Die Konfiguration von Gruppenrichtlinien (Group Policy Objects, GPOs) zählt zu den zentralen Aufgaben jeder professionellen Windows-Administration. Mit gezielten GPO-Einstellungen lassen sich Sicherheit, Datenschutz, Benutzerkomfort und Systemverfügbarkeit granular steuern – ob in kleinen Teams, mittelständischen Unternehmen oder großen Organisationen mit Tausenden Endpunkten. Der gezielte Einsatz dieser Richtlinien ist in Zeiten stetig wachsender Cyberbedrohungen, hybrider Arbeitsmodelle und regulatorischer Anforderungen essenziell, um den Schutz und die Funktionsfähigkeit der gesamten IT-Infrastruktur dauerhaft sicherzustellen.
Inhalt
- Gruppenrichtlinien als wichtiger Bestandteil der Windows-Sicherheit
- Tabelle für Sie als praxisnahes Nachschlagewerk
- Fundierte Auswahl – was gehört in eine zentrale GPO-Liste?
- Anwendung in der Praxis – Vorteile und typische Szenarien
- Wo finde ich den Gruppenrichtlinien-Editor und welche Voraussetzungen gelten?
Gruppenrichtlinien als wichtiger Bestandteil der Windows-Sicherheit
Windows-Gruppenrichtlinien haben einen äußerst hohen Stellenwert in jeder IT-Strategie, die sowohl auf Effizienz als auch auf Compliance und Risikominimierung setzt. Administratoren erhalten die Möglichkeit, zentrale Vorgaben zu erzwingen – vom Kennwortrichtlinien-Management über die Steuerung von Netzwerkfreigaben bis hin zur Konfiguration des Windows Defender oder der Deaktivierung von Legacy-Protokollen wie SMBv1. Besonders im Kontext von Homeoffice, Cloud-Migration und Mobilgeräten gewinnen granular einstellbare Gruppenrichtlinien weiter an Bedeutung, da sie verteilte Strukturen dennoch aus einer Hand kontrollierbar machen.
Die Herausforderung liegt dabei nicht in der schieren Zahl der verfügbaren Richtlinien – tatsächlich sind in modernen Windows-Umgebungen mehrere Tausend GPO-Settings möglich –, sondern in der gezielten Auswahl, Dokumentation und Umsetzung derjenigen Richtlinien, die wirklich entscheidend sind. Falsch konfigurierte oder nicht dokumentierte Gruppenrichtlinien führen schnell zu Sicherheitslücken, Produktivitätsverlusten oder Problemen bei Audits und Zertifizierungen.
Tabelle für Sie als praxisnahes Nachschlagewerk
Diese Tabelle dient als Nachschlagewerk, Kontrollliste und Grundlage für individuelle GPO-Konzepte.
| Richtlinienname | Pfad im GPO-Editor | Beschreibung | Empfohlene Einstellung | Registry-Äquivalent | Wirkung | Risiken bei Fehlkonfiguration |
|---|---|---|---|---|---|---|
| Bildschirmhintergrund sperren | Benutzkonfiguration\Administrative Vorlagen\Desktop\Desktop-Hintergrund festlegen | Verhindert Änderung des Wallpapers | Aktiviert (Unternehmensdesign) | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper | CI/CD, Datenschutz | Nutzerindividualisierung eingeschränkt |
| Änderung von Netzwerkeinstellungen durch User verhindern | Benutzkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Eigenschaften nicht anzeigen | Versteckt Netzwerkeigenschaften für normale User | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\Network Connections\NC_Properties | Schützt Konfiguration | User können keine Änderungen vornehmen |
| Anzeige der Energieoptionen im Startmenü ausblenden | Benutzkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Energieoptionen ausblenden | User können Energieoptionen nicht anpassen | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPowerOptions | Einheitliche Energiestrategie | Kein Energiesparmodus durch User |
| Zugriff auf Taskleisten-Kontextmenü sperren | Benutzkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Kontextmenüs der Taskleiste deaktivieren | Verhindert Anpassung über Rechtsklick | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu | Einheitliches UI | Geringere Benutzerfreundlichkeit |
| Zeigen von Vorschauen in der Taskleiste deaktivieren | Benutzkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Miniaturansichten und Vorschaufenster in Taskleiste deaktivieren | Kein Live-Preview bei Taskleisten-Hover | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ExtendedUIHoverTime | Datenschutz, Performance | Komfortverlust |
| Festlegung eines festen Startmenüs | Benutzkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Startmenülayout festlegen | Gibt ein Unternehmenslayout vor | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\Explorer\StartLayoutFile | Einheitliches Nutzererlebnis | Keine persönliche Anpassung mehr |
| Taskleistenanpassung verhindern | Benutzkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Taskleistenanpassung verhindern | Sperrt Taskleistenanpassung für User | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\Explorer\TaskbarNoUserCustomization | CI-Konformität, weniger Ablenkung | User können Taskleiste nicht individualisieren |
| Richtlinie zur Begrenzung der Bildschirmzeit | Benutzkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Zeitlimit für Bildschirmsperre | Erzwingt automatische Sperre bei Nichtnutzung | 10 Minuten | HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveTimeOut | Schutz vor Missbrauch | Komfortverlust |
| Festlegung des maximalen Bildschirmschoners | Benutzkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Bildschirmschoner erzwingen | Unternehmensbildschirmschoner festlegen | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveActive | Corporate Design, Datenschutz | User kann keinen eigenen Schoner setzen |
| Automatische Bildschirmsperre nach Inaktivität | Benutzkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Leerlaufzeit bis zur Sperre | Automatische Sperre nach Leerlaufzeit | 15 Minuten | HKCU\Control Panel\Desktop\ScreenSaveTimeOut | Verhindert unbefugten Zugriff | Zu kurze Zeit kann stören |
| Task-Manager deaktivieren | Benutzkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Task-Manager entfernen | Entfernt Zugriff auf Task-Manager | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr | Schutz vor Prozessmanipulation | Keine Fehlerbehebung durch Nutzer |
| Entfernen von Laufwerken: Zugriff auf Wechselmedien verbieten | Benutzkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff | Verhindert die Nutzung von USB-Laufwerken etc. | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\Deny_All | Schutz vor Datenabfluss | Kann legitime Nutzung verhindern |
| Verhindern des Zugriffs auf Befehlszeile (CMD) | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf die Eingabeaufforderung verhindern | Blockiert CMD-Zugriff für Benutzer | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD | Schutz vor unerlaubten Scripts | Keine Batchjobs/Fehlersuche möglich |
| Zugriff auf die Einstellungen-App beschränken | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf Einstellungen-App verhindern | Kein Zugriff auf Windows-Settings | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSettings | Verhindert Fehlbedienung | Keine Anpassung möglich |
| Benutzerzugriff auf Ereignisanzeige verhindern | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf Ereignisanzeige verhindern | Keine Einsicht in Windows-Eventlogs | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableEventViewer | Datenschutz | Fehlersuche erschwert |
| Zugriff auf Registry-Editor verbieten | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf Registrierungs-Editor verhindern | Sperrt regedit.exe für User | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools | Schutz vor Manipulation | Keine manuelle Korrektur möglich |
| Deaktivieren des Zugriffs auf Systeminformationen | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf Systeminformationen verhindern | Blendet msinfo32.exe aus | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoMsInfo | Verhindert Datenabfluss | Kein Einblick in Hardware/Software |
| Zugriff auf Systemsteuerung verhindern | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf Systemsteuerung und PC-Einstellungen verweigern | Blockiert Control Panel und Settings | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel | Schutz vor Fehlkonfiguration | Keine Anpassung durch User |
| Zugriff auf alte Systemsteuerung verhindern | Benutzkonfiguration\Administrative Vorlagen\System\Zugriff auf Systemsteuerung und PC-Einstellungen verweigern | Blendet klassische Systemsteuerung aus | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel | GPO-Only-Konfiguration | User können keine System-Settings ändern |
| Zugriff auf Laufwerksverschlüsselung für Nutzer verbieten | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Zugriff auf BitLocker-Einstellungen verhindern | Verhindert Manipulation an BitLocker | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\BitLocker\DisableUserSettings | Einheitliche Verschlüsselungspraxis | Kein Nutzer-Self-Service |
| Sperren der Änderung von Proxy-Einstellungen | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Proxy-Einstellungen sperren | Verhindert Nutzeränderungen am Proxy | Aktiviert | HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\Proxy | Kontrolle des Web-Traffics | User können ggf. nicht ins Netz |
| Zugriff auf Windows-Sicherheitscenter verhindern | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Sicherheitscenter\Zugriff verhindern | Kein Zugriff auf Sicherheitsstatus | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSecurityCenter | Weniger Fehlbedienung | Fehlendes Nutzerfeedback zu AV-Status |
| Anzeige von Dateiendungen erzwingen | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Bekannte Dateitypen nicht ausblenden | Zeigt Dateiendungen immer an | Deaktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt | Schutz vor Social Engineering | Benutzer verwirrt bei ungewöhnlichen Extensions |
| Entfernen des CD-/DVD-Laufwerks aus Explorer | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\CD- und DVD-Laufwerke ausblenden | Blendet optische Laufwerke aus | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives | Schutz vor Medienverlust | Kein Zugriff auf Datenträger |
| Anzeige der Laufwerksbelegung im Explorer deaktivieren | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Laufwerksbelegung nicht anzeigen | Keine Balkenanzeige mehr | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowDriveUsage | Datenschutz, weniger Ablenkung | Weniger Übersicht für User |
| Nutzung des Papierkorbs deaktivieren | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Papierkorb deaktivieren | Dateien werden direkt gelöscht | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecycleBin | Reduziert Datenrückgewinnung | Kein versehentliches Restore |
| Windows Explorer: Verbergen der Schnellzugriffsleiste | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Schnellzugriff deaktivieren | Kein Schnellzugriff mehr | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\LaunchTo | Mehr Datenschutz | Geringere Usability |
| Windows Explorer: Zugriff auf Systemlaufwerk verhindern | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Zugriff auf Laufwerk C: verhindern | Zugriff auf Systemlaufwerk C: verhindern | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive | Schutz vor Datenmanipulation | Programme mit Schreibbedarf können scheitern |
| Windows Explorer: Zugriff auf Laufwerk C: verhindern | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Zugriff auf Laufwerke im Arbeitsplatz verhindern | Verhindert Zugriff auf C: | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive | Schutz vor Datenabfluss | Programme können Fehler zeigen |
