Relution Community

    • Anmelden
    • Suche
    • Kategorien
    • Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen

    Benutzerdefinierte CSP

    Windows
    3
    13
    2298
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • Martin Eulitz
      Martin Eulitz zuletzt editiert von Martin Eulitz

      Windows Security Baselines Win11 24H2

      Hier findet ihr die aktuelle Version für Windows 11 Pro 24H2 zum Importieren in Relution (Passwort: "Relution"):
      https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

      In der Richtlinie sind ein paar CSP's deaktiviert, da diese Benutzereinstellungen enthalten, nur für Windows Enterprise gültig sind oder erst für eine spätere Version funktionieren. Ich habe den Grund für das Deaktivieren jetzt im jeweiligen Namen dokumentiert. Darüber hinaus muss die Richtlinie "Windows Group Policy Definitions" (siehe unten) zuerst angewendet werden, damit die Richtlinie sauber durchläuft.

      Stand 26.05.2025: 352 CSP's

      Typ
      Name
      Aktiviert
      Restriktionen
      PreventEnablingLockScreenCamera
      PreventLockScreenSlideShow
      ApplyUACRestrictionsToLocalAccountsOnNetworkLogon
      ConfigureSMBV1ClientDriver
      ConfigureSMBV1Server
      EnableStructuredExceptionHandlingOverwriteProtection
      WDigestAuthentication
      IPv6SourceRoutingProtectionLevel
      IPSourceRoutingProtectionLevel
      AllowICMPRedirectsToOverrideOSPFGeneratedRoutes
      AllowTheComputerToIgnoreNetBIOSNameReleaseRequestsExceptFromWINSServers
      Turn_Off_Multicast
      HardenedUNCPaths
      ProhitConnectionToNonDomainNetworksWhenConnectedToDomainAuthenticatedNetwork
      ConfigureRedirectionGuardPolicy
      ConfigureRpcConnectionPolicy
      ConfigureRpcListenerPolicy
      ConfigureRpcTcpPort
      RestrictDriverInstallationToAdministrators
      ConfigureCopyFilesPolicy
      NoLockScreenToastNotification (Disabled -> User Policy)
      AllowEncryptionOracle
      RemoteHostAllowsDelegationOfNonExportableCredentials
      PreventInstallationOfMatchingDeviceSetupClasses
      BootStartDriverInitialization
      CSE_Registry
      BootStartDriverInitialization
      DisableInternetDownloadForWebPublishingAndOnlineOrderingWizards
      AllowCustomSSPsAPs
      AllowStandbyStatesWhenSleepingOnBattery
      AllowStandbyWhenSleepingPluggedIn
      RequirePasswordWhenComputerWakesOnBattery
      RequirePasswordWhenComputerWakesPluggedIn
      SolicitedRemoteAssistance
      RestrictUnauthenticatedRPCClients
      AllowMicrosoftAccountsToBeOptional
      DisallowAutoplayForNonVolumeDevices
      SetDefaultAutoRunBehavior
      TurnOffAutoPlay
      FixedDrivesRequireEncryption
      RemovableDrivesRequireEncryption
      EnumerateAdministrators
      SpecifyMaximumFileSizeApplicationLog
      SpecifyMaximumFileSizeSecurityLog
      SpecifyMaximumFileSizeSystemLog
      EnableSmartScreen
      TurnOffDataExecutionPreventionForExplorer
      TurnOffHeapTerminationOnCorruption
      AllowSoftwareWhenSignatureIsInvalid
      CheckServerCertificateRevocation
      CheckSignaturesOnDownloadedPrograms
      DoNotAllowActiveXControlsInProtectedMode
      DisableEncryptionSupport
      DisableProcessesInEnhancedProtectedMode
      AllowEnhancedProtectedMode
