Endpoint Protection-Einstellungen für Windows 10 und höher in IntuneEndpoint protection settings for Windows 10 (and later) in Intune

Mit dem Endpoint Protection-Profil können Sie Sicherheitsfeatures auf Windows 10-Geräten steuern, z.B. BitLocker und Windows Defender.The endpoint protection profile lets you control security features on Windows 10 devices, like BitLocker and Windows Defender.

Verwenden Sie die Informationen in diesem Artikel, um Endpoint Protection-Profile zu erstellen.Use the information in this article to create endpoint protection profiles. Informationen zum Konfigurieren von Windows Defender Antivirus finden Sie unter Windows 10-Geräteeinschränkungen.To configure Windows Defender Antivirus, see Windows 10 Device Restrictions.

Windows Defender Application GuardWindows Defender Application Guard

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • ProfessionalProfessional

Bei der Verwendung von Microsoft Edge schützt Windows Defender Application Guard Ihre Umgebung vor Websites, die von Ihrer Organisation nicht als vertrauenswürdig definiert wurden.While using Microsoft Edge, Windows Defender Application Guard protects your environment from sites that aren't trusted by your organization. Wenn Benutzer Websites besuchen, die nicht in Ihrer isolierten Netzwerkgrenze aufgelistet sind, werden die Websites in einer virtuellen Hyper-V-Browsersitzung geöffnet.When users visit sites that aren’t listed in your isolated network boundary, the sites are opened in a Hyper-V virtual browsing session. Vertrauenswürdige Websites werden durch eine Netzwerkgrenze definiert, die in der Gerätekonfiguration konfiguriert werden kann.Trusted sites are defined by a network boundary, which can be configured in Device Configuration.

Application Guard ist nur für Windows 10-Geräte (64-Bit) verfügbar.Application Guard is only available for Windows 10 (64-bit) devices. Mithilfe dieses Profils wird eine Win32-Komponente zur Aktivierung von Application Guard installiert.Using this profile installs a Win32 component to activate Application Guard.

  • Application Guard: Legen Sie diese Einstellung auf Aktivieren fest, um dieses Feature zu aktivieren. Dadurch werden nicht genehmigte Websites in einem virtualisierten Hyper-V-Browsercontainer geöffnet.Application Guard: Enable to turn on this feature, which opens unapproved sites in a Hyper-V virtualized browsing container. Nicht konfiguriert (Standardeinstellung) bedeutet, dass jede Website (genehmigt und nicht genehmigt) auf dem Gerät geöffnet wird.Not configured (default) means that any site (approved and unapproved) opens on the device.
  • Verhalten der Zwischenablage: Legen Sie zulässige Aktionen für das Kopieren und Einfügen zwischen dem lokalen Computer und dem virtuellen Browser von Application Guard fest.Clipboard behavior: Choose what copy/paste actions are allowed between the local PC and the Application Guard virtual browser.
  • Externer Inhalt auf Unternehmenswebsites: Legen Sie diese Einstellung auf Blockieren fest, damit keine Inhalte von nicht genehmigten Websites geladen werden.External content on enterprise sites: Block content from unapproved websites from loading. Nicht konfiguriert (Standardeinstellung) bedeutet, dass Websites, bei denen es sich nicht um Unternehmenswebsites handelt, auf dem Gerät geöffnet werden können.Not configured (default) means that non-enterprise sites can open on the device.
  • Aus virtuellem Browser drucken: Legen Sie diese Einstellung auf Zulassen fest, damit PDF-Drucker, XPS-Drucker, lokale Drucker und/oder Netzwerkdrucker Inhalte aus dem virtuellen Browser drucken können.Print from virtual browser: Allow to allow PDF, XPS, local, and/or network printers to print content from the virtual browser. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden alle Druckfunktionen deaktiviert.Not configured (default) disables all print features.
  • Protokolle speichern: Legen Sie diese Einstellung auf Zulassen fest, damit Protokolle für Ereignisse gespeichert werden, die während einer Browsersitzung von Application Guard auftreten.Collect logs: Allow to collect logs for events that occur within an Application Guard browsing session. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden keine Protokolle während einer Browsersitzung gespeichert.Not configured (default) doesn't collect any logs within the browsing session.
  • Benutzergenerierte Browserdaten beibehalten: Legen Sie diese Einstellung auf Zulassen fest, damit Benutzerdaten (z.B. Kennwörter, Favoriten und Cookies) gespeichert werden, die während einer virtuellen Browsersitzung von Application Guard erstellt werden.Retain user-generated browser data: Allow saves user data (such as passwords, favorites, and cookies) that is created during an Application Guard virtual browsing session. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden vom Benutzer heruntergeladene Dateien und Daten gelöscht, wenn das Gerät neu gestartet wird oder ein Benutzer sich abmeldet.Not configured (default) discards user-downloaded files and data when the device restarts, or when a user signs out.
  • Grafikbeschleunigung: Legen Sie diese Einstellung auf Aktivieren fest, um grafisch anspruchsvolle Websites und Videos schneller zu laden, indem der Zugriff auf einen virtuellen Grafikprozessor gewährt wird.Graphics acceleration: Enable to load graphic-intensive websites and video faster by getting access to a virtual graphics processing unit. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird nur die CPU des Geräts (d.h. kein virtueller Grafikprozessor) für Grafiken verwendet.Not configured (default) uses the device's CPU for graphics; it doesn't use the virtual graphics processing unit.
  • Dateien auf Hostdateisystem herunterladen: Legen Sie diese Einstellung auf Aktivieren fest, damit Benutzer Dateien aus dem virtualisierten Browser auf das Hostbetriebssystem herunterladen können.Download files to host file system: Enable so users download files from the virtualized browser onto the host operating system. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Dateien lokal auf dem Gerät gespeichert, und es werden keine Dateien auf das Hostdateisystem heruntergeladen.Not configured (default) keeps the files local on the device, and doesn't download files to the host file system.

Windows Defender FirewallWindows Defender Firewall

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • StartseiteHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Globale EinstellungenGlobal settings

Diese Einstellungen können auf alle Netzwerktypen angewendet werden.These settings are applicable to all network types.

  • File Transfer Protocol: Legen Sie diese Einstellung auf Blockieren fest, um statusbehaftetes FTP zu deaktivieren.File Transfer Protocol: Block to disable stateful FTP. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, filtert die Firewall statusbehaftetes FTP, um sekundäre Verbindungen zu ermöglichen.When Not configured (default), the firewall does stateful FTP filtering to allow secondary connections.
  • Leerlaufzeit für Sicherheitszuordnung vor Löschvorgang: Sicherheitszuordnungen werden gelöscht, wenn für n Sekunden kein Netzwerkdatenverkehr erkannt wird.Security association idle time before deletion: Security associations are deleted after no network traffic is detected for n seconds. Geben Sie eine Leerlaufzeit in Sekunden an.Enter an idle time in seconds.
  • Codierung vorinstallierter Schlüssel: Legen Sie diese Einstellung auf Aktivieren fest, um die Codierung vorinstallierter Schlüssel mithilfe von UTF-8 zu verwenden.Pre-shared key encoding: Enable to use preshared key encoding using UTF-8. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der lokal gespeicherte Wert verwendet.Not configured (default) uses the local store value.
  • IPsec-Ausnahmen: Diese Konfiguration legt fest, ob bestimmter Datenverkehr von IPsec ausgenommen werden soll, einschließlich Folgendem:IPsec exemptions: Configure specific traffic to be exempt from IPsec, including:
    • Neighbor Discovery-IPv6-Codes vom Typ ICMPNeighbor discover IPv6 ICMP type-codes
    • ICMPICMP
    • Router Discovery-IPv6-Codes vom Typ ICMPRouter discover IPv6 ICMP type-codes
    • IPv4- und IPv6-DHCP-NetzwerkdatenverkehrBoth IPv4 and IPv6 DHCP network traffic
  • Überprüfung der Zertifikatssperrliste: Bestimmt, wie die Überprüfung der Zertifikatssperrliste erzwungen wird, einschließlich Überprüfung der Zertifikatssperrliste deaktivieren, Überprüfung der Zertifikatssperrliste nur bei gesperrtem Zertifikat fehlerhaft und Überprüfung der Zertifikatssperrliste bei jedem Fehler fehlerhaft.Certificate revocation list verification: Determine how certificate revocation list verification is enforced, including Disable CRL verification, Fail CRL verification on revoked certificate only, and Fail CRL verification on any error encountered.
  • Authentifizierungssatz opportunistisch pro Schlüsselerstellungsmodul abgleichen: Legen Sie diese Einstellung auf Aktivieren fest, damit Schlüsselerstellungsmodule nur die Authentifizierungssuites ignorieren müssen, die sie nicht unterstützen.Opportunistically match authentication set per keying module: Enable so keying modules MUST ignore only the authentication suites that they don’t support. Mit der Einstellung Nicht konfiguriert müssen Schlüsselerstellungsmodule den gesamten Authentifizierungssatz ignorieren, wenn sie nicht alle Authentifizierungssuites unterstützen, die im Satz angegeben sind.When Not configured, keying modules MUST ignore the entire authentication set if they don't support all of the authentication suites specified in the set.
  • Paketwarteschlangen: Legen Sie fest, wie die Skalierung für die Software auf der Empfangsseite für den verschlüsselten Empfang und die Weiterleitung im Klartext für das IPsec-Tunnelgatewayszenario aktiviert wird.Packet queuing: Enter how software scaling on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. Durch diese Einstellung wird die Paketreihenfolge beibehalten.This setting ensures that packet order is preserved.

