Windows 11 soll nicht nach Hause telefonieren
Hallo!
Ich habe hier ein paar Windows 11 Pro Notebooks, die zu einer Windows-Domain gehören.
Es gibt einige Einstellungen, die man mit Gruppenrichtlinien verteilen kann, damit Windows nicht nach Hause telefoniert. Leider kann man ja nur mit der Enterprise-Version alles komplett einstellen, mit Pro eben nicht.
Die Desktop-PC, die auch Teil der Domain sind, werden mit einem Domainfilter gehindert. Dieser Filter läuft auf den lokalen DNS-Servern.
Jetzt überlege ich, wie ich diesen Mechanismus auf die Notebooks übertragen kann. Diese Geräte verlassen manchmal das Netzwerk und werden mitgenommen.
Die Windows-Firewall kann ich sicher vergessen, die kennt keine Hostnamen, sondern nur IP-Adressen.
Ich hatte die Idee, mit einer System-Proxy-Konfiguration und wpad.dat einen Filter zu erstellen. So könnte ich prima www.microsoft.* und windows.* etc filtern.
Scheinbar kann man aber WinHTTP nicht mit wpad.dat einstellen. Browser kann ich mit einer GPO unter Kontrolle bringen.
Hat jemand Ideen?
Ich habe hier ein paar Windows 11 Pro Notebooks, die zu einer Windows-Domain gehören.
Es gibt einige Einstellungen, die man mit Gruppenrichtlinien verteilen kann, damit Windows nicht nach Hause telefoniert. Leider kann man ja nur mit der Enterprise-Version alles komplett einstellen, mit Pro eben nicht.
Die Desktop-PC, die auch Teil der Domain sind, werden mit einem Domainfilter gehindert. Dieser Filter läuft auf den lokalen DNS-Servern.
Jetzt überlege ich, wie ich diesen Mechanismus auf die Notebooks übertragen kann. Diese Geräte verlassen manchmal das Netzwerk und werden mitgenommen.
Die Windows-Firewall kann ich sicher vergessen, die kennt keine Hostnamen, sondern nur IP-Adressen.
Ich hatte die Idee, mit einer System-Proxy-Konfiguration und wpad.dat einen Filter zu erstellen. So könnte ich prima www.microsoft.* und windows.* etc filtern.
Scheinbar kann man aber WinHTTP nicht mit wpad.dat einstellen. Browser kann ich mit einer GPO unter Kontrolle bringen.
Hat jemand Ideen?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672921
Url: https://administrator.de/forum/windows-11-soll-nicht-nach-hause-telefonieren-672921.html
Ausgedruckt am: 12.06.2025 um 21:06 Uhr
15 Kommentare
Neuester Kommentar
und was soll der Sinn dahinter werden? Willst du lediglich updates verhindern - dann gibt es die GPO ja auch bei Pro... alles andere kannst du an der Stelle vergessen, es ist die Aufgabe einer Firewall. Und wenn du das "komplette" Übertragen von Daten verhindern willst dann würde ich sogar eine externe Firewall - denn jedes halbwegs kluge System wird ne Fallback-Config haben die dann nur auf IP geht und basis-protokolle verwendet. Das hat nichtmal was damit zu tun das man ohne dein Wissen da übertragen will sondern eben eher damit das der Service für den Kunden generell verfügbar sein soll - auch wenn der/die mal wieder hinter ner Hotel-Firewall oder sonstwas sind auf das die keinen Einfluss haben.... Alternativ gehen Daten eben über nen CDN los -> dann viel Spass beim Blocken...
Nein, Updates sollen schon noch laufen.
Wie mache ich das mit einer externen Firewall, wenn ein Kollege mit dem Notebook unterwegs ist: Hotel und sonst wo?
Microsoft hat eine Liste von Hostnamen für verschiedene Dienste herausgegeben und diese Hosts blocke ich gemäß BSI-Empfehlung schon mit der Unternehmensfirewall/DNS-Filter.
Wie mache ich das mit einer externen Firewall, wenn ein Kollege mit dem Notebook unterwegs ist: Hotel und sonst wo?
Microsoft hat eine Liste von Hostnamen für verschiedene Dienste herausgegeben und diese Hosts blocke ich gemäß BSI-Empfehlung schon mit der Unternehmensfirewall/DNS-Filter.
Ok, nur: WAS ist dein Ziel? Ich wüsste aktuell nur einen Dienst bei dem das ggf. Sinn machen würde (die AI Integration), die ist aber bei Win10 glaub ich eh nicht enthalten, oder? Und selbst da gilt doch: Du blockierst ggf. die Daten die "offen" rausgehen ("für ein besseres Nutzungserlebnis" wie es immer so schön heisst).
Das bloße blockieren einer Hosts ist eben KEINE Sicherheit...
Das bloße blockieren einer Hosts ist eben KEINE Sicherheit...
GPOs sind meist nur Registry Einträge. Default vorhanden oder auch nicht. Kann man teils auch nachbauen:
https://winaero.com/disable-windows-copilot/#Download_REG_Files
So z.B. Greifen diese Einstellungen oder nicht? Ob die als GPO vorliegen ist ja egal. Gibt zig Seiten mit Bsp.
Auch "das neue" Windows 11 ist schon wieder so lange heraus, dass es doch fundierte Erkenntnisse geben sollte. Nur weil in der GUI was fehlt heisst das noch nicht, dass es nicht angewendet wird.
Da sich bestimmte Szenarien an einer gewissen Build orientieren und nicht immer alles vererbbar ist wäre mein Rat einfach mal danach suchen.
https://winaero.com/disable-windows-copilot/#Download_REG_Files
So z.B. Greifen diese Einstellungen oder nicht? Ob die als GPO vorliegen ist ja egal. Gibt zig Seiten mit Bsp.
