdiServiceHost, VORDEFINIERT\Administratoren
Erstellen eines Profils für einen EinzelprozessVORDEFINIERT\Administratoren
Erstellen eines Tokenobjekts
Erstellen globaler ObjekteNT-AUTORITÄT\SYSTEM, NT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst
Erstellen symbolischer VerknüpfungenVORDEFINIERT\Administratoren
Erstellen von dauerhaft freigegebenen ObjektenNT-AUTORITÄT\SYSTEM
Erzwingen des Herunterfahrens von einem Remotesystem ausVORDEFINIERT\Administratoren
Generieren von SicherheitsüberwachungenNT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst
Laden und Entfernen von GerätetreibernVORDEFINIERT\Administratoren
Lokal anmelden verweigernVORDEFINIERT\Gäste, GALLIER\Domänen-Admins
Lokal anmelden zulassenVORDEFINIERT\Administratoren, VORDEFINIERT\Benutzer
Sichern von Dateien und VerzeichnissenVORDEFINIERT\Administratoren
Übernehmen des Besitzes von Dateien und ObjektenVORDEFINIERT\Administratoren
Verwalten von Überwachungs- und SicherheitsprotokollenVORDEFINIERT\Administratoren
Wiederherstellen von Dateien und VerzeichnissenVORDEFINIERT\Administratoren
Zugriff vom Netzwerk auf diesen Computer verweigernNT-AUTORITÄT\Lokales Konto, GALLIER\Domänen-Admins
Lokale Richtlinien/Sicherheitsoptionen
Benutzerkontensteuerung
RichtlinieEinstellung
Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte AdministratorkontoAktiviert
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordernAktiviert
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechselnAktiviert
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisierenAktiviert
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sindAktiviert
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sindDeaktiviert
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordernDeaktiviert
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im AdministratorgenehmigungsmodusEingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für StandardbenutzerEingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Domänenmitglied
RichtlinieEinstellung
Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivierenDeaktiviert
Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)Aktiviert
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)Aktiviert
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)Aktiviert
Domänenmitglied: Maximalalter von Computerkontenkennwörtern30 Tage
Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)Aktiviert
Interaktive Anmeldung
RichtlinieEinstellung
Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)4 Anmeldungen
Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlichDeaktiviert
Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigenDeaktiviert
Konten
RichtlinieEinstellung
Konten: Administrator umbenennen"AIndividuell01"
Konten: AdministratorkontostatusDeaktiviert
Konten: GastkontenstatusDeaktiviert
Konten: Gastkonto umbenennen"GIndividuell01"
Microsoft-Netzwerk (Client)
RichtlinieEinstellung
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)Aktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)Aktiviert
Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern sendenDeaktiviert
Microsoft-Netzwerk (Server)
RichtlinieEinstellung
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)Aktiviert
Netzwerksicherheit
RichtlinieEinstellung
Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichernAktiviert
Netzwerksicherheit: LAN Manager-AuthentifizierungsebeneNur NTLMv2-Antworten senden. LM & NTLM verweigern
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)Aktiviert
NTLMv2-Sitzungssicherheit erfordernAktiviert
128-Bit-Verschlüsselung erfordernAktiviert
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)Aktiviert
NTLMv2-Sitzungssicherheit erfordernAktiviert
128-Bit-Verschlüsselung erfordernAktiviert
Netzwerksicherheit: Signaturanforderungen für LDAP-ClientsSignatur erforderlich
Netzwerkzugriff
RichtlinieEinstellung
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlaubenAktiviert
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlaubenAktiviert
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassenDeaktiviert
Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränkenAktiviert
Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichenDeaktiviert
Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann
Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale KontenKlassisch - lokale Benutzer authentifizieren sich als sie selbst
Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann
Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann
Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann
Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassenAktiviert
Andere
RichtlinieEinstellung
Interaktive Anmeldung: Inaktivitätsgrenze des Computers600 Sekunden
Konten: Microsoft-Konten blockierenBenutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden
Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurierenAktiviert
DES_CBC_CRCDeaktiviert
DES_CBC_MD5Deaktiviert
RC4_HMAC_MD5Deaktiviert
AES128_HMAC_SHA1Aktiviert
AES256_HMAC_SHA1Aktiviert
Künftige VerschlüsselungstypenAktiviert
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassenDeaktiviert
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen"O:BAG:BAD:(A;;RC;;;BA)"
Systemdienste
AllJoyn-Routerdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Gatewaydienst auf Anwendungsebene (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Intelligenter Hintergrundübertragungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Bluetooth-Audiogateway-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Bluetooth-Unterstützungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Benutzererfahrungen und Telemetrie im verbundenen Modus (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
WAP-Push-Nachrichten Routing-Dienst (Wireless Application Protocol) für die Geräteverwaltung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Fax (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Dienst für mobile Hotspots (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Microsoft Store-Installationsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Server (Startmodus: Automatisch)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Geolocation-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Manager für heruntergeladene Karten (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Microsoft iSCSI-Initiator-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
p2pimsvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
p2psvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
PeerDistSvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
PNRPAutoReg (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
PNRPsvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows PushToInstall-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Verwaltung für automatische RAS-Verbindung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
RAS-Verbindungsverwaltung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Routing und RAS (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Remoteregistrierung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
RetailDemo (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
RPC-Locator (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Smartcard (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Smartcard-Geräteaufzählungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Zahlungs- und NFC/SE-Manager (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Konfiguration für Remotedesktops (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Gemeinsame Nutzung der Internetverbindung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
SNMP-Trap (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Druckwarteschlange (Startmodus: Automatisch)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
SSDP-Suche (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Remotedesktopdienste (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Anschlussumleitung für Remotedesktopdienst im Benutzermodus (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
UPnP-Gerätehost (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Ereignissammlung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Unterstützung in der Systemsteuerung unter Lösungen für Probleme (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Fehlerberichterstattungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Remoteverwaltung (WS-Verwaltung) (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Insider-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
WMPNetworkSvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Pushbenachrichtigungssystemdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
XblAuthManager (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
XblGameSave (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
XboxGipSvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
XboxNetApiSvc (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Erweiterte Überwachungskonfiguration
Kontoanmeldung
RichtlinieEinstellung
Überprüfen der Anmeldeinformationen überwachenErfolgreich, Gescheitert
Kontenverwaltung
RichtlinieEinstellung
Sicherheitsgruppenverwaltung überwachenErfolgreich
Benutzerkontenverwaltung überwachenErfolgreich, Gescheitert
Detaillierte Überwachung
RichtlinieEinstellung
PNP-ÜberwachungsaktivitätErfolgreich
Prozesserstellung überwachenErfolgreich
Anmelden/Abmelden
RichtlinieEinstellung
Kontosperrung überwachenFehler
Mitgliedschaft in der ÜberwachungsgruppeErfolgreich
Anmelden überwachenErfolgreich, Gescheitert
Andere Anmelde-/Abmeldeereignisse überwachenErfolgreich, Gescheitert
Spezielle Anmeldung überwachenErfolgreich
Objektzugriff
RichtlinieEinstellung
Detaillierte Dateifreigabe überwachenFehler
Dateifreigabe überwachenErfolgreich, Gescheitert
Andere Objektzugriffsereignisse überwachenErfolgreich, Gescheitert
Wechselmedien überwachenErfolgreich, Gescheitert
Richtlinienänderung
RichtlinieEinstellung
Überwachungsrichtlinienänderung überwachenErfolgreich
Authentifizierungsrichtlinienänderung überwachenErfolgreich
MPSSVC-Richtlinienänderung auf Regelebene überwachenErfolgreich, Gescheitert
Andere Richtlinienänderungsereignisse überwachenFehler
Berechtigungen
RichtlinieEinstellung
Sensible Verwendung von Rechten überwachenErfolgreich, Gescheitert
System
RichtlinieEinstellung
Andere Systemereignisse überwachenErfolgreich, Gescheitert
Sicherheitsstatusänderung überwachenErfolgreich
Sicherheitssystemerweiterung überwachenErfolgreich
Systemintegrität überwachenErfolgreich, Gescheitert
Administrative Vorlagen
Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.
