Benutzerdefinierte CSP
-
Ich habe bisher die Richtlinien für Windows Geräte über Gruppenrichtlinien mittels LGPO (https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importieren-exportieren) auf meine Windows-Geräte verteilt. Das funktioniert zwar - ist aber sehr aufwendig. Man muss zunächst die Richtlinien im Gruppenrichtlinien-Editor auf einem separaten PC erstellen, danach diese exportieren und den Export dann über ein Powershell-Script über Relution auf den verwalteten Geräten wieder importieren.
Seit Relution 5.30 gibt es die Möglichkeit benutzerdefinierte CSP's zu erstellen. Microsoft hat diese sehr gut dokumentiert und bietet mittlerweile alle Gruppenrichtlinien-Einstellungen auch in Form von CSP's an. Dies bietet zum ersten Mal die Möglichkeit, sämtliche Einstellungen für Windows-Geräte ohne zusätzliche Tools und Klimmzüge über Relution zu verwalten. Hierfür gibt es von mir mal wieder ein großes Lob an Relution!
Da die Erstellung von benutzerdefinierten CSP's ein bisschen aufwendig ist, würde ich diese gerne hier sammeln. Eventuell seit ihr ja auch schon dabei CSP's zu erstellen.
Anfangen würde ich mit den Microsoft Security Baselines (https://learn.microsoft.com/en-us/intune/intune-service/protect/security-baseline-settings-mdm-all?pivots=mdm-24h2), da diese das Fundament für meine Windows Richtlinien darstellen.
Die Priorität muss wie folgt eingestellt sein:
-
Windows Security Baselines Win11 24H2
Hier findet ihr die finale Version für Windows 11 Pro 24H2 zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdIn der Richtlinie sind ein paar CSP's deaktiviert, da diese Benutzereinstellungen enthalten und/oder nur für Windows Enterprise gültig sind. Darüber hinaus muss die Richtlinie "Windows Group Policy Definitions" (siehe unten) zuerst angewendet werden, damit die Richtlinie sauber durchläuft.
Stand 14.05.2025: Alle 352 CSP's
PreventEnablingLockScreenCamera
PreventLockScreenSlideShow
ApplyUACRestrictionsToLocalAccountsOnNetworkLogon
ConfigureSMBV1ClientDriver
ConfigureSMBV1Server
EnableStructuredExceptionHandlingOverwriteProtection
WDigestAuthentication
IPv6SourceRoutingProtectionLevel
IPSourceRoutingProtectionLevel
AllowICMPRedirectsToOverrideOSPFGeneratedRoutes
AllowTheComputerToIgnoreNetBIOSNameReleaseRequestsExceptFromWINSServers
Turn_Off_Multicast
HardenedUNCPaths
ProhitConnectionToNonDomainNetworksWhenConnectedToDomainAuthenticatedNetwork
ConfigureRedirectionGuardPolicy
ConfigureRpcConnectionPolicy
ConfigureRpcListenerPolicy
ConfigureRpcTcpPort
RestrictDriverInstallationToAdministrators
ConfigureCopyFilesPolicy
NoLockScreenToastNotification
AllowEncryptionOracle
RemoteHostAllowsDelegationOfNonExportableCredentials
PreventInstallationOfMatchingDeviceSetupClasses
BootStartDriverInitialization
CSE_Registry
BootStartDriverInitialization
DisableInternetDownloadForWebPublishingAndOnlineOrderingWizards
AllowCustomSSPsAPs
AllowStandbyStatesWhenSleepingOnBattery
AllowStandbyWhenSleepingPluggedIn
RequirePasswordWhenComputerWakesOnBattery
RequirePasswordWhenComputerWakesPluggedIn
SolicitedRemoteAssistance
RestrictUnauthenticatedRPCClients
AllowMicrosoftAccountsToBeOptional
DisallowAutoplayForNonVolumeDevices
SetDefaultAutoRunBehavior
TurnOffAutoPlay
FixedDrivesRequireEncryption
RemovableDrivesRequireEncryption
EnumerateAdministrators
SpecifyMaximumFileSizeApplicationLog
SpecifyMaximumFileSizeSecurityLog
SpecifyMaximumFileSizeSystemLog
EnableSmartScreen
TurnOffDataExecutionPreventionForExplorer
TurnOffHeapTerminationOnCorruption
AllowSoftwareWhenSignatureIsInvalid
CheckServerCertificateRevocation
CheckSignaturesOnDownloadedPrograms
DoNotAllowActiveXControlsInProtectedMode
DisableEncryptionSupport
DisableProcessesInEnhancedProtectedMode
AllowEnhancedProtectedMode
DisableIgnoringCertificateErrors
InternetZoneAllowAccessToDataSources
InternetZoneAllowCopyPasteViaScript
InternetZoneAllowDragAndDropCopyAndPasteFiles
InternetZoneAllowLoadingOfXAMLFiles
InternetZoneAllowOnlyApprovedDomainsToUseActiveXControls
InternetZoneAllowOnlyApprovedDomainsToUseTDCActiveXControl
InternetZoneAllowScriptInitiatedWindows
InternetZoneAllowScriptingOfInternetExplorerWebBrowserControls
InternetZoneAllowScriptlets
InternetZoneAllowUpdatesToStatusBarViaScript
InternetZoneAllowVBScriptToRunInInternetExplorer
InternetZoneAllowAutomaticPromptingForFileDownloads
InternetZoneDoNotRunAntimalwareAgainstActiveXControls
InternetZoneDownloadSignedActiveXControls
InternetZoneDownloadUnsignedActiveXControls
InternetZoneEnableDraggingOfContentFromDifferentDomainsAcrossWindows
InternetZoneIncludeLocalPathWhenUploadingFilesToServer
InternetZoneInitializeAndScriptActiveXControls
InternetZoneJavaPermissions
InternetZoneLaunchingApplicationsAndFilesInIFRAME
InternetZoneLogonOptions
InternetZoneNavigateWindowsAndFrames
InternetZoneAllowNETFrameworkReliantComponents
InternetZoneRunNETFrameworkReliantComponentsSignedWithAuthenticode
InternetZoneShowSecurityWarningForPotentiallyUnsafeFiles
InternetZoneEnableCrossSiteScriptingFilter
InternetZoneEnableProtectedMode
InternetZoneAllowSmartScreenIE
InternetZoneAllowUserDataPersistence
InternetZoneAllowLessPrivilegedSites
IncludeAllNetworkPaths
AllowCertificateAddressMismatchWarning
IntranetZoneDoNotRunAntimalwareAgainstActiveXControls
IntranetZoneInitializeAndScriptActiveXControls
IntranetZoneJavaPermissions
LocalMachineZoneDoNotRunAntimalwareAgainstActiveXControls
LocalMachineZoneJavaPermissions
LockedDownInternetZoneAllowSmartScreenIE
LockedDownIntranetJavaPermissions
LockedDownLocalMachineZoneJavaPermissions
LockedDownRestrictedSitesZoneAllowSmartScreenIE
LockedDownTrustedSitesZoneJavaPermissions
RestrictedSitesZoneAllowAccessToDataSources
RestrictedSitesZoneAllowActiveScripting
RestrictedSitesZoneAllowBinaryAndScriptBehaviors
RestrictedSitesZoneAllowCopyPasteViaScript
RestrictedSitesZoneAllowDragAndDropCopyAndPasteFiles
RestrictedSitesZoneAllowFileDownloads
RestrictedSitesZoneAllowLoadingOfXAMLFiles
RestrictedSitesZoneAllowMETAREFRESH
RestrictedSitesZoneAllowOnlyApprovedDomainsToUseActiveXControls
RestrictedSitesZoneAllowOnlyApprovedDomainsToUseTDCActiveXControl
RestrictedSitesZoneAllowScriptInitiatedWindows
RestrictedSitesZoneAllowScriptingOfInternetExplorerWebBrowserControls
RestrictedSitesZoneAllowScriptlets
RestrictedSitesZoneAllowUpdatesToStatusBarViaScript
RestrictedSitesZoneAllowVBScriptToRunInInternetExplorer
RestrictedSitesZoneAllowAutomaticPromptingForFileDownloads
RestrictedSitesZoneDoNotRunAntimalwareAgainstActiveXControls
RestrictedSitesZoneDownloadSignedActiveXControls
RestrictedSitesZoneDownloadUnsignedActiveXControls
RestrictedSitesZoneEnableDraggingOfContentFromDifferentDomainsAcrossWindows
RestrictedSitesZoneEnableDraggingOfContentFromDifferentDomainsWithinWindows
RestrictedSitesZoneIncludeLocalPathWhenUploadingFilesToServer
RestrictedSitesZoneInitializeAndScriptActiveXControls
RestrictedSitesZoneJavaPermissions
RestrictedSitesZoneLaunchingApplicationsAndFilesInIFRAME
RestrictedSitesZoneLogonOptions
RestrictedSitesZoneNavigateWindowsAndFrames
RestrictedSitesZoneAllowNETFrameworkReliantComponents
RestrictedSitesZoneRunNETFrameworkReliantComponentsSignedWithAuthenticode
RestrictedSitesZoneRunActiveXControlsAndPlugins
RestrictedSitesZoneScriptActiveXControlsMarkedSafeForScripting
RestrictedSitesZoneScriptingOfJavaApplets
RestrictedSitesZoneShowSecurityWarningForPotentiallyUnsafeFiles
RestrictedSitesZoneEnableCrossSiteScriptingFilter
RestrictedSitesZoneTurnOnProtectedMode
RestrictedSitesZoneAllowSmartScreenIE
RestrictedSitesZoneUsePopupBlocker
RestrictedSitesZoneAllowUserDataPersistence
RestrictedSitesZoneAllowLessPrivilegedSites
TrustedSitesZoneDoNotRunAntimalwareAgainstActiveXControls
TrustedSitesZoneInitializeAndScriptActiveXControls
TrustedSitesZoneJavaPermissions
DisableBypassOfSmartScreenWarnings
DisableBypassOfSmartScreenWarningsAboutUncommonFiles
PreventManagingSmartScreenFilter
PreventPerUserInstallationOfActiveXControls
DoNotAllowUsersToAddSites
DoNotAllowUsersToChangePolicies
SecurityZonesUseOnlyMachineSettings
SpecifyUseOfActiveXInstallerService
DisableCrashDetection
DisableSecuritySettingsCheck
AllowAutoComplete
RemoveRunThisTimeButtonForOutdatedActiveXControls
DoNotBlockOutdatedActiveXControls
AllowFallbackToSSL3
ConsistentMimeHandlingInternetExplorerProcesses
MimeSniffingSafetyFeatureInternetExplorerProcesses
MKProtocolSecurityRestrictionInternetExplorerProcesses
NotificationBarInternetExplorerProcesses
ProtectionFromZoneElevationInternetExplorerProcesses
RestrictActiveXInstallInternetExplorerProcesses
RestrictFileDownloadInternetExplorerProcesses
ScriptedWindowSecurityRestrictionsInternetExplorerProcesses
DisableBlockAtFirstSeen
RealtimeProtection_DisableScanOnRealtimeEnable
Scan_DisablePackedExeScanning
DisableRoutinelyTakingAction
DoNotAllowPasswordSaving
DoNotAllowDriveRedirection
PromptForPasswordUponConnection
RequireSecureRPCCommunication
ClientConnectionEncryptionLevel
DisableEnclosureDownloading
EnableMPRNotifications
AllowAutomaticRestartSignOn
TurnOnPowerShellScriptBlockLogging
AllowBasicAuthentication_Service
AllowUnencryptedTraffic_Client
DisallowDigestAuthentication
AllowUnencryptedTraffic_Service
DisallowStoringOfRunAsCredentials
AccountLogon_AuditCredentialValidation
AccountLogonLogoff_AuditAccountLockout
AccountLogonLogoff_AuditGroupMembership
AccountLogonLogoff_AuditLogon
PolicyChange_AuditAuthenticationPolicyChange
PolicyChange_AuditPolicyChange
ObjectAccess_AuditFileShare
AccountLogonLogoff_AuditOtherLogonLogoffEvents
AccountManagement_AuditSecurityGroupManagement
System_AuditSecuritySystemExtension
AccountLogonLogoff_AuditSpecialLogon
AccountManagement_AuditUserAccountManagement
DetailedTracking_AuditPNPActivity
DetailedTracking_AuditProcessCreation
ObjectAccess_AuditDetailedFileShare
ObjectAccess_AuditOtherObjectAccessEvents
ObjectAccess_AuditRemovableStorage
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
PolicyChange_AuditOtherPolicyChangeEvents
PrivilegeUse_AuditSensitivePrivilegeUse
System_AuditOtherSystemEvents
System_AuditSecurityStateChange
System_AuditSystemIntegrity
AllowPasswordManager
AllowSmartScreen
PreventCertErrorOverrides
PreventSmartScreenPromptOverride
PreventSmartScreenPromptOverrideForFiles
AllowDirectMemoryAccess
AllowArchiveScanning
AllowBehaviorMonitoring
AllowCloudProtection
AllowFullScanRemovableDriveScanning
AllowOnAccessProtection
AllowRealtimeMonitoring
AllowIOAVProtection
AllowScriptScanning
AttackSurfaceReductionRules
CloudBlockLevel
CloudExtendedTimeout
DisableLocalAdminMerge
EnableFileHashComputation
EnableNetworkProtection
HideExclusionsFromLocalAdmins
PUAProtection
RealTimeScanDirection
SubmitSamplesConsent
EnableConvertWarnToBlock
HideExclusionsFromLocalUsers
OobeEnableRtpAndSigUpdate
PassiveRemediation
QuickScanIncludeExclusions
ConfigureSystemGuardLaunch
LsaCfgFlags
EnableVirtualizationBasedSecurity
RequirePlatformSecurityFeatures
MachineIdentityIsolation
DevicePasswordEnabled
DevicePasswordHistory
MinDevicePasswordLength
DeviceEnumerationPolicy
AllowWindowsSpotlight
AllowWindowsConsumerFeatures
AllowThirdPartySuggestionsInWindowsSpotlight
EnableFirewall
EnableLogSuccessConnections
DefaultOutboundAction
EnableLogDroppedPackets
DisableInboundNotifications
LogMaxFileSize
DefaultInboundAction
EnableFirewall
LogMaxFileSize
DefaultInboundAction
EnableLogSuccessConnections
EnableLogDroppedPackets
DefaultOutboundAction
DisableInboundNotifications
EnableFirewall
EnableLogDroppedPackets
LogMaxFileSize
DefaultOutboundAction
DisableInboundNotifications
DefaultInboundAction
AllowLocalPolicyMerge
EnableLogSuccessConnections
AllowLocalIpsecPolicyMerge
AuditClientDoesNotSupportEncryption
AuditClientDoesNotSupportSigning
AuditInsecureGuestLogon
AuthRateLimiterDelayInMs
EnableAuthRateLimiter
MaxSmb2Dialect
MinSmb2Dialect
EnableMailslots
EnableInsecureGuestLogons
AuditInsecureGuestLogon
AuditServerDoesNotSupportEncryption
AuditServerDoesNotSupportSigning
MaxSmb2Dialect
MinSmb2Dialect
RequireEncryption
EnableMailslots
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
InteractiveLogon_MachineInactivityLimit
InteractiveLogon_SmartCardRemovalBehavior
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
NetworkSecurity_LANManagerAuthenticationLevel
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
UserAccountControl_UseAdminApprovalMode
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
ConfigureLsaProtectedProcess
AllowGameDVR
MSIAllowUserControlOverInstall
MSIAlwaysInstallWithElevatedPrivileges
SmartScreenEnabled
PreventSmartScreenPromptOverride
LetAppsActivateWithVoiceAboveLock
AllowIndexingEncryptedStoresOrItems
EnableSmartScreenInShell
PreventOverrideForFilesInShell
NotifyMalicious
NotifyPasswordReuse
NotifyUnsafeApp
ServiceEnabled
ConfigureXboxAccessoryManagementServiceStartupMode
ConfigureXboxLiveAuthManagerServiceStartupMode
ConfigureXboxLiveGameSaveServiceStartupMode
ConfigureXboxLiveNetworkingServiceStartupMode
EnableXboxGameSaveTask
AccessFromNetwork
AllowLocalLogOn
BackupFilesAndDirectories
CreateGlobalObjects
CreatePageFile
DebugPrograms
DenyAccessFromNetwork
DenyRemoteDesktopServicesLogOn
ImpersonateClient
LoadUnloadDeviceDrivers
ManageAuditingAndSecurityLog
ManageVolume
ModifyFirmwareEnvironment
ProfileSingleProcess
RemoteShutdown
RestoreFilesAndDirectories
TakeOwnership
HypervisorEnforcedCodeIntegrity
AllowAutoConnectToWiFiSenseHotspots
AllowInternetSharing
FacialFeaturesUseEnhancedAntiSpoofing
AllowWindowsInkWorkspace
BackupDirectory
PKInitHashAlgorithmConfiguration
PKInitHashAlgorithmSHA256
PKInitHashAlgorithmSHA384
PKInitHashAlgorithmSHA512
PKInitHashAlgorithmSHA1
EnableSudo
https://learn.microsoft.com/en-us/intune/intune-service/protect/security-baseline-settings-mdm-all?pivots=mdm-24h2 -
Windows Policies Win11 24H2
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 08.05.2025: 3 CSP's
UseDefaultTile
https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-cpls#usedefaulttileRemovableDrivesRequireEncryption
Kehrt die Richtlinie aus Windows Security Baselines Win11 24H2 um -
Windows Group Policy Definitions
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 14.05.2025: 1 CSP's
EdgeAdmx135
https://learn.microsoft.com/en-us/windows/client-management/win32-and-centennial-app-policy-configuration
