Gruppenrichtlinienverwaltung
body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; } .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; } .info { padding-left:10px;width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; } td { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; } .btn { width:100%; text-align:right; margin-top:16px; } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; overflow:visible; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
Pfad für Einstellungen:
Erklärung
Für diese Einstellung ist keine Erklärung vorhanden.
Unterstützt auf:
Nicht verfügbar
Windows Server 2016-2019 Hardening
Daten ermittelt am: 02.07.2021 07:51:48
Allgemein
Details
Domänedwp.local
BesitzerDWP\Domänen-Admins
Erstellt31.12.2020 11:19:28
Geändert02.07.2021 07:51:32
Benutzerrevisionen1 (AD), 1 (SYSVOL)
Computerrevisionen97 (AD), 97 (SYSVOL)
Eindeutige ID{22A9C11B-73F5-4174-9AA6-5D3A1689963E}
GPO-StatusAktiviert
Verknüpfungen
StandortErzwungenVerknüpfungsstatusPfad
Keine

Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
Sicherheitsfilterung
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:
Name
NT-AUTORITÄT\Authentifizierte Benutzer
Delegierung
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt
NameZulässige BerechtigungenGeerbt
DWP\Domänen-AdminsEinstellungen bearbeiten, löschen, Sicherheit ändernNein
DWP\Organisations-AdminsEinstellungen bearbeiten, löschen, Sicherheit ändernNein
NT-AUTORITÄT\Authentifizierte BenutzerLesen (durch Sicherheitsfilterung)Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATIONLesenNein
NT-AUTORITÄT\SYSTEMEinstellungen bearbeiten, löschen, Sicherheit ändernNein
Computerkonfiguration (Aktiviert)
Richtlinien
Windows-Einstellungen
Skripts
Herunterfahren
For this GPO, Script order: Nicht konfiguriert
NameParameter
NetBiosO2.vbs
Sicherheitseinstellungen
Lokale Richtlinien/Zuweisen von Benutzerrechten
RichtlinieEinstellung
Anheben der ZeitplanungsprioritätVORDEFINIERT\Administratoren
Anmelden als Batchauftrag verweigernDWP\Domänen-Admins, DWP\Organisations-Admins, VORDEFINIERT\Gäste
Anmelden als Dienst verweigernDWP\Domänen-Admins, DWP\Organisations-Admins
Anmelden über Terminaldienste verweigernDWP\Organisations-Admins, VORDEFINIERT\Gäste, NT-AUTORITÄT\Lokales Konto
Anmelden über Terminaldienste zulassenVORDEFINIERT\Remotedesktopbenutzer
Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen
Auf diesen Computer vom Netzwerk aus zugreifenVORDEFINIERT\Remotedesktopbenutzer, NT-AUTORITÄT\Authentifizierte Benutzer, VORDEFINIERT\Administratoren
Durchführen von VolumewartungsaufgabenVORDEFINIERT\Administratoren
Einsetzen als Teil des Betriebssystems
Erstellen eines Profils für einen EinzelprozessVORDEFINIERT\Administratoren
Erstellen globaler ObjekteNT-AUTORITÄT\DIENST, NT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst, VORDEFINIERT\Administratoren
Erstellen symbolischer VerknüpfungenVORDEFINIERT\Administratoren
Erstellen von dauerhaft freigegebenen Objekten
Generieren von SicherheitsüberwachungenNT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst
Identitätstoken für einen anderen Benutzer in derselben Sitzung abrufenNT-AUTORITÄT\Netzwerkdienst, NT-AUTORITÄT\Lokaler Dienst, NT-AUTORITÄT\DIENST, VORDEFINIERT\Administratoren
Laden und Entfernen von GerätetreibernVORDEFINIERT\Administratoren
Lokal anmelden verweigernDWP\Organisations-Admins, VORDEFINIERT\Gäste
Lokal anmelden zulassenVORDEFINIERT\Administratoren
Sichern von Dateien und VerzeichnissenVORDEFINIERT\Administratoren
Sperren von Seiten im Speicher
Übernehmen des Besitzes von Dateien und ObjektenVORDEFINIERT\Administratoren
Verändern der FirmwareumgebungsvariablenVORDEFINIERT\Administratoren
Verwalten von Überwachungs- und SicherheitsprotokollenVORDEFINIERT\Administratoren
Wiederherstellen von Dateien und VerzeichnissenVORDEFINIERT\Administratoren
Zugriff vom Netzwerk auf diesen Computer verweigernDWP\Organisations-Admins, VORDEFINIERT\Gäste, NT-AUTORITÄT\Lokales Konto
Lokale Richtlinien/Sicherheitsoptionen
Benutzerkontensteuerung
RichtlinieEinstellung
Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte AdministratorkontoAktiviert
Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführenAktiviert
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordernAktiviert
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechselnAktiviert
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisierenAktiviert
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sindAktiviert
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sindAktiviert
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordernDeaktiviert
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im AdministratorgenehmigungsmodusEingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für StandardbenutzerAnforderungen für erhöhte Rechte automatisch ablehnen
Domänenmitglied
RichtlinieEinstellung
Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)Aktiviert
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)Aktiviert
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)Aktiviert
Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)Aktiviert
Interaktive Anmeldung
RichtlinieEinstellung
Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)0 Anmeldungen
Interaktive Anmeldung: Verhalten beim Entfernen von SmartcardsArbeitsstation sperren
Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigenAktiviert
Konten
RichtlinieEinstellung
Konten: Administrator umbenennen"NDSADMIN"
Konten: AdministratorkontostatusAktiviert
Konten: GastkontenstatusDeaktiviert
Konten: Gastkonto umbenennen"Visitor"
Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränkenAktiviert
Microsoft-Netzwerk (Client)
RichtlinieEinstellung
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)Aktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)Aktiviert
Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern sendenDeaktiviert
Microsoft-Netzwerk (Server)
RichtlinieEinstellung
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)Aktiviert
Netzwerksicherheit
RichtlinieEinstellung
Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingenAktiviert
Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichernAktiviert
Netzwerksicherheit: LAN Manager-AuthentifizierungsebeneNur NTLMv2-Antworten senden. LM & NTLM verweigern
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)Aktiviert
NTLMv2-Sitzungssicherheit erfordernAktiviert
128-Bit-Verschlüsselung erfordernAktiviert
Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)Aktiviert
NTLMv2-Sitzungssicherheit erfordernAktiviert
128-Bit-Verschlüsselung erfordernAktiviert
Netzwerksicherheit: Signaturanforderungen für LDAP-ClientsSignatur aushandeln
Netzwerkzugriff
RichtlinieEinstellung
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlaubenDeaktiviert
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlaubenAktiviert
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassenDeaktiviert
Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränkenAktiviert
Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichenDeaktiviert
Systemkryptographie
RichtlinieEinstellung
Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwendenAktiviert
Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingenBei jeder Verwendung eines Schlüssels Kennwort eingeben
Andere
RichtlinieEinstellung
Interaktive Anmeldung: Inaktivitätsgrenze des Computers900 Sekunden
Konten: Microsoft-Konten blockierenBenutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden
Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurierenAktiviert
DES_CBC_CRCDeaktiviert
DES_CBC_MD5Deaktiviert
RC4_HMAC_MD5Deaktiviert
AES128_HMAC_SHA1Aktiviert
AES256_HMAC_SHA1Aktiviert
Künftige VerschlüsselungstypenAktiviert
Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlaubenAktiviert
Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassenDeaktiviert
Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen""
Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzenAktiviert
Systemdienste
Windows-Audio-Endpunkterstellung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