Drucker
RichtlinieEinstellungKommentar
Annahme von Clientverbindungen zum Druckspooler zulassenDeaktiviert
Point-and-Print für Pakete - Genehmigte ServerAktiviert
Vollqualifizierte Servernamen eingeben
FQDN.trusted.printer
RichtlinieEinstellungKommentar
Point-and-Print-EinschränkungenAktiviert
Benutzer können Point-and-Print nur mit folgenden Servern verwenden:Deaktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt)FQDN.Trusted.printer
Point-and-Print ist nur mit Computern der eigenen Gesamtstruktur möglichDeaktiviert
Sicherheitshinweise:
Beim Installieren von Treibern für eine neue Verbindung:Warnung oder Anhebungsaufforderung nicht anzeigen
Beim Aktualisieren von Treibern für eine vorhandene Verbindung:Warnung oder Anhebungsaufforderung nicht anzeigen
Diese Einstellung betrifft nur:
Windows Vista und höher
MS Security Guide
RichtlinieEinstellungKommentar
Apply UAC restrictions to local accounts on network logonsNicht konfiguriertLAPS!
Configure SMB v1 client driverAktiviert
Configure MrxSmb10 driverDisable driver (recommended)
RichtlinieEinstellungKommentar
Configure SMB v1 serverDeaktiviert
Enable Structured Exception Handling Overwrite Protection (SEHOP)Aktiviert
Limits print driver installation to Administrators (DEPRECATED)Deaktiviert
NetBT NodeType configurationAktiviert
Configure NetBT NodeTypeP-node (recommended)
MSS (Legacy)
RichtlinieEinstellungKommentar
MSS: (AutoAdminLogon) Enable Automatic LogonDeaktiviert
MSS: (AutoShareServer) Enable Administrative SharesDeaktiviert
MSS: (DisableSavePassword) Prevent the dial-up passsword from being savedAktiviert
MSS: (KeepAliveTime) How often keep-alive packets are sent in millisecondsAktiviert
KeepAliveTime300000 or 5 minutes (recommended)
RichtlinieEinstellungKommentar
MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversAktiviert
MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addressesDeaktiviert
MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expiresAktiviert
ScreenSaverGracePeriod5
RichtlinieEinstellungKommentar
MSS: (TcpMaxDataRetransmissions IPv6) How many times unacknowledged data is retransmittedAktiviert
TcpMaxDataRetransmissions3
RichtlinieEinstellungKommentar
MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmittedAktiviert
TcpMaxDataRetransmissions3
Netzwerk/DNS-Client
RichtlinieEinstellungKommentar
Multicastnamensauflösung deaktivierenAktiviert
Netzwerk/LanMan-Arbeitsstation
RichtlinieEinstellungKommentar
Unsichere Gastanmeldungen aktivierenDeaktiviert
Netzwerk/Microsoft Peer-zu-Peer-Netzwerkdienste
RichtlinieEinstellungKommentar
Microsoft Peer-zu-Peer-Netzwerkdienste deaktivierenAktiviert
Netzwerk/Microsoft Peer-zu-Peer-Netzwerkdienste/Peer Name Resolution-Protokoll/Globale Clouds
RichtlinieEinstellungKommentar
PNRP-Wolke nur zum Auflösen verwendenAktiviert
PNRP-Wolkenerstellung deaktivierenAktiviert
Netzwerk/Microsoft Peer-zu-Peer-Netzwerkdienste/Peer Name Resolution-Protokoll/Lokale Linkclouds
RichtlinieEinstellungKommentar
PNRP-Wolke nur zum Auflösen verwendenAktiviert
PNRP-Wolkenerstellung deaktivierenAktiviert
Netzwerk/Microsoft Peer-zu-Peer-Netzwerkdienste/Peer Name Resolution-Protokoll/Lokale Siteclouds
RichtlinieEinstellungKommentar
PNRP-Wolke nur zum Auflösen verwendenAktiviert
PNRP-Wolkenerstellung deaktivierenAktiviert
Netzwerk/Netzwerkanbieter
RichtlinieEinstellungKommentar
Gehärtete UNC-PfadeAktiviert
Geben Sie gehärtete Netzwerkpfade an. Geben Sie im Namensfeld einen vollqualifizierten UNC-Pfad für jede Netzwerkressource ein. Um den gesamten Zugriff auf eine Freigabe mit einem bestimmten Namen unabhängig vom Servernamen abzusichern, geben Sie den Servernamen '*' (Sternchen) an. Beispiel: "\\*\NETLOGON". Um den gesamten Zugriff auf alle Freigaben abzusichern, die auf einem Server gehostet sind, kann der Freigabenamensteil des UNC-Pfads weggelassen werden. Beispiel: "\\SERVER". Geben Sie im Wertfeld eine oder mehrere der folgenden Optionen getrennt durch Kommas an: 'RequireMutualAuthentication=1': Die gegenseitige Authentifizierung zwischen Client und Server ist erforderlich, um sicherzustellen, dass der Client mit dem richtigen Server verbunden wird. 'RequireIntegrity=1': Die Kommunikation zwischen Client und Server muss auf einem Integritätsmechanismus basieren, um Datenverfälschung zu verhindern. 'RequirePrivacy=1': Die Kommunikation zwischen Client und Server muss verschlüsselt sein, damit Dritte keine Einblicke in vertrauliche Daten erhalten.