      DisableIgnoringCertificateErrors
      InternetZoneAllowAccessToDataSources
      InternetZoneAllowCopyPasteViaScript
      InternetZoneAllowDragAndDropCopyAndPasteFiles
      InternetZoneAllowLoadingOfXAMLFiles
      InternetZoneAllowOnlyApprovedDomainsToUseActiveXControls
      InternetZoneAllowOnlyApprovedDomainsToUseTDCActiveXControl
      InternetZoneAllowScriptInitiatedWindows
      InternetZoneAllowScriptingOfInternetExplorerWebBrowserControls
      InternetZoneAllowScriptlets
      InternetZoneAllowUpdatesToStatusBarViaScript
      InternetZoneAllowVBScriptToRunInInternetExplorer
      InternetZoneAllowAutomaticPromptingForFileDownloads
      InternetZoneDoNotRunAntimalwareAgainstActiveXControls
      InternetZoneDownloadSignedActiveXControls
      InternetZoneDownloadUnsignedActiveXControls
      InternetZoneEnableDraggingOfContentFromDifferentDomainsAcrossWindows
      InternetZoneIncludeLocalPathWhenUploadingFilesToServer
      InternetZoneInitializeAndScriptActiveXControls
      InternetZoneJavaPermissions
      InternetZoneLaunchingApplicationsAndFilesInIFRAME
      InternetZoneLogonOptions
      InternetZoneNavigateWindowsAndFrames
      InternetZoneAllowNETFrameworkReliantComponents
      InternetZoneRunNETFrameworkReliantComponentsSignedWithAuthenticode
      InternetZoneShowSecurityWarningForPotentiallyUnsafeFiles
      InternetZoneEnableCrossSiteScriptingFilter
      InternetZoneEnableProtectedMode
      InternetZoneAllowSmartScreenIE
      InternetZoneAllowUserDataPersistence
      InternetZoneAllowLessPrivilegedSites
      IncludeAllNetworkPaths
      AllowCertificateAddressMismatchWarning
      IntranetZoneDoNotRunAntimalwareAgainstActiveXControls
      IntranetZoneInitializeAndScriptActiveXControls
      IntranetZoneJavaPermissions
      LocalMachineZoneDoNotRunAntimalwareAgainstActiveXControls
      LocalMachineZoneJavaPermissions
      LockedDownInternetZoneAllowSmartScreenIE
      LockedDownIntranetJavaPermissions
      LockedDownLocalMachineZoneJavaPermissions
      LockedDownRestrictedSitesZoneAllowSmartScreenIE
      LockedDownTrustedSitesZoneJavaPermissions
      RestrictedSitesZoneAllowAccessToDataSources
      RestrictedSitesZoneAllowActiveScripting
      RestrictedSitesZoneAllowBinaryAndScriptBehaviors
      RestrictedSitesZoneAllowCopyPasteViaScript
      RestrictedSitesZoneAllowDragAndDropCopyAndPasteFiles
      RestrictedSitesZoneAllowFileDownloads
      RestrictedSitesZoneAllowLoadingOfXAMLFiles
      RestrictedSitesZoneAllowMETAREFRESH
      RestrictedSitesZoneAllowOnlyApprovedDomainsToUseActiveXControls
      RestrictedSitesZoneAllowOnlyApprovedDomainsToUseTDCActiveXControl
      RestrictedSitesZoneAllowScriptInitiatedWindows
      RestrictedSitesZoneAllowScriptingOfInternetExplorerWebBrowserControls
      RestrictedSitesZoneAllowScriptlets
      RestrictedSitesZoneAllowUpdatesToStatusBarViaScript
      RestrictedSitesZoneAllowVBScriptToRunInInternetExplorer
      RestrictedSitesZoneAllowAutomaticPromptingForFileDownloads
      RestrictedSitesZoneDoNotRunAntimalwareAgainstActiveXControls
      RestrictedSitesZoneDownloadSignedActiveXControls
      RestrictedSitesZoneDownloadUnsignedActiveXControls
      RestrictedSitesZoneEnableDraggingOfContentFromDifferentDomainsAcrossWindows
