10 justeringer i Gruppepolitik til Windows 11

Windows 11 er smukkere, hurtigere - og mere snakkesalig - end nogen tidligere Windows-version

Microsofts standardindstillinger strømmer med telemetri, reklamer og “smarte” forslag, og samtidig vokser kravene til sikkerhed og compliance i både private og offentlige organisationer. Heldigvis har du et schweizerknivsværktøj lige ved hånden: Gruppepolitik.

I denne artikel dykker vi ned i 10 målrettede justeringer, som kan forvandle en frisk Windows 11-installation til et stramt, sikkert og brugervenligt miljø - uden behov for tredjepartssoftware. Vi viser dig, hvordan du:

  • Skruer markant ned for dataindsamling og uønskede reklamer
  • Tager fuld kontrol over Windows Update og BitLocker
  • Hæver barren for Microsoft Defender, Credential Guard og USB-sikkerhed
  • Designer et ensartet skrivebord med fastlåst Startmenu og nul Widgets

Uanset om du er IT-administrator i en virksomhed eller power user derhjemme, får du konkrete stier, politiknavne og best practices, så du kan kopiere tiltagene direkte ind i din egen GPO. Klar til at strippe overflødigt fyld væk og hærdningen op? Lad os dykke ned i Gruppepolitikkens gemte guld.

10 justeringer i Gruppepolitik til Windows 11

Stram diagnostik og telemetri

Windows 11 indsamler som udgangspunkt en betydelig mængde diagnostiske data, der bruges til at forbedre produktet, men som også kan give compliance- eller privatlivsudfordringer i virksomheden. Heldigvis kan du via Gruppepolitik drastisk reducere omfanget af den telemetry, der forlader maskinen.

Sådan gør du

  1. Gå til GPO-stien:
    Computer Configuration → Administrative Templates → Windows Components → Data Collection and Preview Builds
  2. Åbn politikken “Allow Diagnostic Data” og vælg en af følgende indstillinger:
    • Disabled (Off): Blokerer al diagnostik ud over de absolut nødvendige service-signaleringer.
      Kræver Windows 11 Enterprise eller Education.
    • Enabled → Diagnostic data off (0) - eller “Required” (1) på Pro-udgaver.
      Det laveste niveau sender kun basisoplysninger om enhed, indstillinger og kapacitet.
  3. Deaktiver personaliserede oplevelser:
    Åbn politikken “Do not use diagnostic data for tailored experiences” i samme mappe og sæt den til Enabled. Derved forhindrer du Microsoft i at bruge eksisterende telemetridata til målrettede reklamer og tip.

Hvad sker der under motorhjelmen?

Indstilling Registry-værdi Værdi Effekt
Allow Diagnostic Data = Disabled HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry 0 Sender ingen valgfri diagnostik; kun “security” kanal holdes åben.
Tailored experiences = Enabled (block) HKLM\SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableTailoredExperiencesWithDiagnosticData 1 Slår personaliserede reklamer, forslag og tips fra.

Tip til test og validering

  • Brug dsregcmd /status og Get-DiagnosticData PowerShell-cmdlet’er til at kontrollere, hvilket telemetriniveau der reelt er aktivt.
  • I Settings → Privacy & security → Diagnostics & feedback bør slideren til “Send optional diagnostic data” være utilgængelig (grå) efter GPO-en er anvendt.
  • Hold øje med eventlog Microsoft-Windows-DiagnosticDataCollector for fejl, hvis du vælger helt at blokere telemetri.

Husk: Nogle Windows-funktioner (fx Windows Insider Program, visse Microsoft 365 Features on Demand og Mixed Reality) kræver fuld diagnostik. Evaluér derfor forretningsbehovene, før du sætter niveauet helt i bund.

Fjern reklamer, tips og Windows Spotlight

Windows 11 er pakket med “oplevelser”, der i praksis viser reklame, forslag og dynamiske baggrunde, som mange brugere - og ikke mindst administratorer - helst er foruden. Med tre enkle gruppepolitikker kan du fjerne det meste af støjen:

  1. Slå Microsoft Consumer Features fra
    Sti: Computer Configuration → Administrative Templates → Windows Components → Cloud Content → Turn off Microsoft consumer features
    Anbefalet indstilling: Enabled

    Når politikken er aktiveret, forhindrer Windows, at apps som Candy Crush, Netflix-genveje og andre “forbrugeroplevelser” automatisk installeres eller foreslås via Microsoft Store.