Gehärtete UNC-Pfade: 
\\*\NETLOGONRequireMutualAuthentication=1, RequireIntegrity=1
\\*\SYSVOLRequireMutualAuthentication=1, RequireIntegrity=1
Für alle UNC-Pfade, die ausführbare Programme, Skriptdateien oder Dateien zur Steuerung von Sicherheitsrichtlinien hosten, sollten sowohl Integrität als auch gegenseitige Authentifizierung als Sicherheitsanforderungen erfüllt werden. Hosten Sie Dateien, die keine Integrität bzw. keinen Datenschutz erfordern, auf anderen Freigaben als Dateien, die für optimale Leistung strenge Sicherheitsanforderungen erfüllen müssen. Weitere Informationen darüber, wie Sie Windows-Computer dafür konfigurieren, dass sie beim Zugriff auf bestimmte UNC-Pfade zusätzliche Sicherheitsanforderungen erfüllen, finden Sie unter "http://support.microsoft.com/kb/3000483".
Netzwerk/Netzwerkverbindungen
RichtlinieEinstellungKommentar
Installation und Konfiguration der Netzwerkbridge im eigenen DNS-Domänennetzwerk nicht zulassenAktiviert
Verwendung der gemeinsam genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassenAktiviert
Netzwerk/Offlinedateien
RichtlinieEinstellungKommentar
Die Funktion "Offlinedateien" zulassen bzw. nicht zulassenDeaktiviert
Netzwerk/Schriftarten
RichtlinieEinstellungKommentar
Schriftartenanbieter aktivierenDeaktiviert
Netzwerk/SSL-Konfigurationseinstellungen
RichtlinieEinstellungKommentar
Reihenfolge der SSL-VerschlüsselungssammlungenAktiviert
SSL-VerschlüsselungssammlungenTLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Netzwerk/SSL-Konfigurationseinstellungen/Ciphers
RichtlinieEinstellungKommentar
AES 128/128Aktiviert
AES 256/256Aktiviert
Netzwerk/SSL-Konfigurationseinstellungen/Ciphers/Schwache Ciphers
RichtlinieEinstellungKommentar
DES 56/56Deaktiviert
NULLDeaktiviert
RC2 128/128Deaktiviert
RC2 40/128Deaktiviert
RC2 56/128Deaktiviert
RC4 128/128Deaktiviert
RC4 40/128Deaktiviert
RC4 56/128Deaktiviert
RC4 64/128Deaktiviert
Triple DES 168Deaktiviert
Netzwerk/SSL-Konfigurationseinstellungen/Hashes
RichtlinieEinstellungKommentar
SHA-256Aktiviert
SHA-384Aktiviert
SHA-512Aktiviert
Netzwerk/SSL-Konfigurationseinstellungen/Hashes/Schwache Hashes
RichtlinieEinstellungKommentar
MD5Deaktiviert
SHADeaktiviert
Netzwerk/SSL-Konfigurationseinstellungen/Schlüsselaustausch
RichtlinieEinstellungKommentar
Diffie-HellmanAktiviert
Diffie-Hellman-ClientschlüssellängeAktiviert
Clientseitige minimale DH-Modulus-Länge3072
RichtlinieEinstellungKommentar
Diffie-Hellman-ServerschlüssellängeAktiviert
Serverseitinge minimale DH-Modulus-Länge3072
RichtlinieEinstellungKommentar
ECDHAktiviert
PKCSAktiviert
PKCS-ClientschlüssellängeAktiviert
Clientseitige minimale PKCS-Modulus-Länge3072
Netzwerk/TCP/IP-Einstellungen/IPv6-Übergangstechnologien
RichtlinieEinstellungKommentar
Teredo-Status festlegenAktiviert
Wählen Sie unter den folgenden Zustandswerten aus:Deaktiviert
Netzwerk/Verbindungsschicht-Topologieerkennung
RichtlinieEinstellungKommentar
Treiber für den Beantworter (RSPNDR) aktivierenDeaktiviert
Treiber für die Zuordnungs-E/A (LLTDIO) aktivierenDeaktiviert
Netzwerk/Windows-Sofortverbindung
RichtlinieEinstellungKommentar
Konfiguration von Drahtloseinstellungen mit Windows-SofortverbindungDeaktiviert
Zugriff auf Windows-Sofortverbindungs-Assistenten verweigernAktiviert
Netzwerk/Windows-Verbindungs-Manager
RichtlinieEinstellungKommentar
Anzahl gleichzeitiger Verbindungen mit dem Internet oder einer Windows-Domäne minimierenAktiviert
Richtlinienoptionen minimieren3 = Wi-Fi bei Ethernet verhindern
RichtlinieEinstellungKommentar
Verbindung mit Nicht-Domänennetzwerken bei vorhandener Verbindung mit domänenauthentifiziertem Netzwerk nicht zulassenAktiviert
SCM: Pass the Hash Mitigations
RichtlinieEinstellungKommentar
Apply UAC restrictions to local accounts on network logonsDeaktiviert
WDigest Authentication (disabling may require KB2871997)Aktiviert
SCM: Wi-Fi Sense
RichtlinieEinstellungKommentar
Disable Wi-Fi SenseAktiviert
Startmenü und Taskleiste/Benachrichtigungen
RichtlinieEinstellungKommentar
Netzwerkverwendung für Benachrichtigungen deaktivierenAktiviert
System/Anmelden
RichtlinieEinstellungKommentar
Anmeldung mit Bildcode deaktivierenAktiviert
Anwendungsbenachrichtigungen auf gesperrtem Bildschirm deaktivierenAktiviert
Benutzer darf keine Kontodetails auf dem Anmeldebildschirm anzeigenAktiviert
Komfortable PIN-Anmeldung aktivierenAktiviert
Lokale Benutzer auf Computern, die der Domäne angehören, auflistenDeaktiviert
Netzwerkauswahl-UI nicht anzeigenAktiviert
Verbundene Benutzer auf Computern, die der Domäne angehören, nicht auflistenAktiviert
System/Benutzerprofile
RichtlinieEinstellungKommentar
Werbe-ID deaktivierenAktiviert
System/Betriebssystemrichtlinien
RichtlinieEinstellungKommentar
Aktivitätsfeed aktivierenDeaktiviert
Synchronisierung der Zwischenablage geräteübergreifend zulassenDeaktiviert
Upload von Benutzeraktivitäten zulassenDeaktiviert
Veröffentlichen von Benutzeraktivitäten zulassenDeaktiviert
System/Datenträgerkontingente
RichtlinieEinstellungKommentar
Datenträgerkontingente ermöglichenDeaktiviert
Datenträgerkontingentsgrenze erzwingenDeaktiviert
Ereignis protokollieren, wenn die Datenträgerkontingentsgrenze überschritten wirdDeaktiviert
Ereignis protokollieren, wenn die Kontingentwarnstufe überschritten wirdDeaktiviert
Richtlinie auf austauschbare Datenträger anwendenDeaktiviert
Standarddatenträgerkontingent und Warnstufe festlegenDeaktiviert
System/Delegierung von Anmeldeinformationen
RichtlinieEinstellungKommentar
