Tags: Windows 10, Gruppenrichtlinien, Sicherheit, Authentifizierung
Möchte man den unbefugten Zugriff auf PCs verhindern, wenn Benutzer ihren Arbeitsplatz verlassen, dann hilft die zeitgesteuerte Sperre des Bildschirms. Windows 7 benötigte dafür noch 4 Einstellungen in den Gruppenrichtlinien, ab der Version 8 ist es nur mehr eine. Seit Windows 10 1703 kommt eine weitere Option hinzu.
Wenn Mitarbeiter sensible Daten wie etwa Gehaltslisten oder Rechnungen bearbeiten, dann reicht Neugierigen schon ein kurzer Zugang zu einem unbeaufsichtigten PC, um an Informationen zu gelangen, die nicht für sie bestimmt sind. Man könnte die User natürlich dazu anhalten, den Bildschirm manuell zu sperren, wenn sie den Rechner verlassen. In der Praxis werden solche Regeln aber nicht immer eingehalten.
Alternativ besteht über die Gruppenrichtlinien die Möglichkeit, eine automatische Sperre des Bildschirms nach einer bestimmten Zeit der Inaktivität zu erzwingen.
GPO für Windows 7 und höher definieren
Diese veraltete Windows-Version kennt keine eigene Einstellung für diesen Zweck. Vielmehr muss man dort das Verhalten des Bildschirmschoners so steuern, dass man diesen Effekt erreicht.
Die zuständigen Einstellungen für diese Aufgabe finden sich unter Benutzerkonfiguration => Richtlinien => Systemsteuerung => Anpassung. Sie heißen:
- Bildschirmschoner aktivieren
- Kennwortschutz für den Bildschirmschoner verwenden
- Zeitlimit für den Bildschirmschoner
- Bestimmten Bildschirmschoner erzwingen
Die Optionen sind weitgehend selbstbeschreibend und bedürfen keiner großen Erklärung. Einzig bei der Auswahl des Bildschirmschoners in der letzten Einstellung sollte man anstatt einer bestimmten Animation den Eintrag
rundll32.exe user32.dll,LockWorkStation
machen. Dieser sorgt dafür, dass nach Ablauf der Frist, die man in der 3. Einstellung festlegt, sofort der Bildschirm gesperrt wird.
Bildschirm sperren unter Windows 10 und 11
Die oben genannten Einstellungen für den Bildschirmschoner funktionieren auch noch unter den neuen Versionen von Windows. Auf sie muss man weiterhin zurückgreifen, wenn man Regeln zum Sperren des Bildschirms für Benutzer und nicht für Computer definieren möchte.
Die neue Einstellung für GPOs, die ab Windows 8 und Server 2012 greift, findet sich nämlich nur im Zweig Computerkonfiguration, und zwar unter Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen. Sie heißt Interaktive Anmeldung: Inaktivitätsgrenze des Computers.
Wenn man diese Richtlinie aktiviert, dann muss man nur mehr das Zeitintervall in Sekunden festlegen, nach dem der Computer gesperrt wird, wenn er keine Aktivität des Benutzers feststellen kann.
Dynamische Sperre in Windows 10
Windows 10 1703 (Creators Update) brachte eine weitere Option für die automatische Sperre des Bildschirms. Ein Dynamic Lock erfolgt nicht durch bloße Inaktivität des Benutzers, vielmehr muss zusätzlich ein gekoppeltes Bluetooth-Gerät außer Reichweite des Rechners gebracht werden.
Die Konfiguration besteht deswegen im ersten Schritt darin, dass man den PC (typischerweise ein Notebook) mit einem Smartphone koppelt. Zu diesem Zweck stellt man zuerst sicher, dass Bluetooth in der App Einstellungen unter Geräte => Bluetooth und andere Geräte aktiviert ist. Anschließend sucht man dort nach dem Smartphone und koppelt es mit dem PC.
Erst im Anschluss daran lässt sich in den Einstellungen unter Konten => Anmeldeoptionen das Häkchen bei Zulassen, dass Windows Ihre Abwesenheit erkennt und das Gerät automatisch sperrt setzen.
Verlässt man nun mit dem Smartphone den Funkbereich des PCs, dann sollte der Bildschirm mit einer Verzögerung von 30 Sekunden gesperrt werden. Allerdings ist für Benutzer vorab nicht klar, wie weit sie sich mit dem Telefon vom Rechner entfernen dürfen. Dies hängt nicht nur von der Sendeleistung der beteiligten Geräte ab, sondern etwa auch von der Beschaffenheit eines Gebäudes.
