Windows 10 Mundtot machen – für Unternehmen – Update

Windows 10 - Terry Myerson - silhouette

Willkommen zum zweiten Teil rund um das Thema Windows 10 und Gruppenrichtlinien. In Teil eins ging es um das hinzufügen der Administrativen Vorlagen.

Viele haben Sich im Rahmen der Veröffentlichung von Windows10 und den neuen Nutzungsbestimmungen beschwert das Windows 10 zu viel redet. Heute zeige ich Euch, wie Ich mit Gruppenrichtlinien das Windows 10 zum Schweigen bekommt. Wie man an dem Thema Gruppenrichtlinien merkt, richtet sich diese Anleitung an Unternehmen, oder Personen die wie ich zu Hause ein Active Directory haben 🙂

Ich werde auch hier die eine oder andere für Unternehmen Sinnvolle Windows 10 Richtlinie behandeln, also nicht wundern, wenn es um mehr als nur Datenübermittelung an Microsoft geht.

Die Windows 10 Richtlinien

Nutzungsdaten

Die erste Richtlinie ist direkt eine sehr interessante, den Sie zeigt eine neue Währung: “Nutzungsdaten”. Die Richtlinien finden Sie unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Datensammlung und Vorabversionen”, hier können auch Insider-Builds unterbunden werden. Das komplette abschalten der Übermittlung von Telemetrie und Nutzungsdaten ist nur der Windows 10 Enterprise (Ich denke auch den vergleichbaren wie LTSB) und den Servern vorbehalten. Der Beschreibungstext der Einstellung ist:

“Diese Richtlinieneinstellung legt den Umfang der an Microsoft gemeldeten Diagnose- und Nutzungsdaten fest. Der Wert 0 gibt an, dass keine Telemetriedaten von Betriebssystemkomponenten an Microsoft gesendet werden. Die Einstellung des Werts 0 ist nur auf Enterprise- und Servercomputer anwendbar. Wenn der Wert 0 für andere Geräte festgelegt wird, entspricht dies der Auswahl des Werts 1. Beim Wert 1 wird nur eine beschränkte oder grundlegende Menge von Diagnose- und Nutzungsdaten gesendet. Durch das Festlegen der Werte 0 oder 1 verschlechtert sich teilweise die Benutzererfahrung auf dem Gerät. Beim Wert 2 werden erweiterte Diagnose- und Nutzungsdaten gesendet. Beim Wert 3 werden die gleichen Daten wie beim Wert 2 plus zusätzliche Diagnosedaten gesendet, z. B. der Systemzustand zum Zeitpunkt des Hängenbleibens oder Absturzes sowie die Dateien und der Inhalt, durch die das Problem möglicherweise verursacht wurde.”

Da ich in meiner Testumgebung die Enterprise verwende, kann ich die “0” wählen.

Windows-Update über P2P

Die nächsten Richtlinien die ich Konfigurieren finden sich unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Delivery Optimization”. Hier finden sich die einstellungen für die neue Variante der Windows Updates. Unter der Option “Download Mode” kann konfiguriert werden, ob Windows auch P2P Mechanismen nutzt um Windows und App Updates herunter zu laden / bereitzustellen. Im Standart ist das nur innerhalb der eigenen Domäne erlaubt. Ich persönlich bevorzuge dafür allerdings meinen WSUS.

Synchronisierung von Nutzereinstellungen

Als nächstes wenden wir uns mal der Synchronisierung von Daten zu. Die unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Einstellung synchronisieren” zu finden Optionen gelten schon ab Windows 8 bzw. Windows 8.1, trotzdem haben sich die meisten Firmen damit nicht beschäftigt. Genauer kann hier unterbunden werden, welche Dinge mit einem Microsoft Live Konto, synchronisiert werden können. Zum Beispiel: Apps, Kennwörter, Desktoppersonalisierungen, Starteinstellungen, etc… Hier sollte man ggf. mal etwas Konfigurieren, am einfachsten den Hauptschalter “Nicht synchronisieren”.

Microsoft Edge (aka. Spartan)

Den neuen Browser Edge kann man unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Microsoft Edge” konfigurieren. Die Einstellmöglichkeiten sind mit 10 Einstellungen noch sehr überschaubar. Intersannt ist aber “Sendet den gesamten Intranetdatenverkehr an Internet Explorer”, Optimal wenn die Intranet Anwendungen noch den IE benötigen.