Delegierung von Anmeldeinformationen an Remoteserver einschränkenAktiviert
Verwenden Sie den folgenden eingeschränkten Modus:Eingeschränkte Verwaltung anfordern
RichtlinieEinstellungKommentar
Encryption Oracle-AbwehrAktiviert
Schutzebene:Force Updated Clients
RichtlinieEinstellungKommentar
Remotehost ermöglicht die Delegierung nicht exportierbarer AnmeldeinformationenAktiviert
System/Device Guard
RichtlinieEinstellungKommentar
Virtualisierungsbasierte Sicherheit aktivierenAktiviert
Plattform-Sicherheitsstufe auswählen:Sicherer Start und DMA-Schutz
Virtualisierungsbasierter Schutz der Codeintegrität:Mit UEFI-Sperre aktiviert
UEFI-Speicherattributtabelle erforderlichDeaktiviert
Credential Guard-Konfiguration:Mit UEFI-Sperre aktiviert
Sichere Startkonfiguration:Nicht konfiguriert
Hardware-erzwungener Stack-Schutz im Kernel-Modus:Aktiviert im Erzwingungsmodus
System/Energieverwaltung/Benachrichtigungseinstellungen
RichtlinieEinstellungKommentar
Aktion zur Benachrichtigung bei kritischer AkkukapazitätAktiviert
Aktion zur Benachrichtigung bei kritischer AkkukapazitätRuhezustand
System/Energieverwaltung/Standbymoduseinstellungen
RichtlinieEinstellungKommentar
Kennwort anfordern, wenn ein Computer reaktiviert wird (Akkubetrieb)Aktiviert
Kennwort anfordern, wenn ein Computer reaktiviert wird (Netzbetrieb)Aktiviert
Standbyzustände (S1-S3) zulassen (Akkubetrieb)Deaktiviert
Standbyzustände (S1-S3) zulassen (Netzbetrieb)Deaktiviert
System/Geräteinstallation
RichtlinieEinstellungKommentar
Abrufen von Gerätemetadaten aus dem Internet verhindernAktiviert
Suchreihenfolge für Quellspeicherorte für Gerätetreiber festlegenAktiviert
Wählen Sie eine Suchreihenfolge aus:Windows Update nicht durchsuchen
System/Geräteinstallation/Einschränkungen bei der Geräteinstallation
RichtlinieEinstellungKommentar
Administratoren das Außerkraftsetzen der Richtlinien unter "Einschränkungen bei der Geräteinstallation" erlaubenAktiviert
Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine Richtlinie verhindert wird (Hinweistext)Aktiviert
Geben Sie den Text ein, der Benutzern angezeigt werden soll (max. 128 Zeichen)
Ausführlicher TextPortsecurity, Anschluss nur als Mitglied der Administratoren
RichtlinieEinstellungKommentar
Installation von Geräten mit diesen Geräte-IDs verhindernAktiviert
Installation von Geräten mit diesen Geräte-IDs verhindern:
Alternativ zu Allow, Blocklist
PCI\CC_0C0A
Um eine Liste von Geräten zu erstellen, klicken Sie auf "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" in der Spalte "Wert"
eine Plug & Play-Hardware-ID oder eine kompatible ID ein
(z. B. "gendisk", "USB\COMPOSITE", USB\Class_ff").
Auch auf übereinstimmende Geräte anwenden, die bereits installiert sindDeaktiviert
RichtlinieEinstellungKommentar
Installation von Geräten mit diesen Geräte-IDs zulassenAktiviert
Installation von Geräten mit diesen Geräte-IDs zulassen:
Get-PnpDevice | select FriendlyName,DeviceID,InstanceId,ClassGuid | Out-GridView
Um eine Liste von Geräten zu erstellen, klicken Sie auf "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" in der Spalte "Wert"
eine Plug & Play-Hardware-ID oder eine kompatible ID ein
(z. B. "gendisk", "USB\COMPOSITE", USB\Class_ff").
RichtlinieEinstellungKommentar
Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechenAktiviert
Installation von Geräten mithilfe von Treibern für diese Gerätesetupklassen verhindern:
Alternativ zu Allow, Blocklist
{d48179be-ec20-11d1-b6b8-00c04fa372a7}
{7ebefbc0-3200-11d2-b4c2-00a0C9697d07}
{c06ff265-ae09-48f0-812c-16753d7cba83}
{6bdd1fc1-810f-11d0-bec7-08002be2092f}
Um eine Liste von Geräteklassen zu erstellen, klicken Sie auf "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" in der Spalte "Wert"
eine GUID ein, die für eine Gerätesetupklasse steht
(z. B. {25DBCE51-6C8F-4A72-8A6D-B54C2B4FC835}).
Auch auf übereinstimmende Geräte anwenden, die bereits installiert sindDeaktiviert
RichtlinieEinstellungKommentar
Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechenAktiviert
Installation von Geräten mit Treibern für diese Geräteklassen zulassen:
Get-PnpDevice | select FriendlyName,DeviceID,InstanceId,ClassGuid | Out-GridView
Um eine Liste von Geräteklassen zu erstellen, klicken Sie auf "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" in der Spalte "Wert"
eine GUID ein, die für eine Gerätesetupklasse steht
(z. B. {25DBCE51-6C8F-4A72-8A6D-B54C2B4FC835}).
RichtlinieEinstellungKommentar
Installation von Geräten verhindern, die mit einer der folgenden Geräteinstanz-IDs übereinstimmenAktiviert
Installation von Geräten verhindern, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen:
Alternativ zu Allow, Blocklist
Um eine Liste von Geräten zu erstellen, klicken Sie auf "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" in der Spalte "Wert"
eine Plug & Play-Geräte-Instanz-ID ein
(beispielsweise USB\VID_045E&&PID_0123\01234567890123456789).
Auch auf übereinstimmende Geräte anwenden, die bereits installiert sindDeaktiviert
RichtlinieEinstellungKommentar
Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sindAktiviert
Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmenAktiviert
Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen:
Get-PnpDevice | select FriendlyName,DeviceID,InstanceId,ClassGuid | Out-GridView
Um eine Liste von Geräten zu erstellen, klicken Sie auf "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" in der Spalte "Wert"
Plug Play-Geräteinstanz-ID eingeben
(beispielsweise USB\VID_045E&&PID_0123\01234567890123456789).