      RestrictedSitesZoneEnableDraggingOfContentFromDifferentDomainsWithinWindows
      RestrictedSitesZoneIncludeLocalPathWhenUploadingFilesToServer
      RestrictedSitesZoneInitializeAndScriptActiveXControls
      RestrictedSitesZoneJavaPermissions
      RestrictedSitesZoneLaunchingApplicationsAndFilesInIFRAME
      RestrictedSitesZoneLogonOptions
      RestrictedSitesZoneNavigateWindowsAndFrames
      RestrictedSitesZoneAllowNETFrameworkReliantComponents
      RestrictedSitesZoneRunNETFrameworkReliantComponentsSignedWithAuthenticode
      RestrictedSitesZoneRunActiveXControlsAndPlugins
      RestrictedSitesZoneScriptActiveXControlsMarkedSafeForScripting
      RestrictedSitesZoneScriptingOfJavaApplets
      RestrictedSitesZoneShowSecurityWarningForPotentiallyUnsafeFiles
      RestrictedSitesZoneEnableCrossSiteScriptingFilter
      RestrictedSitesZoneTurnOnProtectedMode
      RestrictedSitesZoneAllowSmartScreenIE
      RestrictedSitesZoneUsePopupBlocker
      RestrictedSitesZoneAllowUserDataPersistence
      RestrictedSitesZoneAllowLessPrivilegedSites
      TrustedSitesZoneDoNotRunAntimalwareAgainstActiveXControls
      TrustedSitesZoneInitializeAndScriptActiveXControls
      TrustedSitesZoneJavaPermissions
      DisableBypassOfSmartScreenWarnings
      DisableBypassOfSmartScreenWarningsAboutUncommonFiles
      PreventManagingSmartScreenFilter
      PreventPerUserInstallationOfActiveXControls
      DoNotAllowUsersToAddSites
      DoNotAllowUsersToChangePolicies
      SecurityZonesUseOnlyMachineSettings
      SpecifyUseOfActiveXInstallerService
      DisableCrashDetection
      DisableSecuritySettingsCheck
      AllowAutoComplete (Disabled -> User Policy)
      RemoveRunThisTimeButtonForOutdatedActiveXControls
      DoNotBlockOutdatedActiveXControls
      AllowFallbackToSSL3
      ConsistentMimeHandlingInternetExplorerProcesses
      MimeSniffingSafetyFeatureInternetExplorerProcesses
      MKProtocolSecurityRestrictionInternetExplorerProcesses
      NotificationBarInternetExplorerProcesses
      ProtectionFromZoneElevationInternetExplorerProcesses
      RestrictActiveXInstallInternetExplorerProcesses
      RestrictFileDownloadInternetExplorerProcesses
      ScriptedWindowSecurityRestrictionsInternetExplorerProcesses
      DisableBlockAtFirstSeen
      RealtimeProtection_DisableScanOnRealtimeEnable
      Scan_DisablePackedExeScanning
      DisableRoutinelyTakingAction
      DoNotAllowPasswordSaving
      DoNotAllowDriveRedirection
      PromptForPasswordUponConnection
      RequireSecureRPCCommunication
      ClientConnectionEncryptionLevel
      DisableEnclosureDownloading
      EnableMPRNotifications
      AllowAutomaticRestartSignOn
      TurnOnPowerShellScriptBlockLogging
      AllowBasicAuthentication_Service
      AllowUnencryptedTraffic_Client
      DisallowDigestAuthentication
      AllowUnencryptedTraffic_Service
      DisallowStoringOfRunAsCredentials
      AccountLogon_AuditCredentialValidation
      AccountLogonLogoff_AuditAccountLockout
      AccountLogonLogoff_AuditGroupMembership
      AccountLogonLogoff_AuditLogon
      PolicyChange_AuditAuthenticationPolicyChange
      PolicyChange_AuditPolicyChange
      ObjectAccess_AuditFileShare
      AccountLogonLogoff_AuditOtherLogonLogoffEvents
      AccountManagement_AuditSecurityGroupManagement