| Anzeige der zuletzt geöffneten Dateien deaktivieren | Benutzkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Zuletzt verwendete Dateien nicht anzeigen | Entfernt Verlauf im Explorer | Aktiviert | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackDocs | Datenschutz, Diskretionsschutz | Geringere Nutzerfreundlichkeit |
| Netzwerkdrucker automatisch verbinden verbieten | Computerkonfiguration\Administrative Vorlagen\Drucker\Automatische Druckerinstallation verhindern | User bekommen keine Auto-Drucker | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\DoNotAutoInstall | Weniger Wildwuchs | IT muss manuell zuweisen |
| Sperren des Druckens aus bestimmten Anwendungen | Computerkonfiguration\Administrative Vorlagen\Drucker\Druck aus bestimmten Apps verbieten | Blockiert Drucken aus WordPad, Paint etc. | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisallowPrintFromApp | Datenschutz, Printkontrolle | Geringere Flexibilität |
| Windows-Druckspooler deaktivieren | Computerkonfiguration\Administrative Vorlagen\Drucker\Druckspooler-Dienst starten | Deaktiviert Print Spooler für erhöhte Sicherheit | Deaktiviert | HKLM\SYSTEM\CurrentControlSet\Services\Spooler\Start | Schutz vor PrintNightmare | Kein Drucken möglich |
| Druckerfreigabe im Netzwerk deaktivieren | Computerkonfiguration\Administrative Vorlagen\Drucker\Freigabe von Druckern verhindern | Keine Netzwerkdruckerfreigabe | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks | Minimiert Angriffsfläche | Kein Netzwerkdruck |
| Installation von Druckertreibern durch Benutzer verhindern | Computerkonfiguration\Administrative Vorlagen\Drucker\Installation von Druckertreibern durch Benutzer verhindern | Nur Admin darf Treiber hinzufügen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\NoPromptForInstall | Schutz vor manipulierten Treibern | User kann keine Drucker nutzen |
| Einbinden neuer Netzwerkdrucker durch User verhindern | Computerkonfiguration\Administrative Vorlagen\Drucker\Installation von Netzwerkdruckern verhindern | User können keine Netzwerkdrucker hinzufügen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableAddition | Kontrollierte Druckerumgebung | User können keine neuen Drucker nutzen |
| Druck über Internet deaktivieren | Computerkonfiguration\Administrative Vorlagen\Drucker\Internetdruck deaktivieren | Kein Drucken über Internet Printing Protocol | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableHTTPPrinting | Minimiert Angriffsvektor | Kein Druck über Web möglich |
| Office: Ausführung von Makros generell verbieten | Computerkonfiguration\Administrative Vorlagen\Microsoft Office [Version]\Sicherheit\Makros deaktivieren | Kein VBA, kein automatisches Script | Aktiviert | HKCU\Software\Policies\Microsoft\Office[Version]\Word\Security\VBAWarnings | Schutz vor Office-Malware | Einschränkung legitimer Makros |
| Sicherheitswarnungen für Makros in Office deaktivieren | Computerkonfiguration\Administrative Vorlagen\Microsoft Office [Version]\Sicherheitseinstellungen\Makroeinstellungen | Erzwingt Makro-Sicherheitswarnungen | Aktiviert | HKCU\Software\Policies\Microsoft\Office[Version]\Word\Security\VBAWarnings | Schutz vor Office-Malware | Legitime Makros blockiert |
| OneDrive als Speicherort in Office deaktivieren | Computerkonfiguration\Administrative Vorlagen\Microsoft Office [Version]\Speicherorte\OneDrive deaktivieren | Kein OneDrive-Button in Office | Aktiviert | HKCU\Software\Policies\Microsoft\Office[Version]\Common\OneDrive | Verhindert Cloud-Abfluss | Weniger Backup-Möglichkeiten |
| Verhindern der Nutzung von AirDrop/Funkübertragung | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Funkübertragungen deaktivieren | Keine Geräte-Kopplung über Funk | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\AirDrop\DisableAirDrop | Schutz vor Datenabfluss | Kein File-Sharing per Funk |
| Internetverbindung über getaktete Netzwerke deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Getaktete Verbindungen deaktivieren | Blockiert Nutzung von mobilen Daten | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WwanSvc\DisableMeteredNetwork | Kostenkontrolle | Kein Fallback bei WAN-Problemen |
| Netzwerk: Gastzugriff auf SMB-Shares verweigern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman-Arbeitsstation\Unsicheren Gast-Login deaktivieren | Verhindert anonyme SMB-Verbindungen | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowInsecureGuestAuth | Schutz vor SMB-Exploits | Alte Geräte/Scanner inkompatibel |
| Netzwerkfreigaben (SMB) deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman-Server\SMB-Freigaben deaktivieren | Keine Netzwerkfreigaben mehr möglich | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer | Schutz vor lateral Movement | Kein LAN-Dateiaustausch |
| Automatische Verbindung zu mobilen Datennetzen verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Mobile Datennetze\Automatische Verbindung verhindern | Kein automatischer SIM-Netz-Connect | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WwanSvc\NoAutoConnect | Kontrolle Mobilfunk-Kosten | Manuelles Einschalten erforderlich |
| Einfache Dateifreigabe deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerk- und Freigabecenter\Einfache Dateifreigabe deaktivieren | Erhöht Sicherheit bei Netzwerkfreigaben | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ForceGuest | Zugriffskontrolle auf NTFS-Basis | Benutzer können Freigaben nicht mehr einfach nutzen |
| Netzwerkerkennung deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkerkennung deaktivieren | Unterbindet automatische Netzwerkerkennung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA | Schutz vor Netzwerkausspähung | Peer-to-Peer-Funktionen eingeschränkt |
| Geräteerkennung im Netzwerk verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkerkennung deaktivieren | Gerät erscheint nicht in Netzwerksuche | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA | Höherer Schutz vor Scans | Kein komfortabler Netzwerkzugriff |
| Zugriff auf Netzlaufwerke nur im VPN zulassen | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Netzlaufwerke nur bei VPN | Freigaben nur mit VPN nutzbar | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI | Schutz vor ungesichertem Zugriff | Kein Zugriff außerhalb VPN |
| Netzwerkstandort auf „Privat“ setzen | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Netzwerkstandort erzwingen | Verhindert versehentliche öffentliche Netzwerke | Privat | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost | Stärkere Firewallregeln im öffentlichen WLAN | Kann VPN-Verbindungen einschränken |
| Benutzerdefinierte Netzwerkprofile erzwingen | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Vorgegebene Profile verwenden | Festes Netzwerkprofil, keine Änderung durch User | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost | Einheitliche Firewallregeln | Keine Nutzerindividualisierung |
| USB-Modem-Nutzung verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Verbindungen\USB-Modem deaktivieren | Kein Internet via UMTS-Stick | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowModem | Schutz vor unkontrollierten Verbindungen | Kein Notfall-Internet |
| USB-Tethering verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\Verbindungen\USB-Tethering deaktivieren | Unterbindet Nutzung des Smartphones als Modem | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowTethering | Schutz vor unerwünschtem Netzzugang | Kein Notfallzugang via Smartphone |
| Automatische Verbindung zu Hotspots verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\Automatische Verbindung mit offenen Hotspots deaktivieren | Verhindert Auto-Connect zu nicht autorisierten WLANs | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fBlockAutoConnect | Höchste Sicherheit | Nutzer muss sich immer manuell verbinden |
| Automatische Verbindung zu offenen WLANs verbieten | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\Automatische Verbindung mit offenen Netzwerken verhindern | Blockiert Auto-Connect zu offenen WLANs | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fBlockNonDomain | Schutz vor Man-in-the-Middle | Nutzer muss sich immer manuell verbinden |
| Automatische Verbindung zu bekannten WLANs deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\Automatische Verbindung zu bekannten Netzwerken verhindern | Keine Auto-Connects mehr | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fBlockAutoConnect | Schutz vor WLAN-Attacken | Nutzerfreundlichkeit eingeschränkt |
| Speicherung von WLAN-Passwörtern im System deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\Speichern von Passwörtern verhindern | Keine WLAN-PWs im System | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy{GUID}\fBlockSavedPasswords | Schutz vor Credential-Theft | WLAN-Nutzung weniger komfortabel |
| Netzwerkverbindungen zu neuen, nicht autorisierten WLANs verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\Verbindungen mit nicht autorisierten Netzwerken verhindern | Verhindert Verbindungen zu unbekannten WLANs | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy{GUID}\fBlockNonPreferred | Schutz vor Rogue APs | Nutzung öffentlicher WLANs unmöglich |
| Internetverbindung über WLAN bei Desktop-PCs deaktivieren | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\WLAN bei Desktops deaktivieren | Keine WLAN-Nutzung an PCs | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\BlockWLANonEthernet | Netzwerksegmentierung, Sicherheit | Kein Fallback bei LAN-Ausfall |
| WLAN-Profiländerungen durch Benutzer verhindern | Computerkonfiguration\Administrative Vorlagen\Netzwerk\WLAN-Dienste\WLAN-Profile nicht änderbar | Nur Admin kann Profile anpassen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fBlockProfileChange | Kontrolle, weniger Fehlkonfigs | Kein Selbstmanagement für User |
| Anzeige von „Empfohlenen“ im Startmenü deaktivieren | Computerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Empfehlungen im Startmenü deaktivieren | Keine Vorschläge/Apps | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Explorer\HideRecommendedSection | Mehr Datenschutz | Weniger Übersicht für neue Apps |
| Benachrichtigungscenter deaktivieren | Computerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Info-Center entfernen | Entfernt Action Center | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\Explorer\DisableNotificationCenter | Reduziert Ablenkung, Datenschutz | Keine Systemmeldungen sichtbar |
| Anzeige der Computer-ID auf dem Anmeldebildschirm deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationen\Computer-ID ausblenden | Verhindert Geräteidentifizierung beim Login | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayMachineName | Datenschutz | IT-Support aufwändiger |
| Anzeigen des Netzwerkstatus im Anmeldebildschirm deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Anmeldeoptionen\Netzwerkstatusanzeige ausblenden | Keine Netzinfos auf Login-Screen | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayNetworkSelectionUI | Verhindert Infoleaks | Netzwerkprobleme schwerer behebbar |