  2. Deaktiver Windows Spotlight
    Sti: Computer Configuration → Administrative Templates → Windows Components → Cloud Content
    Politiknavn Effekt Anbefalet
    Turn off all Windows Spotlight features Slukker alle Spotlight-elementer (låseskærm, baggrunde, forslag i Start m.m.) Enabled
    Do not use diagnostic data for tailored experiences Stopper personaliserede reklamer baseret på telemetri Enabled
    Turn off Spotlight collection on desktop background Beholder statisk baggrund i stedet for roterende billeder Enabled

    Det er oftest nok at slå Turn off all Windows Spotlight features til; de øvrige politikker giver dog finjustering, hvis du kun vil slukke enkelte dele.

  3. Undertryk Windows-tips til brugeren
    Sti: User Configuration → Administrative Templates → Windows Components → Cloud Content → Do not show Windows tips
    Anbefalet indstilling: Enabled

    Skjuler pop-ups som “Få mere ud af Windows” og andre anvisninger, der ellers dukker op i tide og utide.

Når de tre politikker er sat til Enabled og deployeret, får brugerne:

  • Et renere skrivebord og låseskærm uden reklamebaserede baggrunde
  • Ingen uønskede pre-installerede apps eller forslag
  • Færre forstyrrelser fra kontekstuelle tips og notifikationer

Tip: Kører du Intune eller et andet MDM-system, kan de samme indstillinger pushes via CSP’er (Experience/AllowWindowsConsumerFeatures, ContentDeliveryManager osv.), så både domæne- og hjemmearbejds-enheder er dækket.

Kontrollér Windows Update med deadlines og udskydelser

Et robust og forudsigeligt patch-regime starter med, at du tager fuld kontrol over Windows Update i Gruppepolitik. Kombinationen af de klassiske “Configure Automatic Updates”-indstillinger og de nyere Windows Update for Business-politikker (WUFB) giver dig de nødvendige knapper til både at bestemme hvornår opdateringer hentes, og hvor længe brugerne kan udskyde genstart.

1. Start med “configure automatic updates”

  1. Gå til
    Computer Configuration → Administrative Templates → Windows Components → Windows Update.
  2. Åbn Configure Automatic Updates og sæt den til Enabled.
    • Option 4 - Auto download and schedule the install anbefales i styrede miljøer, da du selv fastlægger installations­vinduet.
    • Angiv typisk et tidsrum uden for kontortid (fx hver tirsdag kl. 03:00) for at minimere forstyrrelser.
  3. Aktivér eventuelt No auto-restart with logged on users for at forhindre uventede genstarter midt i arbejdsdagen.

2. Brug windows update for business til udskydelser

WUFB-politikkerne giver dig granular styring af deferals og deadlines - uden behov for en lokal WSUS.

Politik Anbefalet værdi Effekt
Select when Preview Builds and Feature Updates are received Semi-Annual Channel
(Current Branch for Business)
+ 7-30 dages udskydelse		 Giver it-afdelingen tid til test før større versions­spring udrulles bredt.
Select when Quality Updates are received 0-7 dages udskydelse Sikrer hurtig lukning af sikkerheds­huller, men stadig et kort evaluerings­vindue.
Specify deadlines for automatic updates and restarts 7 dage for kvalitets­opdateringer
14 dage for funktions­opdateringer
Grace period: 2 dage		 Sætter hård tidsfrist for installation og planlagt genstart efter udskydelsen udløber.

Stien til alle tre er
Computer Configuration → Administrative Templates → Windows Components → Windows Update → Windows Update for Business.

3. Yderligere finjustering

  • Automatic Update behavior for Metered Connections: Deaktiver hvis organisationen har 4G/LTE-enheder på dyre data­abonnementer.
  • Manage end user experience: Sæt Display options for update notifications til Turn off all notifications for at undgå forvirrende pop-ups - administratoren styrer tidsplanen.
  • Do not include drivers with Windows Updates: Overvej at aktivere, hvis I bruger SCCM/Intune til certificerede driver­pakker.

