Benutzerdefinierte CSP
-
Ich habe bisher die Richtlinien für Windows Geräte über Gruppenrichtlinien mittels LGPO (https://www.windowspro.de/tool/lgpoexe-lokale-gruppenrichtlinien-importieren-exportieren) auf meine Windows-Geräte verteilt. Das funktioniert zwar - ist aber sehr aufwendig. Man muss zunächst die Richtlinien im Gruppenrichtlinien-Editor auf einem separaten PC erstellen, danach diese exportieren und den Export dann über ein Powershell-Script über Relution auf den verwalteten Geräten wieder importieren.
Seit Relution 5.30 gibt es die Möglichkeit benutzerdefinierte CSP's zu erstellen. Microsoft hat diese sehr gut dokumentiert und bietet mittlerweile alle Gruppenrichtlinien-Einstellungen auch in Form von CSP's an. Dies bietet zum ersten Mal die Möglichkeit, sämtliche Einstellungen für Windows-Geräte ohne zusätzliche Tools und Klimmzüge über Relution zu verwalten. Hierfür gibt es von mir mal wieder ein großes Lob an Relution!
Da die Erstellung von benutzerdefinierten CSP's ein bisschen aufwendig ist, würde ich diese gerne hier sammeln. Eventuell seit ihr ja auch schon dabei CSP's zu erstellen.
Anfangen würde ich mit den Microsoft Security Baselines (https://learn.microsoft.com/en-us/intune/intune-service/protect/security-baseline-settings-mdm-all?pivots=mdm-24h2), da diese das Fundament für meine Windows Richtlinien darstellen.
-
Security Baseline Windows 11 24H2
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 09.05.2025: 162 CSP's
PreventEnablingLockScreenCamera
PreventLockScreenSlideShow
ApplyUACRestrictionsToLocalAccountsOnNetworkLogon
ConfigureSMBV1ClientDriver
ConfigureSMBV1Server
EnableStructuredExceptionHandlingOverwriteProtection
WDigestAuthentication
IPv6SourceRoutingProtectionLevel
IPSourceRoutingProtectionLevel
AllowICMPRedirectsToOverrideOSPFGeneratedRoutes
AllowTheComputerToIgnoreNetBIOSNameReleaseRequestsExceptFromWINSServers
Turn_Off_Multicast
HardenedUNCPaths
ProhitConnectionToNonDomainNetworksWhenConnectedToDomainAuthenticatedNetwork
ConfigureRedirectionGuardPolicy
ConfigureRpcConnectionPolicy
ConfigureRpcListenerPolicy
ConfigureRpcTcpPort
RestrictDriverInstallationToAdministrators
ConfigureCopyFilesPolicy
NoLockScreenToastNotification
AllowEncryptionOracle
RemoteHostAllowsDelegationOfNonExportableCredentials
PreventInstallationOfMatchingDeviceSetupClasses
BootStartDriverInitialization
CSE_Registry
BootStartDriverInitialization
DisableInternetDownloadForWebPublishingAndOnlineOrderingWizards
AllowCustomSSPsAPs
AllowStandbyStatesWhenSleepingOnBattery
AllowStandbyWhenSleepingPluggedIn
RequirePasswordWhenComputerWakesOnBattery
RequirePasswordWhenComputerWakesPluggedIn
SolicitedRemoteAssistance
RestrictUnauthenticatedRPCClients
AllowMicrosoftAccountsToBeOptional
DisallowAutoplayForNonVolumeDevices
SetDefaultAutoRunBehavior
TurnOffAutoPlay
FixedDrivesRequireEncryption
RemovableDrivesRequireEncryption
EnumerateAdministrators
SpecifyMaximumFileSizeApplicationLog
SpecifyMaximumFileSizeSecurityLog
SpecifyMaximumFileSizeSystemLog
EnableSmartScreen
TurnOffDataExecutionPreventionForExplorer
TurnOffHeapTerminationOnCorruption
AllowSoftwareWhenSignatureIsInvalid
CheckServerCertificateRevocation
CheckSignaturesOnDownloadedPrograms
DoNotAllowActiveXControlsInProtectedMode
DisableEncryptionSupport
DisableProcessesInEnhancedProtectedMode
AllowEnhancedProtectedMode
DisableIgnoringCertificateErrors
InternetZoneAllowAccessToDataSources
InternetZoneAllowCopyPasteViaScript
InternetZoneAllowDragAndDropCopyAndPasteFiles
InternetZoneAllowLoadingOfXAMLFiles
InternetZoneAllowOnlyApprovedDomainsToUseActiveXControls
InternetZoneAllowOnlyApprovedDomainsToUseTDCActiveXControl
InternetZoneAllowScriptInitiatedWindows
InternetZoneAllowScriptingOfInternetExplorerWebBrowserControls
InternetZoneAllowScriptlets
InternetZoneAllowUpdatesToStatusBarViaScript
InternetZoneAllowVBScriptToRunInInternetExplorer
InternetZoneAllowAutomaticPromptingForFileDownloads
InternetZoneDoNotRunAntimalwareAgainstActiveXControls
InternetZoneDownloadSignedActiveXControls
InternetZoneDownloadUnsignedActiveXControls
InternetZoneEnableDraggingOfContentFromDifferentDomainsAcrossWindows
InternetZoneIncludeLocalPathWhenUploadingFilesToServer
InternetZoneInitializeAndScriptActiveXControls
InternetZoneJavaPermissions
InternetZoneLaunchingApplicationsAndFilesInIFRAME
