Gruppenrichtlinienverwaltung
body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
Pfad für Einstellungen:
Erklärung
Für diese Einstellung ist keine Erklärung vorhanden.
Unterstützt auf:
Nicht verfügbar
Hardening Windows 10 Clients Machine
Daten ermittelt am: 30.01.2019 18:11:44
Allgemein
Details
Domänendsedv.de
BesitzerNDSEDV\Domänen-Admins
Erstellt30.01.2019 18:08:12
Geändert30.01.2019 18:10:58
Benutzerrevisionen1 (AD), 1 (SYSVOL)
Computerrevisionen4 (AD), 4 (SYSVOL)
Eindeutige ID{24F460B7-D02C-4319-B14E-539358DBF86F}
GPO-StatusBenutzereinstellungen deaktiviert
Verknüpfungen
StandortErzwungenVerknüpfungsstatusPfad
Keine

Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
Sicherheitsfilterung
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:
Name
NT-AUTORITÄT\Authentifizierte Benutzer
Delegierung
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt
NameZulässige BerechtigungenGeerbt
NDSEDV\Domänen-AdminsEinstellungen bearbeiten, löschen, Sicherheit ändernNein
NDSEDV\Organisations-AdminsEinstellungen bearbeiten, löschen, Sicherheit ändernNein
NT-AUTORITÄT\Authentifizierte BenutzerLesen (durch Sicherheitsfilterung)Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATIONLesenNein
NT-AUTORITÄT\SYSTEMEinstellungen bearbeiten, löschen, Sicherheit ändernNein
Computerkonfiguration (Aktiviert)
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien/Zuweisen von Benutzerrechten
RichtlinieEinstellung
Anmelden als Batchauftrag verweigernGast
Anmelden als Dienst verweigernGast
Auf diesen Computer vom Netzwerk aus zugreifenNDSEDV\Domänen-Admins
Lokal anmelden zulassenVORDEFINIERT\Benutzer, VORDEFINIERT\Administratoren
Lokale Richtlinien/Sicherheitsoptionen
Benutzerkontensteuerung
RichtlinieEinstellung
Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte AdministratorkontoAktiviert
Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführenAktiviert
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordernAktiviert
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisierenAktiviert
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sindAktiviert
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sindAktiviert
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im AdministratorgenehmigungsmodusEingabeaufforderung zur Zustimmung auf dem sicheren Desktop
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für StandardbenutzerAnforderungen für erhöhte Rechte automatisch ablehnen
Domänenmitglied
RichtlinieEinstellung
Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivierenDeaktiviert
Domänenmitglied: Maximalalter von Computerkontenkennwörtern30 Tage
Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)Aktiviert
Herunterfahren
RichtlinieEinstellung
Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassenAktiviert
Interaktive Anmeldung
RichtlinieEinstellung
Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigenAktiviert
Netzwerkzugriff
RichtlinieEinstellung
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlaubenAktiviert
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlaubenAktiviert
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassenDeaktiviert
Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassenAktiviert
Systemobjekte
RichtlinieEinstellung
Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärkenAktiviert
Andere
RichtlinieEinstellung
Konten: Microsoft-Konten blockierenBenutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassenDeaktiviert
Systemdienste
Xbox Live Authentifizierungs-Manager (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Xbox Live-Spiele speichern (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Firewall mit erweiterter Sicherheit
Globale Einstellungen
RichtlinieEinstellung
RichtlinienversionNicht konfiguriert
Statusbehaftetes FTP deaktivierenNicht konfiguriert
Statusbehaftetes PPTP deaktivierenNicht konfiguriert
IPsec-AusnahmeNicht konfiguriert
IPsec über NATNicht konfiguriert
Verschlüsselung des vorinstallierten SchlüsselsNicht konfiguriert
SA-LeerlaufzeitNicht konfiguriert
Sichere ZertifikatsperrlistenprüfungNicht konfiguriert
Domänenprofileinstellungen
RichtlinieEinstellung
FirewallstatusEin
Eingehende VerbindungenNicht konfiguriert
Ausgehende VerbindungenNicht konfiguriert
Lokale Firewallregeln anwendenNicht konfiguriert
Lokale Verbindungssicherheitsregeln anwendenNicht konfiguriert
Benachrichtigungen anzeigenNein
Unicast-Antworten zulassenNicht konfiguriert
Verworfene Pakete protokollierenJa
Erfolgreiche Verbindungen protokollierenJa
Protokolldateipfad%systemroot%\system32\LogFiles\Firewall\pfirewall.log
Maximale Größe der Protokolldatei (KB)16384
Verbindungssicherheitseinstellungen
Administrative Vorlagen
Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.