ActiveX-Installer (AxInstSV) (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Bluetooth-Unterstützungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Kamera-FrameServer (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Dienst für mobile Hotspots (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Geolocation-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Manager für heruntergeladene Karten (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Netzwerkkonnektivitäts-Assistent (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Verbessertes Windows-Audio/Video-Streaming (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Funkverwaltungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Sensordatendienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Sensorüberwachungsdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Gemeinsame Nutzung der Internetverbindung (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Druckwarteschlange (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
SSDP-Suche (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Telefonie (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
UPnP-Gerätehost (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
WalletService (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Insider-Dienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Pushbenachrichtigungssystemdienst (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
XblAuthManager (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
XblGameSave (Startmodus: Deaktiviert)
Berechtigungen
Keine Berechtigungen angegeben
Überwachung
Keine Überwachung angegeben
Windows-Firewall mit erweiterter Sicherheit
Globale Einstellungen
RichtlinieEinstellung
RichtlinienversionNicht konfiguriert
Statusbehaftetes FTP deaktivierenNicht konfiguriert
Statusbehaftetes PPTP deaktivierenNicht konfiguriert
IPsec-AusnahmeNicht konfiguriert
IPsec über NATNicht konfiguriert
Verschlüsselung des vorinstallierten SchlüsselsNicht konfiguriert
SA-LeerlaufzeitNicht konfiguriert
Sichere ZertifikatsperrlistenprüfungNicht konfiguriert
Domänenprofileinstellungen
RichtlinieEinstellung
FirewallstatusEin
Eingehende VerbindungenNicht konfiguriert
Ausgehende VerbindungenNicht konfiguriert
Lokale Firewallregeln anwendenNicht konfiguriert
Lokale Verbindungssicherheitsregeln anwendenNicht konfiguriert
Benachrichtigungen anzeigenNicht konfiguriert
Unicast-Antworten zulassenNicht konfiguriert
Verworfene Pakete protokollierenNicht konfiguriert
Erfolgreiche Verbindungen protokollierenNicht konfiguriert
ProtokolldateipfadNicht konfiguriert
Maximale Größe der Protokolldatei (KB)Nicht konfiguriert
Verbindungssicherheitseinstellungen
Erweiterte Überwachungskonfiguration
Kontoanmeldung
RichtlinieEinstellung
Überprüfen der Anmeldeinformationen überwachenErfolgreich, Gescheitert
Kontenverwaltung
RichtlinieEinstellung
Verteilergruppenverwaltung überwachenErfolgreich
Benutzerkontenverwaltung überwachenErfolgreich, Gescheitert
Detaillierte Überwachung
RichtlinieEinstellung
PNP-ÜberwachungsaktivitätErfolgreich
Prozesserstellung überwachenErfolgreich, Gescheitert
Anmelden/Abmelden
RichtlinieEinstellung
Mitgliedschaft in der ÜberwachungsgruppeErfolgreich
Abmelden überwachenFehler
Anmelden überwachenErfolgreich, Gescheitert
Andere Anmelde-/Abmeldeereignisse überwachenErfolgreich, Gescheitert
Spezielle Anmeldung überwachenErfolgreich
Objektzugriff
RichtlinieEinstellung
Detaillierte Dateifreigabe überwachenFehler
Dateifreigabe überwachenErfolgreich, Gescheitert
Andere Objektzugriffsereignisse überwachenErfolgreich, Gescheitert
Wechselmedien überwachenErfolgreich, Gescheitert
Richtlinienänderung
RichtlinieEinstellung
Überwachungsrichtlinienänderung überwachenErfolgreich
Authentifizierungsrichtlinienänderung überwachenErfolgreich
MPSSVC-Richtlinienänderung auf Regelebene überwachenErfolgreich, Gescheitert
Andere Richtlinienänderungsereignisse überwachenFehler
Berechtigungen
RichtlinieEinstellung
Sensible Verwendung von Rechten überwachenErfolgreich, Gescheitert
System
RichtlinieEinstellung
Andere Systemereignisse überwachenErfolgreich, Gescheitert
Sicherheitsstatusänderung überwachenErfolgreich
Sicherheitssystemerweiterung überwachenErfolgreich
Systemintegrität überwachenErfolgreich, Gescheitert
Administrative Vorlagen
Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.
LAPS
RichtlinieEinstellungKommentar
Enable local admin password managementAktiviert