      System_AuditSecuritySystemExtension
      AccountLogonLogoff_AuditSpecialLogon
      AccountManagement_AuditUserAccountManagement
      DetailedTracking_AuditPNPActivity
      DetailedTracking_AuditProcessCreation
      ObjectAccess_AuditDetailedFileShare
      ObjectAccess_AuditOtherObjectAccessEvents
      ObjectAccess_AuditRemovableStorage
      PolicyChange_AuditMPSSVCRuleLevelPolicyChange
      PolicyChange_AuditOtherPolicyChangeEvents
      PrivilegeUse_AuditSensitivePrivilegeUse
      System_AuditOtherSystemEvents
      System_AuditSecurityStateChange
      System_AuditSystemIntegrity
      AllowPasswordManager
      AllowSmartScreen
      PreventCertErrorOverrides
      PreventSmartScreenPromptOverride
      PreventSmartScreenPromptOverrideForFiles
      AllowDirectMemoryAccess
      AllowArchiveScanning
      AllowBehaviorMonitoring
      AllowCloudProtection
      AllowFullScanRemovableDriveScanning
      AllowOnAccessProtection
      AllowRealtimeMonitoring
      AllowIOAVProtection
      AllowScriptScanning
      AttackSurfaceReductionRules
      CloudBlockLevel
      CloudExtendedTimeout
      DisableLocalAdminMerge
      EnableFileHashComputation
      EnableNetworkProtection
      HideExclusionsFromLocalAdmins
      PUAProtection
      RealTimeScanDirection
      SubmitSamplesConsent
      EnableConvertWarnToBlock
      HideExclusionsFromLocalUsers
      OobeEnableRtpAndSigUpdate
      PassiveRemediation
      QuickScanIncludeExclusions
      ConfigureSystemGuardLaunch
      LsaCfgFlags (Disabled -> Windows Enterprise Policy)
      EnableVirtualizationBasedSecurity
      RequirePlatformSecurityFeatures
      MachineIdentityIsolation (Disabled -> Windows Enterprise Policy)
      DevicePasswordEnabled
      DevicePasswordHistory
      MinDevicePasswordLength
      DeviceEnumerationPolicy
      AllowWindowsSpotlight (Disabled -> User & Windows Enterprise Policy)
      AllowWindowsConsumerFeatures (Disabled -> Windows Enterprise Policy)
      AllowThirdPartySuggestionsInWindowsSpotlight (Disabled -> User Policy)
      EnableFirewall
      EnableLogSuccessConnections
      DefaultOutboundAction
      EnableLogDroppedPackets
      DisableInboundNotifications
      LogMaxFileSize
      DefaultInboundAction
      EnableFirewall
      LogMaxFileSize
      DefaultInboundAction
      EnableLogSuccessConnections
      EnableLogDroppedPackets
      DefaultOutboundAction
      DisableInboundNotifications
      EnableFirewall
      EnableLogDroppedPackets
      LogMaxFileSize
      DefaultOutboundAction
      DisableInboundNotifications
      DefaultInboundAction
      AllowLocalPolicyMerge
      EnableLogSuccessConnections
      AllowLocalIpsecPolicyMerge
      AuditClientDoesNotSupportEncryption (Disabled -> Min OS Version)
      AuditClientDoesNotSupportSigning (Disabled -> Min OS Version)
      AuditInsecureGuestLogon (Disabled -> Min OS Version)
      AuthRateLimiterDelayInMs (Disabled -> Min OS Version)
      EnableAuthRateLimiter (Disabled -> Min OS Version)
      MaxSmb2Dialect (Disabled -> Min OS Version)
      MinSmb2Dialect (Disabled -> Min OS Version)
      EnableMailslots (Disabled -> Min OS Version)
      EnableInsecureGuestLogons
      AuditInsecureGuestLogon (Disabled -> Min OS Version)