4. Best practice-tips

  1. Sæt udskydelser lavt nok til, at kritiske patches stadig når frem hurtigt - men højt nok til intern validering.
  2. Dokumentér dine deadlines internt, så helpdesk kender cut-off-datoer og kan agere på udeblivne genstarter.
  3. Overvåg compliance med f.eks. Update Compliance (Azure Log Analytics) eller tredjepartsværktøjer.
  4. Test policies i en pilot-OU før bred udrulning, så utilsigtede konse­kvenser fanges tidligt.

Med disse justeringer sikrer du, at Windows 11-enheder holder sig opdaterede, men på dine betingelser - ikke Microsofts.

Aktivér SmartScreen på tværs af system og browser

Windows Defender SmartScreen er din første forsvarslinje mod zero-day malware, social engineering og andre ondsindede filer, som brugerne utilsigtet kan hente eller køre. Ved at gennemtvinge funktionen både i selve Windows 11 og i Microsoft Edge får du et konsekvent, systemdækkende lag af beskyttelse - og vigtigst: Brugerne kan ikke bare klikke sig uden om advarslerne.

1. Slå smartscreen til i file explorer

  1. Åbn Group Policy Management Console (GPMC.msc) og opret/redigér det GPO, der skal gælde for dine Windows 11-enheder.
  2. Gå til:
    Computer Configuration ► Administrative Templates ► Windows Components ► File Explorer
  3. Sæt følgende politikker til Enabled:
    • Configure Windows Defender SmartScreen - aktiverer SmartScreen-kontrol i Stifinder.
    • Prevent users from bypassing Windows Defender SmartScreen prompts for files - fjerner “Kør alligevel”-knappen.
  4. (Valgfrit) Deaktiver Unchecked file types are treated as unsafe hvis du vil være ekstra restriktiv over for ukendte filtyper.

2. Tving smartscreen i microsoft edge

  1. I samme GPO navigér til:
    Computer Configuration ► Administrative Templates ► Microsoft Edge ► SmartScreen-indstillinger
  2. Aktivér mindst disse to politikker:
    • Configure Microsoft Defender SmartScreen - aktiverer beskyttelsen i Edge.
    • Prevent bypassing Microsoft Defender SmartScreen prompts for sites or downloads - fjerner muligheden for at omgå advarsler.
  3. (Anbefalet) Sæt Enable Microsoft Defender SmartScreen for Microsoft Edge (obsolete) til Not Configured for at undgå konflikter med den nyere politik ovenfor.

3. Sådan ved du, at det virker

Komponent Kontrolpunkt Forventet værdi
File Explorer Registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SmartScreenEnabled 		RequireAdmin
Microsoft Edge edge://policy  ⇒  SmartScreenEnabled = true Viser “OK” under Status
Event Log Log: Applications and Services Logs ► Microsoft ► Windows ► SmartScreen Event ID 150 (block) ved test

4. Tips til udrulning

  • Start i audit-mode: Hvis du er usikker på, hvor mange filer der rammes, kan du midlertidigt sætte “Prevent bypass”-politikkerne til Enabled (Audit) i Intune/MDM, hvorefter hændelser blot logges.
  • Anvend WMI-filter: Udrul kun til Windows 10/11 ved at filtrere på SELECT * FROM Win32_OperatingSystem WHERE Version >= "10.0".
  • Understøt Edge-politikker i Intune: Brug indstillingskataloget i stedet for ADMX-import; søg efter “SmartScreen” og vælg de samme indstillinger.

Med disse få politikker lagt på plads har du hævet sikkerhedsniveauet markant: Ukendte eller farlige filer stoppes, brugerne kan ikke omgå beskyttelsen, og administratorer kan dokumentere effektiviteten via hændelseslogge og compliance-rapporter.

Skærp Microsoft Defender: PUA, cloudbeskyttelse og ASR

Windows 11 leveres med et robust forsvar i form af Microsoft Defender Antivirus, men ud-af-kassen er flere af de skarpeste funktioner sat til Not configured. Med et par målrettede gruppepolitikker kan du løfte sikkerhedsniveauet markant - uden tredjeparts­software.

1. Slå pua-beskyttelse til

  1. Gå til Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > PUA protection.
  2. Vælg Enabled og sæt indstillingen til Block (Audit kan bruges som blid start).
  3. PUA (Potentially Unwanted Applications) dækker toolbars, cryptominers, bundlet adware m.m. - en lavthængende frugt, der ofte overses.