MS Security Guide
RichtlinieEinstellungKommentar
Apply UAC restrictions to local accounts on network logonsAktiviert
Configure SMB v1 client driverAktiviert
Configure MrxSmb10 driverDisable driver (recommended)
RichtlinieEinstellungKommentar
Configure SMB v1 serverAktiviert
Enable Structured Exception Handling Overwrite Protection (SEHOP)Aktiviert
LSA ProtectionAktiviert
NetBT NodeType configurationAktiviert
Configure NetBT NodeTypeP-node (recommended)
RichtlinieEinstellungKommentar
WDigest Authentication (disabling may require KB2871997)Deaktiviert
MSS (Legacy)
RichtlinieEinstellungKommentar
MSS: (DisableIPSourceRouting IPv6) IP source routing protection level (protects against packet spoofing)Aktiviert
DisableIPSourceRoutingIPv6Highest protection, source routing is completely disabled
RichtlinieEinstellungKommentar
MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)Aktiviert
DisableIPSourceRoutingHighest protection, source routing is completely disabled
RichtlinieEinstellungKommentar
MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routesDeaktiviert
MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversAktiviert
Netzwerk/DNS-Client
RichtlinieEinstellungKommentar
Multicastnamensauflösung deaktivierenAktiviert
Netzwerk/LanMan-Arbeitsstation
RichtlinieEinstellungKommentar
Unsichere Gastanmeldungen aktivierenDeaktiviert
Netzwerk/Netzwerkanbieter
RichtlinieEinstellungKommentar
Gehärtete UNC-PfadeAktiviert
Geben Sie gehärtete Netzwerkpfade an. Geben Sie im Namensfeld einen vollqualifizierten UNC-Pfad für jede Netzwerkressource ein. Um den gesamten Zugriff auf eine Freigabe mit einem bestimmten Namen unabhängig vom Servernamen abzusichern, geben Sie den Servernamen '*' (Sternchen) an. Beispiel: "\\*\NETLOGON". Um den gesamten Zugriff auf alle Freigaben abzusichern, die auf einem Server gehostet sind, kann der Freigabenamensteil des UNC-Pfads weggelassen werden. Beispiel: "\\SERVER". Geben Sie im Wertfeld eine oder mehrere der folgenden Optionen getrennt durch Kommas an: 'RequireMutualAuthentication=1': Die gegenseitige Authentifizierung zwischen Client und Server ist erforderlich, um sicherzustellen, dass der Client mit dem richtigen Server verbunden wird. 'RequireIntegrity=1': Die Kommunikation zwischen Client und Server muss auf einem Integritätsmechanismus basieren, um Datenverfälschung zu verhindern. 'RequirePrivacy=1': Die Kommunikation zwischen Client und Server muss verschlüsselt sein, damit Dritte keine Einblicke in vertrauliche Daten erhalten.
Gehärtete UNC-Pfade: 
\\*\NETLOGONRequireMutualAuthentication=1,RequireIntegrity=1
\\*\SYSVOLRequireMutualAuthentication=1,RequireIntegrity=1
Für alle UNC-Pfade, die ausführbare Programme, Skriptdateien oder Dateien zur Steuerung von Sicherheitsrichtlinien hosten, sollten sowohl Integrität als auch gegenseitige Authentifizierung als Sicherheitsanforderungen erfüllt werden. Hosten Sie Dateien, die keine Integrität bzw. keinen Datenschutz erfordern, auf anderen Freigaben als Dateien, die für optimale Leistung strenge Sicherheitsanforderungen erfüllen müssen. Weitere Informationen darüber, wie Sie Windows-Computer dafür konfigurieren, dass sie beim Zugriff auf bestimmte UNC-Pfade zusätzliche Sicherheitsanforderungen erfüllen, finden Sie unter "http://support.microsoft.com/kb/3000483".
Netzwerk/Netzwerkverbindungen/Windows Defender Firewall/Domänenprofil
RichtlinieEinstellungKommentar
Windows Defender Firewall: Alle Netzwerkverbindungen schützenAktiviert
System/Anmelden
RichtlinieEinstellungKommentar
Lokale Benutzer auf Computern, die der Domäne angehören, auflistenDeaktiviert
Netzwerkauswahl-UI nicht anzeigenAktiviert
System/Antischadsoftware-Frühstart
RichtlinieEinstellungKommentar
Richtlinie für Bootstarttreiber-InitialisierungAktiviert
Wählen Sie die Bootstarttreiber aus, die initialisiert werden können: Gut, unbekannt und schlecht, aber erforderlich
System/Delegierung von Anmeldeinformationen
RichtlinieEinstellungKommentar
Encryption Oracle-AbwehrAktiviert
Schutzebene:Force Updated Clients
RichtlinieEinstellungKommentar
Remotehost ermöglicht die Delegierung nicht exportierbarer AnmeldeinformationenAktiviert