      AuditServerDoesNotSupportEncryption (Disabled -> Min OS Version)
      AuditServerDoesNotSupportSigning (Disabled -> Min OS Version)
      MaxSmb2Dialect (Disabled -> Min OS Version)
      MinSmb2Dialect (Disabled -> Min OS Version)
      RequireEncryption (Disabled -> Min OS Version)
      EnableMailslots (Disabled -> Min OS Version)
      Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
      InteractiveLogon_MachineInactivityLimit
      InteractiveLogon_SmartCardRemovalBehavior
      MicrosoftNetworkClient_DigitallySignCommunicationsAlways
      MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
      MicrosoftNetworkServer_DigitallySignCommunicationsAlways
      NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
      NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
      NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
      NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
      NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
      NetworkSecurity_LANManagerAuthenticationLevel
      NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
      NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
      UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection (Disabled -> Min OS Version)
      UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
      UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
      UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
      UserAccountControl_RunAllAdministratorsInAdminApprovalMode
      UserAccountControl_UseAdminApprovalMode
      UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
      ConfigureLsaProtectedProcess
      AllowGameDVR
      MSIAllowUserControlOverInstall
      MSIAlwaysInstallWithElevatedPrivileges
      SmartScreenEnabled
      PreventSmartScreenPromptOverride
      LetAppsActivateWithVoiceAboveLock
      AllowIndexingEncryptedStoresOrItems
      EnableSmartScreenInShell
      PreventOverrideForFilesInShell
      NotifyMalicious
      NotifyPasswordReuse
      NotifyUnsafeApp
      ServiceEnabled
      ConfigureXboxAccessoryManagementServiceStartupMode
      ConfigureXboxLiveAuthManagerServiceStartupMode
      ConfigureXboxLiveGameSaveServiceStartupMode
      ConfigureXboxLiveNetworkingServiceStartupMode
      EnableXboxGameSaveTask
      AccessFromNetwork
      AllowLocalLogOn
      BackupFilesAndDirectories
      CreateGlobalObjects
      CreatePageFile
      DebugPrograms
      DenyAccessFromNetwork
      DenyRemoteDesktopServicesLogOn
      ImpersonateClient
      LoadUnloadDeviceDrivers
      ManageAuditingAndSecurityLog
      ManageVolume
      ModifyFirmwareEnvironment
      ProfileSingleProcess
      RemoteShutdown
      RestoreFilesAndDirectories
      TakeOwnership
      HypervisorEnforcedCodeIntegrity
      AllowAutoConnectToWiFiSenseHotspots
      AllowInternetSharing
      FacialFeaturesUseEnhancedAntiSpoofing
      AllowWindowsInkWorkspace
      BackupDirectory (Disabled -> Error)
      PKInitHashAlgorithmConfiguration
      PKInitHashAlgorithmSHA256
      PKInitHashAlgorithmSHA384
      PKInitHashAlgorithmSHA512
      PKInitHashAlgorithmSHA1
      EnableSudo (Disabled -> Min OS Version)
      https://learn.microsoft.com/en-us/intune/intune-service/protect/security-baseline-settings-mdm-all?pivots=mdm-24h2