2. Aktivér cloud-delivered protection & automatisk sample-submission

  1. Samme sti som ovenfor > Turn off real-time protection, Send file samples og Join Microsoft MAPS.
  2. Sørg for, at:
    • Cloud-delivered protection er Enabled.
    • Automatic sample submission sættes til Send safe samples automatically.
    • Organisationen er tilmeldt MAPS (Microsoft Active Protection Service) i mindst Basic-niveau.
  3. Cloudsignaturer giver hurtigere reaktion på zero-day trusler og anbefales selv i offline-tunge miljøer via Connected Cache.

3. Hærd med network protection

  1. Åbn Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Network Protection.
  2. Vælg Enabled og indstil til Block (Audit kan vælges indledningsvis).
  3. Funktionen omdirigerer ondsindet HTTP/HTTPS-trafik til Defender SmartScreen og kræver Windows 10/11 Enterprise/Education eller Microsoft 365 E5 licens.

4. Implementér attack surface reduction (asr)

ASR blokerer udnyttelse af Office, JavaScript, scriptfortolkere m.m. Konfigureres i Computer Configuration > Administrative Templates > Windows Components > Windows Defender Exploit Guard > Attack Surface Reduction.

Anbefalede ASR-regler (start evt. i Audit)
Regel GUID Tilstand
Bloker Office fra at starte børnescript eller makroer {D4F940AB-401B-4EFC-AADC-AD5F3C50688A} Block / Audit
Bloker udnyttelse af Office til at oprette børneprocesser {75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84} Block / Audit
Bloker anmærkede (obfuscated) scripts {5BEB7EFE-FD9A-4556-801D-275E5FFC04CC} Block / Audit
Bloker credential stealing via LSASS {9E6C6810-0F6B-4F4B-BE9B-4A3600A01BE5} Block / Audit

Anvend Audit i 1-2 uger og brug Defender-rapportering eller Get-MpThreatDetection til at identificere legitime processer, før du skifter til Block.

5. Hurtig kontrol via powershell

# Slå PUA-beskyttelse tilSet-MpPreference -PUAProtection 1 # 0=Off, 1=Block, 2=Audit# Aktivér cloudbaseret beskyttelseSet-MpPreference -MAPSReporting Advanced # Basic/AdvancedSet-MpPreference -SubmitSamplesConsent 1 # 1=SendSafeSamples# NetværksbeskyttelseSet-MpPreference -EnableNetworkProtection EnabledAudit# Eller: Enabled/Disabled# ASR - blokér Office child processAdd-MpPreference -AttackSurfaceReductionRules_Ids ` D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions 1# 1=Block, 2=Audit, 0=Disable

Tips & faldgruber

  • Hold øje med eventlog Microsoft-Windows-Windows Defender/Operational for at finjustere regler.
  • PUA/ASR-blokeringer kan give “false positives” ved ældre line-of-business-apps - derfor audit først.
  • Network Protection kan konflikte med enkelte proxy-løsninger; whitelist organisationens domæner hvis nødvendigt.
  • Sørg for at Endpoint-sensorer (f.eks. Microsoft Defender for Endpoint) er opdateret, så hændelser løftes til SIEM.

Med disse fire justeringer får du et forsvar, der automatisk stopper det meste spamware, phishing og script-baseret angreb, før brugeren når at klikke. Kombinér med de øvrige gruppepolitik-tips i artiklen for et holistisk sikkerheds-løft af jeres Windows 11-miljø.

Gennemtving stærk BitLocker-konfiguration

BitLocker er en af de mest effektive og mindst forstyrrende måder at beskytte data på Windows-enheder, men kun når den er konfigureret korrekt. Med et par målrettede Gruppepolitik-indstillinger kan du hæve sikkerhedsniveauet markant og samtidig automatisere udrulningen på tværs af hele organisationen.

