harald99

Windows 11 soll nicht nach Hause telefonieren

Hallo!

Ich habe hier ein paar Windows 11 Pro Notebooks, die zu einer Windows-Domain gehören.
Es gibt einige Einstellungen, die man mit Gruppenrichtlinien verteilen kann, damit Windows nicht nach Hause telefoniert. Leider kann man ja nur mit der Enterprise-Version alles komplett einstellen, mit Pro eben nicht.
Die Desktop-PC, die auch Teil der Domain sind, werden mit einem Domainfilter gehindert. Dieser Filter läuft auf den lokalen DNS-Servern.

Jetzt überlege ich, wie ich diesen Mechanismus auf die Notebooks übertragen kann. Diese Geräte verlassen manchmal das Netzwerk und werden mitgenommen.
Die Windows-Firewall kann ich sicher vergessen, die kennt keine Hostnamen, sondern nur IP-Adressen.
Ich hatte die Idee, mit einer System-Proxy-Konfiguration und wpad.dat einen Filter zu erstellen. So könnte ich prima www.microsoft.* und windows.* etc filtern.

Scheinbar kann man aber WinHTTP nicht mit wpad.dat einstellen. Browser kann ich mit einer GPO unter Kontrolle bringen.
Hat jemand Ideen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672921

Url: https://administrator.de/forum/windows-11-soll-nicht-nach-hause-telefonieren-672921.html

Ausgedruckt am: 09.06.2025 um 15:06 Uhr

maretz
maretz 19.05.2025 um 06:32:30 Uhr
Goto Top
und was soll der Sinn dahinter werden? Willst du lediglich updates verhindern - dann gibt es die GPO ja auch bei Pro... alles andere kannst du an der Stelle vergessen, es ist die Aufgabe einer Firewall. Und wenn du das "komplette" Übertragen von Daten verhindern willst dann würde ich sogar eine externe Firewall - denn jedes halbwegs kluge System wird ne Fallback-Config haben die dann nur auf IP geht und basis-protokolle verwendet. Das hat nichtmal was damit zu tun das man ohne dein Wissen da übertragen will sondern eben eher damit das der Service für den Kunden generell verfügbar sein soll - auch wenn der/die mal wieder hinter ner Hotel-Firewall oder sonstwas sind auf das die keinen Einfluss haben.... Alternativ gehen Daten eben über nen CDN los -> dann viel Spass beim Blocken...
Harald99
Harald99 19.05.2025 um 07:26:28 Uhr
Goto Top
Nein, Updates sollen schon noch laufen.

Wie mache ich das mit einer externen Firewall, wenn ein Kollege mit dem Notebook unterwegs ist: Hotel und sonst wo? face-wink

Microsoft hat eine Liste von Hostnamen für verschiedene Dienste herausgegeben und diese Hosts blocke ich gemäß BSI-Empfehlung schon mit der Unternehmensfirewall/DNS-Filter.
maretz
maretz 19.05.2025 um 07:55:52 Uhr
Goto Top
Ok, nur: WAS ist dein Ziel? Ich wüsste aktuell nur einen Dienst bei dem das ggf. Sinn machen würde (die AI Integration), die ist aber bei Win10 glaub ich eh nicht enthalten, oder? Und selbst da gilt doch: Du blockierst ggf. die Daten die "offen" rausgehen ("für ein besseres Nutzungserlebnis" wie es immer so schön heisst).

Das bloße blockieren einer Hosts ist eben KEINE Sicherheit...
Crusher79
Crusher79 19.05.2025 um 08:09:42 Uhr
Goto Top
GPOs sind meist nur Registry Einträge. Default vorhanden oder auch nicht. Kann man teils auch nachbauen:

https://winaero.com/disable-windows-copilot/#Download_REG_Files

So z.B. Greifen diese Einstellungen oder nicht? Ob die als GPO vorliegen ist ja egal. Gibt zig Seiten mit Bsp.

Auch "das neue" Windows 11 ist schon wieder so lange heraus, dass es doch fundierte Erkenntnisse geben sollte. Nur weil in der GUI was fehlt heisst das noch nicht, dass es nicht angewendet wird.