      1 Antwort Letzte Antwort Antworten Zitieren 1
      • Martin Eulitz
        Martin Eulitz zuletzt editiert von Martin Eulitz

        Windows Policies Win11 24H2

        Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
        https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

        Stand 08.05.2025: 3 CSP's

        NoLockScreen
        https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-controlpaneldisplay#cpl_personalization_nolockscreen

        UseDefaultTile
        https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-cpls#usedefaulttile

        RemovableDrivesRequireEncryption
        Kehrt die Richtlinie aus Windows Security Baselines Win11 24H2 um

        1 Antwort Letzte Antwort Antworten Zitieren 1
        • Martin Eulitz
          Martin Eulitz zuletzt editiert von Martin Eulitz

          Windows Group Policy Definitions

          Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
          https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

          Stand 09.06.2026: 1 CSP's

          EdgeAdmx149
          https://learn.microsoft.com/en-us/windows/client-management/win32-and-centennial-app-policy-configuration

          1 Antwort Letzte Antwort Antworten Zitieren 0
          • Martin Eulitz
            Martin Eulitz zuletzt editiert von Martin Eulitz

            Windows Security Baselines Edge v139

            Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
            https://vgv-kibo.de/s/D4JBqM4zGLBnpkd

            Stand 09.06.2026: 19 CSP's

            EnableUnsafeSwiftShader
            InternetExplorerIntegrationReloadInIEModeAllowed
            SSLErrorOverrideAllowed
            InternetExplorerIntegrationZoneIdentifierMhtFileAllowed
            DynamicCodeSettings
            ApplicationBoundEncryptionEnabled
            BrowserLegacyExtensionPointsBlockingEnabled
            SitePerProcess
            InternetExplorerModeToolbarButtonEnabled
            SharedArrayBufferUnrestrictedAccessAllowed
            TyposquattingCheckerEnabled
            ExtensionInstallBlocklist
            BasicAuthOverHttpEnabled
            AuthSchemes
            NativeMessagingUserLevelHosts
            SmartScreenEnabled
            SmartScreenPuaEnabled
            PreventSmartScreenPromptOverride
            PreventSmartScreenPromptOverrideForFiles

            https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-v2-edge-settings?pivots=edge-v139

            C 1 Antwort Letzte Antwort Antworten Zitieren 1
            • C
              Caroline Linde @Martin Eulitz zuletzt editiert von

              @Martin-Eulitz Hallo ich habe hierzu eine Rückfrage. Wenn ich die von dir bereitgestellten Dateien runterlade weiß ich ehrlich gesagt nicht wie ich diese öffnen soll. Sie sind vom Typ REXP und zeigen beim Öffnen mit Notepad++ nur Kauderwelsch an. Und ich wurde an keiner Stelle dazu aufgefordert ein Passwort einzugeben. Somit weiß ich nicht, wie ich an den vermeintlichen SyncML rankomme. Tut mir leid, falls dies eine absolute Anfängerfrage ist. 😕 Vielen Dank für deine ganzen Beiträge. Ohne diese wäre ich schon oft aufgeschmissen gewesen.

              Martin Eulitz 1 Antwort Letzte Antwort Antworten Zitieren 0
              • Martin Eulitz
                Martin Eulitz @Caroline Linde zuletzt editiert von

                @Caroline-Linde Hallo Caroline, du kannst diese Dateien einfach in Relution unter Richtlinien importieren (Passwort: "Relution"):

                f5823524-2c5e-4558-9220-78b753dde6f5-image.png

                Gruß Martin

                J 1 Antwort Letzte Antwort Antworten Zitieren 0
                • J
                  Joel @Martin Eulitz zuletzt editiert von

                  @Martin-Eulitz Moin, danke erstmal für deine Vorarbeit!

                  Ich hab gerade ein frisch eingeschriebenenes Windows-Notebook aufgesetzt aber nach dem Import der Richtlinien musste ich leider feststellen, dass rund 80% der CSPs nicht angewendet werden entweder (1) COMMAND_NOT_ALLOWED oder (2) OPTIONAL_FEATURE_NOT_SUPPORTED

                  Zu 1):
                  Betrifft die meisten CSPs.

                  Zu 2):
                  Benutzerdefinierte CSP (DefaultOutboundAction) → Verletzt, OPTIONAL_FEATURE_NOT_SUPPORTED

                  Ich hab bereits über die Microsoft Dokumentation nachgeschaut ob es Kompatibilitätsprobleme geben könnte, weil ich Windows 11 25H2 nutze aber laut der Doku sollte Windows 10, version 1709 [10.0.16299] and later kein Problem sein.

