Die automatische Bildschirmsperrung von Windows-Rechnern bei Abwesenheit ist aus Sicherheitsgründen unerlässlich. Die Standardeinstellungen reichen jedoch oft nicht aus oder werden ignoriert. Die Einrichtung der Sperrung nach Inaktivität kann sich als mühsam erweisen, insbesondere in einer Domäne. Daher stellen wir Ihnen hier einen praxiserprobten Ansatz vor, der in manchen Umgebungen die Situation deutlich verbessert hat. Die Einrichtung erfolgt über Gruppenrichtlinien – egal ob Sie nur wenige Rechner oder Hunderte in einem Unternehmensnetzwerk sperren möchten. Dazu müssen Sie die Gruppenrichtlinien-Verwaltungskonsole ( gpmc.msc) verwenden. Halten Sie diese daher bereit.
So beheben oder verbessern Sie die Bildschirmsperre mithilfe von Gruppenrichtlinien in Windows
Konfigurieren der Sperrbildschirmeinstellungen in Windows mithilfe von Gruppenrichtlinien
Bei dieser Methode wird der Computer nach einer gewissen Inaktivitätszeit automatisch gesperrt – ohne dass Benutzer eine Tastenkombination anklicken oder die entsprechende Taste drücken müssen Win + L. Dies ist besonders praktisch für Remote-Desktops oder Computer, bei denen Benutzer die Sperrfunktion möglicherweise vergessen oder absichtlich deaktivieren. Durch Anpassen der Gruppenrichtlinie (GPO) weisen Sie Windows an, die Sperre automatisch zu aktivieren. Der Vorteil? Weil dadurch lokale oder benutzerspezifische Richtlinien überschrieben werden und eine durchgängige Sicherheit gewährleistet wird.
Bei der Einrichtung geht es im Wesentlichen um den Registrierungsschlüssel „ InactivityTimeoutSecs“ (unter HKLM), der die Wartezeit bis zur Sperrung steuert. Ist der Wert auf 0 gesetzt, ist die Funktion deaktiviert. Geben Sie daher unbedingt eine Zeit an. Ich verwende üblicherweise etwa 300 Sekunden (5 Minuten).Beachten Sie, dass die Computer nach Anwendung der Richtlinie neu gestartet oder zwangsweise neu gestartet werden müssen, gpupdate /forcedamit die Änderung wirksam wird.
- Öffnen Sie die Gruppenrichtlinienverwaltungskonsole (
gpmc.msc), erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) – nennen Sie es beispielsweise LockScreenPolicy – und verknüpfen Sie es mit Ihrer Domäne oder bestimmten Organisationseinheiten (OUs), die gesperrt werden müssen. - Navigieren Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
- Suchen Sie die Richtlinie „ Interaktive Anmeldung: Inaktivitätslimit des Computers“. Legen Sie die gewünschte Anzahl an Sekunden fest – beispielsweise
3005 Minuten. Diese Einstellung ändert den Registrierungswert „InactivityTimeoutSecs“. - Erzwingen Sie ein Richtlinienupdate auf den Clientcomputern über
gpupdate /forceeine Eingabeaufforderung mit Administratorrechten oder PowerShell. Anschließend sollten diese sich im Leerlauf automatisch sperren.
Hinweis: Um zu verhindern, dass bestimmte Computer gesperrt werden, können Sie eine Sicherheitsgruppe erstellen (z. B.„Sicherheitsgruppe“ NoLockComputers), die entsprechenden Geräte hinzufügen und anschließend die Gruppenrichtlinien-Sicherheitsfilterung verwenden, um die Anwendung der Gruppenrichtlinien auf diese Gruppe zu verhindern. Manchmal ist dies der einfachste Weg, kritische oder speziell für bestimmte Zwecke verwendete Computer entsperrt zu halten.
Aktivieren des passwortgeschützten Bildschirmschoners als Backup
Eine weitere Möglichkeit besteht darin, die Windows-Bildschirmschonereinstellungen zu nutzen. Aktivieren Sie diese mit Sperrbildschirm und Timeout, sodass die Sitzung eines Benutzers schnell gesichert wird, wenn dieser den Computer verlässt. Das ist besonders vorteilhaft, da diese Methode einfacher für benutzerspezifische Richtlinien oder Einstellungen geeignet ist, die in bestimmten Umgebungen flexibler gestaltet werden können. Außerdem ist sie ideal für Mobilgeräte oder Laptops, die nicht permanent mit der Domäne verbunden sind.