| Anmeldung mit Bildcode verhindern | Computerkonfiguration\Administrative Vorlagen\System\Anmeldung mit Bildcode verhindern | Keine Bildcode-Logins möglich | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\BlockPicturePassword | Höhere Authentifizierungssicherheit | Komfortverlust für User |
| Microsoft-Konto-Anmeldung verhindern | Computerkonfiguration\Administrative Vorlagen\System\Anmeldung mit Microsoft-Konto verhindern | Unterbindet Anmeldung mit MSA | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\NoConnectedUser | Datenschutz, Verhinderung von Cloudbindung | Kein Zugriff auf Microsoft-Dienste |
| Microsoft-Konto für App-Login verbieten | Computerkonfiguration\Administrative Vorlagen\System\Anmeldung mit Microsoft-Konto verhindern | Keine Anmeldung von Apps mit Microsoft-Konto | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\NoConnectedUser | Datenschutz, weniger Cloudbindung | Kein Zugriff auf Microsoft-Dienste |
| Taskplaner deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Aufgabenplanung deaktivieren | Unterbindet Nutzung des Task Schedulers | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Task Scheduler\Disabled | Schutz vor persistenter Malware | Keine automatischen Tasks möglich |
| Benutzeranmeldung mit Bildcode deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Bildcode deaktivieren | Kein grafisches Passwort möglich | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\BlockPicturePassword | Erhöhte Authentifizierungssicherheit | Komfortverlust |
| Ausführen von .exe-Dateien aus Temp-Verzeichnissen verhindern | Computerkonfiguration\Administrative Vorlagen\System\Dateiausführungsrichtlinien\Ausführen von Programmen aus Temp blockieren | Blockiert Malware-Verhalten | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers | Erhöhte Sicherheit gegen Ransomware | Legitimes Setup kann scheitern |
| Automatisches Mounten neuer Datenträger verhindern | Computerkonfiguration\Administrative Vorlagen\System\Datenträger nicht automatisch bereitstellen | Verhindert das Auto-Mounten neuer Datenträger | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\MountMgr\NoAutoMount | Verhindert unerwünschte Laufwerke | Manuelles Mounten erforderlich |
| Anmeldung mit dynamischen Sperren verbieten | Computerkonfiguration\Administrative Vorlagen\System\Dynamische Sperre deaktivieren | Unterbindet Nutzung von Dynamic Lock (z. B. via Smartphone) | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableGoodbye | Weniger Angriffsfläche | Komfortverlust für mobile Nutzer |
| Energiesparmodus für PCs deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Energiesparmodus deaktivieren | Verhindert, dass PCs in Standby gehen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableSleep | Rechner bleiben permanent aktiv | Erhöhter Stromverbrauch |
| Einstellung von Energiesparplänen durch Benutzer verbieten | Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Energiesparplan-Konfiguration verhindern | Nur Admin kann Energiesparmodus setzen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Power\PowerSettings | Kontrollierter Energieverbrauch | Kein individuelles Energiemanagement |
| USB-Ports global deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Alle Installation von Geräten verhindern | Blockiert alle neuen USB-Geräte | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyAll | Schutz vor externer Malware | Geräte wie Tastaturen/Mäuse betroffen |
| Automatische Treiberinstallation deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Automatische Treiberinstallation verhindern | Verhindert automatische Treiberupdates | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Settings\DisableAutomaticDeviceInstallation | Verhindert ungeprüfte Treiber | Neue Hardware funktioniert evtl. nicht |
| USB-Datenträgerinstallation verbieten | Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Einschränkungen für Geräteinstallation | Verhindert Installation neuer USB-Geräte | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions | Schutz vor USB-Angriffen | Geräte können nicht nachträglich genutzt werden |
| Nur angemeldete Benutzer dürfen lokale Geräte verwenden | Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Einschränkungen für Geräteinstallation | Gerät nur für eingeloggte User nutzbar | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions | Schutz vor Gastbenutzung | Gastzugang zu Geräten nicht möglich |
| Ausschließlich von signierten Treibern erlauben | Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Nur signierte Treiber zulassen | Unsichere Treiber werden blockiert | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DriverSigning\Policy | Schutz vor Treiber-Malware | Alte Hardware kann ausfallen |
| Nutzung der Zwischenablage beschränken | Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien\Zugriff auf Zwischenablage steuern | Zugriff auf Clipboard kontrollieren | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\AllowClipboardHistory | Schutz vor Datenabfluss | Nutzerfreundlichkeit eingeschränkt |
| Internetzugriff auf Hilfe-Funktionen sperren | Computerkonfiguration\Administrative Vorlagen\System\Internetverbindung für Hilfe und Support verhindern | Keine Onlinehilfe erreichbar | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Assistance\Client\1.0\NoOnlineHelp | Datenschutz, kein Nachladen von Hilfedaten | Weniger aktuelle Hilfe, Support-Einschränkung |
| Automatische Erstellung von Administratorkonten verhindern | Computerkonfiguration\Administrative Vorlagen\System\Keine automatischen Administratorkonten | Keine auto. Anlage bei Setup | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoAutoAdminLogon | Schutz vor Default-Konten | Erschwerte Erstinstallation |
| System-Registry sichern verbieten | Computerkonfiguration\Administrative Vorlagen\System\Keine automatischen Sicherungen der Systemregistrierung | Keine Registry-Backups | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableRegistryBackup | Minimiert Speicherplatzbedarf | Kein Recovery über Registry möglich |
| Zugriff auf Microsoft-Konto-Funktionen verhindern | Computerkonfiguration\Administrative Vorlagen\System\Microsoft-Konto-Anmeldung verhindern | Deaktiviert alle Microsoft-Account-Features | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\NoConnectedUser | Datenschutz, Reduzierung Cloudbindung | Kein Store, kein Office 365 Login |
| Festlegen des Hintergrunds für den Anmeldebildschirm | Computerkonfiguration\Administrative Vorlagen\System\Personalisierung\Anmeldebildschirm-Hintergrundbild festlegen | Einheitliches CI/CD, Branding | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization\LockScreenImage | Corporate Design | User darf Bild nicht anpassen |
| Kamera auf Sperrbildschirm deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Personalisierung\Kamera auf Sperrbildschirm deaktivieren | Keine Kamera-Nutzung auf dem Sperrbildschirm | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization\NoLockScreenCamera | Schutz vor Spionage | Legitimer Login per Kamera nicht möglich |
| Benutzerdefinierte Sperrbildschirmbilder erzwingen | Computerkonfiguration\Administrative Vorlagen\System\Personalisierung\Sperrbildschirmbild erzwingen | Vorgabe eines Unternehmens-Lockscreens | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization\LockScreenImage | Einheitliches Corporate Design | Nutzer darf Bild nicht ändern |
| Festlegen eines Unternehmenslogos auf dem Sperrbildschirm | Computerkonfiguration\Administrative Vorlagen\System\Personalisierung\Unternehmenslogo auf Sperrbildschirm | Sperrbildschirm zeigt Firmenlogo | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization\LockScreenLogo | CI, Erkennbarkeit | Kein privates Bild möglich |
| Benutzeranmeldung mit QR-Code verhindern | Computerkonfiguration\Administrative Vorlagen\System\QR-Code Anmeldung deaktivieren | Kein QR-Login | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableQRLogin | Reduziert Angriffsfläche | Komfortverlust bei MDM |
| Remoteunterstützung deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Remoteunterstützung | Deaktiviert Windows-Remoteunterstützung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp | Verringert Angriffsfläche | Kein Support aus der Ferne möglich |
| Remoteunterstützung vollständig deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Remoteunterstützung deaktivieren | Sperrt Remotehilfe und Fernwartung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp | Verringert Angriffsfläche | Kein IT-Support per Fernzugriff |
| Automatische Installation von Sprachupdates verhindern | Computerkonfiguration\Administrative Vorlagen\System\Sprache\Automatische Sprachupdates verhindern | Blockiert automatische Sprachpaket-Updates | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Control Panel\International\BlockUserLanguageInstall | Einheitliche Umgebung, Stabilität | Weniger Mehrsprachigkeit |
| Installation von Sprachpaketen verhindern | Computerkonfiguration\Administrative Vorlagen\System\Sprache\Installation zusätzlicher Sprachpakete verhindern | Keine nachträgliche Lokalisierung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Control Panel\International\BlockUserLanguageInstall | Einheitliche Umgebung | Weniger Mehrsprachigkeit |
| Systemstart mit USB-Geräten verhindern | Computerkonfiguration\Administrative Vorlagen\System\Start von USB-Geräten verhindern | Kein Boot von USB möglich | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start | Schutz vor Angriffen per Boot-Stick | Kein Notfall-Boot via USB |
| Benutzer muss bei Bildschirmsperre erneut authentifizieren | Computerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Bei Reaktivierung Kennwort anfordern | Erzwingt Kennwort nach Sperre | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaverIsSecure | Schutz bei Abwesenheit | Komfortverlust |
| Bildschirmsperre bei Anmeldung erzwingen | Computerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Bildschirmsperre beim Anmelden | Direkt nach Login wird gesperrt | Aktiviert | HKCU\Software\Policies\Microsoft\Windows\System\ForceLockScreenOnLogon | Höchste Zugriffssicherheit | Zusätzlicher Schritt für Nutzer |
| Automatische Sperre bei Inaktivität erzwingen | Computerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Leerlaufzeit bis zur Sperre | Automatische Sitzungssperre nach X Minuten | 10–15 Minuten | HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveTimeOut | Reduziert Zugriff durch Dritte | Bei Präsentationen störend |
| Entfernen der Schaltfläche „Herunterfahren“ vom Login-Screen | Computerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Schaltfläche „Herunterfahren“ entfernen | Verhindert Herunterfahren vor Anmeldung | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon | Schutz vor physischem Zugriff | Kein kontrolliertes Herunterfahren möglich |
| Sperrbildschirm deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen\Sperrbildschirm nicht anzeigen | Entfernt Lock-Screen vor Login | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization\NoLockScreen | Schnellerer Zugriff | Verlust von Lock-Screen-Funktionen |
| Systemwiederherstellung deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Systemwiederherstellung deaktivieren | Verhindert Nutzung von Systemwiederherstellung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR | Schutz vor Angriffen auf Restore | Keine einfache Rücksetzung möglich |