Netzwerk/LanMan-Arbeitsstation
RichtlinieEinstellungKommentar
Unsichere Gastanmeldungen aktivierenDeaktiviert
Netzwerk/Netzwerkanbieter
RichtlinieEinstellungKommentar
Gehärtete UNC-PfadeAktiviert
Geben Sie gehärtete Netzwerkpfade an. Geben Sie im Namensfeld einen vollqualifizierten UNC-Pfad für jede Netzwerkressource ein. Um den gesamten Zugriff auf eine Freigabe mit einem bestimmten Namen unabhängig vom Servernamen abzusichern, geben Sie den Servernamen '*' (Sternchen) an. Beispiel: "\\*\NETLOGON". Um den gesamten Zugriff auf alle Freigaben abzusichern, die auf einem Server gehostet sind, kann der Freigabenamensteil des UNC-Pfads weggelassen werden. Beispiel: "\\SERVER". Geben Sie im Wertfeld eine oder mehrere der folgenden Optionen getrennt durch Kommas an: 'RequireMutualAuthentication=1': Die gegenseitige Authentifizierung zwischen Client und Server ist erforderlich, um sicherzustellen, dass der Client mit dem richtigen Server verbunden wird. 'RequireIntegrity=1': Die Kommunikation zwischen Client und Server muss auf einem Integritätsmechanismus basieren, um Datenverfälschung zu verhindern. 'RequirePrivacy=1': Die Kommunikation zwischen Client und Server muss verschlüsselt sein, damit Dritte keine Einblicke in vertrauliche Daten erhalten.
Gehärtete UNC-Pfade: 
\\*\SYSVOLRequireMutualAuthentication=1,RequireIntegrity=1
\\*\NETLOGONRequireMutualAuthentication=1,RequireIntegrity=1
Für alle UNC-Pfade, die ausführbare Programme, Skriptdateien oder Dateien zur Steuerung von Sicherheitsrichtlinien hosten, sollten sowohl Integrität als auch gegenseitige Authentifizierung als Sicherheitsanforderungen erfüllt werden. Hosten Sie Dateien, die keine Integrität bzw. keinen Datenschutz erfordern, auf anderen Freigaben als Dateien, die für optimale Leistung strenge Sicherheitsanforderungen erfüllen müssen. Weitere Informationen darüber, wie Sie Windows-Computer dafür konfigurieren, dass sie beim Zugriff auf bestimmte UNC-Pfade zusätzliche Sicherheitsanforderungen erfüllen, finden Sie unter "http://support.microsoft.com/kb/3000483".