NetzwerkeinstellungenNetwork settings

Diese Einstellungen gelten für bestimmte Netzwerktypen, einschließlich Domänennetzwerk (Arbeitsplatz), Privates Netzwerk (sichtbar) und Öffentliches Netzwerk (nicht sichtbar).These settings are applicable to specific network types, including Domain (workplace) network, Private (discoverable) network, and Public (non-discoverable) network.

Allgemeine EinstellungenGeneral settings

  • Windows Defender Firewall: Legen Sie diese Einstellung auf Aktivieren fest, um die Firewall und die erweiterte Sicherheit zu aktivieren.Windows Defender Firewall: Enable to turn on the firewall, and advanced security. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sämtlicher Netzwerkdatenverkehr unabhängig von anderen Richtlinieneinstellungen zugelassen.Not configured (default) allows all network traffic, regardless of any other policy settings.
  • Geschützter Modus: Legen Sie diese Einstellung auf Blockieren fest, damit die Firewall nicht im geschützten Modus ausgeführt werden kann.Stealth mode: Block the firewall from operating in stealth mode. Wenn Sie den geschützten Modus blockieren, ermöglichen Sie ebenfalls das Blockieren von durch IPsec gesicherten Paketausnahmen.Blocking stealth mode allows you to also block IPsec secured packet exemption. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird die Firewall im geschützten Modus ausgeführt. Dadurch werden Antworten auf Suchanforderungen verhindert.Not configured (default) operates the firewall in stealth mode, which helps prevent responses to probing requests.
  • Geschützt: Legen Sie diese Einstellung auf Blockieren fest, um dieses Feature zu deaktivieren.Shielded: Block turns off this feature. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird diese Einstellung aktiviert.Not configured (default) enables this setting. Wenn diese Einstellung und Windows Defender Firewall aktiviert sind, wird sämtlicher eingehender Datenverkehr unabhängig von anderen Richtlinieneinstellungen blockiert.When this setting and the Windows Defender Firewall are turned on, then all incoming traffic is blocked, regardless of any other policy settings.
  • Unicastantworten auf Multicastbroadcasts: Wenn diese Einstellung auf Blockieren festgelegt ist, werden Unicastantworten auf Multicastbroadcasts deaktiviert.Unicast responses to multicast broadcasts: When set to Block, it disables unicast responses to multicast broadcasts. Sie möchten wohl keine Unicastantworten auf Multicast- oder Broadcastmeldungen empfangen.Typically, you don't want to receive unicast responses to multicast or broadcast messages. Diese Antworten können auf einen DoS-Angriff (Denial of Service) hinweisen, oder einen Angreifer, der versucht, einen bekanntermaßen aktiven Computer zu testen.These responses can indicate a denial of service (DOS) attack, or an attacker attempting to probe a known live computer. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird diese Einstellung aktiviert.Not configured (default) enables this setting.
  • Eingehende Benachrichtigungen: Wenn diese Einstellung auf Blockieren festgelegt ist, werden Benachrichtigungen für Benutzer ausgeblendet, wenn eine App für das Lauschen auf einen Port blockiert ist.Inbound notifications: When set to Block, it hides notifications to users when an app is blocked from listening on a port. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird die Einstellung aktiviert, und Benutzern werden Benachrichtigungen angezeigt, wenn eine App für das Lauschen auf einen Port blockiert ist.Not configured (default) enables this setting, and may show a notification to users when an app is blocked from listening on a port.
  • Standardaktion für eingehende Verbindungen: Wenn diese Einstellung auf Blockieren festgelegt ist, wird die Standardaktion der Firewall nicht für eingehende Verbindungen ausgeführt.Default action for inbound connections: When set to Block, the default firewall action is not run on inbound connections. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird die Standardaktion der Firewall für eingehende Verbindungen ausgeführt.When set to Not configured (default), the default firewall action is run on inbound connections.

RegelzusammenführungRule merging

  • Windows Defender Firewall-Regeln für autorisierte Anwendungen aus dem lokalen Speicher: Legen Sie diese Einstellung auf Aktivieren fest, wenn die Firewallregeln im lokalen Speicher erkannt und erzwungen werden sollen.Authorized application Windows Defender Firewall rules from the local store: Enable to apply firewall rules in the local store to be recognized and enforced. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Firewallregeln für autorisierte Anwendungen im lokalen Speicher ignoriert und nicht erzwungen.When Not configured (default), the authorized application firewall rules in the local store are ignored and not enforced.
  • Windows Defender Firewall-Regeln für den globalen Port aus dem lokalen Speicher: Legen Sie diese Einstellung auf Aktivieren fest, damit die Firewallregeln für den globalen Port im lokalen Speicher erkannt und erzwungen werden.Global port Windows Defender Firewall rules from the local store: Enable to apply global port firewall rules in the local store to be recognized and enforced. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Firewallregeln für den globalen Port im lokalen Speicher ignoriert und nicht erzwungen.When Not configured (default), the global port firewall rules in the local store are ignored and not enforced.
  • Windows Defender Firewall-Regeln aus dem lokalen Speicher: Legen Sie diese Einstellung auf Aktivieren fest, damit Firewallregeln im lokalen Speicher erkannt und erzwungen werden.Windows Defender Firewall rules from the local store: Enable to apply firewall rules in the local store to be recognized and enforced. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Firewallregeln im lokalen Speicher ignoriert und nicht erzwungen.When Not configured (default), the firewall rules from the local store are ignored and not enforced.
  • IPsec-Regeln aus dem lokalen Speicher: Legen Sie diese Einstellung auf Aktivieren fest, um Verbindungssicherheitsregeln aus dem lokalen Speicher anzuwenden, die unabhängig vom Schema oder den Versionen der Verbindungssicherheitsregeln gelten.IPsec rules from the local store: Enable to apply connection security rules from the local store, regardless of schema or connection security rule versions. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Verbindungssicherheitsregeln im lokalen Speicher unabhängig von der Schemaversion und der Version der Verbindungssicherheitsregeln ignoriert und nicht erzwungen.When Not configured (default), the connection security rules from the local store are ignored and not enforced, regardless of the schema version and connection security rule version.

Einstellungen für Windows Defender SmartScreenWindows Defender SmartScreen settings

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt, auf denen Edge installiert ist:Supported on the following Windows 10 editions with Edge installed:

  • StartseiteHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Einstellungen:Settings:

  • SmartScreen für Apps und Dateien: Legen Sie diese Einstellung auf Aktivieren fest, um Windows SmartScreen für die Datei- und App-Ausführung zu aktivieren.SmartScreen for apps and files: Enable Windows SmartScreen for file execution, and running apps. SmartScreen ist eine cloudbasierte Komponente gegen Phishing- und Schadsoftware.SmartScreen is a cloud-based anti-phishing and anti-malware component. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird SmartScreen deaktiviert.Not configured (default) disables SmartScreen.
  • Ausführung nicht überprüfter Dateien: Legen Sie diese Einstellung auf Blockieren fest, um die Ausführung von Dateien durch den Benutzer zu sperren, die nicht durch Windows SmartScreen überprüft wurden.Unverified files execution: Block end users from running files that haven't been verified by Windows SmartScreen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden diese Features deaktiviert, sodass Endbenutzer keine Dateien ausführen können, die nicht überprüft wurden.Not configured (default) disables this feature, and allows end users to run files that haven't been verified.

Windows-VerschlüsselungWindows Encryption

Windows-EinstellungenWindows Settings

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Einstellungen:Settings:

  • Geräte verschlüsseln: Legen Sie diese Einstellung auf Erforderlich fest, um Benutzer dazu aufzufordern, die Geräteverschlüsselung zu aktivieren.Encrypt devices: Require to prompt users to enable device encryption. Je nach Windows-Edition und Systemkonfiguration können Benutzer zu Folgendem aufgefordert werden:Depending on the Windows edition and system configuration, users may be asked:
    • Zur Bestätigung, dass keine Verschlüsselung eines anderen Anbieters aktiviert istTo confirm that encryption from another provider isn't enabled

    • Zum Deaktivieren der BitLocker-Laufwerksverschlüsselung und zum anschließenden Aktivieren von BitLockerBe required to turn off Bitlocker Drive Encryption, and then turn Bitlocker back on

      Wenn die Windows-Verschlüsselung eingeschaltet wird, während eine andere Verschlüsselungsmethode aktiv ist, wird das Gerät möglicherweise instabil.If Windows encryption is turned on while another encryption method is active, the device might become unstable.