                  Die Prioriäten der Richtlinien habe ich entsprechend angepasst, aber auch schon die Prio. 1 Richtlinie "Windows Group Policy Definitions" mit dem EdgeAdmx149 CSP wird nicht angewendet, weil OPTIONAL_FEATURE_NOT_SUPPORTED.

                  Mache ich grundlegend etwas falsch, oder woran kann das liegen? Ist mein erster Versuch mit Relution + Windows.

                  J 1 Antwort Letzte Antwort Antworten Zitieren 0
                  • J
                    Joel @Joel zuletzt editiert von

                    Kann leider meinen Post nicht mehr bearbeiten.

                    EDIT:
                    Ich vermute es hängt mit meiner Art der Einschreibung zusammen. Derzeitig probiere ich die Geräte direkt per PPKG (siehe hier) einzuschreiben, dabei werden scheinbar aber nicht alle benötigten Richtlinien automatisch von Relution installiert. Ein zweites Gerät mit normaler Einschreibung über den generierten Link bezieht alle benötigten Richtlinien sodass auch alle CSPs angewendet werden können und das Gerät sich Konform meldet.
                    relution_policies.jpg

                    1 Antwort Letzte Antwort Antworten Zitieren 0
                    • Martin Eulitz
                      Martin Eulitz zuletzt editiert von Martin Eulitz

                      Hallo Joel,

                      das Problem ist, dass das Gerät immer mit dem aktuell angemeldeten Benutzer eingeschrieben wird. Wenn du das mit einer PPKG-Datei im Installationsprozess von Windows machst, erfolgt die Einschreibung mit dem Benutzer "defaultuser0". Das funktioniert auch soweit, aber leider wird dieser Benutzer nach ca. einer Stunde automatisch von Windows gelöscht und Relution kann keine CSP-Befehle mehr an das Gerät senden.

                      Ich habe hier im Forum schon ein paar Anleitungen geschrieben, wie man das umgehen kann. Die aktuellste findest du hier: https://community.relution.io/topic/63/vollautomatische-erstkonfiguration-und-einschreibung-in-relution-webdav-version

                      PS: Ich erstelle gerade die Security Baselines für 25H2. Sobald diese fertig ist, stelle ich sie hier online.

                      1 Antwort Letzte Antwort Antworten Zitieren 0
                      • Martin Eulitz
                        Martin Eulitz zuletzt editiert von Martin Eulitz

                        Ich habe die CSP's für Windows 11 25H2 und Edge v150 angepasst. Da die Anwendung meiner ca. 500 CSP's fast 10 Minuten gedauert hat, habe ich bei dieser Version alles CSP's in jeweils eine Richtline gepackt. Dies hat darüber hinaus noch den Vorteil, dass ich euch die CSP's hier zum Kopieren und Einfügen zur Verfügung stellen kann. Insgesamt sind es 5 Richtlinien, die in folgender Reihenfolge angewendet werden müssten:

                        1. Win11 25H2 Basis
                        2. Win11 25H2 Sicherheit
                        3. Win11 25H2 Individual
                        4. Edge v139 Sicherheit
                        5. Edge v150 Individual

                        PS: Ich nutzte ausschließlich benutzerdefinierte CSP's, um nicht mit den eingebauten CSP's von Relution durcheinander zu kommen.