- In der Gruppenrichtlinienverwaltungskonsole können Sie ein Gruppenrichtlinienobjekt (GPO) erstellen oder bearbeiten, das mit der richtigen Organisationseinheit (OU) verknüpft ist.
- Unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Systemsteuerung > Personalisierung.
- Stellen Sie Folgendes ein:
- Bildschirmschoner aktivieren – einschalten.
- Schützen Sie den Bildschirmschoner mit einem Passwort – schalten Sie ihn so ein, dass er anschließend nach einem Passwort fragt.
- Bildschirmschoner-Timeout – auf 300 Sekunden einstellen (oder auf die von Ihnen bevorzugte Sperrverzögerung).Beachten Sie: Ist der Wert zu niedrig, kann dies störend wirken; ist er zu hoch, ist die Sicherheit nicht ausreichend.
- Einen bestimmten Bildschirmschoner erzwingen – wählen Sie einen Bildschirmschoner wie z. B.„Bildschirmschoner
scrnsave.scr“.Sie können dies in der Gruppenrichtlinie festlegen, sodass Benutzer ihn nicht ändern können. - Verhindern Sie das Ändern des Bildschirmschoners – sperren Sie ihn, sodass Benutzer ihn nicht deaktivieren oder einen anderen Bildschirmschoner auswählen können.
- Wenden Sie die Richtlinie an und führen Sie anschließend einen
gpupdate /forceBefehl aus, um sie sofort zu veröffentlichen.
Nach der Einrichtung wird der Benutzer beim Versuch, den Computer nach Ablauf des festgelegten Timeouts aufzuwecken, zur Eingabe seines Passworts aufgefordert. Wenn Sie mehrere Benutzergruppen verwalten und unterschiedliche Zeitvorgaben oder Regeln benötigen, können Sie auch Registrierungswerte wie „ScreenSaverIsSecure“ (auf 1 setzen), „ScreenSaveTimeout“ (auf 300 setzen) und „SCRNSAVE. EXE“ anpassen. Detaillierte Informationen zur Bearbeitung der Registrierung finden Sie in der Microsoft-Dokumentation.
Und wenn Sie sich mit Registry-Einstellungen auskennen, können Sie Richtlinien erstellen, die bestimmte Gruppen von Sperrungen ausschließen. Dies erreichen Sie durch gezielte Registry-Einstellungen auf Elementebene, sodass Produktionssysteme oder Hochverfügbarkeitssysteme ohne erneute Authentifizierung zugänglich bleiben. Windows macht es einem manchmal natürlich etwas komplizierter – rechnen Sie also mit einigen Versuchen, insbesondere bei der Kombination von Gruppenrichtlinienobjekten (GPOs) und Registry-Anpassungen.
Letztendlich ist das Sperren der Sitzung im Leerlauf – ob über domänenweite Gruppenrichtlinien oder benutzerspezifische Bildschirmschoner – nicht nur ein Statussymbol, sondern ein echter Sicherheitsgewinn. Zugegeben, manche finden es vielleicht lästig, aber es ist immer noch besser, als alles offen zu lassen, oder?
Zusammenfassung
- Verwenden Sie GPO, um „Interaktive Anmeldung: Inaktivitätslimit des Computers“ für die automatische Sperrung festzulegen.
- Konfigurieren Sie den Bildschirmschoner mit Passwortschutz und Timeout für Benutzerrichtlinien.
- Sperren bestimmter Rechner mithilfe von Sicherheitsgruppen und Sicherheitsfiltern verhindern.
- Führen Sie
gpupdate /forcenach den Änderungen einen Neustart durch, damit diese wirksam werden. - Nutzen Sie Registry-Anpassungen für erweiterte gruppenspezifische Sperrregeln.
Zusammenfassung
Dieser Ansatz deckt sowohl domänenweite als auch benutzerspezifische Sperren ab. Egal, ob Sie die Sicherheit auf Hunderten von Geräten erhöhen oder nur für bestimmte Gruppen optimieren möchten – es ist machbar. Manchmal braucht es ein paar Versuche, bis alles einwandfrei funktioniert – Windows kann bei Richtlinienaktualisierungen und Registry-Änderungen etwas eigenwillig sein. Aber einmal eingerichtet, sollten sich die meisten Rechner nach der konfigurierten Inaktivitätszeit ordnungsgemäß sperren. Hoffentlich erspart Ihnen das die ein oder andere Mühe bei der Durchsetzung von Sicherheitsrichtlinien.