Netzwerk/Netzwerkverbindungen
RichtlinieEinstellungKommentar
Installation und Konfiguration der Netzwerkbridge im eigenen DNS-Domänennetzwerk nicht zulassenAktiviert
Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil
RichtlinieEinstellungKommentar
Windows Defender Firewall: Alle Netzwerkverbindungen schützenAktiviert
Windows Defender Firewall: Benachrichtigungen nicht zulassenAktiviert
Windows Defender Firewall: Protokollierung zulassenAktiviert
Verworfene Pakete protokollierenAktiviert
Erfolgreiche Verbindungen protokollierenAktiviert
Protokolldateipfad und -name:%systemroot%\system32\LogFiles\Firewall\pfirewall.log
Größenlimit (KB):16384
System/Anmelden
RichtlinieEinstellungKommentar
Anwendungsbenachrichtigungen auf gesperrtem Bildschirm deaktivierenAktiviert
Komfortable PIN-Anmeldung aktivierenDeaktiviert
Lokale Benutzer auf Computern, die der Domäne angehören, auflistenDeaktiviert
Netzwerkauswahl-UI nicht anzeigenAktiviert
System/Antischadsoftware-Frühstart
RichtlinieEinstellungKommentar
Richtlinie für Bootstarttreiber-InitialisierungAktiviert
Wählen Sie die Bootstarttreiber aus, die initialisiert werden können: Gut, unbekannt und schlecht, aber erforderlich
System/Delegierung von Anmeldeinformationen
RichtlinieEinstellungKommentar
Encryption Oracle RemediationAktiviert
Protection Level:Force Updated Clients
RichtlinieEinstellungKommentar
Remotehost ermöglicht die Delegierung nicht exportierbarer AnmeldeinformationenAktiviert
System/Energieverwaltung/Standbymoduseinstellungen
RichtlinieEinstellungKommentar
Kennwort anfordern, wenn ein Computer reaktiviert wird (Akkubetrieb)Aktiviert
Kennwort anfordern, wenn ein Computer reaktiviert wird (Netzbetrieb)Aktiviert
Standbyzustände (S1-S3) zulassen (Akkubetrieb)Deaktiviert
Standbyzustände (S1-S3) zulassen (Netzbetrieb)Deaktiviert
System/Gruppenrichtlinie
RichtlinieEinstellungKommentar
Registrierungsrichtlinienverarbeitung konfigurierenAktiviert
Während regelmäßiger Hintergrundverarbeitung nicht übernehmenDeaktiviert
Gruppenrichtlinienobjekte auch ohne Änderungen verarbeitenAktiviert
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
RichtlinieEinstellungKommentar
Download von Druckertreibern über HTTP deaktivierenAktiviert
Fehlerberichterstattung deaktivierenAktiviert
Internet-Download für die Assistenten "Webpublishing" und "Onlinebestellung von Abzügen" deaktivierenAktiviert
Programm zur Verbesserung der Benutzerfreundlichkeit deaktivierenAktiviert
System/Problembehandlung und Diagnose/Windows-Leistungsnachverfolgungsmodul
RichtlinieEinstellungKommentar
PerfTrack aktivieren/deaktivierenDeaktiviert
System/Remoteprozeduraufruf
RichtlinieEinstellungKommentar
Nicht authentifizierte RPC-Clients einschränkenAktiviert
Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit:Authentifiziert
RichtlinieEinstellungKommentar
RPC-Endpunktzuordnungs-Clientauthentifizierung aktivierenAktiviert
System/Remoteunterstützung
RichtlinieEinstellungKommentar
"Angeforderte Remoteunterstützung" konfigurierenDeaktiviert
"Remoteunterstützung anbieten" konfigurierenDeaktiviert
System/Windows-Zeitdienst/Zeitanbieter
RichtlinieEinstellungKommentar
Windows-NTP-Client aktivierenAktiviert
Windows-NTP-Server aktivierenDeaktiviert
Systemsteuerung/Anpassung
RichtlinieEinstellungKommentar
Aktivieren der Diashow auf dem Sperrbildschirm verhindernAktiviert
Aktivieren der Sperrbildschirmkamera verhindernAktiviert
Windows-Komponenten/App-Laufzeit
RichtlinieEinstellungKommentar
Starten von universellen Windows-Apps mit Windows-Runtime-API-Zugriff von gehosteten Inhalten aus blockierenAktiviert
Windows-Komponenten/Benutzerschnittstelle für Anmeldeinformationen
RichtlinieEinstellungKommentar
Bei Ausführung mit erhöhten Rechten Administratorkonten auflistenDeaktiviert
Windows-Komponenten/Bereitstellung von App-Paketen
RichtlinieEinstellungKommentar
Windows-Apps die Freigabe von Anwendungsdaten zwischen Benutzern erlaubenDeaktiviert
Windows-Komponenten/Biometrie/Gesichtserkennung
RichtlinieEinstellungKommentar
Erweitertes Antispoofing konfigurierenAktiviert
Windows-Komponenten/BitLocker-Laufwerkverschlüsselung
RichtlinieEinstellungKommentar
BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista)Aktiviert
BitLocker-Sicherung in AD DS erforderlichAktiviert
Wenn diese Option aktiviert ist, kann BitLocker bei einem Sicherungsfehler nicht aktiviert werden (empfohlene Standardeinstellung).