| Starten des PCs über Netzwerk (Wake on LAN) verbieten | Computerkonfiguration\Administrative Vorlagen\System\Wake on LAN deaktivieren | Kein Netzstart möglich | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WOL\DisableWakeOnLAN | Schutz vor unerwünschtem Remotezugriff | Fernwartung schwieriger |
| USB-Zugriff komplett deaktivieren | Computerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff\Alle Wechselmedien: Zugriff verweigern | Verhindert jede Nutzung von USB-Sticks, Speicherkarten usw. | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\Deny_All | Maximale Datensicherheit | Kein legitimer USB-Zugriff mehr möglich |
| USB-Medien nur lesend zulassen | Computerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff\Nur Lesezugriff erlauben | Schreibzugriffe auf USB verhindern | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\Deny_Write | Schutz vor Datenabfluss, Malware | Kein legitimes Kopieren auf USB |
| Installation von Windows-Funktionen durch User verhindern | Computerkonfiguration\Administrative Vorlagen\System\Windows Features on Demand\Features-Installation verhindern | Keine optionale Komponenteninstallation | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations | Minimiert Angriffsfläche | Funktionserweiterungen nicht möglich |
| Sperren der Änderung von Zeit-/Datums-Einstellungen | Computerkonfiguration\Administrative Vorlagen\System\Windows-Zeitdienst\Ändern der Zeit/Datum verhindern | Nur Admin kann ändern | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\TimeZone\DisableTimeChange | Richtige Systemzeit, Compliance | Kein Workaround bei Zeitproblemen |
| Festlegen der Zeitzone durch Benutzer verhindern | Computerkonfiguration\Administrative Vorlagen\System\Windows-Zeitdienst\Ändern der Zeitzone verhindern | Verhindert Änderung der Zeitzone durch Nutzer | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\TimeZone\DisableTimeZoneChange | Korrekte Zeit für Logging | Nutzer können Zeitzone nicht anpassen |
| Aktivierung der Zwischenablageverlauf verhindern | Computerkonfiguration\Administrative Vorlagen\System\Zwischenablageverlauf deaktivieren | Clipboard-Historie nicht nutzbar | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\AllowClipboardHistory | Datenschutz, weniger Datenabfluss | Komfortverlust |
| Installation von Apps außerhalb des Microsoft Store verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\App-Installer | Nur Microsoft Store Apps zulassen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\AppInstaller\EnableAppInstaller | Minimiert Risiko durch Schatten-IT | Keine Legacy-Programme installierbar |
| Automatische Laufwerksbereitstellung deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\AutoPlay-Richtlinien\Automatische Wiedergabe deaktivieren | Unterbindet AutoPlay für Wechselmedien | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun | Reduziert Malware-Risiko | Komfortverlust für Anwender |
| Autoplay für alle Medien und Geräte deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\AutoPlay-Richtlinien\Automatische Wiedergabe deaktivieren | Kein automatisches Starten von Medien | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun | Schutz vor Malware-Infektion | Komfortverlust bei Medien |
| BitLocker: Verschlüsselung erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke | Setzt die Verschlüsselung aller Systemlaufwerke durch | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\FVE\FDVRequired | Schutz bei Geräteverlust | Datenzugriffsverlust bei Recovery-Problemen |
| Geräteverschlüsselung erzwingen (BitLocker) | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke | Erzwingt BitLocker-Verschlüsselung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\FVE\RDVEnabled | Schutz bei Geräteverlust | Datenverlust bei Recovery-Problemen |
| BitLocker: Pre-Boot-PIN erforderlich | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\PIN für Start erforderlich | Zusätzlicher Schutz bei Systemstart | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\FVE\UsePIN | Schutz gegen Diebstahl/Cloning | User darf PIN nicht vergessen |
| Geräteverschlüsselung nur mit TPM zulassen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Nur mit TPM zulassen | Erhöht Sicherheit beim Verschlüsseln | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\FVE\RequireActiveDirectoryBackup | Schützt vor physischen Angriffen | Alte Systeme ohne TPM inkompatibel |
| Geräteverschlüsselung auf Wechselmedien erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechselmedien | BitLocker für USB-Sticks & Co. erzwingen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\FVE\RDVEnforceBDE | Maximale Datensicherheit | Nutzung von nicht verschlüsselten Sticks nicht möglich |
| Bluetooth deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Bluetooth\Bluetooth deaktivieren | Deaktiviert Bluetooth-Geräte | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Bluetooth\AllowBluetooth | Schutz vor Funkangriffen | Kein kabelloses Zubehör |
| Synchronisation von Einstellungen über Geräte hinweg verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Geräteeinstellungssynchronisation verhindern | Keine User-Einstellungen in der Cloud | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\SettingSync\DisableSettingSync | Schutz vor Datenabfluss | Kein Komfort für Roaming-User |
| Synchronisierung von Kalender- und Kontaktdaten mit Cloud verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Synchronisation von Kalender/Kontakten deaktivieren | Keine Cloud-Sync für Outlook etc. | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\SettingSync\DisableSettingSyncUserOverride | Schutz vor Datenabfluss | Kein mobiler Abgleich von Kontakten |
| Keine Synchronisierung mit Cloudkonten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Synchronisierungseinstellungen deaktivieren | Sperrt Sync zu Microsoft-Konto | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\SettingSync\DisableSettingSync | Datenschutz, keine Cloud-Kopien | Kein geräteübergreifender Sync |
| Synchronisierungseinstellungen für Microsoft-Konten deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Synchronisierungseinstellungen deaktivieren | Kein Sync für Einstellungen, Passwörter etc. | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\SettingSync\DisableSettingSync | Datenschutz | Kein Geräte-übergreifender Komfort |
| Synchronisierung von Windows-Einstellungen zwischen Geräten verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Synchronisierungseinstellungen deaktivieren | Keine Sync-Funktion für Einstellungen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\SettingSync\DisableSettingSync | Datenschutz, Policy Enforcement | Kein Komfort für Roaming-User |
| Anzeigen von Microsoft-Konto-Vorschlägen deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Vorschläge für Microsoft-Konten deaktivieren | Keine Werbung für Microsoft-Konten | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableAccountSuggestions | Verhindert Ablenkung/Datenerhebung | Keine Hilfestellung für Account-Anlage |
| Windows Spotlight deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Windows Spotlight auf Sperrbildschirm deaktivieren | Keine Werbung/News auf Lockscreen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsSpotlightFeatures | Datenschutz, ruhiger Lockscreen | Keine dynamischen Sperrbildschirme mehr |
| Windows Spotlight auf allen Oberflächen deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Cloudinhalt\Windows Spotlight überall deaktivieren | Keine Werbung/News/Online-Inhalte | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsSpotlightFeatures | Datenschutz, weniger Ablenkung | Lockscreen bleibt statisch |
| Windows-Telemetrie konfigurieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datensammlung und Vorabversionen\Zulässiges Telemetrielevel | Steuert Umfang der Telemetriedaten | 0 (Sicherheitsrelevant) oder minimal | HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry | Datenschutz, Compliance | Fehlende Diagnosedaten bei Fehlern |
| Diagnose- und Feedbackdaten vollständig deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datensammlung und Vorabversionen\Zulässiges Telemetrielevel | Telemetrie auf 0 setzen | 0 | HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry | Maximaler Datenschutz | Eingeschränkte Fehlerdiagnose |
| Kamera für alle Anwendungen deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datenschutz\Kamera für alle Apps deaktivieren | Keine App-Zugriffe auf Kamera | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy\LetAppsAccessCamera | Maximale Privatsphäre | Keine Videokonferenzen |
| Datenschutz: Kamera deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datenschutz\Kamera zulassen | Deaktiviert Kamera systemweit | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Camera\AllowCamera | Schutz vor Spionage | Kein Videochat möglich |
| Datenschutz: Mikrofon deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datenschutz\Mikrofon zulassen | Mikrofon systemweit abschalten | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\AllowMicrophone | Schutz vor Abhören | Kein Audio in Calls, keine Diktate |
| Bildschirmabdruck-Funktion deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Datenschutz\Sperrtaste für Bildschirmabdruck deaktivieren | Deaktiviert die PrintScreen-Funktion | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenCamera | Schutz vor unerlaubtem Mitschnitt | Erschwert legitime Screenshots |
| DNS über HTTPS deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\DNS-Client\DNS-über-HTTPS-Einstellungen | Verbietet Nutzung von DoH | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DoHPolicy | Kontrolliert DNS-Traffic zentral | Verlust an Datenschutz beim Provider |
| Systemprotokolle nicht löschbar machen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolle\Löschen von Protokollen verhindern | Protokollmanipulation erschweren | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog\Retention | Forensische Sicherheit | Eventlog-Größe muss ausreichend bemessen werden |
| SmartScreen für Explorer erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Explorer\SmartScreen für Windows Explorer aktivieren | Schutz vor Phishing/Schadsoftware bei Downloads | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation | Reduziert Risiko durch Downloads | Fehlalarme bei internen Files |
| Hyper-V deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Hyper-V\Hyper-V-Plattform deaktivieren | Unterbindet Virtualisierung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Hyper-V\DisableHyperV | Reduziert Angriffsvektor | Keine VMs möglich |
| Sperren der Installation von Browser-Add-Ons | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Add-Ons deaktivieren | Keine Installation von Add-ons möglich | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions\NoExtensionManagement | Schutz vor unsicheren Plugins | Einschränkung legitimer Add-ons |
| Internet Explorer vollständig deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internet Explorer deaktivieren | Entfernt IE-Komponenten | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\DisableIE | Schließt kritischen Legacy-Angriffsvektor | Alte Webapps laufen ggf. nicht |