System/Gruppenrichtlinie
RichtlinieEinstellungKommentar
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie konfigurierenAktiviert
Modus:Zusammenführen
RichtlinieEinstellungKommentar
Registrierungsrichtlinienverarbeitung konfigurierenAktiviert
Während regelmäßiger Hintergrundverarbeitung nicht übernehmenDeaktiviert
Gruppenrichtlinienobjekte auch ohne Änderungen verarbeitenAktiviert
System/Internetkommunikationsverwaltung/Internetkommunikationseinstellungen
RichtlinieEinstellungKommentar
Download von Druckertreibern über HTTP deaktivierenAktiviert
Drucken über HTTP deaktivierenAktiviert
System/Kernel-DMA-Schutz
RichtlinieEinstellungKommentar
Aufzählungsrichtlinie für externe Geräte, die nicht Kernel-DMA-Schutz kompatibel sindAktiviert
AufzählungsrichtlinieAlle blockieren
System/Prozesserstellung überwachen
RichtlinieEinstellungKommentar
Befehlszeile in Prozesserstellungsereignisse einschließenAktiviert
System/Remoteprozeduraufruf
RichtlinieEinstellungKommentar
Nicht authentifizierte RPC-Clients einschränkenAktiviert
Zu übernehmende Einschränkung für nicht authentifizierte Clients für RPC-Laufzeit:Authentifiziert
Systemsteuerung/Anpassung
RichtlinieEinstellungKommentar
Aktivieren der Diashow auf dem Sperrbildschirm verhindernAktiviert
Aktivieren der Sperrbildschirmkamera verhindernAktiviert
Windows-Komponenten/Anwendungskompatibilität
RichtlinieEinstellungKommentar
Inventory Collector deaktivierenAktiviert
Windows-Komponenten/Benutzerschnittstelle für Anmeldeinformationen
RichtlinieEinstellungKommentar
Bei Ausführung mit erhöhten Rechten Administratorkonten auflistenDeaktiviert
Windows-Komponenten/Biometrie/Gesichtserkennung
RichtlinieEinstellungKommentar
Erweitertes Antispoofing konfigurierenAktiviert
Windows-Komponenten/Datensammlung und Vorabversionen
RichtlinieEinstellungKommentar
Telemetrie zulassenAktiviert
1 – Einfach
Windows-Komponenten/Ereignisprotokolldienst/Anwendung
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)65536
Windows-Komponenten/Ereignisprotokolldienst/Sicherheit
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)2097152
Windows-Komponenten/Ereignisprotokolldienst/System
RichtlinieEinstellungKommentar
Maximale Protokolldateigröße (KB) angebenAktiviert
Maximale Protokollgröße (KB)65536
Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Seite "Erweitert"
RichtlinieEinstellungKommentar
Unterstützung der Verschlüsselung deaktivierenAktiviert
Kombinationen von sicheren ProtokollenTLS 1.0, TLS 1.1 und TLS 1.2 verwenden
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Geräte- und Ressourcenumleitung
RichtlinieEinstellungKommentar
Laufwerkumleitung nicht zulassenAktiviert
Zwischenablageumleitung nicht zulassenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit
RichtlinieEinstellungKommentar
Bei der Verbindungsherstellung immer zur Kennworteingabe auffordernAktiviert
Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlichAktiviert
Berechtigungsanpassung für lokale Administratoren nicht zulassenAktiviert
Sichere RPC-Kommunikation anfordernAktiviert
Verschlüsselungsstufe der Clientverbindung festlegenAktiviert
VerschlüsselungsstufeHöchste Stufe
Wählen Sie die Verschlüsselungsstufe aus der Dropdownliste aus.
RichtlinieEinstellungKommentar
Verwendung einer bestimmten Sicherheitsstufe für Remoteverbindungen (RDP) ist erforderlichAktiviert
SicherheitsstufeSSL
Wählen Sie in der Dropdownliste die Sicherheitsstufe aus.
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sitzungszeitlimits
RichtlinieEinstellungKommentar
Zeitlimit für aktive, aber im Leerlauf befindliche Remotedesktopdienste-Sitzungen festlegenAktiviert
Sitzungslimit für Leerlaufsitzung:30 Minuten
RichtlinieEinstellungKommentar
Zeitlimit für getrennte Sitzungen festlegenAktiviert
Getrennte Sitzung beenden3 Tage
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Verbindungen
RichtlinieEinstellungKommentar
Abmelden von Administratoren in Konsolensitzung verweigernAktiviert
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassenAktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client
RichtlinieEinstellungKommentar
Serverauthentifizierung für Client konfigurierenAktiviert