Da sich bestimmte Szenarien an einer gewissen Build orientieren und nicht immer alles vererbbar ist wäre mein Rat einfach mal danach suchen.
emeriks
emeriks 19.05.2025 um 09:11:05 Uhr
Goto Top
Sinn hin oder her ...

Man könnte die bekannten FQDN, welche man jetzt schon über den DNS-Server "blockiert", auch noch lokal in die HOSTS Datei schreiben, mit Ziel 127.0.0.1
Crusher79
Crusher79 19.05.2025 um 09:28:35 Uhr
Goto Top
Naja Whitelist ist ja auch nicht schwer zu bekommen:

https://learn.microsoft.com/de-de/previous-versions/windows/it-pro/priva ...

Ob die vollständig ist, ist eine andere Frage.
Harald99
Harald99 19.05.2025 um 11:52:34 Uhr
Goto Top
Zitat von @Crusher79:

GPOs sind meist nur Registry Einträge. Default vorhanden oder auch nicht. Kann man teils auch nachbauen:

Why?
GPOs kann ich ja verteilen, nur gibt es Einstellungen, die nur bei Windows Enterprise greifen.
Würde MS alle Einstelungen über alle Windows-Varianten zulassen, müsste ich mir jetzt keine Arbeit machen.

Die Möglichkeit über die Hostdatei gefällt mir nicht besonders, das wäre nur eine Notlösung.

Scheinbar kann mit Powershell FW-Regeln mit FQDN bauen.
Mein Favorit ist aber immer noch wpad.dat, da fehlen mir aber noch Hinweise zum Einbau, weil wpad.dat mit DHCP am besten läuft.
Crusher79
Crusher79 19.05.2025 um 11:56:47 Uhr
Goto Top
https://www.youtube.com/watch?app=desktop&v=wPBoiVNdx4A

Bei Youtube gibs auch ein paar Bilder. Entweder du wartest hier noch ab oder schaust dir das an.

Viele "Hacks" und allg. Dinge packen die heutzutage gerne in Clips. Ich mag lieber Texte, aber mitunter ist doch was brauchbares dabei. Bzw. Link in den Videobeschreibungen zu weiteren Material.
Harald99
Harald99 19.05.2025 um 12:24:59 Uhr
Goto Top
Recall ist doch nur ein Problem, aber das kann man deinstallieren.
aqui
aqui 19.05.2025 um 14:17:33 Uhr
Goto Top
Die üblichen Tips für Win 10 (Diag Track abschalten etc.) greifen vermutlich auf für 11.
https://www.heise.de/ratgeber/Windows-Telemetrie-blockieren-DiagTrack-ab ...
Harald99
Harald99 19.05.2025 um 14:45:00 Uhr
Goto Top
1. auch wieder Hostsdatei
2. Diag Track ist nur Dienst/Programm von vielen

Hier schreibt das MS für Win Enterprise:
https://learn.microsoft.com/en-us/windows/privacy/manage-connections-fro ...
Harald99
Harald99 21.05.2025 um 15:23:20 Uhr
Goto Top
Ich habe mich für ein Firewall-Scipt entschieden, welches Dynamic keywords nutzt.
Das klappt soweit.
Ich brauch jetzt nur noch eine Ausnahmeregel für den Firefox. Dies klappt leider nicht.
Windows sortiert Regeln anders als zB Linux. Ich habe daher zusätzliche Angaben gemacht wie zb TCP und Quellport, bisher vergeblich.
aqui
aqui 02.06.2025 um 08:11:31 Uhr
Goto Top
Wenn es das als Lösung war bitte deinen Thead dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Harald99
Harald99 02.06.2025 um 19:44:34 Uhr
Goto Top
Hast du hierbei irgendeine Aufsichtsfunktion, die ich kennen müsste?! face-wink

Welchen Teil von "dies klappt leider nicht" hast du nicht verstanden?

Es ist noch ein weiteres Problem dazu gekommen. Ich brauch einen Mechanismus, der bei Netzverfügbarkeit, die "Keyword-Füllung" durch führt. Microsoft nennt das hydrate.

Wenn das Gerät am LAN hängt ist das kein Problem, bei WLAN sieht das anders aus.
In dem Fall kann das Netz beim Boot unerreichbar sein und erst später verbunden sein. An der Stelle muss dann das hydrate laufen.