  • Speicherkarte verschlüsseln (nur mobil): Legen Sie diese Einstellung auf Erforderlich fest, um alle vom Gerät verwendeten wechselbaren Speicherkarten zu verschlüsseln.Encrypt storage card (mobile only): Require to encrypt any removable storage cards used by the device. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, ist keine Speicherkartenverschlüsselung erforderlich, und der Benutzer wird nicht dazu aufgefordert, diese zu aktivieren.Not configured (default) doesn't require storage card encryption, and doesn't prompt the user to turn it on. Diese Einstellung gilt nur für Windows 10 Mobile-Geräte.This setting only applies to Windows 10 mobile devices.

BitLocker-GrundeinstellungenBitLocker base settings

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Bei den Grundeinstellungen handelt es sich um universelle BitLocker-Einstellungen, die für alle Typen von Datenträgern gelten.Base settings are universal BitLocker settings for all types of data drives. Durch diese Einstellungen wird verwaltet, welche Aufgaben für die Laufwerkverschlüsselung oder Konfigurationsoptionen der Benutzer auf allen Typen von Laufwerken ändern kann.These settings manage what drive encryption tasks or configuration options the end user can modify across all types of data drives.

  • Warnung zu anderer Datenträgerverschlüsselung: Legen Sie diese Einstellung auf Blockieren fest, um die Warnung zu deaktivieren, die angezeigt wird, wenn ein anderer Dienst zur Datenträgerverschlüsselung auf dem Gerät vorhanden ist.Warning for other disk encryption: Select Block to disable the warning prompt if another disk encryption service is on the device. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird diese Warnung angezeigt.Not configured (default) allows the warning to be shown.
  • Verschlüsselungsmethoden konfigurieren: Aktivieren Sie diese Einstellung, um Verschlüsselungsalgorithmen für Betriebssystem-, Daten- und Wechseldatenträger zu konfigurieren.Configure encryption methods: Enable this setting to configure encryption algorithms for operating system, data, and removable drives. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, verwendet BitLocker XTS-AES 128-Bit als Standardverschlüsselungsmethode oder die Verschlüsselungsmethode, die von einem Setupskript festgelegt wird.When Not configured (default), BitLocker uses XTS-AES 128 bit as the default encryption method, or uses the encryption method specified by any setup script.
    • Verschlüsselung für Betriebssystemlaufwerke: Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus.Encryption for operating system drives: Choose the encryption method for operating system drives. Es wird empfohlen, dass Sie den XTS-AES-Algorithmus verwenden.We recommend you use the XTS-AES algorithm.
    • Verschlüsselung für Festplattenlaufwerke: Wählen Sie die Verschlüsselungsmethode für Festplattenlaufwerke (integriert) aus.Encryption for fixed data-drives: Choose the encryption method for fixed (built-in) data drives. Es wird empfohlen, dass Sie den XTS-AES-Algorithmus verwenden.We recommend you use the XTS-AES algorithm.
    • Verschlüsselung für Wechseldatenträger: Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus.Encryption for removable data-drives: Choose the encryption method for removable data drives. Wenn der Wechseldatenträger mit Geräten verwendet wird, auf denen nicht Windows 10 ausgeführt wird, wird empfohlen, den AES-CBC-Algorithmus zu verwenden.If the removable drive is used with devices that aren't running Windows 10, then we recommend you use the AES-CBC algorithm.

Einstellung für BitLocker-OS-DatenträgerBitLocker OS drive settings

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Diese Einstellungen gelten speziell für Betriebssystemlaufwerke.These settings apply specifically to operating system data drives.

  • Zusätzliche Authentifizierung beim Start: Legen Sie diese Einstellung auf Erforderlich fest, um die Authentifizierungsanforderungen für den Computerstart zu konfigurieren, einschließlich der Verwendung von Trusted Platform Module (TPM).Additional authentication at startup: Select Require to configure the authentication requirements for computer startup, including the use of Trusted Platform Module (TPM). Legen Sie die Standardeinstellung Nicht konfiguriert fest, um nur grundlegende Optionen auf Geräten mit einem TPM zu konfigurieren.Select Not configured (default) to configure only basic options on devices with a TPM.
    • BitLocker mit nicht kompatiblem TPM-Chip: Legen Sie diese Einstellung auf Blockieren (Deaktivieren) fest, um die Verwendung von BitLocker zu blockieren, wenn ein Gerät nicht über einen kompatiblen TPM-Chip verfügt.BitLocker with non-compatible TPM chip: Block (disable) using BitLocker when a device doesn't have a compatible TPM chip. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer BitLocker ohne kompatiblen TPM-Chip verwenden.When Not configured, users can use BitLocker without a compatible TPM chip. BitLocker kann ein Kennwort oder einen Systemstartschlüssel erfordern.BitLocker may require a password or a startup key.
    • Systemstart für kompatibles TPM: Legen Sie fest, ob der TPM-Chip zugelassen, nicht zugelassen oder erforderlich ist.Compatible TPM startup: Choose to allow, not allow, or require the TPM chip.
    • Systemstart-PIN für kompatibles TPM: Legen Sie fest, ob mit dem TPM-Chip eine Systemstart-PIN zugelassen, nicht zugelassen oder erforderlich ist.Compatible TPM startup PIN: Choose to allow, not allow, or require using a startup PIN with the TPM chip. Für das Aktivieren einer Systemstart-PIN ist ein Eingreifen des Endbenutzers erforderlich.Enabling a startup PIN requires interaction from the end user.
    • Systemstartschlüssel für kompatibles TPM: Legen Sie fest, ob die Verwendung eines Systemstartschlüssels mit dem TPM-Chip zugelassen, nicht zugelassen oder erforderlich ist.Compatible TPM startup key: Choose to allow, not allow, or require using a startup key with the TPM chip. Für das Aktivieren eines Systemstartschlüssels ist ein Eingreifen des Endbenutzers erforderlich.Enabling a startup key requires interaction from the end user.
    • Systemstartschlüssel und Systemstart-PIN für kompatibles TPM: Legen Sie fest, ob die Verwendung eines Systemstartschlüssels und einer PIN mit dem TPM-Chip zugelassen, nicht zugelassen oder erforderlich ist.Compatible TPM startup key and PIN: Choose to allow, not allow, or require using a startup key and PIN with the TPM chip. Für das Aktivieren eines Systemstartschlüssels und einer Systemstart-PIN ist ein Eingreifen des Endbenutzers erforderlich.Enabling startup key and PIN requires interaction from the end user.
  • PIN-Mindestlänge: Wenn diese Einstellung aktiviert ist, können Sie eine Mindestlänge für die TPM-Systemstart-PIN festlegen.Minimum PIN Length: Enable this setting to configure a minimum length for the TPM startup PIN. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer eine Systemstart-PIN zwischen 6 und 20 Ziffern konfigurieren.When Not configured (default), users can configure a startup PIN of any length between 6 and 20 digits.
    • Mindestanzahl von Zeichen: Geben Sie die Zahl an Zeichen (4-20) an, die für die Systemstart-PIN erforderlich sind.Minimum characters: Enter the number of characters required for the startup PIN from 4-20.
  • Wiederherstellung von Betriebssystemlaufwerken: Wenn diese Einstellung auf Aktivieren festgelegt ist, können Sie steuern, wie durch BitLocker geschützte Betriebssystemdatenträger wiederhergestellt werden, wenn die erforderlichen Systemstartinformationen nicht verfügbar sind.OS drive recovery: Enable this setting to control how BitLocker-protected operating system drives are recovered when the required start-up information isn't available. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt.When Not configured (default), the default recovery options are supported for BitLocker recovery. Standardmäßig ist DRA zulässig, die Wiederherstellungsoptionen (einschließlich Wiederherstellungskennwort und -schlüssel) werden vom Benutzer angegeben, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.By default, a DRA is allowed, the recovery options are specified by the user, including the recovery password and recovery key, and recovery information isn't backed up to AD DS.
    • Zertifikatbasierter Datenwiederherstellungs-Agent: Wenn diese Einstellung auf Blockieren festgelegt ist, können Sie keinen Datenwiederherstellungs-Agent auf durch BitLocker geschützten Betriebssystemlaufwerken verwenden.Certificate-based data recovery agent: When set to Block, you can't use data recovery agent with BitLocker-protected OS drives. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, um diese Einstellung zu aktivieren, können Datenwiederherstellungs-Agents mit durch BitLocker geschützten Betriebssystemlaufwerken verwendet werden.Set to Not configured (default) to enable this setting, which allows data recovery agents to be used with BitLocker-protected operating system drives.
    • Erstellung des Wiederherstellungskennworts durch den Benutzer: Legen Sie fest, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen oder müssen.User creation of recovery password: Choose if users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Erstellung des Wiederherstellungsschlüssels durch den Benutzer: Legen Sie fest, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen oder müssen.User creation of recovery key: Choose if users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten: Legen Sie diese Einstellung auf Blockieren fest, damit Benutzer die Wiederherstellungsoptionen nicht anzeigen oder ändern können.Recovery options in the BitLocker setup wizard: Set to Block so users can't see and change the recovery options. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.When set to Not configured (default), users can see and change the recovery options when they turn on BitLocker.
    • BitLocker-Wiederherstellungsinformationen in AD DS speichern: Legen Sie diese Einstellung auf Aktivieren fest, um die BitLocker-Wiederherstellungsinformationen in Azure Active Directory (AAD) zu speichern.Save BitLocker recovery information to AD DS: Enable to store the BitLocker recovery information to Azure Active Directory (AAD). Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Wiederherstellungsinformationen nicht in AAD gespeichert.When Not configured (default), the recovery information isn't stored in AAD.
    • In AD DS gespeicherte BitLocker-Wiederherstellungsinformationen: Konfiguriert, welche BitLocker-Wiederherstellungsinformationen in Azure AD gespeichert werden.BitLocker recovery Information stored to AD DS: Configure what parts of BitLocker recovery information are stored in Azure AD. Es stehen die folgenden Optionen zur Auswahl:Choose from:
      • Wiederherstellungskennwörter und Schlüsselpakete sichernBackup recovery passwords and key packages
      • Nur Wiederherstellungskennwörter sichernBackup recovery passwords only
    • Wiederherstellungsinformationen vor dem Aktivieren von BitLocker in AD DS speichern: Legen Sie diese Einstellung auf Erforderlich fest, um zu verhindern, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit einer Domäne verbunden und BitLocker-Wiederherstellungsinformationen wurden erfolgreich in Active Directory gespeichert.Store recovery information in AD DS before enabling BitLocker: Require this setting to stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure Active Directory. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer BitLocker aktivieren, auch wenn die Wiederherstellungsinformationen nicht erfolgreich in Azure Active Directory gespeichert sind.Not configured (default) allows users to turn on BitLocker, even if recovery information is not successfully stored in Azure Active Directory.
  • Pre-Boot-Wiederherstellungsmeldung und -URL: Aktivieren Sie diese Einstellung, um die Meldung und URL zu konfigurieren, die auf dem Bildschirm der Pre-Boot-Schlüsselwiederherstellung angezeigt werden.Pre-boot recovery message and URL: Enable this setting to configure the message and URL that are displayed on the pre-boot key recovery screen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird dieses Feature deaktiviert.Not configured (default) disables this feature.
    • Pre-Boot-Wiederherstellungsmeldung: Legen Sie fest, wie die Pre-Boot-Wiederherstellungsmeldung Benutzern angezeigt wird.Pre-boot recovery message: Configure how the pre-boot recovery message displays to users. Es stehen die folgenden Optionen zur Auswahl:Choose from:
      • Standardmäßige Wiederherstellungsmeldung und -URL verwendenUse default recovery message and URL
      • Leere Wiederherstellungsmeldung und -URL verwendenUse empty recovery message and URL
      • Benutzerdefinierte WiederherstellungsmeldungUse custom recovery message
      • Benutzerdefinierte Wiederherstellungs-URLUse custom recovery URL

Einstellungen für das BitLocker-FestplattenlaufwerkBitLocker fixed data-drive settings

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Einstellungen:Settings:

  • Schreibzugriff auf nicht durch BitLocker geschützte Festplattenlaufwerke: Legen Sie diese Einstellung auf Blockieren fest, um Laufwerken, die nicht durch BitLocker geschützt werden, schreibgeschützten Zugriff zu gewähren.Write access to fixed data-drive not protected by BitLocker: Set to Block to give read-only access to data drives that aren't BitLocker-protected. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, haben nicht durch BitLocker geschützte Datenträger Lese- und Schreibzugriff.When Not configured (default), there is read and write access to data drives that aren't BitLocker-protected.
  • Wiederherstellung von Festplattenlaufwerken: Aktivieren Sie diese Einstellung, um zu steuern, wie durch BitLocker geschützte Festplattenlaufwerke wiederhergestellt werden, wenn die erforderlichen Systemstartinformationen nicht vorliegen.Fixed drive recovery: Enable this setting to control how BitLocker-protected fixed drives are recovered when the required start-up information isn't available. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird dieses Feature deaktiviert.Not configured (default) disables this feature.
    • Datenwiederherstellungs-Agent: Legen Sie diese Einstellung auf Blockieren fest, um die Verwendung des Datenwiederherstellungs-Agents auf durch BitLocker geschützten Festplattenlaufwerken zu blockieren.Data recovery agent: Block the use of data recovery agent with BitLocker-protected fixed drives Policy Editor. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Datenwiederherstellungs-Agents auf durch BitLocker geschützten Festplattenlaufwerken verwendet werden.Not configured (default) enables using data recovery agents with BitLocker-protected fixed drives.
    • Erstellung des Wiederherstellungskennworts durch den Benutzer: Legen Sie fest, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen oder müssen.User creation of recovery password: Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Erstellung des Wiederherstellungsschlüssels durch den Benutzer: Legen Sie fest, ob Benutzer einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen oder müssen.User creation of recovery key: Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten: Legen Sie diese Einstellung auf Blockieren fest, damit Benutzer die Wiederherstellungsoptionen nicht anzeigen oder ändern können.Recovery options in the BitLocker setup wizard: Set to Block so users can't see and change the recovery options. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer die Wiederherstellungsoptionen anzeigen und ändern, wenn sie BitLocker aktivieren.When set to Not configured (default), users can see and change the recovery options when they turn on BitLocker.
    • BitLocker-Wiederherstellungsinformationen in AD DS speichern: Legen Sie diese Einstellung auf Aktivieren fest, um die BitLocker-Wiederherstellungsinformationen in Azure Active Directory (AAD) zu speichern.Save BitLocker recovery information to AD DS: Enable to store the BitLocker recovery information in Azure Active Directory (AAD). Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Wiederherstellungsinformationen nicht in AAD gespeichert.When Not configured (default), the recovery information isn't stored in AAD.
    • BitLocker-Wiederherstellungsinformationen in AD DS: Konfiguriert, welche BitLocker-Wiederherstellungsinformationen in Azure Active Directory gespeichert werden.BitLocker recovery Information to AD DS: Configure what parts of BitLocker recovery information are stored in Azure Active Directory. Es stehen die folgenden Optionen zur Auswahl:Choose from:
      • Wiederherstellungskennwörter und Schlüsselpakete sichernBackup recovery passwords and key packages
      • Nur Wiederherstellungskennwörter sichernBackup recovery passwords only
    • Wiederherstellungsinformationen vor dem Aktivieren von BitLocker in AD DS speichern: Legen Sie diese Einstellung auf Erforderlich fest, um zu verhindern, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit einer Domäne verbunden und BitLocker-Wiederherstellungsinformationen wurden erfolgreich in Active Directory gespeichert.Store recovery information in AD DS before enabling BitLocker: Require this setting to stop users from turning on BitLocker unless the BitLocker recovery information is successfully stored in Azure Active Directory. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer BitLocker aktivieren, auch wenn die Wiederherstellungsinformationen nicht erfolgreich in Azure Active Directory gespeichert sind.Not configured (default) allows users to turn on BitLocker, even if recovery information is not successfully stored in Azure Active Directory.

Einstellungen für den BitLocker-WechseldatenträgerBitLocker removable data-drive settings

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Einstellungen:Settings:

  • Schreibzugriff auf nicht durch BitLocker geschützte Wechseldatenträger: Legen Sie diese Einstellung auf Blockieren fest, um Datenträgern, die nicht durch BitLocker geschützt werden, schreibgeschützten Zugriff zu gewähren.Write access to removable data-drive not protected by BitLocker: Set to Block to give read-only access to data drives that aren't BitLocker-protected. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, haben nicht durch BitLocker geschützte Datenträger Lese- und Schreibzugriff.When Not configured (default), there is read and write access to data drives that aren't BitLocker-protected.
    • Schreibzugriff auf in einer anderen Organisation konfigurierte Geräte: Legen Sie die Einstellung auf Blockieren fest, um in einer anderen Organisation konfigurierten Geräten den Schreibzugriff zu verweigern.Write access to devices configured in another organization: Block allows write access to devices configured in another organization. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der Schreibzugriff zugelassen.Not configured (default) denies write access.

Windows Defender Exploit GuardWindows Defender Exploit Guard

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • StartseiteHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Verwenden Sie Windows Defender Exploit Guard, um die Angriffsoberfläche von Apps, die von Ihren Angestellten verwendet werden, zu verwalten und zu reduzieren.Use Windows Defender Exploit Guard to manage and reduce the attack surface of apps used by your employees.

Verringerung der AngriffsflächeAttack Surface Reduction

  • Abgreifen von Anmeldeinformationen über das Subsystem der lokalen Sicherheitsautorität von Windows kennzeichnenFlag credential stealing from the Windows local security authority subsystem

    Wehren Sie Aktionen und Apps ab, die üblicherweise von Schadsoftware verwendet wird, die nach Sicherheitsproblemen sucht, um Computer zu infizieren.Help prevent actions and apps that are typically used by exploit-seeking malware to infect machines.

Regeln zum Verhindern von Bedrohungen durch Office-MakrosRules to prevent Office Macro threats

Blockieren Sie folgende Aktionen, die Office-Apps durchführen können:Block Office apps from taking the following actions:

  • Einschleusung von Code durch Office-Apps in andere Prozesse (keine Ausnahmen)Office apps injecting into other processes (no exceptions)
  • Erstellung ausführbarer Inhalte in Office-Apps und -MakrosOffice apps/macros creating executable content
  • Starten untergeordneter Prozesse in Office-AppsOffice apps launching child processes
  • Win32-Importe aus Office-MakrocodeWin32 imports from Office macro code

Regeln zum Verhindern von Bedrohungen durch SkriptsRules to prevent script threats

Blockieren Sie diese Optionen, um Bedrohungen durch Skripts zu verhindern:Block the following to help prevent against script threats:

  • Verborgener JS-/VBS-/PS-/MakrocodeObfuscated js/vbs/ps/macro code
  • Ausführung von aus dem Internet heruntergeladener Nutzlast über JS/VBS (keine Ausnahmen)js/vbs executing payload downloaded from Internet (no exceptions)
  • Prozesserstellung über die Befehle „PSExec“ und „WMI“Process creation from PSExec and WMI commands
  • Nicht vertrauenswürdige und nicht signierte Prozesse, die über USB ausgeführt werdenUntrusted and unsigned processes that run from USB
  • Ausführbare Dateien, die keinem Listenkriterium zur Verbreitung, zum Alter oder zur Vertrauenswürdigkeit entsprechenExecutables that don’t meet a prevalence, age, or trusted list criteria

Regeln zum Verhindern von Bedrohungen durch E-MailsRules to prevent email threats

Blockieren Sie diese Optionen, um Bedrohungen durch E-Mails zu verhindern:Block the following to help prevent email threats:

  • Ausführung ausführbarer Inhalte (EXE, DLL, PS, JS, VBS usw.), die per E-Mail (Webmail-/E-Mail-Client) zugestellt werden (keine Ausnahmen)Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Regeln zum Schutz vor RansomwareRules to protect against Ransomware

  • Erweiterter Schutz vor RansomwareAdvanced ransomware protection

Ausnahmen von der Verringerung der AngriffsflächeAttack Surface Reduction exceptions

  • Von Regeln zur Verringerung der Angriffsfläche auszuschließende Dateien und Ordner: Importieren bzw. fügen Sie eine Liste von Speicherorten hinzu, die von den konfigurierten Regeln ausgeschlossen werden sollen.Files and folder to exclude from attack surface reduction rules: Import/add a list of locations to exclude from the configured rules.

Überwachter OrdnerzugriffControlled folder access

Schützen Sie wichtige Daten vor schädlichen Apps und Bedrohungen, z.B. vor Ransomware.Help protect valuable data from malicious apps and threats, such as ransomware.

  • Ordnerschutz: Schützen Sie Dateien und Ordner vor unerwünschten Änderungen durch schädliche Apps.Folder protection: Protect files and folders from unwanted changes by malicious apps. Sie können eine Liste der Apps, die auf geschützte Ordner zugreifen können importieren oder diese manuell hinzufügen.You can import a List of apps that have access to protected folders or add them manually. Sie können ebenfalls eine Liste zusätzlicher Ordner, die geschützt werden müssen hochladen, oder diese manuell hinzufügen.You can also add a List of additional folders that need to be protected with an upload or adding them manually.

NetzwerkfilterungNetwork filtering

Blockieren Sie von jeder App ausgehende Verbindungen mit nicht vertrauenswürdigen IP-Adressen/Domänen.Block outbound connections from any app to low reputation IP/domains.

Exploit-SchutzExploit protection

Erstellen Sie zum Aktivieren des Exploit-Schutzes eine XML-Datei, die die gewünschten Einstellungen zur Risikominderung für System und Anwendungen enthält.To enable exploit protection, create an XML file that includes the system and application mitigation settings you want. Es gibt zwei Methoden:There are two methods:

  1. PowerShell: Verwenden Sie mindestens eines der PowerShell-Cmdlets Get-ProcessMitigation, Set-ProcessMitigation und ConvertTo-ProcessMitigationPolicy.PowerShell: Use one or more of the Get-ProcessMitigation, Set-ProcessMitigation, and ConvertTo-ProcessMitigationPolicy PowerShell cmdlets. Die Cmdlets konfigurieren Einstellungen zur Risikominderung und exportieren eine XML-Darstellung von ihnen.The cmdlets configure mitigation settings, and export an XML representation of them.

  2. Windows Defender Security Center-Benutzeroberfläche: Klicken Sie im Windows Defender Security Center auf „App > Browsersteuerung“, und scrollen Sie zum Ende des entsprechenden Bildschirms, um den Exploit-Schutz zu finden.Windows Defender Security Center UI: In the Windows Defender Security Center, click on App & browser control and then scroll to the bottom of the resulting screen to find Exploit Protection. Verwenden Sie zuerst die Registerkarten „Systemeinstellungen“ und „Programmeinstellungen“, um die Einstellungen für die Risikominderung zu konfigurieren.First, use the System settings and Program settings tabs to configure mitigation settings. Suchen Sie anschließend den Link mit den Exporteinstellungen im unteren Bildschirmbereich, um eine XML-Darstellung zu exportieren.Then, find the Export settings link at the bottom of the screen to export an XML representation of them.

Blockieren Sie die Bearbeitung der Exploit-Schutzumgebung durch Benutzer, indem Sie eine XML-Datei hochladen, die Ihnen das Konfigurieren von Speicher-, Ablaufsteuerungs- und Richtlinieneinschränkungen ermöglicht.Block User editing of the exploit protection interface by uploading an XML file that allows you to configure memory, control flow, and policy restrictions. Die Einstellungen in der XML-Datei können eine Anwendung vor Exploits schützen.The settings in the XML file can be used to block an application from exploits. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden benutzerdefinierte Konfigurationen nicht blockiert.Not configured (default) doesn't push out a custom configuration.

Windows Defender Application ControlWindows Defender Application Control

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

Mobile Geräteverwaltung (MDM):Mobile Device Management (MDM):

  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Gruppenrichtlinienverwaltung:Group policy management:

  • EnterpriseEnterprise

Verwenden Sie die Anwendungssteuerungscode-Integritätsrichtlinien, um zusätzliche Apps auszuwählen, die durch Windows Defender Application Control überwacht werden oder als vertrauenswürdig eingestuft und ausgeführt werden.Use Application control code integrity policies to choose additional apps that are audited, or are trusted to run by Windows Defender Application Control. Windows-Komponenten und alle Apps aus dem Windows Store werden automatisch als zur Ausführung vertrauenswürdig eingestuft.Windows components and all apps from the Windows store are automatically trusted to run.

Anwendungen werden nicht blockiert, wenn sie im Modus Nur überwachen ausgeführt werden.Applications aren't blocked when running in audit only mode. Der Modus Nur überwachen protokolliert alle Ereignisse in lokalen Clientprotokollen.Audit only mode logs all events in local client logs.

Sobald die Anwendungssteuerung aktiviert ist, kann sie nur noch deaktiviert werden, indem der Modus von Erzwingen in Nur überwachen geändert wird.Once enabled, Application Control can only be disabled by changing the mode from Enforce to Audit only. Wenn der Modus von Erzwingen in Nicht konfiguriert geändert wird, wird die Anwendungssteuerung weiterhin auf zugewiesenen Geräten erzwungen.Changing the mode from Enforce to Not Configured results in Application Control continuing to be enforced on assigned devices.

Windows Defender Credential GuardWindows Defender Credential Guard

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • EnterpriseEnterprise

Windows Defender Credential Guard schützt vor Angriffen zum Diebstahl von Anmeldeinformationen.Windows Defender Credential Guard protects against credential theft attacks. Geheime Schlüssel werden isoliert, damit nur privilegierte Systemsoftware darauf zugreifen kann.It isolates secrets so that only privileged system software can access them.

Die Credential Guard Einstellungen beinhalten:The Credential Guard settings include:

  • Deaktivieren: Deaktiviert Credential Guard per Remoteverbindung, wenn das Programm zuvor über die Option Ohne UEFI-Sperre aktivieren aktiviert wurde.Disable: Turns off Credential Guard remotely, if it was previously turned on with the Enabled without UEFI lock option.

  • Mit UEFI-Sperre aktivieren: Credential Guard kann nicht remote mit einem Registrierungsschlüssel oder über eine Gruppenrichtlinie deaktiviert werden.Enable with UEFI lock: Credential Guard can't be disabled remotely by using a registry key or group policy.

    Hinweis

    Wenn Sie diese Einstellung verwenden und dann später Credential Guard deaktivieren möchten, müssen Sie die Gruppenrichtlinie auf Deaktiviert setzen.If you use this setting, and then later want to disable Credential Guard, you must set the Group Policy to Disabled. Außerdem müssen Sie die UEFI-Konfigurationsinformationen physisch von den einzelnen Computern löschen.And, physically clear the UEFI configuration information from each computer. Solange die UEFI-Konfiguration bestehen bleibt, ist Credential Guard weiter aktiviert.As long as the UEFI configuration persists, Credential Guard is enabled.

  • Ohne UEFI-Sperre aktivieren: Ermöglicht, Credential Guard über eine Remoteverbindung mithilfe einer Gruppenrichtlinie zu deaktivieren.Enable without UEFI lock: Allows Credential Guard to be disabled remotely by using Group Policy. Die Geräte, die diese Einstellung verwenden, müssen Windows 10 (Version 1511) oder höher ausführen.The devices that use this setting must be running Windows 10 version 1511 and newer.

Wenn Sie Credential Guard aktivieren, werden auch die folgenden erforderlichen Features aktiviert:When you enable Credential Guard, the following required features are also enabled:

  • Virtualisierungsbasierte Sicherheit (VBS): Wird beim nächsten Neustart aktiviert.Virtualization-based Security (VBS): Turns on during the next reboot. Virtualisierungsbasierte Sicherheit verwendet Windows Hypervisor, um die Sicherheitsdienste zu unterstützen.Virtualization-based security uses the Windows Hypervisor to provide support for security services.
  • Sicherer Start mit direktem Speicherzugriff: Aktiviert VBS mit Schutzmaßnahmen wie sicherem Start und direktem Speicherzugriff (Direct Memory Access, DMA).Secure Boot with Directory Memory Access: Turns on VBS with Secure Boot and direct memory access (DMA) protections. Für die DMA-Schutzfunktionen ist Hardwaresupport erforderlich. Außerdem werden sie nur auf richtig konfigurierten Geräten aktiviert.DMA protections require hardware support, and are only enabled on correctly configured devices.

Windows Defender Security CenterWindows Defender Security Center

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • StartseiteHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation
  • HandyMobile
  • Mobile EnterpriseMobile Enterprise

Windows Defender Security Center fungiert als von den einzelnen Features separate App bzw. separater Prozess.Windows Defender Security Center operates as a separate app or process from each of the individual features. Sie zeigt Benachrichtigungen über das Info-Center an.It displays notifications through the Action Center. Sie dienst als Collector oder zentraler Ort, um den Status anzuzeigen und Konfigurationen für die verschiedenen Features durchzuführen.It acts as a collector or single place to see the status and perform some configuration for each of the features. Weitere Informationen finden Sie in den Dokumenten zu Windows Defender.Find out more in the Windows Defender docs.

Windows Defender Security Center-App und -BenachrichtigungenWindows Defender Security Center app and notifications

Blockieren Sie den Benutzerzugriff auf die verschiedenen Bereiche der Windows Defender Security Center-App.Block end-user access to the various areas of the Windows Defender Security Center app. Durch das Ausblenden eines Abschnitts werden auch die zugehörigen Benachrichtigungen blockiert.Hiding a section also blocks related notifications.

  • Viren- und BedrohungsschutzVirus and threat protection
  • Geräteleistung und -integritätDevice performance and health
  • Firewall- und NetzwerkschutzFirewall and network protection
  • App- und BrowsersteuerungApp and browser control
  • FamilienoptionenFamily options
  • Benachrichtigungen aus den angezeigten Bereichen der App: Legen Sie fest, welche Benachrichtigungen dem Benutzer angezeigt werden sollen.Notifications from the displayed areas of app: Choose which notifications to display to end users. Zu den nicht kritische Benachrichtigungen gehören Zusammenfassungen der Aktivitäten von Windows Defender Antivirus, Benachrichtigungen zum Abschluss von Überprüfungen eingeschlossen.Non-critical notifications include summaries of Windows Defender Antivirus activity, including notifications when scans have completed. Alle übrigen Benachrichtigungen gelten als kritisch.All other notifications are considered critical.

IT-KontaktinformationenIT contact Information

Stellen Sie IT-Kontaktinformationen bereit, die in der Windows Defender Security Center-App und in den App-Benachrichtigungen angezeigt werden.Provide IT contact information to appear in the Windows Defender Security Center app and the app notifications. Sie können In Apps und Benachrichtigungen anzeigen, Nur in App anzeigen, Nur in Benachrichtigungen anzeigen oder Don‘t display (Nicht anzeigen) auswählen.You can choose to Display in app and in notifications, Display only in app, Display only in notifications, or Don't display. Geben Sie den Namen der IT-Organisation und mindestens eine der folgenden Kontaktoptionen ein:Enter the IT organization name, and at least one of the following contact options:

  • Telefonnummer oder Skype-ID der IT-AbteilungIT department phone number or Skype ID
  • E-Mail-Adresse der IT-AbteilungIT department email address
  • URL der IT-SupportwebsiteIT support website URL

Sicherheitsoptionen für lokale GeräteLocal device security options

Dieses Feature wird auf folgenden Windows 10-Editionen unterstützt:Supported on the following Windows 10 editions:

  • StartseiteHome
  • ProfessionalProfessional
  • BusinessBusiness
  • EnterpriseEnterprise
  • EducationEducation

Konfigurieren Sie mit diesen Optionen die lokalen Sicherheitseinstellungen auf Windows 10-Geräten.Use these options to configure the local security settings on Windows 10 devices.

KontenAccounts

  • Neue Microsoft-Konten hinzufügen: Legen Sie diese Einstellung auf Blockieren fest, damit Benutzer diesem Computer keine neuen Microsoft-Konten hinzufügen können.Add new Microsoft accounts: Set to Block to prevent users from adding new Microsoft accounts to the device. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer Microsoft-Konten auf dem Gerät verwenden.When set to Not configured (default), users can use Microsoft accounts on the device.
  • Remoteanmeldung ohne Kennwort: Legen Sie diese Einstellung auf Aktivieren fest, damit lokale Konten ohne Kennwörter über die Tastatur des Geräts angemeldet werden können.Remote log on without password: Enable allows local accounts with blank passwords to sign in using the device's keyboard. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können lokale Konten ohne Kennwort sich auch von anderen Standorten als dem physischen Gerät aus anmelden.Not configured (default) allows local accounts with blank passwords to sign in from locations other than the physical device.

AdministratorAdmin

  • Lokales Administratorkonto: Legen Sie diese Einstellung auf Aktiviert fest, um das lokale Administratorkonto zuzulassen.Local admin account: Set to Enabled to allow the local administrator account. Legen Sie die Standardeinstellung Nicht konfiguriert fest, um das lokale Administratorkonto zu deaktivieren.Set to Not configured (default) to disable the local administrator account.
  • Administratorkonto umbenennen: Definieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Administratorkonto zugeordnet werden soll.Rename admin account: Define a different account name to be associated with the security identifier (SID) for the Administrator account.

GastGuest

  • Gastkonto: Legen Sie diese Einstellung auf Aktiviert fest, um das lokale Gastkonto zuzulassen.Guest account: Set to Enabled to allow the local guest account. Legen Sie die Standardeinstellung Nicht konfiguriert fest, um das lokale Gastkonto zu deaktivieren.Set to Not configured (default) to disable the local guest account.
  • Gastkonto umbenennen: Definieren Sie einen anderen Kontonamen, der der Sicherheits-ID (SID) für das Gastkonto zugeordnet werden soll.Rename guest account: Define a different account name to be associated with the security identifier (SID) for the Guest account.

GeräteDevices

  • Gerät ohne Anmeldung abdocken: Legen Sie diese Einstellung auf Blockieren fest, damit Benutzer auf die physische Schaltfläche zum Auswerfen eines angedockten portablen Geräts drücken können, um dieses abzudocken.Undock device without logon: Set to Block so users can press a docked portable device's physical eject button to safely undock the device. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, muss der Benutzer sich beim Gerät anmelden und die Berechtigung dafür erhalten, das Gerät abzudocken.Not configured (default) requires the user to sign in to the device, and receive permission to undock the device.
  • Druckertreiber für freigegebene Drucker installieren: Wenn diese Einstellung auf Aktiviert festgelegt ist, können alle Benutzer einen Druckertreiber installieren, wenn sie eine Verbindung mit einem freigegebenen Drucker herstellen.Install printer drivers for shared printers: When Enabled, any user can install a printer driver as part of connecting to a shared printer. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können nur Administratoren einen Druckertreiber installieren, wenn sie eine Verbindung mit einem freigegebenen Drucker herstellen.When Not configured (default), only Administrators can install a printer driver as part of connecting to a shared printer.
  • CD-ROM-Zugriff auf lokal aktiven Benutzer beschränken: Wenn diese Einstellung auf Aktiviert festgelegt ist, kann nur der interaktiv angemeldete Benutzer CD-ROM-Medien verwenden.Restrict CD-ROM access to local active user: When Enabled, only the interactively logged-on user can use the CD-ROM media. Wenn diese Richtlinie aktiviert ist und kein Benutzer interaktiv angemeldet ist, wird über das Netzwerk auf die CD-ROM zugegriffen.If this policy is enabled, and no one is logged on interactively, then the CD-ROM is accessed over the network. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, kann jeder Benutzer auf die CD-ROM zugreifen.When Not configured (default), anyone has access to the CD-ROM.
  • Wechselmedien formatieren und auswerfen: Definieren Sie, wer NTFS-Wechselmedien formatieren und auswerfen darf:Format and eject removable media: Define who is allowed to format and eject removable NTFS media:
    • Nicht konfiguriertNot configured
    • AdministratorenAdministrators
    • Administratoren und PoweruserAdministrators and Power Users
    • Administratoren und interaktive BenutzerAdministrators and Interactive Users

Interaktive AnmeldungInteractive Logon

  • Inaktivität in Minuten für Anmeldebildschirm bis zur Aktivierung des Bildschirmschoners: Geben Sie die maximale Anzahl von Minuten der Inaktivität auf dem Anmeldebildschirm des interaktiven Desktops ein, bis der Bildschirmschoner ausgeführt wird.Minutes of lock screen inactivity until screen saver activates: Enter the maximum minutes of inactivity on the interactive desktop’s login screen until the screen saver runs.

  • STRG+ALT+ENTF zur Anmeldung voraussetzen: Legen Sie diese Einstellung auf Aktivieren fest, damit Benutzer STRG+ALT+ENTF drücken müssen, um sich anzumelden.Require CTRL+ALT+DEL to log on: Set to Enable so pressing CTRL+ALT+DEL isn't required for users to sign in. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, müssen Benutzer nicht STRG+ALT+ENTF drücken, bevor sie sich bei Windows anmelden.Set to Not configured (default) to require users to press CTRL+ALT+DEL before logging on to Windows.

  • Verhalten beim Entfernen von Smartcards: Bestimmt, was geschieht, wenn die Smartcard für einen angemeldeten Benutzer aus den Smartkartenleser entfernt wird.Smart card removal behavior: Determines what happens when the smart card for a logged-on user is removed from the smart card reader. Folgende Optionen sind verfügbar:Your options:

    • Arbeitsstation sperren: Die Arbeitsstation wird gesperrt, wenn die Smartcard entfernt wird.Lock Workstation: The workstation is locked when the smart card is removed. Diese Option ermöglicht es dem Benutzer, den Bereich zu verlassen, die Smartcard mitzunehmen und dennoch eine geschützte Sitzung beizubehalten.This option allows users to leave the area, take their smart card with them, and still maintain a protected session.

    • Abmeldung erzwingen: Der Benutzer wird automatisch abgemeldet, wenn die Smartcard entfernt wird.Force Logoff: The user is automatically logged off when the smart card is removed.

    • Disconnect if a Remote Desktop Services session (Verbindung bei einer Remotedesktopdienste-Sitzung trennen): Das Entfernen der Smartcard beendet die Sitzung, ohne den Benutzer abzumelden.Disconnect if a Remote Desktop Services session: Removal of the smart card disconnects the session without logging off the user. Diese Option ermöglicht es dem Benutzer, die Smartcard einzulegen und die Sitzung später oder auf einem anderen Computer mit Smartcard-Leser fortzusetzen, ohne sich erneut anmelden zu müssen.This option allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to sign in again. Wenn die Sitzung lokal stattfindet, funktioniert diese Richtlinie genau wie „Arbeitsstation sperren“.If the session is local, this policy functions identically to Lock Workstation.

      LocalPoliciesSecurity-Optionen enthalten weitere Details.LocalPoliciesSecurity options provides more details.

AnzeigeDisplay

  • Benutzerinformationen auf Sperrbildschirm: Konfigurieren Sie die Benutzerinformationen, die angezeigt werden, wenn die Sitzung gesperrt ist.User information on lock screen: Configure the user information that is displayed when the session is locked. Wenn nicht konfiguriert, werden Anzeigename des Benutzers, Domäne und Benutzername angezeigt.If not configured, user display name, domain, and username are shown.
    • Nicht konfiguriertNot configured
    • Anzeigename des Benutzers, Domäne und BenutzernameUser display name, domain, and user name
    • Nur Anzeigename des BenutzersUser display name only
    • Benutzerinformationen nicht anzeigenDo not display user information
  • Zuletzt angemeldeten Benutzer ausblenden: Legen Sie diese Einstellung auf Aktiviert fest, um den Benutzernamen auszublenden.Hide last signed-in user: Enable hides the username. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der Benutzername angezeigt.Not configured (default) shows the username.
  • Benutzernamen bei der Anmeldung ausblenden: Legen Sie diese Einstellung auf Aktiviert fest, um den Benutzernamen auszublenden.Hide username at sign-in: Enable hides the username. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der Benutzername angezeigt.Not configured (default) shows the username.
  • Anmeldemeldungstitel: Legen Sie den Meldungstitel für Benutzer fest, die sich anmelden.Logon message title: Set the message title for users signing in.
  • Anmeldemeldungstext: Legen Sie den Meldungstext für Benutzer fest, die sich anmelden.Logon message text: Set the message text for users signing in.

Netzwerkzugriff und SicherheitNetwork access and security

  • Anonymer Zugriff auf Named Pipes und Freigaben: Nicht konfiguriert (Standard) Schränkt den anonymen Zugriff auf Freigabe- und Named Pipe-Einstellungen ein.Anonymous access to Named Pipes and Shares: Not configured (default) restricts anonymous access to share and Named Pipe settings. Gilt für die Einstellungen, auf die anonym zugegriffen werden kann.Applies to the settings that can be accessed anonymously.
  • Anonyme Auflistung von SAM-Konten: Lässt zu, dass anonyme Benutzer die SAM-Konten auflisten.Anonymous enumeration of SAM accounts: Allow anonymous users to enumerate the SAM accounts. Windows ermöglicht anonymen Benutzern, die Namen von Domänenkonten und Netzwerkfreigaben aufzuzählen.Windows allows anonymous users to enumerate the names of domain accounts and network shares.
  • Anonyme Auflistung von SAM-Konten und -Freigaben: Nicht konfiguriert (Standard) Dies bedeutet, dass anonyme Benutzer die Namen der Domänenkonten und Netzwerkfreigaben auflisten können.Anonymous enumeration of SAM accounts and shares: Not configured (default) means anonymous users can enumerate the names of domain accounts and network shares. Wenn Sie die anonyme Auflistung von SAM-Konten und Freigaben verhindern möchten, legen Sie Blockieren fest.To prevent anonymous enumeration of SAM accounts and shares, set to Block.
  • LAN-Manager-Hashwert bei Kennwortänderung speichern: Wählen Sie, ob bei der nächsten Kennwortänderung zugelassen wird, dass der LAN-Manager-Hashwert (LM) den Hashwert für das neue Kennwort speichert.LAN Manager hash value stored on password change: At the next password change, choose to Allow the LAN Manager (LM) to store the hash value for the new password. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der Hashwert nicht gespeichert.When set to Not configured (default), the hash value isn't stored.
  • PKU2U-Authentifizierungsanforderungen: Blockiert an das Gerät gerichtete PKU2U-Authentifizierungsanforderungen, damit Onlineidentitäten verwendet werden.PKU2U authentication requests: Block PKU2U authentication requests to the device to use online identities. Durch Nicht konfiguriert (Standard) werden diese Anforderungen zugelassen.Not configured (default) allows these requests.
  • RPC-Remoteverbindungen mit SAM einschränken: Lassen Sie die Security Descriptor Definition Language-Standardzeichenfolge zu, um Benutzern und Gruppen Remoteaufrufe an SAM zu gewähren oder zu verweigern.Restrict remote RPC connections to SAM: Allow the default Security Descriptor Definition Language string to deny users and groups to make remote calls to the SAM. Nicht konfiguriert (Standard) Die Security Descriptor Definition Language-Standardzeichenfolge lässt zu, dass Benutzer und Gruppen Remoteaufrufe an SAM durchführen.Not configured (default) the default Security Descriptor Definition Language string to allow users and groups to make remote calls to the SAM.
    • SicherheitsbeschreibungSecurity descriptor

Wiederherstellungskonsole und HerunterfahrenRecovery console and shutdown

  • Virtuellen Arbeitsspeicher beim Herunterfahren löschen: Legen Sie diese Einstellung auf Aktivieren fest, damit die Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Geräts gelöscht wird.Clear virtual memory pagefile when shutting down: Set to Enable to clear the virtual memory pagefile when the device is powered down. Wenn Nicht konfiguriert festgelegt ist, wird der virtuelle Arbeitsspeicher nicht gelöscht.Not configured doesn't clear the virtual memory.
  • Herunterfahren ohne Anmeldung: Legen Sie diese Einstellung auf Blockieren fest, um die Option zum Herunterfahren auf dem Windows-Anmeldebildschirm auszublenden.Shut down without log on: Block hides the shutdown option on the Windows logon screen. Benutzer müssen sich beim Gerät anmelden und es dann herunterfahren.Users must sign in to the device, and then shut down. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Benutzer das Gerät über den Windows-Anmeldebildschirm herunterfahren.Not configured (default) allows users to shut down the device from the Windows logon screen.