  1. Kræv TPM + PIN ved opstart
    Find politikken Require additional authentication at startup under:
    Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
    Sæt den til Enabled, vælg Require startup PIN with TPM og markér boksen Allow TPM for at sikre kompatibilitet på ældre enheder. Kombinationen af TPM og en brugerdefineret PIN beskytter mod såvel offline-angreb som tyveri af selve TPM-modulet.
  2. Brug stærkere kryptering: XTS-AES 256
    Åbn politikken Choose drive encryption method and cipher strength under både Operating System Drives og Fixed Data Drives.
    Vælg Enabled, sæt Encryption method til XTS-AES 256-bit og bekræft. XTS-tilstanden giver bedre modstandsdygtighed mod bit-flipping, mens 256-bit-nøglen fremtidssikrer mod stigende angrebsstyrke. Vær opmærksom på, at ældre enheder uden hardwareacceleration kan opleve et mindre ydelseshit - test derfor performance før bred udrulning.
  3. Håndhæv automatisk kryptering af alle drev
    • OS-drev: Aktivér Enforce drive encryption type on operating system drives og vælg Full encryption for at undgå, at kun brugte blokke krypteres.
    • Datadrev: Aktivér Auto-unlock for underordnede datadrev, eller slå det fra, hvis du vil kræve manuel oplåsning.
    • Flytbare medier: Overvej at slå Deny write access to removable drives not protected by BitLocker til for at forhindre datalækage via ukrypterede USB-drev.
Hurtige tjekpunkter
  • Sørg for, at store TPM-recovery-info in AD DS (eller Azure AD) er aktiveret, så gendannelsesnøgler ikke lander i Excel-ark.
  • Aktivér Disable new DMA devices when this computer is locked under System > Device Guard for at blokere Thunderbolt-angreb før logon.
  • Tjek BIOS/UEFI: TPM skal være slået til og sat i SHA-256-tilstand, Secure Boot skal være aktiv.

Når disse politikker er implementeret, vil alle nye installationer og eksisterende enheder, der endnu ikke er krypteret, automatisk blive beskyttet med BitLocker ved næste genstart. Kombinér dem med MBAM eller Endpoint Manager rapportering for løbende compliance-overblik.

Styr eller deaktiver OneDrive-integration

OneDrive er tæt integreret i Windows 11 og tilbyder praktisk synkronisering af filer - men ikke alle miljøer har behov for eller licens til tjenesten. Med et par vel­valgte gruppepolitikker kan du enten slukke for OneDrive på specifikke maskiner eller stramme styringen, så brugerne får en gnidningsfri, men kontrolleret oplevelse.

1. Slå onedrive helt fra

På enheder hvor cloud-lagring ikke er tilladt (f.eks. i produktionsnetværk med følsomme data) kan du deaktivere klienten fuldstændigt:

  1. Åbn Group Policy Management Editor.
  2. Gå til Computer Configuration > Administrative Templates > Windows Components > OneDrive.
  3. Sæt politikken “Prevent the usage of OneDrive for file storage” til Enabled.
Effekt Detaljer
Klienten deaktiveres OneDrive.exe kører ikke; ikonet fjernes fra Stifinder og fra sidepanelet.
Ingen fil-omdirigering Brugere kan ikke vælge OneDrive ved Gem som, og eksisterende synk-mapper bliver inaktive.
Sikkerhedsfordel Reducerer risiko for dataeksfiltration og licens-compliance-problemer.

2. Administrer onedrive i virksomhedsmiljøer

Har I E3/E5 eller Microsoft 365 Business Premium, er OneDrive ofte et centralt værktøj. Brug disse politikker til at standardisere oplevelsen og minimere supportopkald:

  1. “Silently sign in users to the OneDrive sync app with their Windows credentials”
    - giver Single Sign-On, så brugeren automatisk tilkobles firmakontoen.
  2. “Silently move Windows known folders to OneDrive”
    - omdirigerer Skrivebord, Dokumenter og Billeder uden brugerinteraktion.
  3. “Set the default location for the OneDrive folder”
    - placér synk-mappen på f.eks. D:\OneDrive\%USERNAME% for bedre pladsstyring.
  4. “Enable OneDrive Files On-Demand”
    - sparer diskplads ved kun at hente filer ved behov.

Alle fire findes under samme OneDrive-gren og kan kombineres efter behov. Sæt dem til Enabled, og udfyld eventuelle felter (som sti til synk-mappen) før du deployer.

Tip: Brug målretning for fleksibilitet

Vil du både deaktivere OneDrive på enkelte PC’er og tvinge SSO på andre? Opret separate GPO’er og link dem til forskellige OU’er - eller brug Item-level targeting i preferencer til f.eks. at skelne på maskinens AD Site, Device Group eller Operating System SKU.