Authentifizierungseinstellung:Keine Verbindung, wenn Authentifizierung fehlschlägt
Windows-Komponenten/Richtlinien für die automatische Wiedergabe
RichtlinieEinstellungKommentar
Automatische Wiedergabe für andere Geräte als Volumes nicht zulassenAktiviert
Autoplay deaktivierenAktiviert
Automatische Wiedergabe deaktivieren auf:Alle Laufwerke
RichtlinieEinstellungKommentar
Standardverhalten von AutoAusführen festlegenAktiviert
AutoAusführen-StandardverhaltenKeine AutoAusführen-Befehle ausführen
Windows-Komponenten/RSS-Feeds
RichtlinieEinstellungKommentar
Herunterladen von Anlagen verhindernAktiviert
Windows-Komponenten/Suche
RichtlinieEinstellungKommentar
Indizieren verschlüsselter Dateien zulassenDeaktiviert
Windows-Komponenten/Windows Defender SmartScreen/Explorer
RichtlinieEinstellungKommentar
Windows Defender SmartScreen konfigurierenAktiviert
Wählen Sie eine der folgenden Einstellungen aus:Warnen und Umgehung verhindern
Windows-Komponenten/Windows Installer
RichtlinieEinstellungKommentar
Benutzersteuerung bei Installationen zulassenDeaktiviert
Immer mit erhöhten Rechten installierenDeaktiviert
Windows-Komponenten/Windows PowerShell
RichtlinieEinstellungKommentar
Protokollierung von PowerShell-Skriptblöcken aktivierenDeaktiviert
Windows-Komponenten/Windows-Anmeldeoptionen
RichtlinieEinstellungKommentar
Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperrenDeaktiviert
Windows-Komponenten/Windows-Remoteverwaltung (Windows Remote Management, WinRM)/WinRM-Client
RichtlinieEinstellungKommentar
Basic-Authentifizierung zulassenDeaktiviert
Digest-Authentifizierung nicht zulassenAktiviert
Unverschlüsselten Verkehr zulassenDeaktiviert
Windows-Komponenten/Windows-Remoteverwaltung (Windows Remote Management, WinRM)/WinRM-Dienst
RichtlinieEinstellungKommentar
Basic-Authentifizierung zulassenDeaktiviert
Speichern von RunAs-Anmeldeinformationen durch WinRM nicht zulassenAktiviert
Unverschlüsselten Verkehr zulassenDeaktiviert
Einstellungen
Windows-Einstellungen
Registrierung
DisableIPSourceRouting (Reihenfolge: 1)
Allgemein
AktionAktualisieren
Eigenschaften
StrukturHKEY_LOCAL_MACHINE
SchlüsselpfadSYSTEM\CurrentControlSet\Services\Tcpip\Parameters
WertnameDisableIPSourceRouting
WerttypREG_DWORD
Wertdaten0x2 (2)
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
DisableIPSourceRouting (Reihenfolge: 2)
Allgemein
AktionAktualisieren
Eigenschaften
StrukturHKEY_LOCAL_MACHINE
SchlüsselpfadSYSTEM\CurrentControlSet\Services\TCPIP6\Parameters
WertnameDisableIPSourceRouting
WerttypREG_DWORD
Wertdaten0x2 (2)
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
TokenLeakDetectDelaySecs (Reihenfolge: 3)
Allgemein
AktionAktualisieren
Eigenschaften
StrukturHKEY_LOCAL_MACHINE
SchlüsselpfadSYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
WertnameTokenLeakDetectDelaySecs
WerttypREG_DWORD
Wertdaten0x30 (48)
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
UseLogonCredential (Reihenfolge: 4)
Allgemein
AktionAktualisieren
Eigenschaften
StrukturHKEY_LOCAL_MACHINE
SchlüsselpfadSYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
WertnameUseLogonCredential
WerttypREG_DWORD
Wertdaten0x0 (0)
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
Systemsteuerungseinstellungen
Lokale Benutzer und Gruppen
Benutzer (Name: Administrator (integriert))
Administrator (integriert) (Reihenfolge: 1)
Lokaler Benutzer
AktionAktualisieren
Eigenschaften
BenutzernameAdministrator (integriert)
Umbenennen zuNDSADMIN
BeschreibungGPO Windows Server Hardening 2016-2019
Benutzer kann Kennwort nicht ändernFalsch
Kennwort läuft nie abWahr
Konto ist deaktiviert.Falsch
Konto läuft ab.Nie
Gemeinsam
Optionen
Bei Fehler keine Elemente mehr für diese Erweiterung verarbeitenNein
Element entfernen, wenn es nicht mehr angewendet wirdNein
Nur einmalig anwendenNein
Benutzerkonfiguration (Aktiviert)
Richtlinien
Administrative Vorlagen
Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.
Systemsteuerung/Anpassung
RichtlinieEinstellungKommentar
Bildschirmschoner aktivierenAktiviert
Kennwortschutz für den Bildschirmschoner verwendenAktiviert
Zeitlimit für BildschirmschonerAktiviert
Wartezeit (in Sekunden), bis der Bildschirmschoner aktiviert wird
Sekunden:900