BenutzerkontensteuerungUser account control

  • UIA-Integrität ohne sicheren Speicherort: Legen Sie diese Einstellung auf Aktivieren fest, um Apps, die sich an sicheren Speicherorten im Dateisystem befinden, nur mit UIAccess-Integrität auszuführen.UIA integrity without secure location: When set to Enable, apps in a secure location in the file system run only with UIAccess integrity. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, können Apps mit UIAccess-Integrität ausgeführt werden, auch wenn sie sich nicht an einem sicheren Ort im Dateisystem befinden.Not configured (default) enables apps to run with UIAccess integrity, even if the apps aren't in a secure location in the file system.
  • Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Wenn diese Einstellung auf Blockieren festgelegt ist, werden Schreibfehler der Anwendung zur Laufzeit an definierte Benutzerstandorte für das Dateisystem und die Registrierung umgeleitet.Virtualize file and registry write failures to per-user locations: When set to Block, application write failures are redirected at run time to defined user locations for the file system and registry. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, schlagen Anwendungen fehl, die Daten an geschützte Speicherorte schreiben.When set to Not configured (default), applications that write data to protected locations fail.
  • Rechte nur für ausführbare Dateien erhöhen, die signiert und validiert wurden: Legen Sie diese Einstellung auf Aktiviert fest, um die Überprüfung des PKI-Zertifizierungspfads für eine ausführbare Datei zu erzwingen, bevor sie ausgeführt werden kann.Only elevate executable files that are signed and validated: Set to Enabled to enforce the PKI certification path validation for an executable file before it can run. Legen Sie die Standardeinstellung Nicht konfiguriert fest, um die Überprüfung des PKI-Zertifizierungspfads nicht zu erzwingen, bevor eine ausführbare Datei ausgeführt werden kann.Set to Not configured (default) to not enforce PKI certification path validation before an executable file can run.

Einstellungen des Verhaltens der UIA-Eingabeaufforderung für erhöhte RechteUIA elevation prompt behavior settings

  • Eingabeaufforderung für erhöhte Rechte für Administratoren: Definieren Sie das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus:Elevation prompt for admins: Define the behavior of the elevation prompt for admins in Admin Approval Mode:
    • Rechte ohne Eingabeaufforderung erhöhenElevate without prompting
    • Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren DesktopPrompt for credentials on the secure desktop
    • Eingabeaufforderung zur Zustimmung auf dem sicheren DesktopPrompt for consent on the secure desktop
    • Eingabeaufforderung zu AnmeldeinformationenPrompt for credentials
    • Eingabeaufforderung zur ZustimmungPrompt for consent
    • Nicht konfiguriert: Eingabeaufforderung zur Zustimmung für Nicht-Windows-BinärdateienNot configured: Prompt for consent for non-Windows binaries
  • Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Definieren Sie das Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer:Elevation prompt for standard users: Define the behavior of the elevation prompt for standard users:
    • Anforderungen für erhöhte Rechte automatisch ablehnenAutomatically deny elevation requests
    • Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren DesktopPrompt for credentials on the secure desktop
    • Nicht konfiguriert: Eingabeaufforderung für AnmeldeinformationenNot configured: Prompt for credentials
  • Eingabeaufforderung für erhöhte Rechte an interaktiven Desktop des Benutzers umleiten: Legen Sie diese Einstellung auf Aktivieren fest, damit alle Anforderungen für erhöhte Rechte nicht an den sicheren Desktop, sondern an den interaktiven Benutzerdesktop umgeleitet.Route elevation prompts to user’s interactive desktop: Enable so all elevation requests go to the interactive user's desktop, not the secure desktop. Alle Richtlinieneinstellungen für das Verhalten der Eingabeaufforderung für Administratoren und Standardbenutzer werden verwendet.Any prompt behavior policy settings for administrators and standard users are used. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird erzwungen, dass alle Anforderungen für erhöhte Rechte an den sicheren Desktop umgeleitet werden, unabhängig von den Richtlinieneinstellungen für das Verhalten der Eingabeaufforderung für Administratoren und Standardbenutzer.Not configured (default) forces all elevation requests go to the secure desktop, regardless of any prompt behavior policy settings for administrators and standard users.
  • Eingabeaufforderung für erhöhte Rechte bei App-Installationen: Wenn diese Einstellung auf Blockieren festgelegt ist, werden Anwendungsinstallationspakete nicht erkannt, und es wird keine Eingabeaufforderung für erhöhte Rechte angezeigt.Elevated prompt for app installations: When set to Block, application installation packages aren't detected or prompted for elevation. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der Benutzer aufgefordert, den Benutzernamen und das Kennwort eines Administrators einzugeben, wenn ein Anwendungsinstallationspaket erhöhte Rechte erfordert.When set to Not configured (default), the user is prompted for an administrative user name and password when an application installation package requires elevated privileges.
  • UIA-Eingabeaufforderung für erhöhte Rechte ohne sicheren Desktop: Legen Sie diese Einstellung auf Aktivieren fest, damit UIAccess-Apps eine Eingabeaufforderung für erhöhte Rechte anzeigen können, ohne den sicheren Desktop zu verwenden.UIA elevation prompt without secure desktop: Enable to allow UIAccess apps to prompt for elevation, without using the secure desktop. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, verwendet die Eingabeaufforderung für erhöhte Rechte einen sicheren Desktop.When Not configured (default), the elevation prompts use a secure desktop.

Administratorgenehmigungsmodus-EinstellungenAdmin Approval Mode settings

  • Administratorgenehmigungsmodus für integrierten Administrator: Legen Sie die Einstellung auf Aktiviert fest, damit das integrierte Administratorkonto den Administratorgenehmigungsmodus verwenden kann.Admin approval Mode for Built-in Administrator: Enabled allows the built-in Administrator account to use Admin Approval Mode. Der Benutzer wird bei jedem Vorgang, der eine Rechteerweiterungen erfordert, zur Genehmigung aufgefordert.Any operation that requires elevation of privilege prompts the user to approve the operation. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden alle Apps mit vollständigen Administratorrechten ausgeführt.Not configured (default) runs all apps with full admin privileges.
  • Alle Administratoren im Administratorgenehmigungsmodus ausführen: Legen Sie diese Einstellung auf Blockieren fest, um den Administratorgenehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen zu deaktivieren.Run all admins in Admin Approval Mode: Set to Block to disable Admin Approval Mode and all related UAC policy settings. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird der Administratorgenehmigungsmodus aktiviert.Not configured (default) enables Admin Approval Mode.

Microsoft-NetzwerkclientMicrosoft Network Client

  • Kommunikation digital signieren (wenn Server zustimmt): Bestimmt, ob der SMB-Client die SMB-Paketsignatur aushandelt.Digitally sign communications (if server agrees): Determines if the SMB client negotiates SMB packet signing. Wenn diese Einstellung auf Nicht konfiguriert oder Aktiviert (Standardeinstellung) ist, weist der Microsoft-Netzwerkclient den Server an, die SMB-Paketsignatur beim Setup der Sitzung auszuführen.When Not configured or enabled (default), the Microsoft network client asks the server to run SMB packet signing upon session setup. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignatur ausgehandelt.If packet signing is enabled on the server, packet signing is negotiated. Wenn diese Einstellung auf Deaktivieren festgelegt ist, handelt der SMB-Client die SMB-Paketsignatur nie aus.If set to Disable, the SMB client never negotiates SMB packet signing.
  • Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden: Wenn diese Einstellung auf Aktivieren festgelegt ist, kann der SMB-Redirector (Server Message Block) Klartextkennwörter an SMB-Server senden, die nicht von Microsoft stammen, und die keine Kennwortverschlüsselung während der Authentifizierung unterstützen.Send unencrypted password to third-party SMB servers: When set to Enable, the Server Message Block (SMB) redirector can send plaintext passwords to non-Microsoft SMB servers that don't support password encryption during authentication. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, werden die Kennwörter verschlüsselt.When Not configured (default), the passwords are encrypted.

Microsoft-NetzwerkserverMicrosoft Network Server

  • Kommunikation digital signieren (wenn Client zustimmt): Bestimmt, ob der SMB-Server die SMB-Paketsignatur mit Clients verhandelt, die sie anfordern.Digitally sign communications (if client agrees): Determines if the SMB server negotiates SMB packet signing with clients that request it. Wenn diese Einstellung auf Aktivieren festgelegt ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignatur wie vom Client angefordert aus.When set to Enable, the Microsoft network server negotiates SMB packet signing as requested by the client. Genau gesagt: Wenn die Paketsignatur auf dem Client aktiviert ist, wird die Paketsignatur ausgehandelt.That is, if packet signing is enabled on the client, packet signing is negotiated. Bei Nicht konfiguriert oder „Deaktiviert“ (Standard) handelt der SMB-Client die SMB-Paketsignatur nie aus.When Not configured or disabled (default), the SMB client never negotiates SMB packet signing.
  • Kommunikation digital signieren (immer): Bestimmt, ob die SMB-Serverkomponente die Paketsignatur erfordert.Digitally sign communications (always): Determines if packet signing is required by the SMB server component. Wenn diese Einstellung auf Aktivieren festgelegt ist, kommuniziert der Microsoft-Netzwerkserver nur dann mit einem Microsoft-Netzwerkclient, wenn dieser der SMB-Paketsignatur zustimmt.When set to Enable, the Microsoft network server doesn't communicate with a Microsoft network client unless that client agrees to SMB packet signing. Wenn die Einstellung Nicht konfiguriert oder Deaktiviert (Standardeinstellung) festgelegt ist, wird die SMB-Paketsignatur zwischen dem Client und dem Server ausgehandelt.When Not configured or disabled (default), SMB packet signing is negotiated between the client and server.

Nächste SchritteNext steps

Informationen zum Zuweisen dieses Profils an Gruppen finden Sie unter Zuweisen von Microsoft Intune-Geräteprofilen.To assign this profile to groups, see How to assign device profiles.