Eine weitere Schwäche des Features besteht darin, dass die Sperre nicht eintritt, solange jemand die Eingabegeräte des Rechners betätigt. Dies soll verhindern, dass ein User bei seiner Arbeit unterbrochen wird, wenn die Bluetooth-Verbindung instabil ist.
Wenn die dynamische Sperre in verwalteten Umgebungen nicht erwünscht ist, dann kann man sie mittels GPO deaktivieren. Dies erfolgt über die Einstellung Dynamische Sperre konfigurieren unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Security Baseline für Windows 10 2004: Zwei neue Einstellungen empfohlen, eine entfernt
- Auf gesperrten Windows-Desktop eines Users zugreifen, ohne das Passwort zu kennen
Weitere Links
14 Kommentare
Hallo, zunächst einmal Danke für die Anleitung. Laut "gpresult" wird die Richtlinie auch umgesetzt. Die Einstellungen bei den Usern sind ausgegraut und auch die Zeit ist eingestellt. Soweit scheint also alles zu funktionieren. Leider passiert nach Ablauf der Frist nichts. Hat jemand eine Idee ?
Greife die Frage aiuch mal auf, da ich das gleiche Problem habe....
Irgendwelche Ideen??
Hier das gleiche Problem.
Ich gehe davon aus, dass das nur mit den Enterprise Versionen funktioniert und nicht mit Windows 10 Professional.
So wie ich das sehe, sollte das unabhängig von der Windows Version sein.
https://learn.microsoft.com/de-de/windows/security/threat-protection/sec...
Bei mir ist es so, dass das Zeitlimit am PC des Benutzers mit 10 Min. ausgegraut eingestellt erscheint. Am Server wurden 600 Sekunden eingestellt.
Die Sperre erfolgt aber schon nach einer Minute Inaktivität. Ich konnte das mehrmals nachstellen. Die eingestellten 10 Min. greifen nicht. Woran kann das bitte liegen?
Dabei scheint es sich um ein bekanntes Problem zu handeln, siehe dazu dieses TechNet-Forum. Eine Lösung könnte dies hier sein.
Hallo Herr Sommergut und danke für die Rückmeldung.
Das würde ja bedeuten, dass es daran liegt, dass am Server die "1 Minute" eingestellt ist und das auf die PCs ausgerollt wird? Obwohl in Registry und Gruppenrichtlinie eine andere Zeit eingestellt ist? O.o
Das werde ich mal testen, bin gespannt.
Hi, schon ne Weile her, aber konntest du es lösen? Hab gerade das gleiche Problem
Hallo Andy, ja hab ich gelöst und zwar wie folgt:
1) Hierfür legt man ein neues GPO Objekt an und verlinkt es mit der User-OU (wichtig !!!!)
2) Unter "User Configuration" auf "Preferences" und "Windows Settings" dort auf "Registry" und dort folgende Werte als Update eintragen:
ScreenSaveActive 1
ScreenSaveIsSecure 1
ScreenSaveTimeOut 300 (entspricht 5 Minuten)
SCRNSAVE.EXE C:\Windows\system32\scrnsave.scr
3) Damit man den Bildschirmschoner nicht ändern kann (und eventuell die Sperre deaktivieren kann), muss man dies noch über die GPO verhindern:
User Configuration / Administrative Templates:Policy... / Control Panel / Personalization
und dort "Prevent changing screen saver" auf "Enabled"
Ich hoffe ich konnte dir damit helfen.
LG Peter
Wow, vielen Dank für die schnelle Rückmeldung, Peter! Probier ich gleich aus!! VLG Andy
Was noch zu bedenken ist, dass diese Einstellungen zwar bei einem
gpupdate /force
sofort ersichtlich sind, allerdings erst nach einer Neuanmeldung auch greifen (im schlimmsten Fall 2 mal den PC neu starten).
LG
Peter
Danke für den Hinweis, meine User sind aktuell eh schon im Wochenende ;) Ich schreib aber Montag ob es geklappt hat!
Hallo Peter, hat an meinem Win Server 2016 wunderbar funktioniert, vielen Dank nochmal! VLG Andy