RichtlinieEinstellungKommentar
Installation von Wechselgeräten verhindernAktiviert
System/Gruppenrichtlinie
RichtlinieEinstellungKommentar
Auf der Oberfläche dieses Geräts weiterarbeitenDeaktiviert
Hintergrundaktualisierung der Gruppenrichtlinie deaktivierenAktiviert
Registrierungsrichtlinienverarbeitung konfigurierenAktiviertQuatsch
Während regelmäßiger Hintergrundverarbeitung nicht übernehmenDeaktiviert
Gruppenrichtlinienobjekte auch ohne Änderungen verarbeitenAktiviert
RichtlinieEinstellungKommentar
Sicherheitsrichtlinienverarbeitung konfigurierenAktiviert
Während regelmäßiger Hintergrundverarbeitung nicht übernehmenDeaktiviert
Gruppenrichtlinienobjekte auch ohne Änderungen verarbeitenAktiviert
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
RichtlinieEinstellungKommentar
Aktive Tests der Windows-Netzwerkverbindungs-Statusanzeige deaktivierenAktiviert
Aufgabe "Abzüge online bestellen" für Bilder deaktivierenAktiviert
Automatisches Update von Stammzertifikaten deaktivierenAktiviert
Download von Druckertreibern über HTTP deaktivierenAktiviert
Drucken über HTTP deaktivierenAktiviert
Events.asp-Links der Ereignisanzeige deaktivierenAktiviert
Freigabe von Daten für die Handschriftanpassung deaktivierenAktiviert
Handschrifterkennungs-Fehlerberichterstattung deaktivierenAktiviert
Inhaltdateiupdates des Such-Assistenten deaktivierenAktiviert
Internet-Download für die Assistenten "Webpublishing" und "Onlinebestellung von Abzügen" deaktivierenAktiviert
Programm zur Verbesserung der Benutzerfreundlichkeit deaktivierenAktiviert
Suche nach Gerätetreibern auf Windows Update deaktivierenAktiviert
Verbindungs-Assistenten deaktivieren, wenn sich die URL-Verbindung auf microsoft.com beziehtAktiviert
Zugriff auf den Store deaktivierenAktiviert
System/Kerberos
RichtlinieEinstellungKommentar
Geräteauthentifizierung mittels Zertifikat unterstützenAktiviert
Geräteauthentifizierungsverhalten mittels Zertifikat:Automatisch
System/Kernel-DMA-Schutz
RichtlinieEinstellungKommentar
Aufzählungsrichtlinie für externe Geräte, die nicht Kernel-DMA-Schutz kompatibel sindAktiviert
AufzählungsrichtlinieAlle blockieren
System/Lokale Sicherheitsautorität
RichtlinieEinstellungKommentar
Konfiguriert LSASS für die Ausführung als geschützter ProzessAktiviert
Konfigurieren der LSA für die Ausführung als geschützter ProzessMit UEFI-Sperre aktiviert
System/PIN-Komplexität
RichtlinieEinstellungKommentar
AblaufAktiviert
PIN-Ablauf0
RichtlinieEinstellungKommentar
Maximale PIN-LängeAktiviert
Maximale PIN-Länge127
RichtlinieEinstellungKommentar
Minimale PIN-LängeAktiviert
Minimale PIN-Länge6
RichtlinieEinstellungKommentar
VerlaufAktiviert
PIN-Verlauf0
System/Problembehandlung und Diagnose/Microsoft Support-Diagnosetool
RichtlinieEinstellungKommentar
Microsoft Support-Diagnosetool: interaktive MSDT-Kommunikation mit Unterstützungsanbieter aktivierenDeaktiviert
System/Problembehandlung und Diagnose/Windows-Leistungsnachverfolgungsmodul
RichtlinieEinstellungKommentar
PerfTrack aktivieren/deaktivierenDeaktiviert
System/Remoteprozeduraufruf
RichtlinieEinstellungKommentar
Nicht authentifizierte RPC-Clients einschränkenAktiviert
Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit:Authentifiziert
RichtlinieEinstellungKommentar
RPC-Endpunktzuordnungs-Clientauthentifizierung aktivierenAktiviert
System/Remoteunterstützung
RichtlinieEinstellungKommentar
"Remoteunterstützung anbieten" konfigurierenAktiviert
Remoteüberwachung dieses Computers zulassen:Helfer dürfen den Computer remote steuern
Helfer:
DOM\HelpDesk
System/Systemwiederherstellung
RichtlinieEinstellungKommentar
Systemwiederherstellung deaktivierenDeaktiviert
System/Wechselmedienzugriff
RichtlinieEinstellungKommentar
Alle Wechselmedienklassen: Jeglichen Zugriff verweigernAktiviert
Bandlaufwerke: Ausführungszugriff verweigernAktiviert
Bandlaufwerke: Lesezugriff verweigernAktiviert
Bandlaufwerke: Schreibzugriff verweigernAktiviert
CD und DVD: Ausführungszugriff verweigernAktiviert
CD und DVD: Lesezugriff verweigernAktiviert
CD und DVD: Schreibzugriff verweigernAktiviert
Diskettenlaufwerke: Ausführungszugriff verweigernAktiviert
Diskettenlaufwerke: Lesezugriff verweigernAktiviert
Diskettenlaufwerke: Schreibzugriff verweigernAktiviert
Wechseldatenträger: Ausführungszugriff verweigernAktiviert
Wechseldatenträger: Lesezugriff verweigernAktiviert
Wechseldatenträger: Schreibzugriff verweigernAktiviert
WPD-Geräte: Lesezugriff verweigernAktiviert
WPD-Geräte: Schreibzugriff verweigernAktiviert
Zeit (in Sekunden) bis zur Erzwingung des Neustarts festlegenAktiviert
Zeit (in Sekunden):1800
Systemsteuerung
RichtlinieEinstellungKommentar
Onlinetipps zulassenDeaktiviert
Systemsteuerung/Anpassung
RichtlinieEinstellungKommentar
Aktivieren der Sperrbildschirmkamera verhindernAktiviert
Systemsteuerung/Regions- und Sprachoptionen
RichtlinieEinstellungKommentar
Aktivierung von Online-Spracherkennungsdiensten durch Benutzer zulassenDeaktiviert
Systemsteuerung/Regions- und Sprachoptionen/Handschriftanpassung
RichtlinieEinstellungKommentar
Automatisches Lernen deaktivierenAktiviert
Windows Restricted Traffic Custom Policy Settings
RichtlinieEinstellungKommentar
Prevent OneDrive from generating network traffic until the user signs in to OneDrive.Aktiviert
Windows-Komponenten/App-Datenschutz
RichtlinieEinstellungKommentar
Windows-Apps können mit einem Sprachbefehl aktiviert werden, während das System gesperrt istAktiviert
Standard für alle Apps:Verweigern erzwingen
RichtlinieEinstellungKommentar
Windows-App-Zugriff auf das Mikrofon zulassenAktiviert
Standard für alle Apps:Benutzer hat die Kontrolle
Kontrolle dieser Apps an Benutzer übertragen (Paketfamiliennamen verwenden):
Zulassen dieser Apps erzwingen (Paketfamiliennamen verwenden):
Verweigern dieser Apps erzwingen (Paketfamiliennamen verwenden):
RichtlinieEinstellungKommentar
Windows-App-Zugriff auf die Kamera zulassenAktiviert
Standard für alle Apps:Benutzer hat die Kontrolle
Kontrolle dieser Apps an Benutzer übertragen (Paketfamiliennamen verwenden):
Zulassen dieser Apps erzwingen (Paketfamiliennamen verwenden):
Verweigern dieser Apps erzwingen (Paketfamiliennamen verwenden):
Windows-Komponenten/App-Laufzeit
RichtlinieEinstellungKommentar
Zulassen, dass Microsoft-Konten optional sindDeaktiviert
Windows-Komponenten/Benutzerschnittstelle für Anmeldeinformationen
RichtlinieEinstellungKommentar
Bei Ausführung mit erhöhten Rechten Administratorkonten auflistenDeaktiviert
Schaltfläche zum Anzeigen von Kennwörtern nicht anzeigenAktiviert