| Internet Explorer Einstellungen für Proxy verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Proxy-Einstellungen sperren | Keine Änderung der Proxy-Konfig | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Proxy | Kontrolle des Web-Traffics | Nutzer kann Netz ggf. nicht nutzen |
| Deaktivieren der Online-Kartendarstellung in Apps | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Maps\Onlinekarten deaktivieren | Keine Nachladefunktionen für Karten | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Maps\AllowOnlineMaps | Datenschutz | Weniger Komfort für Nutzer |
| Windows Defender: Echtzeit-Cloud-Schutz deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Cloud-Schutz | Keine Online-Prüfung bei AV-Scan | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent | Weniger Datenabfluss | Geringere Malware-Erkennung |
| Windows Defender Antivirus: Echtzeitschutz | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Echtzeitschutz | Steuert den Echtzeitschutz von Defender AV | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring | Schützt gegen Malware | Deaktiviert: Erhöhte Angriffsfläche |
| Windows Defender: Echtzeitschutz für Netzwerke | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Echtzeitschutz | Schutz bei Netzwerkzugriffen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring | Schützt vor Netzwerkangriffen | Geringere Erkennungsrate bei Aus |
| Windows Defender: Echtzeitschutz nicht deaktivierbar | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Echtzeitschutz darf nicht deaktiviert werden | Verhindert Abschalten durch User/Admin | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware | Durchgehender Schutz | Ausnahmen nicht möglich |
| Windows Defender: Manipulationsschutz aktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Manipulationsschutz | Schutz vor Abschalten des Virenscanners | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows Defender\Features\TamperProtection | Schutz vor Malware | Verwaltung über lokale Tools erschwert |
| Windows Defender: Cloud-Schutz aktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\MAPS | Aktiviert Defender-Cloud-Schutz | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent | Bessere Erkennung aktueller Malware | Datenschutzbedenken |
| Windows Defender: Übermittlung von Proben verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\MAPS\Automatische Probenübermittlung | Blockiert Übermittlung von Dateien an Microsoft | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent | Datenschutz, verhindert Datenabfluss | Erkennung neuer Malware ggf. eingeschränkt |
| Windows Defender: Automatische Übermittlung verdächtiger Dateien deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\MAPS\Automatische Probenübermittlung | Sammelt keine anonymen Proben mehr | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent | Datenschutz | Verringerte Zero-Day-Erkennung |
| Windows Defender: Scan aller Netzwerkdateien aktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Netzwerkdateien prüfen | Erzwingt Netzwerk-Scan | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanningNetworkFiles | Höchster Virenschutz | Performance bei langsamen LANs |
| Windows Defender: Überwachung von Netzwerkdateien deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Netzwerkdateiüberwachung | Prüft keine Netzlaufwerke | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanningNetworkFiles | Performancegewinn | Netzlaufwerke können Viren enthalten |
| Windows-Defender Offline-Scan deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Offline-Scan deaktivieren | Kein Neustart für Offline-AV-Scan | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableOfflineScan | Keine Unterbrechungen | Ggf. geringerer Malware-Schutz |
| Windows Defender: Schutz vor PUA/PUP aktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\PUA-Schutz | Erzwingt Blockierung unerwünschter Software | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection | Schutz vor Adware/Tools | False Positives bei legitimer Software |
| Windows Defender: Festlegen der Scanzeit | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Zeitplan für geplante Überprüfung | Zeitpunkt für regelmäßige Virenscans festlegen | Nach Lastprofil | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\ScheduleTime | Regelmäßige Kontrolle, geringe Störung | Risiko bei zu seltenen Scans |
| Windows Defender: Geplante Überprüfung erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Zeitpläne | Regelmäßige automatische Scans | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\ScheduleDay | Proaktive Malware-Erkennung | Systemressourcen bei alten PCs |
| Windows Defender: Geplante vollständige Scans erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Zeitpläne | Periodische vollständige Systemprüfung | Aktiviert, 1x pro Woche | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan\ScheduleDay | Durchgehender Schutz | Belastung älterer Geräte |
| Windows Defender: Download-Überprüfung für Browser erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender SmartScreen\SmartScreen für Microsoft Edge aktivieren | Schutz vor gefährlichen Downloads | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\SmartScreenEnabled | Schutz vor Malware | Eventuell Fehlalarme bei Custom-Downloads |
| Edge: Ausführung von Flash deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Adobe Flash zulassen | Flash vollständig deaktivieren | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\AllowFlash | Minimiert Angriffsfläche | Legacy-Websites können Fehler zeigen |
| Edge: Download von unsicheren Dateien blockieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Download-Blockierung unsicherer Dateien | Erzwingt Download-Blockade | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\DownloadRestrictions | Schutz vor Malware | Legitimer Download blockiert |
| Edge: Druckfunktion deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Druckfunktion deaktivieren | Kein Drucken über Browser | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\PrintingEnabled | Datenschutz, Druckkosten | Kein Ausdruck von Webseiten |
| Edge: Erweiterungen verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Erweiterungen nicht zulassen | Blockiert Add-ons und Extensions | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionsEnabled | Schutz vor unsicheren Add-ons | Weniger Funktionalität |
| Edge: InPrivate-Browsing deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\InPrivate-Browsing deaktivieren | Verhindert Nutzung privater Browserfenster | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\InPrivateModeAvailability | Nachvollziehbarkeit von Aktivitäten | Weniger Privatsphäre |
| SmartScreen für Microsoft Edge erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\SmartScreen für Microsoft Edge konfigurieren | Phishing- und Malware-Schutz für Edge | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter\Enabled | Reduziert Nutzergefahr | Blockiert ggf. interne Sites |
| Speicherung von Browser-Downloads in Cloud verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Speichern von Downloads in Cloud verhindern | Downloads werden nur lokal gespeichert | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\DownloadRestrictions | Datenschutz | Kein automatisches Backup |
| Speicherung von Passwörtern im Browser verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Speichern von Passwörtern verhindern | Edge speichert keine Passwörter | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\PasswordManagerEnabled | Verhindert Passwortdiebstahl | Nutzer muss Passwörter merken |
| Edge: Synchronisation von Favoriten deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Synchronisierung verhindern | Keine Cloud-Sync von Browserdaten | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\SyncDisabled | Datenschutz, keine externe Kopie | Kein geräteübergreifender Komfort |
| Edge: Deaktivierung der Passwortsynchronisation | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\Synchronisierung von Passwörtern verhindern | Kein Passwort-Cloud-Sync | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\PasswordManagerEnabled | Datenschutz, kein Abfluss | User muss PW manuell übertragen |
| Edge: WebRTC/IP-Leak-Schutz erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge\WebRTC-IP-Adressen nicht offenlegen | Verhindert IP-Leak über WebRTC | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Edge\WebRtcLocalHostIpHandlingPolicy | Schutz für VPN-/Proxy-User | Webanwendungen können eingeschränkt funktionieren |
| Deaktivieren von Near Share (Dateifreigabe via Funk) | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Near Share\Near Share deaktivieren | Keine Bluetooth-/WLAN-Dateifreigabe | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\NearShare\NearShareDisabled | Minimiert Angriffsfläche | Kein schnelles Filesharing |
| OneDrive-Nutzung verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\OneDrive\OneDrive für Dateispeicherung verhindern | Verhindert OneDrive als Speichermedium | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\OneDrive\DisableFileSyncNGSC | Datenschutz, Datenabfluss verhindern | Keine Cloud-Backups über OneDrive |
| Automatische Einrichtung von OneDrive verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\OneDrive\OneDrive Setup beim Anmelden verhindern | Unterbindet Autostart von OneDrive | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\OneDrive\DisableFileSyncNGSC | Minimiert Schatten-IT | Kein automatischer Cloud-Sync |
| Remotedesktop: Maximale Anzahl gleichzeitiger Verbindungen beschränken | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Maximale Verbindungen | Limit für gleichzeitige RDP-Verbindungen | 1 | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\MaxInstanceCount | Lizenz- und Sicherheitsschutz | Kein Multi-User-Betrieb |
| Protokollierung von Remote-Desktop-Sitzungen erzwingen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Protokollierung von Sitzungen aktivieren | Nachvollziehbarkeit aller RDP-Verbindungen | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\LogonEvents | Forensik, Auditing | Größere Eventlogs |
| Remotedesktop: Netzwerkebene Authentifizierung erforderlich | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungshost\Sicherheit\Netzwerkzugriff: NLA erzwingen | Erzwingt NLA für RDP | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication | Schutz vor RDP-Angriffen | Alte Clients können sich nicht verbinden |
| Remotesitzungen auf eine pro User begrenzen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopsitzungshost\Sitzungsanzahl begrenzen | Nur eine RDP-Sitzung je Nutzer | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\MaxInstanceCount | Lizenz- und Sicherheitsschutz | Weniger Flexibilität für Nutzer |
| Windows-Remotezugriff vollständig unterbinden | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotezugriff deaktivieren | Kein RDP, keine Fernwartung | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections | Maximale Angriffssicherheit | Kein Fernsupport mehr |