Auch "das neue" Windows 11 ist schon wieder so lange heraus, dass es doch fundierte Erkenntnisse geben sollte. Nur weil in der GUI was fehlt heisst das noch nicht, dass es nicht angewendet wird.
Da sich bestimmte Szenarien an einer gewissen Build orientieren und nicht immer alles vererbbar ist wäre mein Rat einfach mal danach suchen.
Sinn hin oder her ...
Man könnte die bekannten FQDN, welche man jetzt schon über den DNS-Server "blockiert", auch noch lokal in die HOSTS Datei schreiben, mit Ziel 127.0.0.1
Man könnte die bekannten FQDN, welche man jetzt schon über den DNS-Server "blockiert", auch noch lokal in die HOSTS Datei schreiben, mit Ziel 127.0.0.1
Naja Whitelist ist ja auch nicht schwer zu bekommen:
https://learn.microsoft.com/de-de/previous-versions/windows/it-pro/priva ...
Ob die vollständig ist, ist eine andere Frage.
https://learn.microsoft.com/de-de/previous-versions/windows/it-pro/priva ...
Ob die vollständig ist, ist eine andere Frage.
Zitat von @Crusher79:
GPOs sind meist nur Registry Einträge. Default vorhanden oder auch nicht. Kann man teils auch nachbauen:
GPOs sind meist nur Registry Einträge. Default vorhanden oder auch nicht. Kann man teils auch nachbauen:
Why?
GPOs kann ich ja verteilen, nur gibt es Einstellungen, die nur bei Windows Enterprise greifen.
Würde MS alle Einstelungen über alle Windows-Varianten zulassen, müsste ich mir jetzt keine Arbeit machen.
Die Möglichkeit über die Hostdatei gefällt mir nicht besonders, das wäre nur eine Notlösung.
Scheinbar kann mit Powershell FW-Regeln mit FQDN bauen.
Mein Favorit ist aber immer noch wpad.dat, da fehlen mir aber noch Hinweise zum Einbau, weil wpad.dat mit DHCP am besten läuft.
https://www.youtube.com/watch?app=desktop&v=wPBoiVNdx4A
Bei Youtube gibs auch ein paar Bilder. Entweder du wartest hier noch ab oder schaust dir das an.
Viele "Hacks" und allg. Dinge packen die heutzutage gerne in Clips. Ich mag lieber Texte, aber mitunter ist doch was brauchbares dabei. Bzw. Link in den Videobeschreibungen zu weiteren Material.
Bei Youtube gibs auch ein paar Bilder. Entweder du wartest hier noch ab oder schaust dir das an.
Viele "Hacks" und allg. Dinge packen die heutzutage gerne in Clips. Ich mag lieber Texte, aber mitunter ist doch was brauchbares dabei. Bzw. Link in den Videobeschreibungen zu weiteren Material.
Recall ist doch nur ein Problem, aber das kann man deinstallieren.
Die üblichen Tips für Win 10 (Diag Track abschalten etc.) greifen vermutlich auf für 11.
https://www.heise.de/ratgeber/Windows-Telemetrie-blockieren-DiagTrack-ab ...
https://www.heise.de/ratgeber/Windows-Telemetrie-blockieren-DiagTrack-ab ...
1. auch wieder Hostsdatei
2. Diag Track ist nur Dienst/Programm von vielen
Hier schreibt das MS für Win Enterprise:
https://learn.microsoft.com/en-us/windows/privacy/manage-connections-fro ...
2. Diag Track ist nur Dienst/Programm von vielen
Hier schreibt das MS für Win Enterprise:
https://learn.microsoft.com/en-us/windows/privacy/manage-connections-fro ...
Ich habe mich für ein Firewall-Scipt entschieden, welches Dynamic keywords nutzt.
Das klappt soweit.
Ich brauch jetzt nur noch eine Ausnahmeregel für den Firefox. Dies klappt leider nicht.
Windows sortiert Regeln anders als zB Linux. Ich habe daher zusätzliche Angaben gemacht wie zb TCP und Quellport, bisher vergeblich.
Das klappt soweit.
Ich brauch jetzt nur noch eine Ausnahmeregel für den Firefox. Dies klappt leider nicht.
Windows sortiert Regeln anders als zB Linux. Ich habe daher zusätzliche Angaben gemacht wie zb TCP und Quellport, bisher vergeblich.
Wenn es das als Lösung war bitte deinen Thead dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Hast du hierbei irgendeine Aufsichtsfunktion, die ich kennen müsste?!
Welchen Teil von "dies klappt leider nicht" hast du nicht verstanden?
Es ist noch ein weiteres Problem dazu gekommen. Ich brauch einen Mechanismus, der bei Netzverfügbarkeit, die "Keyword-Füllung" durch führt. Microsoft nennt das hydrate.
Wenn das Gerät am LAN hängt ist das kein Problem, bei WLAN sieht das anders aus.
In dem Fall kann das Netz beim Boot unerreichbar sein und erst später verbunden sein. An der Stelle muss dann das hydrate laufen.
Welchen Teil von "dies klappt leider nicht" hast du nicht verstanden?
Es ist noch ein weiteres Problem dazu gekommen. Ich brauch einen Mechanismus, der bei Netzverfügbarkeit, die "Keyword-Füllung" durch führt. Microsoft nennt das hydrate.
Wenn das Gerät am LAN hängt ist das kein Problem, bei WLAN sieht das anders aus.
In dem Fall kann das Netz beim Boot unerreichbar sein und erst später verbunden sein. An der Stelle muss dann das hydrate laufen.
Problem gefunden. Der Powershellaufruf im Task war falsch. Ein Hoch auf die MS-Doku...