Wenn diese Option deaktiviert ist, kann BitLocker selbst bei einem Sicherungsfehler aktiviert werden. Die Sicherung wird nicht automatisch wiederholt.
Wählen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus:Wiederherstellungskennwörter und Schlüsselpakete
Ein Wiederherstellungskennwort ist eine 48-stellige Nummer, die den Zugriff auf ein BitLocker-geschütztes Laufwerk entsperrt.
Ein Schlüsselpaket enthält den durch mindestens ein Wiederherstellungskennwort gesicherten BitLocker-Verschlüsselungsschlüssel eines Laufwerks.
Schlüsselpakete können Sie beim Ausführen einer spezialisierten Wiederherstellung unterstützen, wenn der Datenträger beschädigt ist.
RichtlinieEinstellungKommentar
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10 [Version 1507])Aktiviert
Verschlüsselungsmethode auswählen:AES-256-Bit
RichtlinieEinstellungKommentar
Wiederherstellungsoptionen für BitLocker-geschützte Laufwerke für Benutzer auswählen (Windows Server 2008 und Windows Vista)Aktiviert
Wichtig: Um Datenverluste zu vermeiden, müssen BitLocker-Verschlüsselungsschlüssel wiederhergestellt werden können. Wenn Sie die beiden unten angegebenen Wiederherstellungsoptionen nicht zulassen, müssen Sie die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS aktivieren. Andernfalls tritt ein Richtlinienfehler auf.
48-stelliges Wiederherstellungskennwort konfigurieren:Wiederherstellungskennwort anfordern (Standardeinstellung)
256-Bit-Wiederherstellungsschlüssel konfigurieren:Wiederherstellungsschlüssel anfordern (Standardeinstellung)
Hinweis: Wenn Sie die Verwendung des Wiederherstellungskennworts nicht zulassen und der Wiederherstellungsschlüssel erforderlich ist, können Benutzer BitLocker ohne Speichern auf dem USB-Laufwerk nicht aktivieren.
Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke
RichtlinieEinstellungKommentar
Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden könnenAktiviert
Datenwiederherstellungs-Agents zulassen 
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort zulassen
256-Bit-Wiederherstellungsschlüssel zulassen
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken 
BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern 
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren: 
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden 
RichtlinieEinstellungKommentar
Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingenAktiviert
Verschlüsselungstyp auswählen: 
RichtlinieEinstellungKommentar
PIN- oder Kennwortänderung durch Standardbenutzer nicht zulassenDeaktiviert
Sicheren Start für Integritätsüberprüfung zulassenAktiviert
Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurierenAktiviert
Softwarebasierte Verschlüsselung von BitLocker verwenden, wenn keine hardwarebasierte Verschlüsselung verfügbar istAktiviert
Zulässige Verschlüsselungsalgorithmen und Verschlüsselungssammlungen für die hardwarebasierte Verschlüsselung einschränkenDeaktiviert
Verschlüsselungsalgorithmen oder Verschlüsselungssammlungen wie folgt einschränken:2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42
RichtlinieEinstellungKommentar
Zusätzliche Authentifizierung beim Start anfordernAktiviert
BitLocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschlüssel erforderlich) 
Einstellungen für Computer mit einem TPM:
TPM-Start konfigurieren:TPM zulassen
TPM-Systemstart-PIN konfigurieren:Systemstart-PIN bei TPM zulassen
TPM-Systemstartschlüssel konfigurieren:Systemstartschlüssel bei TPM zulassen
TPM-Systemstartschlüssel und -PIN konfigurieren:Systemstartschlüssel und PIN bei TPM zulassen
RichtlinieEinstellungKommentar
Zusätzliche Authentifizierung beim Start erforderlich (Windows Server 2008 und Windows Vista)Aktiviert
BitLocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschlüssel erforderlich)Aktiviert
Einstellungen für Computer mit einem TPM:
TPM-Systemstartschlüssel konfigurieren:Systemstartschlüssel bei TPM zulassen
TPM-Systemstart-PIN konfigurieren:Systemstart-PIN bei TPM zulassen
Wichtig: Wenn der Systemstartschlüssel verlangt wird, darf keine Systemstart-PIN zulässig sein.