Onedrive (Public Cloud, nicht die SharePoint Variante)

Eine Option die seit Windows 7 unterstützt wird, aber kaum genutzt wird ist “Verwendung von OneDrive für die Dateispeicherung verhindern”, zu finden unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / OneDrive”.

Wo bin ich / Standorte

Eine Einstellung die es bereits seit Windows 8 gibt ist “Windows Standortanbieter deaktivieren”, diese finden Sie unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Position und Sensoren / Windows Standortanbieter” ggf. je nach ADML Datei kann es auch “Speicherort deaktivieren” statt “Windows Standortanbieter” heißen.

Cortana

Ich persönlich finde ja Cortana gar nicht mal so schlecht, aber Trotzdem sollte man hierdrüber mal nach denken. Also “Cortana, wo bist du?” “Hallo Fabian, ich verstecke mich unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Suche”. Neben der Möglichkeit über “Cortana zulassen” sie ganz abzuschalten, kann hier auch einfach nur die Verwendung von Positionsdaten einschränken.

Fehlerberichte

Da es dieses Einstellungen schon teilweise sein Windows XP gibt, sei hier nur der Vollständigkeit halber der Pfad erwähnt: “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Fehlerberichterstattung”

Windows Gaming

Eines der neuen Features von Windows 10 ist das Spiele Aufgezeichnet und geteilt werden können, wenn das Spiel das unterstützt. Wollten Sie im Büro spielen?? Wenn nein: “Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Game Recording and Broadcasting”

Werbungs-ID

Um zu verhindern das eine dauerhafte Werbe-ID erstellt wird aktivieren Sie die Einstellung “Werbe-ID deaktivieren” unter “Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Benutzerprofile”

WLAN Optimierung

Für die WLAN Optimierung, welche unteranderem das teilen von WLAN-Passwörtern mit Freunden (teilweise sogar Facebook-Freunden) ermöglicht, habe ich noch keine Option entdecken können. Vielleicht haben Sie da ja einen Tipp.

Update (30.09.2015)

Mittlerweile hat Microsoft eingesehen, dass der Datenschutz in Deutschland wichtig ist. So wurde bereits im August die “Übersicht: Windows 10 und Datenschutz” aktualisiert. Seit gestern steht , wenn auch in Englisch, im Microsoft TechNet der Artikel “Configure telemetry and other settings in your organization” bereit, wie und wo die entsprechenden Einstellungen angepasst werden können.

Leider gibt es immer noch Einstellungen die nicht per Gruppenrichtlinie (GPO) oder Registry gemacht werden können, hoffen wir mal das da noch mehr kommt.

Please wait...

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und arbeitet bei der steep GmbH in Bonn. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte und Historische Lieder.

7 Gedanken zu „Windows 10 Mundtot machen – für Unternehmen – Update“

    1. Hallo,
      unter WLAN-Dienst habe ich lediglich “Kosten von WLAN-Medien / Kosten festlegen”. Die DCs verwenden aktuelle AMDX files. (Dachte ich zumindest?)

      1. Hallo! Ich hab die aktuellen AMDX Files (nun TH2) nochmals unter %systemroot%\sysvol\domain\policies\PolicyDefinitions kopiert und die WLAN-Einstellungen sind tatsächlich vorhanden. (Da ist wohl bei der letzten amdx Installation was schiefgelaufen).
        Netter Artikel! Hätte mir sonst ein Wolf gesucht, danke!

  1. Hallo Fabian,

    vielen Dank für den Artikel. Das ist genau das wonach ich gesucht habe. Folgende Einstellungen haben wir in unserem AD noch zusätzlich aktiviert:
    Computer Configuration – Policies – Admin Templates – Windows Components – Application Compatibility
    Turn off Application Telemetry – Enabled
    Turn off Inventory Collector – Enabled

    Computer Configuration – Policies – Admin Templates – Windows Components – Endpoint Protection – MAPS
    Join Microsoft MAPS – Disabled
    Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist – deaktiviert

  2. Hallo,
    vielen Dank für den Artikel!

    Durch folgende Registry Keys kann das sog. WiFi Sense (s. WLAN-Optimierung) deaktiviert werden:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\WcmSvc\wifinetworkmanager\features\S-1-5-21-3902212115-2543662138-3061636537-1001]
    “”FeatureStates””=dword:0000033c

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\features\S-1-5-21-407635798-4141093222-2232203459-1001]
    “”FeatureStates””=””828″”

    VG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.