                        1 Antwort Letzte Antwort Antworten Zitieren 0
                        • Martin Eulitz
                          Martin Eulitz zuletzt editiert von Martin Eulitz

                          Win11 25H2 Basis

                          Diese Richtline stellt zunächst die Windows-Version fest auf Win11 25H2 ein. Sie ermöglicht später die Anwendung von CSP's, die eigentlich nur für Win11 Enterprise ziehen würden (https://learn.microsoft.com/en-us/windows/client-management/mdm/sharedpc-csp#setedupolicies). Vor allem ist sie aber Grundlage um CSP's für den Edge-Browser in der jeweils neusten Version anwenden zu können (https://learn.microsoft.com/en-us/deployedge/configure-edge-with-mdm#create-an-oma-uri-for-microsoft-edge-policies). Hierfür müsst ihr euch die aktuelle ADMX-Datei (msedge.admx) für den Edge-Browser runterladen (https://aka.ms/EdgeEnterprise). Öffnet die Datei mit einem Editor, kopiert den kompletten Inhalt und fügt diesen unter der CmdID6 ein (Das "EINFÜGEN" muss mit dem Inhalt überschrieben werden).

                          Hier die benutzerdefinierte CSP:

                          <Replace>
                          
                            <CmdID>1</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI>
                              </Target>
                              <Meta>
                                <Format xmlns="syncml:metinf">chr</Format>
                                <Type xmlns="syncml:metinf">text/plain</Type>
                              </Meta>
                              <Data><![CDATA[Windows 11]]></Data>
                            </Item>
                          
                            <CmdID>2</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI>
                              </Target>
                              <Meta>
                                <Format xmlns="syncml:metinf">chr</Format>
                                <Type xmlns="syncml:metinf">text/plain</Type>
                              </Meta>
                              <Data><![CDATA[25H2]]></Data>
                            </Item>
                          
                            <CmdID>3</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI>
                              </Target>
                              <Meta>
                                <Format xmlns="syncml:metinf">bool</Format>
                                <Type xmlns="syncml:metinf">text/plain</Type>
                              </Meta>
                              <Data>true</Data>
                            </Item>
                          
                            <CmdID>4</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI>
                              </Target>
                              <Meta>
                                <Format xmlns="syncml:metinf">chr</Format>
                                <Type xmlns="syncml:metinf">text/plain</Type>
                              </Meta>
                              <Data><![CDATA[EINFÜGEN]]></Data>
                            </Item>
                          
                          </Replace>
                          
                          <Delete>
                          
                            <CmdID>1</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/ProductVersion</LocURI>
                              </Target>
                            </Item>
                          
                            <CmdID>2</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Device/Vendor/MSFT/Policy/Config/Update/TargetReleaseVersion</LocURI>
                              </Target>
                            </Item>
                          
                            <CmdID>3</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Vendor/MSFT/SharedPC/SetEduPolicies</LocURI>
                              </Target>
                            </Item>
                          
                            <CmdID>4</CmdID>
                            <Item>
                              <Target>
                                <LocURI>./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/MicrosoftEdge/Policy/EdgeAdmx</LocURI>
                              </Target>
                            </Item>
                          
                          </Delete>
                          
                          1 Antwort Letzte Antwort Antworten Zitieren 0
                          • Martin Eulitz
                            Martin Eulitz zuletzt editiert von Hanno

                            Win11 25H2 Sicherheit

                            Diese Richtline setzt die Windows MDM Security Baseline von Microsoft in der Version 25H2 um (https://learn.microsoft.com/en-us/intune/device-security/security-baselines/ref-windows-mdm-settings?pivots=mdm-25h2). Die ID's 21, 61, 238, 240, 246, 247, 248 ziehen nur für Enterprise-Versionen und/oder nur im Benutzerkontext. Die ID 42 erzwingt die Verschlüsselung aller USB-Sticks. Die ID's 243 und 244 setzen bei jeder Aktualisierung irgendeiner Richtlinie in Relution das Windows Passwort zurück. Die ID 293 bringt ohne Entra-ID einen Fehler. Am Besten alle diese ID's weglassen.

                            Hier die benutzerdefinierte CSP:
                            Win11 25H2 Sicherheit.xlsx

                            1 Antwort Letzte Antwort Antworten Zitieren 0
                            • Erster Beitrag
                              Letzter Beitrag