| Zeitlimit für Benutzersitzungen festlegen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Sitzungszeitlimit | Automatische Abmeldung nach Leerlauf | 60 Minuten | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\IdleWinStationPoolCount | Schützt vor Missbrauch | User werden ggf. ungewollt abgemeldet |
| Remotedesktop: Verbindungsversuche limitieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Verbindungsversuche limitieren | Limitiert Brute-Force auf RDP | Aktiviert, z. B. 3 Versuche | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\MaxFailedLogins | Schutz vor Angriffen | User werden schneller gesperrt |
| Entfernen des Zugriffs auf Remotedesktop-Einstellungen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Zugriff auf RDP-Konfiguration verweigern | Verhindert Änderung von RDP-Einstellungen | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\AllowRemoteRPC | RDP-Sicherheit | Notfall-Remotezugriff erschwert |
| Sicherung und Wiederherstellung deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Sicherung\Windows-Sicherung deaktivieren | Blockiert System-Backup und Wiederherstellung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Backup\DisableBackup | Schutz vor Datenabfluss, Policies | Keine Rücksicherung möglich |
| SMBv1 deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\SMB 1.0/CIFS | Deaktiviert das unsichere SMBv1-Protokoll | Deaktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 | Schutz vor WannaCry & Co | Alte Geräte/Scanner können ausfallen |
| Installieren von Windows-Store-Apps verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Store\Anwendungen installieren verhindern | Keine App-Installation aus dem Store | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\DisableStoreApps | Minimiert Schatten-IT | Keine Store-Nutzung durch User |
| Zugriff auf Windows Store für bestimmte Nutzergruppen beschränken | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Store\Nur autorisierte Nutzer | Nur bestimmte User dürfen den Store nutzen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore | Minimiert Schatten-IT | Legitimer Zugriff ggf. eingeschränkt |
| Windows Store deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Store\Store-Anwendung deaktivieren | Deaktiviert Microsoft Store | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore | Verhindert unerwünschte App-Installationen | Keine Updates für Store-Apps möglich |
| Microsoft Store vollständig deinstallieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Store\Store-Anwendung entfernen | Vollständiges Entfernen des Stores | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore | Keine App-Installationen durch User | Keine App-Updates, eingeschränkte Funktionen |
| Aktivierung von Drittanbieter-App-Stores verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Store\Zulassen von App-Quellen von Drittanbietern verhindern | Installation von Apps nur aus Microsoft Store | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\DisableThirdPartyApps | Schutz vor unsicherer Software | Weniger Auswahl an Apps |
| Windows-Suche deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche | Entfernt Windows-Suche | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowSearchToUseLocation | Datenschutz, Performance | Kein Zugriff auf Suchfunktionen |
| Anzeige von Cortana im Suchfeld deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche\Cortana auf Taskleiste deaktivieren | Keine Werbung/Einblendungen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortana | Datenschutz, weniger Ablenkung | Verlust Sprachsuche |
| Cortana deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche\Cortana zulassen | Deaktiviert Cortana-Sprachassistent | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortana | Reduziert Telemetrie | Verlust von Funktionen wie Diktat |
| Deaktivieren der Windows-Suche im Startmenü | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche\Suche im Startmenü deaktivieren | Keine Suche über Startmenü | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowSearchBoxInStartMenu | Datenschutz, Performance | Weniger Benutzerfreundlichkeit |
| Cortana-Zugriff auf Mikrofon verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche\Zugriff auf Mikrofon durch Cortana verhindern | Sperrt Cortana-Mikrofon | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortana | Datenschutz | Keine Sprachsuche möglich |
| Windows Updates über Peer-to-Peer deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung\Downloads von anderen PCs zulassen | Keine Updateverteilung im LAN/Internet | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization\DODownloadMode | Weniger Bandbreitenverbrauch | Höhere Auslastung von WAN |
| Hintergrundübertragungen von Windows Update einschränken | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung\Hintergrundübertragungen begrenzen | Limit Bandbreite für Updates | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization\DODownloadMode | Stabilere Leitungen | Updates verzögern sich |
| Exploit-Schutz konfigurieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Exploit Guard\Exploit-Schutz | Konfiguration von systemweiten Exploit-Mitigations | Nach Empfehlung | HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Exploit Guard\Exploit Protection | Reduziert Zero-Day-Risiko | Falschkonfig. kann Programme blockieren |
| Windows Hello for Business: Verwendung von biometrischen Daten zulassen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business | Erlaubt biometrische Authentifizierung | Nach Sicherheitslage | HKLM\SOFTWARE\Policies\Microsoft\Biometrics\Enabled | Komfortable Anmeldung | Biometrie kann Angriffsvektor sein |
| Anmeldung mit Fingerabdruck verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business\Biometrische Anmeldung zulassen | Sperrt Biometrie-Login | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Biometrics\Enabled | Datenschutz, weniger Angriffspunkte | Komfortverlust |
| Windows Hello for Business: Gesichts-Login deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business\Gesichtslogin deaktivieren | Kein Face Recognition | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Biometrics\FacialFeatures | Schutz vor biometrischer Ausnutzung | Komfortverlust |
| Anmeldung mit PIN verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business\PIN-Anmeldung zulassen | Verbietet Anmeldung per PIN | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\PassportForWork\PINComplexity | Reduziert Angriffsfläche | Komfortverlust |
| Anmeldung mit Sicherheitsschlüssel (FIDO2) verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business\Sicherheitsschlüsselanmeldung deaktivieren | Kein Login via USB-Key | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\FIDO\DisableSecurityKeySignIn | Weniger Risiko bei Verlust | Kein Komfort mit FIDO2 |
| Multifaktor-Authentifizierung fordern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business\Zwei-Faktor-Authentifizierung | Zwingt zur Verwendung von MFA | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\PassportForWork\RequireSecurityDevice | Stärkt Zugangsschutz | Nutzungsbarriere bei fehlendem Gerät |
| Deaktivieren des Windows Ink Workspace | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Ink Workspace\Windows Ink Workspace zulassen | Unterbindet den Zugriff auf Stift-Funktionen und Whiteboard | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\WindowsInkWorkspace\AllowWindowsInkWorkspace | Minimiert Schatten-IT, Datenschutz | Kein digitaler Stift, kein Whiteboard |
| Software-Installation durch Benutzer verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Installer\Windows Installer deaktivieren | Verbietet Installation nicht genehmigter Software | Aktiviert | HKLM\Software\Policies\Microsoft\Windows\Installer\DisableMSI | Schutz vor Schatten-IT | Keine lokale Installation mehr möglich |
| Windows Installer komplett deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Installer\Windows Installer deaktivieren | Keine lokale Installation möglich | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI | Verhindert Schatten-IT | Keine Eigeninstallation, auch keine legitimen Tools |
| Verhindern der Ausführung von Windows PowerShell | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows PowerShell\Ausführung von PowerShell verhindern | Unterbindet Nutzung von PowerShell | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\EnableScripts | Schutz vor Scripting-Angriffen | Keine legitimen Automationen |
| Protokollierung von PowerShell-Befehlen aktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows PowerShell\Befehlsprotokollierung aktivieren | Erfasst PowerShell-Aktivitäten im Eventlog | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\EnableModuleLogging | IT-Forensik, Compliance | Protokollvolumen steigt |
| Windows-Remoteverwaltung deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Remote Management (WinRM)\WinRM-Dienst aktivieren | WinRM (Port 5985/5986) abschalten | Deaktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\AllowAutoConfig | Reduziert Angriffsfläche | Kein Remote-Mgmt möglich |
| Aktivierung von Windows Sandbox verbieten | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Sandbox\Windows Sandbox deaktivieren | Unterbindet Nutzung der Sandbox-Umgebung | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox\AllowSandbox | Schutz vor Schatten-IT | Kein sicherer Testrahmen |
| Windows-Update auf bestimmte Uhrzeit festlegen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Aktive Stunden festlegen | Definiert Zeitfenster für Updates/Neustarts | Geschäftsschlusszeiten | HKLM\SOFTWARE\Policies\Microsoft\WindowsUpdate\AU\ActiveHoursStart | Verhindert unerwünschte Neustarts | Verzögerte Updates bei zu langer Phase |
| Windows Update: Automatische Updates konfigurieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Automatische Updates konfigurieren | Steuert das Verhalten der automatischen Updates | 4 – Automatisch herunterladen und planen | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate | Gewährleistet Patch-Stand | Aus: Systeme werden ungepatcht |
| Windows Update: Funktionsupdates verzögern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Defer Upgrade | Verzögert die Installation von Feature-Updates | 120 Tage | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DeferFeatureUpdatesPeriodInDays | Stabilere Betriebsumgebung | Spätere Sicherheitsfeatures |
| Windows Update: Deinstallation von Updates durch Benutzer verhindern | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Entfernen von Updates verhindern | Verbietet Benutzern das Entfernen von Patches | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DisableWUNonAdmins | Stellt Patch-Compliance sicher | Keine Notfall-Deinstallation möglich |
| Windows-Updates: Nur signierte Updates zulassen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Erweiterte Optionen | Unsichere Updates blockieren | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AcceptTrustedPublisherCerts | Schutz vor manipulierten Updates | Eigene, interne Updates nicht möglich |
| Windows Update: Nur manuelle Suche erlauben | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Nur manuelle Updates | Automatische Updates deaktiviert | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate | Vollständige Kontrolle | Patches werden evtl. vergessen |