Med disse justeringer bestemmer du, om OneDrive skal være ingen, hver eller udvalgte brugeres sky-lager - og du gør det helt uden manuelle brugerindgreb.

Begræns USB- og flytbare medier

USB-drev og andre flytbare medier er fortsat en af de mest anvendte vektorer til data­ lækage og malware-spredning. Med nogle få gruppe­ politikker kan du enten skrivebeskytte eller helt blokere disse enheder - og endda forhindre, at ukendt hardware overhovedet installeres.

1) removable storage access - Skriv til eller ej?

  1. Åbn:
    Computer Configuration ➜ Administrative Templates ➜ System ➜ Removable Storage Access
  2. Vælg den ønskede politiktype - de findes både pr. enhedstype og som “All Removable Storage”.
    Politik Anbefalet indstilling Effekt
    Deny write access Enabled Drevet kan læses, men ikke skrives til - god til data­indtag uden risiko for datalæk.
    Deny read access Enabled Drevet kan slet ikke tilgås - maximal sikring, ingen data ind eller ud.
    Deny execute access Enabled Forhindrer eksekvering af kode, men filer kan stadig kopieres.
  3. Sæt “Apply policy to removable disks not in policy list” til Enabled, hvis du udelukkende vil tillade en whitelist af enheder (kræver yderligere konfiguration af “Device Installation Restrictions”).
  4. Tip: Kombinér med “Prevent users from connecting remotely to removable storage” for at sikre, at enheder ikke omgås via RDP-sessioner.

2) device installation restrictions - Stop ukendt hardware før den når ind

  1. Åbn:
    Computer Configuration ➜ Administrative Templates ➜ System ➜ Device Installation ➜ Device Installation Restrictions
  2. Fokus på to nøglepolitikker:
    • Prevent installation of removable devices
    • Prevent installation of devices that match any of these device IDs / …classes
  3. Sådan skaber du en whitelist:
    1. Find hardware-ID eller enheds­klasse-GUID på et tilladt USB-drev (Device Manager ➜ detaljer).
    2. Aktivér Allow installation of devices that match any of these device IDs og tilføj ID’erne.
    3. Aktivér derefter Prevent installation of devices not described by other policy settings - alle andre enheder afvises.
  4. Audit først!
    Sæt “Display a custom message when installation is prevented” for at hjælpe brugeren, og overvåg hændelseslog Microsoft-Windows-Kernel-PnP/Driver Framework for Event ID 369/370 (blokeringer), inden blokaderne rulles bredt ud.

Gode råd til udrulning

  • Start i en test-OU og brug Resultant Set of Policy (RSoP) til at verificere effekten.
  • Overvej en differentieret tilgang: skrive­beskyttelse (read-only) til kontor­pc’er, fuld blokering i produktions- eller kioskmiljøer.
  • Bruger I Intune eller anden MDM, findes tilsvarende CSP-indstillinger (Storage/RemovableDiskDenyWriteAccess m.fl.).
  • Husk dokumentation af undtagelser, f.eks. backupdrev eller udstyr til firmware-opdatering.

Når både Removable Storage Access og Device Installation Restrictions er sat korrekt, har du et stærkt, lagdelt forsvar mod uautoriseret data­overførsel og “sneak-ware” via USB.

Lås Startmenu, proceslinje og deaktiver Widgets

En stram styring af Startmenuen, proceslinjen og de nye Widgets giver brugerne en ren, forudsigelig oplevelse - og dig færre supportsager. Nedenfor finder du de vigtigste skridt og indstillinger.

1. Fastlås et skræddersyet start-layout

  1. Byg layoutet
    Opsæt en reference-pc med de ønskede fastgørelser (Pins) og grupper i Start, samt de apps der skal ligge på proceslinjen.
  2. Eksportér layoutet
    Åbn PowerShell som administrator og kør:
    Export-StartLayout -Path C:\Temp\StartMenuWin11.json
    Windows 11 bruger JSON-format; ældre XML-format understøttes stadig af kompatibilitetshensyn.
  3. Anvend via GPO
    Gå til User / Computer Configuration > Administrative Templates > Start Menu and Taskbar og åbn policyen Start Layout. Peg på din .json (eller .xml) på et delt UNC-share eller lokalt i C:\Windows\PolicyDefinitions\.