Wenn die Systemstart-PIN verlangt wird, darf kein Systemstartschlüssel zulässig sein. Andernfalls tritt ein Richtlinienfehler auf.
Hinweis: Sie sollten nicht zulassen, dass die Seite "Erweitert" auf einem Computer mit einem TPM sowohl für die Systemstart-PIN und als auch für den Systemstartschlüssel ausgeblendet wird.
Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Festplattenlaufwerke
RichtlinieEinstellungKommentar
Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden könnenAktiviert
Datenwiederherstellungs-Agents zulassen 
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort zulassen
256-Bit-Wiederherstellungsschlüssel zulassen
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken 
BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichern 
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren: 
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden 
RichtlinieEinstellungKommentar
Laufwerkverschlüsselungstyp auf Festplattenlaufwerken erzwingenAktiviert
Verschlüsselungstyp auswählen:Auf belegten Speicherplatz beschränkte Verschlüsselung
RichtlinieEinstellungKommentar
Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurierenAktiviert
Softwarebasierte Verschlüsselung von BitLocker verwenden, wenn keine hardwarebasierte Verschlüsselung verfügbar istAktiviert
Zulässige Verschlüsselungsalgorithmen und Verschlüsselungssammlungen für die hardwarebasierte Verschlüsselung einschränkenDeaktiviert
Verschlüsselungsalgorithmen oder Verschlüsselungssammlungen wie folgt einschränken:2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42
Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Wechseldatenträger
RichtlinieEinstellungKommentar
Laufwerkverschlüsselungstyp auf Wechseldatenträgern erzwingenAktiviert
Verschlüsselungstyp auswählen:Auf belegten Speicherplatz beschränkte Verschlüsselung
RichtlinieEinstellungKommentar
Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträger konfigurierenAktiviert
Softwarebasierte Verschlüsselung von BitLocker verwenden, wenn keine hardwarebasierte Verschlüsselung verfügbar istAktiviert
Zulässige Verschlüsselungsalgorithmen und Verschlüsselungssammlungen für die hardwarebasierte Verschlüsselung einschränkenDeaktiviert
Verschlüsselungsalgorithmen oder Verschlüsselungssammlungen wie folgt einschränken:2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42
Windows-Komponenten/Cloudinhalt
RichtlinieEinstellungKommentar
Microsoft-Anwenderfeatures deaktivierenAktiviert
Windows-Tipps nicht anzeigenAktiviert
Windows-Komponenten/Datei-Explorer
RichtlinieEinstellungKommentar
Datenausführungsverhinderung für Explorer deaktivierenDeaktiviert
Geschützten Modus für Shellprotokoll deaktivierenDeaktiviert
Heapabbruch bei Beschädigung deaktivierenDeaktiviert
Windows-Komponenten/Datensammlung und Vorabversionen
RichtlinieEinstellungKommentar
Erweiterte Diagnosedaten auf die von Windows Analytics erforderlichen minimalen Daten beschränkenDeaktiviert
Feedbackbenachrichtigungen nicht mehr anzeigenAktiviert
Telemetrie zulassenAktiviert
0 – Sicherheit [Nur Enterprise]
Windows-Komponenten/Ereignisprotokolldienst/Anwendung
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)65536
RichtlinieEinstellungKommentar
Verhalten des Ereignisprotokolls steuern, wenn die Protokolldatei ihre Maximalgröße erreichtAktiviert
Windows-Komponenten/Ereignisprotokolldienst/Setup
