Willkommen zum zweiten Teil rund um das Thema Windows 10 und Gruppenrichtlinien. In Teil eins ging es um das hinzufügen der Administrativen Vorlagen.
Viele haben Sich im Rahmen der Veröffentlichung von Windows10 und den neuen Nutzungsbestimmungen beschwert das Windows 10 zu viel redet. Heute zeige ich Euch, wie Ich mit Gruppenrichtlinien das Windows 10 zum Schweigen bekommt. Wie man an dem Thema Gruppenrichtlinien merkt, richtet sich diese Anleitung an Unternehmen, oder Personen die wie ich zu Hause ein Active Directory haben 🙂
Ich werde auch hier die eine oder andere für Unternehmen Sinnvolle Windows 10 Richtlinie behandeln, also nicht wundern, wenn es um mehr als nur Datenübermittelung an Microsoft geht.
Die Windows 10 Richtlinien
Nutzungsdaten
Die erste Richtlinie ist direkt eine sehr interessante, den Sie zeigt eine neue Währung: „Nutzungsdaten“. Die Richtlinien finden Sie unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Datensammlung und Vorabversionen“, hier können auch Insider-Builds unterbunden werden. Das komplette abschalten der Übermittlung von Telemetrie und Nutzungsdaten ist nur der Windows 10 Enterprise (Ich denke auch den vergleichbaren wie LTSB) und den Servern vorbehalten. Der Beschreibungstext der Einstellung ist:
„Diese Richtlinieneinstellung legt den Umfang der an Microsoft gemeldeten Diagnose- und Nutzungsdaten fest. Der Wert 0 gibt an, dass keine Telemetriedaten von Betriebssystemkomponenten an Microsoft gesendet werden. Die Einstellung des Werts 0 ist nur auf Enterprise- und Servercomputer anwendbar. Wenn der Wert 0 für andere Geräte festgelegt wird, entspricht dies der Auswahl des Werts 1. Beim Wert 1 wird nur eine beschränkte oder grundlegende Menge von Diagnose- und Nutzungsdaten gesendet. Durch das Festlegen der Werte 0 oder 1 verschlechtert sich teilweise die Benutzererfahrung auf dem Gerät. Beim Wert 2 werden erweiterte Diagnose- und Nutzungsdaten gesendet. Beim Wert 3 werden die gleichen Daten wie beim Wert 2 plus zusätzliche Diagnosedaten gesendet, z. B. der Systemzustand zum Zeitpunkt des Hängenbleibens oder Absturzes sowie die Dateien und der Inhalt, durch die das Problem möglicherweise verursacht wurde.“
Da ich in meiner Testumgebung die Enterprise verwende, kann ich die „0“ wählen.
Windows-Update über P2P
Die nächsten Richtlinien die ich Konfigurieren finden sich unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Delivery Optimization“. Hier finden sich die einstellungen für die neue Variante der Windows Updates. Unter der Option „Download Mode“ kann konfiguriert werden, ob Windows auch P2P Mechanismen nutzt um Windows und App Updates herunter zu laden / bereitzustellen. Im Standart ist das nur innerhalb der eigenen Domäne erlaubt. Ich persönlich bevorzuge dafür allerdings meinen WSUS.
Synchronisierung von Nutzereinstellungen
Als nächstes wenden wir uns mal der Synchronisierung von Daten zu. Die unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Einstellung synchronisieren“ zu finden Optionen gelten schon ab Windows 8 bzw. Windows 8.1, trotzdem haben sich die meisten Firmen damit nicht beschäftigt. Genauer kann hier unterbunden werden, welche Dinge mit einem Microsoft Live Konto, synchronisiert werden können. Zum Beispiel: Apps, Kennwörter, Desktoppersonalisierungen, Starteinstellungen, etc… Hier sollte man ggf. mal etwas Konfigurieren, am einfachsten den Hauptschalter „Nicht synchronisieren“.
Microsoft Edge (aka. Spartan)
Den neuen Browser Edge kann man unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Microsoft Edge“ konfigurieren. Die Einstellmöglichkeiten sind mit 10 Einstellungen noch sehr überschaubar. Intersannt ist aber „Sendet den gesamten Intranetdatenverkehr an Internet Explorer“, Optimal wenn die Intranet Anwendungen noch den IE benötigen.
Onedrive (Public Cloud, nicht die SharePoint Variante)
Eine Option die seit Windows 7€ unterstützt wird, aber kaum genutzt wird ist „Verwendung von OneDrive für die Dateispeicherung verhindern“, zu finden unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / OneDrive“.
