Windows 11 soll nicht nach Hause telefonieren
Hallo!
Ich habe hier ein paar Windows 11 Pro Notebooks, die zu einer Windows-Domain gehören.
Es gibt einige Einstellungen, die man mit Gruppenrichtlinien verteilen kann, damit Windows nicht nach Hause telefoniert. Leider kann man ja nur mit der Enterprise-Version alles komplett einstellen, mit Pro eben nicht.
Die Desktop-PC, die auch Teil der Domain sind, werden mit einem Domainfilter gehindert. Dieser Filter läuft auf den lokalen DNS-Servern.
Jetzt überlege ich, wie ich diesen Mechanismus auf die Notebooks übertragen kann. Diese Geräte verlassen manchmal das Netzwerk und werden mitgenommen.
Die Windows-Firewall kann ich sicher vergessen, die kennt keine Hostnamen, sondern nur IP-Adressen.
Ich hatte die Idee, mit einer System-Proxy-Konfiguration und wpad.dat einen Filter zu erstellen. So könnte ich prima www.microsoft.* und windows.* etc filtern.
Scheinbar kann man aber WinHTTP nicht mit wpad.dat einstellen. Browser kann ich mit einer GPO unter Kontrolle bringen.
Hat jemand Ideen?
Ich habe hier ein paar Windows 11 Pro Notebooks, die zu einer Windows-Domain gehören.
Es gibt einige Einstellungen, die man mit Gruppenrichtlinien verteilen kann, damit Windows nicht nach Hause telefoniert. Leider kann man ja nur mit der Enterprise-Version alles komplett einstellen, mit Pro eben nicht.
Die Desktop-PC, die auch Teil der Domain sind, werden mit einem Domainfilter gehindert. Dieser Filter läuft auf den lokalen DNS-Servern.
Jetzt überlege ich, wie ich diesen Mechanismus auf die Notebooks übertragen kann. Diese Geräte verlassen manchmal das Netzwerk und werden mitgenommen.
Die Windows-Firewall kann ich sicher vergessen, die kennt keine Hostnamen, sondern nur IP-Adressen.
Ich hatte die Idee, mit einer System-Proxy-Konfiguration und wpad.dat einen Filter zu erstellen. So könnte ich prima www.microsoft.* und windows.* etc filtern.
Scheinbar kann man aber WinHTTP nicht mit wpad.dat einstellen. Browser kann ich mit einer GPO unter Kontrolle bringen.
Hat jemand Ideen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672921
Url: https://administrator.de/forum/windows-11-soll-nicht-nach-hause-telefonieren-672921.html
Ausgedruckt am: 09.06.2025 um 15:06 Uhr
14 Kommentare
Neuester Kommentar
und was soll der Sinn dahinter werden? Willst du lediglich updates verhindern - dann gibt es die GPO ja auch bei Pro... alles andere kannst du an der Stelle vergessen, es ist die Aufgabe einer Firewall. Und wenn du das "komplette" Übertragen von Daten verhindern willst dann würde ich sogar eine externe Firewall - denn jedes halbwegs kluge System wird ne Fallback-Config haben die dann nur auf IP geht und basis-protokolle verwendet. Das hat nichtmal was damit zu tun das man ohne dein Wissen da übertragen will sondern eben eher damit das der Service für den Kunden generell verfügbar sein soll - auch wenn der/die mal wieder hinter ner Hotel-Firewall oder sonstwas sind auf das die keinen Einfluss haben.... Alternativ gehen Daten eben über nen CDN los -> dann viel Spass beim Blocken...
Ok, nur: WAS ist dein Ziel? Ich wüsste aktuell nur einen Dienst bei dem das ggf. Sinn machen würde (die AI Integration), die ist aber bei Win10 glaub ich eh nicht enthalten, oder? Und selbst da gilt doch: Du blockierst ggf. die Daten die "offen" rausgehen ("für ein besseres Nutzungserlebnis" wie es immer so schön heisst).
Das bloße blockieren einer Hosts ist eben KEINE Sicherheit...
Das bloße blockieren einer Hosts ist eben KEINE Sicherheit...
GPOs sind meist nur Registry Einträge. Default vorhanden oder auch nicht. Kann man teils auch nachbauen:
https://winaero.com/disable-windows-copilot/#Download_REG_Files
So z.B. Greifen diese Einstellungen oder nicht? Ob die als GPO vorliegen ist ja egal. Gibt zig Seiten mit Bsp.
Auch "das neue" Windows 11 ist schon wieder so lange heraus, dass es doch fundierte Erkenntnisse geben sollte. Nur weil in der GUI was fehlt heisst das noch nicht, dass es nicht angewendet wird.
Da sich bestimmte Szenarien an einer gewissen Build orientieren und nicht immer alles vererbbar ist wäre mein Rat einfach mal danach suchen.
https://winaero.com/disable-windows-copilot/#Download_REG_Files
So z.B. Greifen diese Einstellungen oder nicht? Ob die als GPO vorliegen ist ja egal. Gibt zig Seiten mit Bsp.
Auch "das neue" Windows 11 ist schon wieder so lange heraus, dass es doch fundierte Erkenntnisse geben sollte. Nur weil in der GUI was fehlt heisst das noch nicht, dass es nicht angewendet wird.
Da sich bestimmte Szenarien an einer gewissen Build orientieren und nicht immer alles vererbbar ist wäre mein Rat einfach mal danach suchen.
Naja Whitelist ist ja auch nicht schwer zu bekommen:
https://learn.microsoft.com/de-de/previous-versions/windows/it-pro/priva ...
Ob die vollständig ist, ist eine andere Frage.
https://learn.microsoft.com/de-de/previous-versions/windows/it-pro/priva ...
Ob die vollständig ist, ist eine andere Frage.
https://www.youtube.com/watch?app=desktop&v=wPBoiVNdx4A
Bei Youtube gibs auch ein paar Bilder. Entweder du wartest hier noch ab oder schaust dir das an.
Viele "Hacks" und allg. Dinge packen die heutzutage gerne in Clips. Ich mag lieber Texte, aber mitunter ist doch was brauchbares dabei. Bzw. Link in den Videobeschreibungen zu weiteren Material.
Bei Youtube gibs auch ein paar Bilder. Entweder du wartest hier noch ab oder schaust dir das an.
Viele "Hacks" und allg. Dinge packen die heutzutage gerne in Clips. Ich mag lieber Texte, aber mitunter ist doch was brauchbares dabei. Bzw. Link in den Videobeschreibungen zu weiteren Material.
Die üblichen Tips für Win 10 (Diag Track abschalten etc.) greifen vermutlich auf für 11.
https://www.heise.de/ratgeber/Windows-Telemetrie-blockieren-DiagTrack-ab ...
https://www.heise.de/ratgeber/Windows-Telemetrie-blockieren-DiagTrack-ab ...
Wenn es das als Lösung war bitte deinen Thead dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?