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)32768
Windows-Komponenten/Ereignisprotokolldienst/Sicherheit
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)196608
Windows-Komponenten/Ereignisprotokolldienst/System
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)65536
Windows-Komponenten/Heimnetzgruppe
RichtlinieEinstellungKommentar
Beitritt des Computers zu einer Heimnetzgruppe verhindernAktiviert
Windows-Komponenten/Kamera
RichtlinieEinstellungKommentar
Kameraverwendung zulassenDeaktiviert
Windows-Komponenten/Karten
RichtlinieEinstellungKommentar
Automatische Downloads und Updates von Kartendaten deaktivierenAktiviert
Windows-Komponenten/MDOP MBAM (BitLocker Management)
RichtlinieEinstellungKommentar
Überschreiben des Arbeitsspeichers beim Neustart verhindernDeaktiviert
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählenAktiviert
Verschlüsselungsmethode auswählen:AES-256-Bit
RichtlinieEinstellungKommentar
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 10 [Version 1511] und höher)Aktiviert
Verschlüsselungsmethode für Betriebssystemlaufwerke auswählen:XTS-AES 256-Bit
Verschlüsselungsmethode für Festplattenlaufwerke auswählen:XTS-AES 256-Bit
Verschlüsselungsmethode für Wechseldatenträger auswählen:XTS-AES 256-Bit
Windows-Komponenten/MDOP MBAM (BitLocker Management)/Betriebssystemlaufwerk
RichtlinieEinstellungKommentar
Einstellungen für die Verschlüsselung des BetriebssystemlaufwerksAktiviert
BitLocker ohne kompatibles TPM zulassen (Kennwort erforderlich)Aktiviert
Schutzkomponente für Betriebssystemlaufwerk auswählen: 
Einstellungen für Computer mit einem TPM:
Minimale PIN-Länge für Systemstart konfigurieren10
RichtlinieEinstellungKommentar
Erweiterte PINs für Systemstart zulassenAktiviert
Nur-ASCII-PINs erforderlich 
RichtlinieEinstellungKommentar
Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden könnenAktiviert
Datenwiederherstellungs-Agents zulassenAktiviert
Bei Verwendung von BitLocker Management Solution muss die Option "BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern” deaktiviert sein.
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrückenDeaktiviert
BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichernAktiviert
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:Wiederherstellungskennwörter und Schlüsselpakete speichern
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurdenAktiviert
RichtlinieEinstellungKommentar
Kennwortverwendung für Betriebssystemlaufwerke konfigurierenAktiviert
Kennwortkomplexität für Betriebssystemlaufwerke konfigurieren:Kennwortkomplexität anfordern
Minimale Kennwortlänge für Betriebssystemlaufwerk:10
Hinweis: Sie müssen die Richtlinieneinstellung "Kennwort muss Komplexitätsvoraussetzungen entsprechen" aktivieren, damit die Einstellung für die Kennwortkomplexität wirksam wird.
Nur-ASCII-Kennwörter für entnehmbare Betriebssystemlaufwerke erzwingenDeaktiviert
RichtlinieEinstellungKommentar
Plattformvalidierungsdaten nach BitLocker-Wiederherstellung zurücksetzenAktiviert
Windows-Komponenten/MDOP MBAM (BitLocker Management)/Lokales Festplattenlaufwerk
RichtlinieEinstellungKommentar
Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden könnenAktiviert
Datenwiederherstellungs-Agents zulassenAktiviert
Bei Verwendung von BitLocker Management Solution muss die Option "BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichern” deaktiviert sein.