Wo bin ich / Standorte
Eine Einstellung die es bereits seit Windows 8 gibt ist „Windows Standortanbieter deaktivieren“, diese finden Sie unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Position und Sensoren / Windows Standortanbieter“ ggf. je nach ADML Datei kann es auch „Speicherort deaktivieren“ statt „Windows Standortanbieter“ heißen.
Cortana
Ich persönlich finde ja Cortana gar nicht mal so schlecht, aber Trotzdem sollte man hierdrüber mal nach denken. Also „Cortana, wo bist du?“ „Hallo Fabian, ich verstecke mich unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Suche“. Neben der Möglichkeit über „Cortana zulassen“ sie ganz abzuschalten, kann hier auch einfach nur die Verwendung von Positionsdaten einschränken.
Fehlerberichte
Da es dieses Einstellungen schon teilweise sein Windows XP gibt, sei hier nur der Vollständigkeit halber der Pfad erwähnt: „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Fehlerberichterstattung“
Windows Gaming
Eines der neuen Features von Windows 10 ist das Spiele Aufgezeichnet und geteilt werden können, wenn das Spiel das unterstützt. Wollten Sie im Büro spielen?? Wenn nein: „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Game Recording and Broadcasting“
Werbungs-ID
Um zu verhindern das eine dauerhafte Werbe-ID erstellt wird aktivieren Sie die Einstellung „Werbe-ID deaktivieren“ unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Benutzerprofile“
WLAN Optimierung
Für die WLAN Optimierung, welche unteranderem das teilen von WLAN-Passwörtern mit Freunden (teilweise sogar Facebook-Freunden) ermöglicht, habe ich noch keine Option entdecken können. Vielleicht haben Sie da ja einen Tipp.
Update (30.09.2015)
Mittlerweile hat Microsoft eingesehen, dass der Datenschutz in Deutschland wichtig ist. So wurde bereits im August die „Übersicht: Windows 10 und Datenschutz“ aktualisiert. Seit gestern steht , wenn auch in Englisch, im Microsoft TechNet der Artikel „Configure telemetry and other settings in your organization“ bereit, wie und wo die entsprechenden Einstellungen angepasst werden können.
Leider gibt es immer noch Einstellungen die nicht per Gruppenrichtlinie (GPO) oder Registry gemacht werden können, hoffen wir mal das da noch mehr kommt.
Kommentare
6 Antworten zu „Windows 10 Mundtot machen – für Unternehmen – Update“
WLAN Optimierung unter:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > WLAN-Dienst > WLAN-Einstellungen
Hallo,
unter WLAN-Dienst habe ich lediglich „Kosten von WLAN-Medien / Kosten festlegen“. Die DCs verwenden aktuelle AMDX files. (Dachte ich zumindest?)
Hallo! Ich hab die aktuellen AMDX Files (nun TH2) nochmals unter %systemroot%\sysvol\domain\policies\PolicyDefinitions kopiert und die WLAN-Einstellungen sind tatsächlich vorhanden. (Da ist wohl bei der letzten amdx Installation was schiefgelaufen).
Netter Artikel! Hätte mir sonst ein Wolf gesucht, danke!
Hallo,
danke für den Interessanten Blog Beitrag. Ich hatte mich mit dem Thema bereis beschäftigt und ne Batch gemacht welches alles „mir zu dem Zeitpunkt bekannten“ deaktiviert.
http://www.onelostpixel.de/windows-10-privacy-settings-mit-batch-file-setzen/
Ich denke ich muss dies nochmal überarbeiten. Echt unheimlich was MS da alles überträgt…
Hallo Fabian,
vielen Dank für den Artikel. Das ist genau das wonach ich gesucht habe. Folgende Einstellungen haben wir in unserem AD noch zusätzlich aktiviert:
Computer Configuration – Policies – Admin Templates – Windows Components – Application Compatibility
Turn off Application Telemetry – Enabled
Turn off Inventory Collector – Enabled
Computer Configuration – Policies – Admin Templates – Windows Components – Endpoint Protection – MAPS
Join Microsoft MAPS – Disabled
Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist – deaktiviert
Hallo,
vielen Dank für den Artikel!
Durch folgende Registry Keys kann das sog. WiFi Sense (s. WLAN-Optimierung) deaktiviert werden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\WcmSvc\wifinetworkmanager\features\S-1-5-21-3902212115-2543662138-3061636537-1001]
„“FeatureStates““=dword:0000033c
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\features\S-1-5-21-407635798-4141093222-2232203459-1001]
„“FeatureStates““=““828″“
VG