Bildschirm sperren mit Gruppenrichtlinien, Dynamische Sperre in Windows 10

    Bildschirm entsperren in Windows 7Möchte man den unbe­fugten Zugriff auf PCs ver­hindern, wenn Benutzer ihren Arbeits­platz ver­lassen, dann hilft die zeitge­steuerte Sperre des Bild­schirms. Windows 7 benö­tigte dafür noch 4 Einstel­lungen in den Gruppen­richt­linien, ab der Version 8 ist es nur mehr eine. Unter Windows 10 1703 kommt eine weitere Option hinzu.

    Wenn Mitarbeiter sensible Daten wie etwa Gehaltslisten oder Rechnungen bearbeiten, dann reicht Neugierigen schon ein kurzer Zugang zu einem unbeaufsichtigten PC, um an Informationen zu gelangen, die nicht für sie bestimmt sind. Man könnte die User natürlich dazu anhalten, den Bildschirm manuell zu sperren, wenn sie den Rechner verlassen. In der Praxis werden solche Regeln aber nicht immer eingehalten.

    Alternativ besteht über die Gruppenrichtlinien die Möglichkeit, eine auto­matische Sperre des Bildschirms nach einer bestimmten Zeit der Inaktivität zu erzwingen.

    GPO für Windows 7 definieren

    Die älteste derzeit noch unterstützte Windows-Version kennt keine eigene Einstellung für diesen Zweck. Vielmehr muss man dort das Verhalten des Bildschirmschoners so steuern, dass man diesen Effekt erreicht.

    Einstellungen, mit denen der Bildschirmschoner so konfiguriert wird, dass er den Bildschirm automatisch sperrt.

    Die zuständigen Einstellungen für diese Aufgabe finden sich unter Benutzerkonfiguration => Richtlinien => Systemsteuerung => Anpassung. Sie heißen:

    • Bildschirmschoner aktivieren
    • Kennwortschutz für den Bildschirmschoner verwenden
    • Zeitlimit für den Bildschirmschoner
    • Bestimmten Bildschirmschoner erzwingen

    Die Optionen sind weitgehend selbst­beschreibend und bedürfen keiner großen Erklärung. Einzig bei der Auswahl des Bildschirm­schoners in der letzten Einstellung sollte man anstatt einer bestimmten Animation den Eintrag

    rundll32.exe user32.dll,LockWorkStation

    machen. Dieser sorgt dafür, dass nach Ablauf der Frist, die man in der 3. Einstellung festlegt, sofort der Bildschirm gesperrt wird.

    Nach der Konfiguration des Bildschirmschoners über GPO können ihn die Benutzer nicht mehr anpassen.

    Bildschirm sperren unter Windows 8.1 und 10

    Die oben genannten Einstellungen für den Bildschirm­schoner funktionieren auch noch unter den neuen Versionen von Windows. Auf sie muss man weiterhin zurückgreifen, wenn man Regeln zum Sperren des Bildschirms für Benutzer und nicht für Computer definieren möchte.

    Die neue Einstellung für GPOs, die ab Windows 8 und Server 2012 greift, findet sich nämlich nur im Zweig Computerkonfiguration, und zwar unter Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen. Sie heißt Interaktive Anmeldung: Inaktivitätsgrenze des Computers.

    Ab Windows 8.1 reicht eine Einstellung, um einen inaktiven PC automatisch zu sperren.

    Wenn man diese Richtlinie aktiviert, dann muss man nur mehr das Zeitintervall in Sekunden festlegen, nach dem der Computer gesperrt wird, wenn er keine Aktivität des Benutzers feststellen kann.

    Dynamische Sperre in Windows 10

    Windows 10 1703 (Creators Update) brachte eine weitere Option für die automatische Sperre des Bildschirms. Ein Dynamic Lock erfolgt nicht durch bloße Inaktivität des Benutzers, vielmehr muss zusätzlich ein gekoppeltes Bluetooth-Gerät außer Reichweite des Rechners gebracht werden.

    Die Konfiguration besteht deswegen im ersten Schritt darin, dass man den PC (typischerweise ein Notebook) mit einem Smartphone koppelt. Zu diesem Zweck stellt man zuerst sicher, dass Bluetooth in der App Einstellungen unter Geräte => Bluetooth und andere Geräte aktiviert ist. Anschließend sucht man dort nach dem Smartphone und koppelt es mit dem PC.

    Einstellung für Dynamische Sperre aktivieren

    Erst im Anschluss daran lässt sich in den Einstellungen unter Konten => Anmeldeoptionen das Häkchen bei Zulassen, dass Windows Ihre Abwesenheit erkennt und das Gerät automatisch sperrt setzen.

    Verlässt man nun mit dem Smartphone den Funkbereich des PCs, dann sollte der Bildschirm mit einer Verzögerung von 30 Sekunden gesperrt werden. Allerdings ist für Benutzer vorab nicht klar, wie weit sie sich mit dem Telefon vom Rechner entfernen dürfen. Dies hängt nicht nur von Sendeleistung der beteiligten Geräte ab, sondern etwa auch von der Beschaffenheit eines Gebäudes.

    Eine weitere Schwäche des Features besteht darin, dass die Sperre nicht eintritt, solange jemand die Eingabegeräte des Rechners betätigt. Dies soll verhindern, dass ein User bei seiner Arbeit unterbrochen wird, wenn die Bluetooth-Verbindung instabil ist.

    Die Dynamische Sperre lässt sich über GPO abschalten, so dass Benutzer sie nicht verwenden können.

    Wenn die dynamische Sperre in verwalteten Umgebungen nicht erwünscht ist, dann kann man sie mittels GPO deaktivieren. Dies erfolgt über die Einstellung Dynamische Sperre konfigurieren unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.

    Keine Kommentare