| Windows-Updates für andere Microsoft-Produkte deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Updates für andere Microsoft-Produkte deaktivieren | Verhindert Update-Download für Office & Co. | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowUpdateService | Minimiert Störfälle | Office & Co. bleiben ungepatcht |
| Windows-Updates nur bei AC-Betrieb zulassen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Updates nur bei Netzbetrieb | Blockiert Updates im Akkubetrieb | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AlwaysAutoRebootAtScheduledTime | Akkuschonung | Updates verzögern sich bei mobilen Geräten |
| Windows-Fehlerberichterstattung deaktivieren | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows-Fehlerberichterstattung\Fehlerberichterstattung deaktivieren | Verhindert automatische Fehlerberichte an Microsoft | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting\Disabled | Datenschutz, reduziert Datenabfluss | Keine automatische Fehleranalyse durch Microsoft |
| Nur genehmigte Windows-Apps zulassen (AppLocker) | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien\AppLocker | Nur signierte/zugelassene Programme laufen | Aktiviert | HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2 | Schutz vor unerwünschter Software | Ggf. legitime Programme blockiert |
| Kennwortrichtlinien: Mindestlänge | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien | Mindestlänge von Kennwörtern | 12 Zeichen | HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MinimumPasswordLength | Erhöht Sicherheit | Zu hohe Werte können Nutzer überfordern |
| Passwortkomplexitätsanforderungen erzwingen | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien\Kennwort muss Komplexitätsvoraussetzungen erfüllen | Komplexe Kennwörter (Groß/Klein, Ziffern, Sonderzeichen) | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\PasswordComplexity | Erhöht Passwortsicherheit | Benutzerwiderstand bei schwierigen Passwörtern |
| Passwort-Ablaufrichtlinie | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien\Maximales Kennwortalter | Legt fest, wie oft Kennwörter gewechselt werden müssen | 90 Tage | HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge | Erhöht Passwortsicherheit | Zu kurze Zeiträume erzeugen Widerstand |
| Passwortwiederverwendung verbieten | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortverlauf erzwingen | Keine Wiederholung alter Kennwörter | Mind. 24 Passwörter merken | HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\PasswordHistorySize | Passwortsicherheit | Nutzerunzufriedenheit |
| Anmeldung: Anmeldeinformationen nicht zwischenspeichern | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Verhindert das Zwischenspeichern von Anmeldeinformationen auf dem lokalen Computer | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds | Reduziert Diebstahlrisiko von Hashes | Offline-Anmeldung nicht möglich |
| Interaktive Anmeldung: Maschinenkontenkennwort-Maximalalter | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Legt fest, wie oft das Computerkonto-Passwort geändert werden muss | 30 Tage | HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge | Erhöht AD-Sicherheit | Zu niedriger Wert kann Verbindungsprobleme verursachen |
| Netzwerkzugriff: Lokale Benutzerkonten nur für Konsolenanmeldung zulassen | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Verhindert Remoteanmeldung mit lokalen Konten | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse | Verhindert Brute-Force-Angriffe | Notfall-Remotezugriff eingeschränkt |
| Lokale Administratorkonten umbenennen | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Erschwert Angriffe auf Standardkonten | Eigenes Kennwort | HKLM\SAM\SAM\Domains\Account\Users\Names | Erhöht Angriffsaufwand | Benutzerverwirrung möglich |
| Benutzerkontensteuerung: Administratorgenehmigungsmodus | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Aktiviert UAC für Administratoren | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA | Erhöht Schutz vor Eskalation | Kompatibilität mit älteren Anwendungen |
| Anmeldung: Anzeige letzter Benutzername deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Verhindert Anzeige des letzten Benutzers beim Login | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName | Erhöht Datenschutz | Geringe Benutzerfreundlichkeit |
| Anmeldung: Keine leeren Kennwörter | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Erzwingt, dass Konten mit leeren Passwörtern sich nicht anmelden dürfen | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse | Minimiert Brute-Force-Risiko | Keine |
| Netzwerkzugriff: Freigabe von C$ und ADMIN$ deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Entfernt Standardfreigaben | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks | Minimiert Angriffspotenzial | Remote-Admin nicht möglich |
| Anmeldung nur mit Smartcard erlauben | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Erzwingt Smartcard-Login | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption | Höchste Zugangssicherheit | Kein Login bei Smartcard-Verlust |
| Netzwerkzugriff: Anonyme SID-/Namensübersetzung verweigern | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Erhöht AD-Sicherheit | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM | Reduziert Ausspähpotenzial | Geringe Auswirkungen |
| Lokales Speichern von Anmeldeinformationen deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Anmeldeinformationen lokal nicht speichern | Keine Caching von Credentials | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds | Reduziert Credential Theft | Kein Offline-Login |
| Automatische Anmeldung deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Automatische Anmeldung | Jeder Login erfordert Authentifizierung | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon | Keine Auto-Logins | Komfortverlust für Einzelplatznutzer |
| Benutzerkontensteuerung: Admin Approval Mode deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Benutzerkontensteuerung: Admin Approval Mode für Administratoren im Admin Approval Mode | Deaktiviert erhöhten Schutz für Admins | Deaktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin | Reduziert Sicherheitsniveau | Admins können System kompromittieren |
| Erstellen und Anmelden lokaler Konten verhindern | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Erstellung und Anmeldung lokaler Konten verhindern | Ausschließlich Domänenkonten erlaubt | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LimitLocalAccountUse | Einheitliches Identity Mgmt | Kein Notfall-Lokalkonto |
| Anzeige von Benutzernamen auf Sperrbildschirm deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Keine Benutzeranzeige beim Sperrbildschirm | Verhindert Anzeige von Usernamen | Aktiviert | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName | Datenschutz | Benutzerfreundlichkeit leidet |
| Anmeldung nur mit Domänenkonten erlauben | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Nur Domänenkonten zulassen | Nur Domänenuser können sich anmelden | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LimitLocalAccountUse | AD-Kontrolle, Auditing | Kein Notfallzugang über lokale Konten |
| Temporäre Konten verhindern | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Temporäre Konten verhindern | Kein temporärer Login möglich | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LimitGuestAccountUse | Höchste Authentizität | Notfalloption entfällt |
| Netzwerkzugriff: Verschlüsselung von Netzwerkdaten erzwingen | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Verschlüsselung erzwingen | Schützt Datenverkehr im LAN | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature | Erhöht Sicherheit | Alte Geräte inkompatibel |
| Gastkonto deaktivieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten | Schließt das Gastkonto aus | Deaktiviert | HKLM\SAM\SAM\Domains\Account\Users\Names\Guest | Minimiert Missbrauchsgefahr | Kein Notfallzugang über Gast |
| Netzwerkzugriff: Nicht-Administratoren Zugriff auf das System verweigern | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten | Erlaubt Netzwerkzugriff nur für Admins | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous | Schutz vor Netzwerkbrücken | Remote-Support ggf. erschwert |
| Firewall: Alle eingehenden Verbindungen blockieren | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows Defender Firewall mit erweiterter Sicherheit | Standardmäßig alle Verbindungen blockieren | Aktiviert | HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy | Maximale Angriffsminderung | Netzwerkdienste funktionieren nicht |
Fundierte Auswahl – was gehört in eine zentrale GPO-Liste?
Eine umfassende Übersicht der wichtigsten Gruppenrichtlinien bietet nicht nur Orientierung, sondern ist in vielen Umgebungen auch Grundlage für regelmäßige Reviews und das Risikomanagement. Im Mittelpunkt stehen folgende Aspekte:
- Sicherheit und Datenschutz: Richtlinien zur Härtung von Benutzerkonten, zur Minimierung von Angriffsflächen und zum Schutz sensibler Daten.
- Betriebsstabilität und Systemverfügbarkeit: Steuerung von Updates, Zugriffsrechten, Backup- und Recovery-Optionen.
- Compliance und Nachvollziehbarkeit: Protokollierungs- und Überwachungsrichtlinien, die sowohl interne Anforderungen als auch externe Regularien erfüllen.
- Benutzerkomfort und Produktivität: Vorgaben für Desktops, Taskleisten, Zugriffsmöglichkeiten und Anwendungen, die den Anwendern eine sichere, dennoch möglichst reibungslose Arbeitsumgebung bieten.
Im Rahmen dieses Beitrags wurden die 200 wichtigsten, technisch dokumentierten Gruppenrichtlinien für Windows 10 und Windows 11 sorgfältig selektiert und in einer strukturierten Tabelle zusammengefasst. Jede Richtlinie ist mit Name, GPO-Pfad, Beschreibung, empfohlener Einstellung, Registry-Äquivalent, Betriebssystem-Version, Wirkung und Risiken bei Fehlkonfiguration gelistet. Das Ziel ist es, Administratoren eine sofort nutzbare, maximal praxisnahe und fehlerfreie Referenz für die tägliche Arbeit an die Hand zu geben.
Anwendung in der Praxis – Vorteile und typische Szenarien
Die nachfolgende Tabelle ermöglicht IT-Verantwortlichen, für jede Umgebung die passende Balance zwischen Sicherheit, Flexibilität und Benutzerfreundlichkeit herzustellen. Typische Anwendungsszenarien umfassen:
- Rollout neuer Systeme: Durch klare GPO-Vorgaben werden neue Clients oder Server automatisiert gemäß den definierten Standards konfiguriert.
- Absicherung von Remote-Arbeitsplätzen: Sicherheitsrelevante Richtlinien wie BitLocker-Erzwingung, Deaktivierung von Wechseldatenträgern oder Einschränkungen beim Zugriff auf Systemeinstellungen verhindern Datenabfluss und Malware-Befall auch außerhalb des Firmennetzwerks.
- Vorbereitung auf Audits: Die vollständige Dokumentation aller aktivierten GPOs samt Registry-Äquivalent und Risikoanalyse unterstützt bei externen und internen Überprüfungen.
- Regelmäßige Reviews: Durch eine aktuelle Übersicht aller zentralen Richtlinien lassen sich Risiken, z. B. durch Änderungen bei Microsoft, neue Schwachstellen oder veränderte Geschäftsprozesse, zeitnah identifizieren und adressieren.
Wo finde ich den Gruppenrichtlinien-Editor und welche Voraussetzungen gelten?