InternetZoneLogonOptions
InternetZoneNavigateWindowsAndFrames
InternetZoneAllowNETFrameworkReliantComponents
InternetZoneRunNETFrameworkReliantComponentsSignedWithAuthenticode
InternetZoneShowSecurityWarningForPotentiallyUnsafeFiles
InternetZoneEnableCrossSiteScriptingFilter
InternetZoneEnableProtectedMode
InternetZoneAllowSmartScreenIE
InternetZoneAllowUserDataPersistence
InternetZoneAllowLessPrivilegedSites
IncludeAllNetworkPaths
AllowCertificateAddressMismatchWarning
IntranetZoneDoNotRunAntimalwareAgainstActiveXControls
IntranetZoneInitializeAndScriptActiveXControls
IntranetZoneJavaPermissions
LocalMachineZoneDoNotRunAntimalwareAgainstActiveXControls
LocalMachineZoneJavaPermissions
LockedDownInternetZoneAllowSmartScreenIE
LockedDownIntranetJavaPermissions
LockedDownLocalMachineZoneJavaPermissions
LockedDownRestrictedSitesZoneAllowSmartScreenIE
LockedDownTrustedSitesZoneJavaPermissions
RestrictedSitesZoneAllowAccessToDataSources
RestrictedSitesZoneAllowActiveScripting
RestrictedSitesZoneAllowBinaryAndScriptBehaviors
RestrictedSitesZoneAllowCopyPasteViaScript
RestrictedSitesZoneAllowDragAndDropCopyAndPasteFiles
RestrictedSitesZoneAllowFileDownloads
RestrictedSitesZoneAllowLoadingOfXAMLFiles
RestrictedSitesZoneAllowMETAREFRESH
RestrictedSitesZoneAllowOnlyApprovedDomainsToUseActiveXControls
RestrictedSitesZoneAllowOnlyApprovedDomainsToUseTDCActiveXControl
RestrictedSitesZoneAllowScriptInitiatedWindows
RestrictedSitesZoneAllowScriptingOfInternetExplorerWebBrowserControls
RestrictedSitesZoneAllowScriptlets
RestrictedSitesZoneAllowUpdatesToStatusBarViaScript
RestrictedSitesZoneAllowVBScriptToRunInInternetExplorer
RestrictedSitesZoneAllowAutomaticPromptingForFileDownloads
RestrictedSitesZoneDoNotRunAntimalwareAgainstActiveXControls
RestrictedSitesZoneDownloadSignedActiveXControls
RestrictedSitesZoneDownloadUnsignedActiveXControls
RestrictedSitesZoneEnableDraggingOfContentFromDifferentDomainsAcrossWindows
RestrictedSitesZoneEnableDraggingOfContentFromDifferentDomainsWithinWindows
RestrictedSitesZoneIncludeLocalPathWhenUploadingFilesToServer
RestrictedSitesZoneInitializeAndScriptActiveXControls
RestrictedSitesZoneJavaPermissions
RestrictedSitesZoneLaunchingApplicationsAndFilesInIFRAME
RestrictedSitesZoneLogonOptions
RestrictedSitesZoneNavigateWindowsAndFrames
RestrictedSitesZoneAllowNETFrameworkReliantComponents
RestrictedSitesZoneRunNETFrameworkReliantComponentsSignedWithAuthenticode
RestrictedSitesZoneRunActiveXControlsAndPlugins
RestrictedSitesZoneScriptActiveXControlsMarkedSafeForScripting
RestrictedSitesZoneScriptingOfJavaApplets
RestrictedSitesZoneShowSecurityWarningForPotentiallyUnsafeFiles
RestrictedSitesZoneEnableCrossSiteScriptingFilter
RestrictedSitesZoneTurnOnProtectedMode
RestrictedSitesZoneAllowSmartScreenIE
RestrictedSitesZoneUsePopupBlocker
RestrictedSitesZoneAllowUserDataPersistence
RestrictedSitesZoneAllowLessPrivilegedSites
TrustedSitesZoneDoNotRunAntimalwareAgainstActiveXControls
TrustedSitesZoneInitializeAndScriptActiveXControls
TrustedSitesZoneJavaPermissions
DisableBypassOfSmartScreenWarnings
DisableBypassOfSmartScreenWarningsAboutUncommonFiles
PreventManagingSmartScreenFilter
PreventPerUserInstallationOfActiveXControls
DoNotAllowUsersToAddSites
DoNotAllowUsersToChangePolicies
SecurityZonesUseOnlyMachineSettings
SpecifyUseOfActiveXInstallerService
DisableCrashDetection
DisableSecuritySettingsCheck
AllowAutoComplete
RemoveRunThisTimeButtonForOutdatedActiveXControls
DoNotBlockOutdatedActiveXControls
AllowFallbackToSSL3
ConsistentMimeHandlingInternetExplorerProcesses
MimeSniffingSafetyFeatureInternetExplorerProcesses
MKProtocolSecurityRestrictionInternetExplorerProcesses
NotificationBarInternetExplorerProcesses
ProtectionFromZoneElevationInternetExplorerProcesses
RestrictActiveXInstallInternetExplorerProcesses
RestrictFileDownloadInternetExplorerProcesses
ScriptedWindowSecurityRestrictionsInternetExplorerProcesses
https://learn.microsoft.com/en-us/intune/intune-service/protect/security-baseline-settings-mdm-all?pivots=mdm-24h2 -
Policies Windows 11 24H2
Hier findet ihr die aktuellste Version zum Importieren in Relution (Passwort: "Relution"):
https://vgv-kibo.de/s/D4JBqM4zGLBnpkdStand 08.05.2025: 2 CSP's
UseDefaultTile
https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-cpls#usedefaulttile