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrückenDeaktiviert
BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichernAktiviert
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:Wiederherstellungskennwörter und Schlüsselpakete sichern
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurdenDeaktiviert
RichtlinieEinstellungKommentar
Kennwortverwendung für Festplattenlaufwerke konfigurierenAktiviert
Kennwort für Festplattenlaufwerk anfordernAktiviert
Kennwortkomplexität für Festplattenlaufwerke konfigurieren:Kennwortkomplexität anfordern
Minimale Kennwortlänge für Festplattenlaufwerk:8
Hinweis: Sie müssen die Richtlinieneinstellung "Kennwort muss Komplexitätsvoraussetzungen entsprechen" aktivieren, damit die Einstellung für die Kennwortkomplexität wirksam wird.
RichtlinieEinstellungKommentar
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sindAktiviert
Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassenAktiviert
BitLocker To Go-Lesetool nicht auf FAT-Festplattenlaufwerken installierenDeaktiviert
Windows-Komponenten/MDOP MBAM (BitLocker Management)/Wechseldatenträger
RichtlinieEinstellungKommentar
Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden könnenAktiviert
Datenwiederherstellungs-Agents zulassenAktiviert
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort zulassen
256-Bit-Wiederherstellungsschlüssel zulassen
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrückenDeaktiviert
BitLocker-Wiederherstellungsinformationen für Wechseldatenträger in AD DS speichernAktiviert
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:Wiederherstellungskennwörter und Schlüsselpakete sichern
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Wechseldatenträger in AD DS gespeichert wurdenDeaktiviert
RichtlinieEinstellungKommentar
Kennwortverwendung für Wechseldatenträger konfigurierenAktiviert
Kennwort für Wechseldatenträger anfordernAktiviert
Kennwortkomplexität für Wechseldatenträger konfigurieren:Kennwortkomplexität zulassen
Minimale Kennwortlänge für Wechseldatenträger:8
Hinweis: Sie müssen die Richtlinieneinstellung "Kennwort muss Komplexitätsvoraussetzungen entsprechen" aktivieren, damit die Einstellung für die Kennwortkomplexität wirksam wird.
RichtlinieEinstellungKommentar
Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sindAktiviert
Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert wurdenDeaktiviert
RichtlinieEinstellungKommentar
Verwendung von BitLocker auf Wechseldatenträgern steuernAktiviert
Wenn Sie BitLocker auf einem Wechseldatenträger aktivieren, lesen Sie die Erläuterungen zu den Richtlinieneinstellungen unter "System/Wechselmedienzugriff".
Benutzer können BitLocker-Schutz auf Wechseldatenträger anwendenAktiviert
Benutzer können BitLocker-Schutz auf Wechseldatenträgern anhalten und entschlüsselnAktiviert
RichtlinieEinstellungKommentar
Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassenAktiviert
BitLocker To Go-Lesetool nicht auf FAT-Wechseldatenträgern installierenDeaktiviert
Windows-Komponenten/Microsoft Edge
RichtlinieEinstellungKommentar
Kennwort-Manager konfigurierenDeaktiviert
Umgehung der Windows Defender SmartScreen-Aufforderungen für Dateien verhindernAktiviert
Windows-Komponenten/OneDrive
RichtlinieEinstellungKommentar
Verwendung von OneDrive für die Dateispeicherung verhindernAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Geräte- und Ressourcenumleitung
RichtlinieEinstellungKommentar
Laufwerkumleitung nicht zulassenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
RichtlinieEinstellungKommentar
Bei der Verbindungsherstellung immer zur Kennworteingabe auffordernAktiviert
Sichere RPC-Kommunikation anfordernAktiviert
Verschlüsselungsstufe der Clientverbindung festlegenAktiviert
VerschlüsselungsstufeHöchste Stufe
Wählen Sie die Verschlüsselungsstufe aus der Dropdownliste aus.