Lokale Gruppenrichtlinien stehen unter Windows 10 und 11 ab der Pro-Edition zur Verfügung (Professional, Enterprise, Education). Die Home-Version bietet keinen offiziellen Zugang zum Gruppenrichtlinien-Editor.
- Der lokale Gruppenrichtlinien-Editor wird mit der Tastenkombination Windows-Taste + R und dem Befehl gpedit.msc aufgerufen.
- Im Editor lassen sich Einstellungen sowohl für den gesamten Computer (Computerkonfiguration) als auch für einzelne Nutzerprofile (Benutzerkonfiguration) zentral steuern.
In Unternehmensnetzwerken, in denen Active Directory eingesetzt wird, erfolgt die zentrale Steuerung über sogenannte Gruppenrichtlinienobjekte (GPOs). Diese GPOs werden nicht auf Einzelgeräten, sondern für ganze Benutzergruppen, Organisationseinheiten (OUs) oder Domänen zentral verwaltet.
Zentrale Verwaltung: Gruppenrichtlinien in der Unternehmenspraxis
Die zentrale Steuerung und Verteilung von Gruppenrichtlinien erfolgt über die Group Policy Management Console (GPMC), ein Standardwerkzeug auf Windows Server-Systemen mit installiertem Active Directory.
So funktioniert die zentrale Verwaltung in der Praxis:
- Voraussetzungen schaffen:
- Mindestens ein Domain Controller (Windows Server mit Active Directory).
- Administrative Berechtigungen für die GPO-Verwaltung.
- GPMC starten:
- Auf einem Server (oder Client mit den Remote Server Administration Tools) die „Gruppenrichtlinienverwaltung“ öffnen (gpmc.msc oder über den Server-Manager).
- Neue GPOs erstellen und konfigurieren:
- Im linken Bereich die Domänen- oder OU-Struktur aufklappen.
- Mit Rechtsklick auf die gewünschte Einheit ein neues Gruppenrichtlinienobjekt erstellen und verknüpfen.
- Per Rechtsklick auf das GPO → „Bearbeiten“ die Einstellungen im bekannten Editor setzen.
- Zuweisung und Priorisierung:
- GPOs können auf verschiedene Ebenen (Standorte, Domäne, OUs) angewendet werden.
- Die Reihenfolge und Vererbung bestimmen die endgültige Wirkung auf Benutzer und Computer.
- Anwendung und Überprüfung:
- Änderungen werden automatisch bei der nächsten Benutzeranmeldung oder nach einem Neustart übernommen.
- Eine sofortige Anwendung lässt sich mit gpupdate /force am Client erzwingen.
- Die tatsächlichen, angewendeten Richtlinien können mit gpresult /r oder dem Tool rsop.msc geprüft werden.
Erweiterte Möglichkeiten und Best Practices
- Skripte, Sicherheitsfilter, ADMX-Vorlagen:Über Gruppenrichtlinien lassen sich nicht nur klassische Einstellungen, sondern auch Start- und Anmeldeskripte, Softwareverteilung, Sicherheitsfilter und aktuelle ADMX-Vorlagen steuern. Die Verwaltung dieser Vorlagen erfolgt im zentralen Store (\\domain\SYSVOL\domain\Policies\PolicyDefinitions).
- Regelmäßige Kontrolle und Dokumentation:Effektives Richtlinienmanagement bedeutet laufende Prüfung, lückenlose Dokumentation und sorgfältige Rechtevergabe. Änderungen sollten stets nachvollziehbar dokumentiert, getestet und nur nach dem Vier-Augen-Prinzip ausgerollt werden.
- Backup und Wiederherstellung:Über die GPMC können Gruppenrichtlinienobjekte gesichert, exportiert und bei Bedarf wiederhergestellt werden – ein entscheidender Vorteil bei umfangreichen Umgebungen oder vor großen Umstrukturierungen.
- Rechte- und Rollenkonzept:Die Berechtigungen zur GPO-Verwaltung sollten restriktiv und rollenbasiert vergeben werden, um unbeabsichtigte oder nicht autorisierte Änderungen zu verhindern.
Richtlinienmanagement als laufender Prozess
Die Verwaltung von Gruppenrichtlinien ist keine Einmalaufgabe, sondern ein fortwährender Prozess. Insbesondere mit Blick auf neue Windows-Versionen, Cloud-Integrationen, Zero-Trust-Konzepte und steigende Compliance-Anforderungen sollten GPOs regelmäßig auf Aktualität, Vollständigkeit und Wirkung überprüft werden. Die hier gelistete Mastertabelle bietet den idealen Ausgangspunkt für nachhaltige, revisionssichere und effektive GPO-Strategien in heterogenen IT-Umgebungen.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
Kyocera Klimaschutz-System Ecosys P2235dn Laserdrucker: Schwarz-Weiß, Duplex-Einheit, 35 Seiten pro Minute. Inkl. Mobile Print Funktion, 1102RV3NL0*
Ersparnis 38%
UVP**: € 343,91
€ 213,00
Gewöhnlich versandfertig in 2 bis 3 Tagen
Preise inkl. MwSt., zzgl. Versandkosten
€ 239,00
Preise inkl. MwSt., zzgl. Versandkosten
Epson Workforce Pro WF-4830DTWF 4-in-1 Business Ink Multifunction Device (Print, Scan, Copy, Fax, ADF, WiFi, Ethernet, Full Duplex, DIN A4), incl. 3 Months ReadyPrint Flex Ink Rate, Black*
Ersparnis 24%
UVP**: € 219,99
€ 167,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 167,79
Preise inkl. MwSt., zzgl. Versandkosten
€ 176,95
Preise inkl. MwSt., zzgl. Versandkosten
TP-Link RE700X 𝐖𝐢𝐅𝐢 𝟔 WLAN Verstärker Repeater AX3000(Dualband 2402MBit/s 5GHz + 574MBit/s 2,4GHz, MU-MIMO, Gigabit Port, maxiamle Abdeckung, kompatibel zu allen WLAN Routern)*
€ 63,90
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Synology DS220j 8 TB 2 Bay Desktop NAS-Lösung | Installiert mit 2 x 4 TB Seagate IronWolf-Laufwerken*
€ 445,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
UGREEN USB C Hub Mit 4 Ports USB 3.0 OTG Adapter, Verteiler Mit Stromversorgung-Port Kompatibel Mit iPhone 16 Serie, MacBook Serie, iPad, Surface Pro/Go, Thinkpad und Mehr (15cm)*
Ersparnis 41%
UVP**: € 15,99
€ 9,49
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
HP LaserJet MFP M140w Multifunktions-Laserdrucker, Monolaser, Drucker, Scanner, Kopierer, Duplex-Druck, DIN A4, WLAN, Airprint, Schwarz-weiß-Drucker*
Ersparnis 20%
UVP**: € 179,90
€ 143,85
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 154,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
HP 250 G10 Business Laptop | 15,6" Entspiegeltes FHD-Display | Intel Core i5-1334U | 16 GB DDR4 RAM | 512 GB SSD | Intel® UHD Graphics | Windows 11 Home+ | QWERTZ Tastatur | Silber*
€ 523,98
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
HP Color Laser MFP 179fwg Multifunktions-Farblaserdrucker, Drucken, Kopieren, Scannen, Faxen, Automatische Dokumentenzuführung, Wi-Fi, Ethernet, USB, HP Smart App*
Ersparnis 27%
UVP**: € 384,90
€ 282,49
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 299,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Synology DS1821+ NAS Server*
€ 1.049,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 1.099,00
Preise inkl. MwSt., zzgl. Versandkosten
€ 1.169,95
Preise inkl. MwSt., zzgl. Versandkosten
i-SENSYS Canon LBP631Cw A4 Farblaserdrucker, USB, LAN, WLAN, 250 Blatt Papierkassette, 5 Zeilen LCD*
Ersparnis 14%
UVP**: € 229,00
€ 196,95
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 199,99
Preise inkl. MwSt., zzgl. Versandkosten
TP-Link TL-POE4824G 48V Gigabit Passiver PoE Adapter (Unterstützt 48V passives PoE, Wandmontage, Plug & Play) weiß*
€ 17,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 19,99
Preise inkl. MwSt., zzgl. Versandkosten
€ 22,90
Preise inkl. MwSt., zzgl. Versandkosten
Gigaset E290 Duo - 2 Schnurlose Senioren-Telefone ohne Anrufbeantworter, große Tasten, Zielwahltasten für wichtige Nummern, Verstärker-Funktion für extra lautes Hören, schwarz [Deutsche Version]*
Ersparnis 25%
UVP**: € 69,99
€ 52,49
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 64,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Gigaset CL390HX - Design DECT-Mobilteil mit Ladeschale - Fritzbox-kompatibel - Schnurloses Telefon für Router und DECT-Basis - 2 Akustik-Profile, weiß [Deutsche Version] [Ohne Basis]*
Ersparnis 24%
UVP**: € 49,99
€ 37,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Canon PIXMA TS3350 Serie – All-in-One-Drucker für den Heimgebrauch mit LCD-Display | Kabellos für einfaches Drucken von deinem Smartphone | Canon Drucker für Zuhause*
Ersparnis 10%
UVP**: € 57,01
€ 51,13
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Synology Beedrive 1TB Personal Backup SSD Externe*
Ersparnis 17%
UVP**: € 161,00
€ 133,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
€ 133,00
Preise inkl. MwSt., zzgl. Versandkosten
€ 139,99
Preise inkl. MwSt., zzgl. Versandkosten
Synology Plus HDD 4TB 3.5 Zoll SATA Interne CMR Festplatte*
€ 119,90
Preise inkl. MwSt., zzgl. Versandkosten
€ 119,90
Preise inkl. MwSt., zzgl. Versandkosten
€ 126,27
Gewöhnlich versandfertig in 2 bis 3 Tagen
Preise inkl. MwSt., zzgl. Versandkosten
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten