Tags: Gruppenrichtlinien, System-Management, Synchronisierung
Mit Windows 10 1809 führte Microsoft eine mehrstufige Zwischenablage ein und erweiterte diese dann um die Möglichkeit, ihren Inhalt mit mehreren Geräten zu synchronisieren. Dieses Cloud-Clipboard birgt gewisse Sicherheitsrisiken, etwa für den Datenabfluss. Daher lässt es sich über Gruppenrichtlinien einschränken.
Grundsätzlich bedeutet eine mehrstufige Zwischenablage, die viele Objekte vorhalten kann, einen großen Fortschritt gegenüber der simplen Form, bei der jeder neue Inhalt den alten überschreibt.
Mit der Tastenkombination Win + V kann man die Liste aller zwischengespeicherten Daten anzeigen und mit einem Mausklick in die Anwendung einfügen, die gerade den Fokus hat.
Dieser Komfort lässt sich indes auch auf für unerwünschte Zwecke nutzen. Nachdem man Einträge dauerhaft im Clipboard anheften kann, wäre es denkbar, dass User dort Passwörter speichern, von wo sie diese direkt in Anwendungen einfügen können. Ein solcher "Passwort-Manager" wäre der Sicherheit nicht förderlich.
Noch problematischer wird das Clipboard durch die Möglichkeit, kopierte Inhalte mit anderen Geräten über die Cloud zu synchronisieren. Auf diese Weise können sensible Daten das Unternehmen verlassen.
Interaktive Konfiguration
Das Cloud-Clipboard und seine Funktionen kann man in der App Einstellungen unter System => Zwischenablage konfigurieren. Über die Aktivierung von Zwischenablageverlauf lässt man das Speichern mehrerer Elemente im Clipboard zu. Das Anheften der Einträge kann man indes nicht unterbinden.
Zusätzlich lässt sich hier die Synchronisierung mit anderen Geräte aktivieren, zudem kann man die aktuellen Inhalte von dort löschen.
Steuerung über Gruppenrichtlinien
Die beiden Einstellungen aus der App lassen sich auch zentral über die Gruppenrichtlinien steuern und somit verbindlich vorgeben. Sie finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Betriebssystemrichtlinien.
Mit Zwischenablageverlauf zulassen lässt sich regeln, ob man mehrere Einträge speichern kann oder ob sich das Clipboard so verhält wie von früher gewohnt.
Synchronisierung der Zwischenablage geräteübergreifend zulassen: Durch Deaktivieren dieser Einstellung kann man das Cloud-Feature blockieren.
Mit Windows 11 2022 kam eine weitere Einstellung hinzu, die das Verhalten der Zwischenablage für Remotedesktop beeinflusst. Wenn man über den RDP-Client die Umleitung der Zwischenablage von der Remote-Session auf den Client aktiviert hat, dann werden kopierte Elemente per Voreinstellung nicht in das lokale Cloud-Clipboard übernommen.
Mit Deaktivieren der Integration der Cloud-Zwischenablage für die Datenübertragung von Server zu Client kann man dies ändern. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktopverbindung-Client.
Durch Deaktivieren der Richtlinie erlaubt man den Datenaustausch zwischen Session Host und Endgerät.
Zugriff per PowerShell
In Version 5.0 erhielt PowerShell zwei Cmdlets für den Zugriff auf die Zwischenablage, nämlich Get- Clipboard und Set-Clipboard. Sie funktionieren auch mit dem Cloud-Clipboard, sind aber nicht in der Lage, die beiden beschriebenen Einstellungen zu ändern.
Hinzu kommt, dass Get- Clipboard nur den letzten Eintrag aus der Historie auslesen kann. Set- Clipboard schafft es immerhin, neue Elemente anfügen, ohne den Stapel zu löschen.
Will man die beiden Einstellungen für das Cloud-Clipboard dennoch über PowerShell anpassen, dann geht das nur, indem man die entsprechenden Schlüssel in die Registry schreibt. Diese sind vom Typ DWORD und heißen AllowClipboardHistory bzw. AllowCrossDeviceClipboard:
New-ItemProperty -Name AllowClipboardHistory -Value 0 -PropertyType DWORD `
-Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\System
Die Konfiguration von AllowCrossDeviceClipboard erfolgt nach dem gleichen Muster. Ein Wert von 0 deaktiviert das jeweilige Feature.
Zusammenfassung
Dem Komfort der erweiterten Zwischenablage stehen Risiken durch unerwünschte Anwendungen gegenüber. Die Synchronisierung auf andere Geräte via Cloud kann zu Datenabflüssen führen.
Die Gruppenrichtlinien bieten daher zwei Einstellungen, mit denen man beide Features deaktivieren und das Clipboard auf das klassische Verhalten reduzieren kann. Hinzu kam kürzlich eine Option, die den Datenaustausch für Remotedesktop steuert.
PowerShell bietet derzeit keine Cmdlets, die auf die neue Zwischenablage zugeschnitten sind. Die beiden erwähnten Einstellungen lassen sich nur durch direktes Ändern der Registry konfigurieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- GPO mit Active-Directory-Provider von Terraform erstellen und konfigurieren
- Suchhighlights in Windows 10 / 11 über Gruppenrichtlinien deaktivieren
- Geplante Aufgaben über Gruppenrichtlinien anlegen oder löschen
- Größe von Roaming Profiles über Gruppenrichtlinien beschränken
- Windows 10 v1703: Update für Work-Folder-Clients
Weitere Links