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Verbindungen
RichtlinieEinstellungKommentar
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassenDeaktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client
RichtlinieEinstellungKommentar
Speichern von Kennwörtern nicht zulassenAktiviert
Windows-Komponenten/Richtlinien für die automatische Wiedergabe
RichtlinieEinstellungKommentar
Automatische Wiedergabe für andere Geräte als Volumes nicht zulassenAktiviert
Autoplay deaktivierenAktiviert
Automatische Wiedergabe deaktivieren auf:Alle Laufwerke
RichtlinieEinstellungKommentar
Standardverhalten von AutoAusführen festlegenAktiviert
AutoAusführen-StandardverhaltenKeine AutoAusführen-Befehle ausführen
Windows-Komponenten/RSS-Feeds
RichtlinieEinstellungKommentar
Herunterladen von Anlagen verhindernAktiviert
Windows-Komponenten/Suche
RichtlinieEinstellungKommentar
Cortana zulassenDeaktiviert
Der Suche und Cortana die Nutzung von Positionsdaten erlaubenDeaktiviert
Festlegen der in der Suche freizugebenden InformationenAktiviert
Art der InformationenAnonyme Informationen
RichtlinieEinstellungKommentar
Indizieren verschlüsselter Dateien zulassenDeaktiviert
Windows-Komponenten/Windows Defender Antivirus/MAPS
RichtlinieEinstellungKommentar
Beitritt zu Microsoft MAPSDeaktiviert
Windows-Komponenten/Windows Defender SmartScreen/Explorer
RichtlinieEinstellungKommentar
Windows Defender SmartScreen konfigurierenAktiviert
Wählen Sie eine der folgenden Einstellungen aus:Warnen
Windows-Komponenten/Windows Ink-Arbeitsbereich
RichtlinieEinstellungKommentar
Windows Ink-Arbeitsbereich zulassenAktiviert
Wählen Sie eine der folgenden Aktionen aus.Ein
Windows-Komponenten/Windows Installer
RichtlinieEinstellungKommentar
Benutzersteuerung bei Installationen zulassenDeaktiviert
IE-Sicherheitshinweis für Windows Installer-Skripts verhindernDeaktiviert
Immer mit erhöhten Rechten installierenAktiviert
Um diese Richtlinieneinstellung zu erzwingen, muss sie sowohl für den Computer als auch für den Benutzer festgelegt werden.
Windows-Komponenten/Windows-Anmeldeoptionen
RichtlinieEinstellungKommentar
Automatisches Anmelden des letzten interaktiven Benutzers nach einem vom System initiierten NeustartDeaktiviert
Windows-Komponenten/Windows-Fehlerberichterstattung
RichtlinieEinstellungKommentar
Windows-Fehlerberichterstattung deaktivierenAktiviert
Windows-Komponenten/Windows-Remoteverwaltung (Windows Remote Management, WinRM)/WinRM-Client
RichtlinieEinstellungKommentar
Basic-Authentifizierung zulassenDeaktiviert
Digest-Authentifizierung nicht zulassenAktiviert
Unverschlüsselten Verkehr zulassenDeaktiviert
Windows-Komponenten/Windows-Remoteverwaltung (Windows Remote Management, WinRM)/WinRM-Dienst
RichtlinieEinstellungKommentar
Basic-Authentifizierung zulassenDeaktiviert
Speichern von RunAs-Anmeldeinformationen durch WinRM nicht zulassenAktiviert
Unverschlüsselten Verkehr zulassenDeaktiviert
Windows-Komponenten/Windows-Spielaufzeichnung und -übertragung
RichtlinieEinstellungKommentar
Aktiviert oder deaktiviert die Windows-Spielaufzeichnung und -übertragung.Deaktiviert
Zusätzl. Reg.-einst.
Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem.

EinstellungStatus
Software\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy0
Software\Policies\Microsoft\MicrosoftEdge\Internet Settings\PreventCertErrorOverrides1
Software\Policies\Microsoft\Windows\Kernel DMA Protection\DeviceEnumerationPolicy0
System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand1
System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting2
System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect0
System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting2
Einstellungen
Windows-Einstellungen
Registrierung
Start (Reihenfolge: 1)
Allgemein
AktionAktualisieren
Eigenschaften
StrukturHKEY_LOCAL_MACHINE
SchlüsselpfadSYSTEM\CurrentControlSet\Services\xbgm
WertnameStart
WerttypREG_DWORD
Wertdaten0x4 (4)
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
Benutzerkonfiguration (Deaktiviert)
Keine Einstellungen definiert