Vertrauenswürdiger Pfad für Anmeldeinformationseintrag erforderlichAktiviert
Verwendung von Sicherheitsfragen für lokale Konten verhindernAktiviert
Windows-Komponenten/Bereitstellung von App-Paketen
RichtlinieEinstellungKommentar
Ermöglicht die Entwicklung von Windows Store-Apps und deren Installation von einer integrierten Entwicklungsumgebung (IDE) aus.Deaktiviert
Verhindern, dass Benutzer ohne Administratorrechte verpackte Windows-Apps installierenAktiviert
Windows-Apps die Freigabe von Anwendungsdaten zwischen Benutzern erlaubenDeaktiviert
Windows-Komponenten/Cloudinhalt
RichtlinieEinstellungKommentar
Deaktivieren von Inhalten, die für die Cloud optimiert sindAktiviert
Inhalte des Cloud-Verbraucherkontostatus deaktivierenAktiviert
Windows-Tipps nicht anzeigenDeaktiviert
Windows-Komponenten/Datei-Explorer
RichtlinieEinstellungKommentar
Datenausführungsverhinderung für Explorer deaktivierenDeaktiviert
Geschützten Modus für Shellprotokoll deaktivierenDeaktiviert
Heapabbruch bei Beschädigung deaktivierenDeaktiviert
Windows-Komponenten/Datensammlung und Vorabversionen
RichtlinieEinstellungKommentar
Diagnosedaten zulassenAktiviert
Diagnosedaten deaktiviert (nicht empfohlen)
RichtlinieEinstellungKommentar
Feedbackbenachrichtigungen nicht mehr anzeigenAktiviert
Optionale Diagnosedaten für Desktop Analytics einschränkenDeaktiviert
Übermitteln des Gerätenamens in Windows-Diagnosedaten zulassenDeaktiviert
Verwendung des authentifizierten Proxys für den Dienst "Benutzererfahrung und Telemetrie im verbundenen Modus" konfigurierenAktiviert
 
Windows-Komponenten/Einstellungen synchronisieren
RichtlinieEinstellungKommentar
App-Einstellungen nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung von App-Einstellungen ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Apps nicht synchronisierenAktiviert
Benutzern das Einschalten der App-Synchronisierung ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Barrierefreiheitseinstellungen nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung von „Barrierefreiheit“ ermöglichen.Deaktiviert
RichtlinieEinstellungKommentar
Browsereinstellungen nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung des Browsers ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Desktoppersonalisierung nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung der Desktoppersonalisierung ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Keine Synchronisierung über getaktete VerbindungenAktiviert
Kennwörter nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung von Kennwörtern ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Personalisierung nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung der Personalisierung ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Starteinstellungen nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung des Startlayouts ermöglichenDeaktiviert
RichtlinieEinstellungKommentar
Weitere Windows-Einstellungen nicht synchronisierenAktiviert
Benutzern das Einschalten der Synchronisierung weiterer Windows-Einstellungen ermöglichenDeaktiviert
Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Seite "Erweitert"
RichtlinieEinstellungKommentar
Unterstützung der Verschlüsselung deaktivierenAktiviert
Kombinationen von sicheren ProtokollenNur TLS 1.2 verwenden
Windows-Komponenten/Kamera
RichtlinieEinstellungKommentar
Kameraverwendung zulassenDeaktiviert
Windows-Komponenten/Karten
RichtlinieEinstellungKommentar
Automatische Downloads und Updates von Kartendaten deaktivierenAktiviert
Nicht angeforderten Netzwerk-Datenverkehr auf der Einstellungsseite "Offlinekarten" deaktivierenAktiviert
Windows-Komponenten/Microsoft Defender Antivirus/MAPS
RichtlinieEinstellungKommentar
Beitritt zu Microsoft MAPSDeaktiviert
Dateibeispiele senden, wenn eine weitere Analyse erforderlich istDeaktiviert
Feature "Bei erster Anzeige blockieren" konfigurierenDeaktiviert
Konfigurieren der Außerkraftsetzung von lokalen Einstellungen für Berichte an Microsoft MAPSDeaktiviert
Windows-Komponenten/Microsoft Defender Antivirus/MpEngine
RichtlinieEinstellungKommentar
Cloudschutzebene auswählenDeaktiviert
Dateihash-Berechnungsfunktion aktivierenDeaktiviert
Windows-Komponenten/Microsoft Defender Antivirus/Scan
RichtlinieEinstellungKommentar
Erstellen eines SystemwiederherstellungspunktsAktiviert
Windows-Komponenten/Microsoft Defender Exploit Guard/Exploit-Schutz
RichtlinieEinstellungKommentar
Allgemeine Einstellungen für Exploit-Schutz verwendenAktiviert
Geben Sie den Ort (lokaler Pfad, UNC-Pfad oder URL) der XML-Konfigurationsdatei mit den Einstellungen für Risikominderung ein:\\Gallier.de\SYSVOL\Gallier.de\Policies\{66498888-5594-458A-9A8D-01507ACEE345}\EP-Rest.xml
Windows-Komponenten/Microsoft-Konto
RichtlinieEinstellungKommentar
Benutzerauthentifizierung von Microsoft-Konten aller Anwender blockierenAktiviert
Windows-Komponenten/OneDrive
RichtlinieEinstellungKommentar
Dokumente standardmäßig auf OneDrive speichernDeaktiviert
Verwendung von OneDrive für die Dateispeicherung verhindernAktiviert
Windows-Komponenten/OOBE
RichtlinieEinstellungKommentar
Oberfläche für Datenschutzeinstellung bei Benutzeranmeldung nicht startenAktiviert
Windows-Komponenten/Position und Sensoren
RichtlinieEinstellungKommentar
Speicherort deaktivierenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Druckerumleitung
RichtlinieEinstellungKommentar
Clientdruckerumleitung nicht zulassenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Geräte- und Ressourcenumleitung
RichtlinieEinstellungKommentar
COM-Anschlussumleitung nicht zulassenAktiviert
Keine Geräteumleitung für Smartcards zulassenAktiviert
Keine Umleitung von Videoaufnahmen zulassenAktiviert
Laufwerkumleitung nicht zulassenAktiviert
LPT-Anschlussumleitung nicht zulassenAktiviert
Umleitung bei unterstützten Plug & Play-Geräten nicht zulassenAktiviert
Umleitung der Audio- und Videowiedergabe zulassenAktiviert
Umleitung der Audioaufnahme zulassenAktiviert
Zeitzonenumleitung zulassenAktiviert
Zwischenablageumleitung nicht zulassenDeaktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
RichtlinieEinstellungKommentar
Bei der Verbindungsherstellung immer zur Kennworteingabe auffordernAktiviert
Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlichAktiviert
Sichere RPC-Kommunikation anfordernAktiviert
Verschlüsselungsstufe der Clientverbindung festlegenAktiviert
VerschlüsselungsstufeHöchste Stufe
Wählen Sie die Verschlüsselungsstufe aus der Dropdownliste aus.
RichtlinieEinstellungKommentar
Verwendung einer bestimmten Sicherheitsstufe für Remoteverbindungen (RDP) ist erforderlichAktiviert
SicherheitsstufeSSL
Wählen Sie in der Dropdownliste die Sicherheitsstufe aus.
RichtlinieEinstellungKommentar
Zertifikatvorlage für ServerauthentifizierungAktiviert
ZertifikatvorlagennamePKI-Template-SERVERAUTH
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sitzungszeitlimits
RichtlinieEinstellungKommentar
Zeitlimit für aktive, aber im Leerlauf befindliche Remotedesktopdienste-Sitzungen festlegenAktiviert
Sitzungslimit für Leerlaufsitzung:15 Minuten
RichtlinieEinstellungKommentar
Zeitlimit für getrennte Sitzungen festlegenAktiviert
Getrennte Sitzung beenden15 Minuten
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Verbindungen
RichtlinieEinstellungKommentar
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client
RichtlinieEinstellungKommentar
Serverauthentifizierung für Client konfigurierenAktiviert
Authentifizierungseinstellung:Keine Verbindung, wenn Authentifizierung fehlschlägt
RichtlinieEinstellungKommentar
Speichern von Kennwörtern nicht zulassenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client/RemoteFX USB-Geräteumleitung
RichtlinieEinstellungKommentar
RDP-Umleitung für andere unterstützte RemoteFX USB-Geräte auf diesem Computer zulassenDeaktiviert
Windows-Komponenten/Richtlinien für die automatische Wiedergabe
RichtlinieEinstellungKommentar
Automatische Wiedergabe für andere Geräte als Volumes nicht zulassenAktiviert
Autoplay deaktivierenAktiviert
Automatische Wiedergabe deaktivieren auf:Alle Laufwerke
RichtlinieEinstellungKommentar
Standardverhalten von AutoAusführen festlegenAktiviert
AutoAusführen-StandardverhaltenKeine AutoAusführen-Befehle ausführen
Windows-Komponenten/Softwareschutz-Plattform
RichtlinieEinstellungKommentar
AVS-Onlineüberprüfung für KMS-Client ausschaltenAktiviert
Windows-Komponenten/Store
RichtlinieEinstellungKommentar
Alle Apps aus dem Microsoft Store deaktivieren Aktiviert
Store-Anwendung deaktivierenAktiviert
Windows-Komponenten/Suche
RichtlinieEinstellungKommentar
Cloudsuche zulassenAktiviert
Einstellung für CloudsucheCloudsuche deaktivieren
RichtlinieEinstellungKommentar
Cortana auf Sperrbildschirm zulassenDeaktiviert
Cortana zulassenDeaktiviert
Der Suche und Cortana die Nutzung von Positionsdaten erlaubenDeaktiviert
Indizieren verschlüsselter Dateien zulassenDeaktiviert
Nicht im Web suchen und keine Webergebnisse in der Suche anzeigenAktiviert
Websuche nicht zulassenAktiviert
Windows-Komponenten/Texteingabe
RichtlinieEinstellungKommentar
Freihand- und Eingabeerkennung verbessernDeaktiviert
Windows-Komponenten/Übermittlungsoptimierung
RichtlinieEinstellungKommentar
DownloadmodusAktiviert
Downloadmodus:Überbrückung (100)
Windows-Komponenten/Verbinden
RichtlinieEinstellungKommentar
Projektion auf diesen PC nicht zulassenAktiviert
Windows-Komponenten/Windows Defender SmartScreen/Explorer
RichtlinieEinstellungKommentar
App Install Control konfigurierenDeaktiviert
Windows Defender SmartScreen konfigurierenDeaktiviert
Windows-Komponenten/Windows Installer
RichtlinieEinstellungKommentar
Benutzersteuerung bei Installationen zulassenDeaktiviert
Immer mit erhöhten Rechten installierenDeaktiviert
Windows-Komponenten/Windows PowerShell
RichtlinieEinstellungKommentar
Modulprotokollierung aktivierenAktiviert
Zum Aktivieren der Protokollierung für ein oder mehrere Module klicken Sie auf "Anzeigen", und geben Sie die Namen der Module in die Liste ein. Platzhalter werden nicht unterstützt.
Modulnamen
Microsoft.Powershell.*
Microsoft.WSMan.Management
Zum Aktivieren der Protokollierung für die Kernmodule von Windows PowerShell geben Sie die folgenden Modulnamen in die Liste ein:
Microsoft.PowerShell.*
Microsoft.WSMan.Management
RichtlinieEinstellungKommentar
PowerShell-Aufzeichnung aktivierenAktiviert
Verzeichnis der Aufzeichnungsausgabe%Windir%\Temp
Aufrufheader einschließen:Aktiviert
RichtlinieEinstellungKommentar
Protokollierung von PowerShell-Skriptblöcken aktivierenAktiviert
Start-/Stoppereignisse für den Aufruf von Skriptblöcken protokollieren:Deaktiviert
RichtlinieEinstellungKommentar
Skriptausführung aktivierenAktiviert
AusführungsrichtlinieNur signierte Skripts zulassen
Windows-Komponenten/Windows Update/Endbenutzeroberfläche verwalten
RichtlinieEinstellungKommentar
Automatische Updates konfigurierenAktiviert
Automatische Updates konfigurieren:4 - Autom. Herunterladen und laut Zeitplan installieren
Die folgenden Einstellungen sind nur erforderlich und anwendbar, wenn die Option 4 ausgewählt wurde.
Während automatischer Wartung installierenDeaktiviert
Geplanter Installationstag: 0 - Täglich
Geplante Installationszeit:03:00
Wenn Sie für den geplanten Installationstag "4 - Autom. herunterladen und laut Zeitplan installieren" ausgewählt und einen Zeitplan angegeben haben, können Sie mithilfe der folgenden Optionen Updates auch einmal pro Woche, alle zwei Wochen oder einmal pro Monat suchen lassen:
Jede WocheAktiviert
Erste Woche des MonatsDeaktiviert
Zweite Woche des MonatsDeaktiviert
Dritte Woche des MonatsDeaktiviert
Vierte Woche des MonatsDeaktiviert
Updates für andere Microsoft-Produkte installierenAktiviert
Windows-Komponenten/Windows Update/Legacy-Richtlinien
RichtlinieEinstellungKommentar
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sindAktiviert
Windows-Komponenten/Windows Update/Vom Windows Update angebotene Updates verwalten
RichtlinieEinstellungKommentar
Vorabversionen verwaltenDeaktiviert
Windows-Komponenten/Windows-Anmeldeoptionen
RichtlinieEinstellungKommentar
Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperrenDeaktiviert
Windows-Komponenten/Windows-Remoteverwaltung (Windows Remote Management, WinRM)/WinRM-Client
RichtlinieEinstellungKommentar
Basic-Authentifizierung zulassenDeaktiviert
Digest-Authentifizierung nicht zulassenAktiviert
Unverschlüsselten Verkehr zulassenDeaktiviert
Windows-Komponenten/Windows-Remoteverwaltung (Windows Remote Management, WinRM)/WinRM-Dienst
RichtlinieEinstellungKommentar
Basic-Authentifizierung zulassenAktiviert
Remoteserververwaltung über WinRM zulassenAktiviert
IPv4-Filter:*
IPv6-Filter:*
Syntax:
Geben Sie "*" ein, um Meldungen von allen IP-Adressen zuzulassen, oder lassen Sie
das Feld leer, um keine IP-Adressen zu überwachen. Sie können einen oder
mehrere Bereiche von IP-Adressen angeben.
Beispiel für IPv4-Filter:
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22
*
Beispiel für IPv6-Filter:
3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562
*
RichtlinieEinstellungKommentar
Speichern von RunAs-Anmeldeinformationen durch WinRM nicht zulassenAktiviert
Unverschlüsselten Verkehr zulassenDeaktiviert
Windows-Komponenten/Windows-Spielaufzeichnung und -übertragung
RichtlinieEinstellungKommentar
Aktiviert oder deaktiviert die Windows-Spielaufzeichnung und -übertragung.Deaktiviert
Zusätzl. Reg.-einst.
Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem.

EinstellungStatus
SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate2
SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168\Enabled0
SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\Enabled4294967295
SYSTEM\CurrentControlSet\Control\WMI\Autologger\Diagtrack-Listener\Start0
Einstellungen
Systemsteuerungseinstellungen
Lokale Benutzer und Gruppen
Benutzer (Name: DefaultAccount)
DefaultAccount (Reihenfolge: 1)
Lokaler Benutzer
AktionAktualisieren
Eigenschaften
BenutzernameDefaultAccount
Benutzer muss Kennwort bei der nächsten Anmeldung ändernWahr
Konto ist deaktiviert.Wahr
Konto läuft ab.Nie
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
Benutzer (Name: WDAGUtilityAccount)
WDAGUtilityAccount (Reihenfolge: 2)
Lokaler Benutzer
AktionAktualisieren
Eigenschaften
BenutzernameWDAGUtilityAccount
Benutzer muss Kennwort bei der nächsten Anmeldung ändernWahr
Konto ist deaktiviert.Wahr
Konto läuft ab.Nie
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
Geplante Aufgaben
Geplante Aufgabe (mindestens Windows 7) (Name: WinRM via HTTS - Zertifikat erforderlich)
WinRM via HTTS - Zertifikat erforderlich (Reihenfolge: 1)
Allgemein
AktionAktualisieren
Aufgabe
Name WinRM via HTTS - Zertifikat erforderlich
Autor Gallier\Scheff
Beschreibung
Nur ausführen, wenn der Benutzer angemeldet ist InteractiveToken
Benutzer-ID NT-AUTORITÄT\System
Mit höchsten Berechtigungen ausführen LeastPrivilege
Ausgeblendet Nein
Konfigurieren für 1.3
Aktiviert Ja
Trigger
1. Beim Start
Aktiviert Ja
Aktionen
1. Programm starten
Programm/Skript winrm quickconfig -transport:https -quiet
Einstellungen
Beenden, wenn der Computer nicht mehr im Leerlauf ist. Nein
Neustart beim Fortsetzen des Leerlaufs Nein
Aufgabe nur im Netzbetrieb starten Nein
Beenden, wenn der Computer in den Akkubetrieb wechselt. Nein
Aufgabe kann bei Bedarf ausgeführt werden Nein
Aufgabe beenden nach Sofort
Beenden der aktiven Aufgabe erzwingen, falls sie auf Aufforderung nicht beendet wird Nein
Folgende Regel anwenden, falls die Aufgabe bereits ausgeführt wird IgnoreNew
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
Benutzerkonfiguration (Aktiviert)
Richtlinien
Administrative Vorlagen
Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.
Startmenü und Taskleiste/Benachrichtigungen
RichtlinieEinstellungKommentar
Popupbenachrichtigungen auf gesperrtem Bildschirm deaktivierenAktiviert
Windows-Komponenten/Cloudinhalt
RichtlinieEinstellungKommentar
Blickpunktsammlung auf dem Desktop deaktivierenAktiviert
Features von Windows-Blickpunkt deaktivierenAktiviert
Keine Diagnosedaten zur Personalisierung der Benutzererfahrung verwendenAktiviert
Keine Inhalte von Drittanbietern in Windows-Blickpunkt vorschlagenAktiviert
Windows-Blickpunkt auf Sperrbildschirm konfigurierenDeaktiviert
Windows-Blickpunkt im Info-Center deaktivierenAktiviert
Windows-Blickpunkt in Einstellungen deaktivierenAktiviert
Windows-Willkommensseite deaktivierenAktiviert