2. Fjern uønskede pins og proceslinje-ikoner

Policy Effekt Placering
Do not allow pinning Store apps to the Taskbar Forhindrer brugere i at fastgøre UWP-apps manuelt. User / Computer > Start Menu and Taskbar
Remove All Programs list from the Start menu Vis kun fastgjorte apps - nyttigt på kiosk- eller VDI-images. User > Start Menu and Taskbar
Disable the News and Interests button Fjerner “Nyheder og interesser” på ældre builds (Widgets erstatter den). Computer > Start Menu and Taskbar
Taskbar Configure pinned list Definér præcis rækkefølge af proceslinje-ikoner via JSON. Computer > Start Menu and Taskbar

Tip: På Windows 11 kan du også styre Chat- og Teams-knapperne individuelt med “Chat icon on the taskbar”-politikken.

3. Slå widgets helt fra

  1. Åbn Computer Configuration > Administrative Templates > Windows Components > Widgets.
  2. Sæt Allow widgets til Disabled.
  3. Politikken afinstallerer selve Widget-tjenesten (WindowsWebExperiencePack) ved næste genstart og fjerner Widget-knappen fra proceslinjen.

4. Sikr konsistens mellem computer- og user-politik

  • Hvis du bruger både Computer og User Configuration, så lad den strengeste regel vinde (Enabled/Disabled-logik), og dokumentér det i din GPO-beskrivelse.
  • Placér Start-relaterede GPO’er højt i OU-hierarkiet, så de anvendes før eventuelle lokale scripts, der senere ændrer layoutet.

Med ovenstående indstillinger er Startmenu, proceslinje og Widgets låst ned, hvilket leverer en ensartet brugeroplevelse og reducerer distraktioner i Windows 11-miljøet.

Aktivér Credential Guard og LSA-beskyttelse

Når angribere først har skaffet sig et fodfæste på en maskine, vil de typisk forsøge at dumpe hukommelsen på LSASS.exe for at stjæle adgangstokens og adgangskoder. Credential Guard isolerer netop disse følsomme oplysninger i en virtuel container, mens LSA-beskyttelse sørger for, at LSASS kun kører som beskyttet proces (PPL). Sammen lukker de et af de mest populære angrebs-vektorer mod Windows-enheder.

Sådan aktiverer du credential guard via gruppepolitik

  1. Åbn Group Policy Management Console, eller redigér den lokale politik (gpedit.msc).
  2. Navigér til:
    Computer Configuration > Administrative Templates > System > Device Guard
  3. Dobbeltklik på Turn On Virtualization Based Security og vælg Enabled.
    • Credential Guard Configuration: Enabled with UEFI lock (anbefalet - forhindrer deaktivering uden firmware-reset).
    • Hypervisor-Enforced Code Integrity: Overvej Enabled without lock, hvis I også vil håndhæve kernesikring.
  4. Genstart maskinen - funktionen kan ikke slås til eller fra uden en fuld genstart.

Aktivér lsa-beskyttelse (runasppl)

Metode Sti/Indstilling
Gruppepolitik (Windows 11 22H2+) Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Configure LSASS to run as a protected processEnabled: Enabled with UEFI lock
Registry (ældre builds) HKLM\SYSTEM\CurrentControlSet\Control\Lsa
"RunAsPPL"=dword:00000001
"RunAsPPLBoot"=dword:00000001 (valgfri fast lock)

Forudsætninger & faldgruber

  • UEFI-boot, Secure Boot, TPM 2.0 samt hardware-virtualiseringsstøtte (Intel VT-x/AMD-V) er et krav.
  • Ældre drivere eller antivirusscannere kan konflikte med VBS/HVCI - test grundigt før bred udrulning.
  • Snapshot-baserede backup-løsninger, der inspicerer rå hukommelse, kan ikke læse de isolerede nøgler - verificér gendannelsesprocedurer.

Tjek at alt er aktivt

msinfo32.exe ➜ System Summary ➜ Virtualization-based Security Services Running: Credential Guardpowershell ➜ Get-CimInstance Win32_DeviceGuard | fl SecurityServicesRunning

Med Credential Guard og LSA-beskyttelse slået til opnår du et betydeligt løft i identitets-sikkerheden, fordi angriberen nu skal nedbryde både hypervisor-isolation og kernel-hårde barrierer for at nå dine legitimationsoplysninger.

Indholdsfortegnelse