· Mehdi Aroui · managed-it · 3 min read
Windows 11 installieren und härten: Leitfaden
Von UEFI-Partitionierung über BitLocker bis GPO-Härtung: dieser Leitfaden zeigt, wie Windows 11 Pro und Enterprise in Active-Directory-Umgebungen sicher und wartungsarm eingerichtet wird.
Worum es geht
Dieser Leitfaden richtet sich an Fachinformatiker Systemintegration, die Windows 11 Pro oder Enterprise in Active-Directory-Umgebungen integrieren. Das Ziel: ein performanter, ausfallsicherer und wartungsarmer Arbeitsplatz, der den Managed-Services-Paketen von Netzleiter entspricht. Typische Einsatzfelder sind Hamburger KMU-Netzwerke sowie Arztpraxen und MVZ mit KBV-Anforderungen in Norddeutschland.
1. Checkliste vor der Installation
| Punkt | Details | Tipp |
|---|---|---|
| Installationsmedium | Windows 11 ISO 22H2 oder neuer, USB-Stick ab 8 GB | Rufus im GPT/UEFI-Modus verwenden |
| Hardware-Firmware | UEFI, Secure Boot aktiv, TPM ab 2.0 | BIOS-Update vorab prüfen |
| Netzplan | IP-Adressen, DNS, Gateway, VLANs | Tabelle in OneNote anlegen |
| Domänenname | z. B. praxis.local | Keine öffentliche TLD |
| Admin-Kennwort | mindestens 12 Zeichen, komplex | Richtlinie vorab testen |
| Offline-Treiber | Chipsatz, NIC, GPU | Vom OEM laden, nicht Windows Update überlassen |
| Backup-Medium | Externe SSD oder NAS | Testschreibvorgang durchführen |
2. Windows 11 installieren
- USB-Stick booten (UEFI-Bootmenü)
- Sprache, Uhrzeit, Tastatur wählen, dann Weiter
- Jetzt installieren, Edition Windows 11 Pro oder Enterprise wählen
- Lizenzbedingungen akzeptieren
- Benutzerdefiniert, Datenträgeroptionen:
- System-Partition mindestens 100 GB, NTFS
- Daten-Partition mindestens 80 GB, NTFS, optional BitLocker-bereit
- Installation abschließen, erster Neustart
- OOBE: Region, Tastatur, Domänenkonto später verbinden
3. Post-Install-Grundkonfiguration
3.1 Treiber
Chipsatz- und GPU-Pakete installieren, dann neu starten. Auflösung auf mindestens 1024 mal 768 setzen.
3.2 Windows Update
Start, Einstellungen, Windows Update, bis “Keine Updates verfügbar” erscheint.
4. Personalisierung und Stabilität
| Schritt | Pfad | Zweck |
|---|---|---|
| Bildschirmschoner deaktivieren | Einstellungen, Personalisierung, Sperrbildschirm, Bildschirmschoner, Kein | Verhindert ungeplante Sperren |
| DEP nur für Systemdienste | Win + Pause, Erweitert, Leistung, Einstellungen, DEP, Option 1 | Schützt ohne App-Abstürze |
| Regionale UTF-8-Beta deaktivieren | Systemsteuerung, Zeit und Region, Verwaltung, Gebietsschema, Haken bei “Beta: Unicode UTF-8” entfernen | DS-Win-Kompatibilität |
5. Energie- und Netz-Optimierung
5.1 Netzwerkadapter: Energiesparen deaktivieren
Win + X, Geräte-Manager, Netzwerkadapter, Eigenschaften, Energieverwaltung, Haken entfernen.
5.2 Autodisconnect abschalten
net config server /autodisconnect:-1Verhindert Abwürfe von Netzlaufwerken nach Leerlauf.
5.3 Bildschirm und Ruhezustand auf Nie
Einstellungen, System, Stromversorgung, Bildschirm ausschalten: Nie, Ruhezustand: Nie.
5.4 PowerShell-Variante
powercfg -change -monitor-timeout-ac 0
powercfg -change -standby-timeout-ac 0
Get-NetAdapter | ForEach-Object {
Set-NetAdapterAdvancedProperty $_ -DisplayName "Energy Efficient Ethernet" -DisplayValue "Off"
}6. Domänenbeitritt und Netzlaufwerke
- Domänen-Login mit
praxis\benutzername - Netzlaufwerk erscheint via GPO-Mapping
- Intranet-Zone-Freigabe: Systemsteuerung, Internetoptionen, Sicherheit, Lokales Intranet, Sites, Erweitert, Serverpfad hinzufügen
7. Sicherheit und Hardening
| Aufgabe | Tool | Hinweis |
|---|---|---|
| Firewall-Profil prüfen | wf.msc | Domänenprofil muss aktiv sein |
| Defender-SmartScreen | Einstellungen, Datenschutz, Windows-Sicherheit | Standard belassen |
| BitLocker | control /name Microsoft.BitLockerDriveEncryption | Mindestens Systempartition verschlüsseln |
8. BitLocker aktivieren
Enable-BitLocker -MountPoint "C:" `
-EncryptionMethod XtsAes256 `
-UsedSpaceOnly `
-SkipHardwareTest `
-TPMandPinProtector `
-Pin "123456"
Backup-BitLockerKeyProtector -MountPoint "C:" `
-KeyProtectorId (Get-BitLockerVolume C:).KeyProtector[0].KeyProtectorIdStatus prüfen:
Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, EncryptionMethod9. KBV-Konformität: Maßnahmen ohne zentrale GPO
Alle Maßnahmen lassen sich auch ohne Domäne direkt auf dem Client umsetzen.
| Ziel | Werkzeug | Schritte |
|---|---|---|
| Telemetrie auf Required | Registry | New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name AllowTelemetry -PropertyType DWord -Value 1 -Force |
| BitLocker-To-Go erzwingen | Registry | RDVDenyWriteAccess auf 1 setzen |
| Cloud-Clipboard deaktivieren | Registry | AllowClipboardHistory und AllowCrossDeviceClipboard auf 0 setzen |
| Microsoft-Privatkonten blockieren | secpol.msc | Konten: Microsoft-Konten blockieren, Benutzer können keine hinzufügen |
| Erweitertes Audit | auditpol.exe | auditpol /set /category:* /success:enable /failure:enable |
Komplettes Hardening-Skript
Speichern als kbv_hardening.ps1, als Administrator ausführen:
# BitLocker
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 `
-UsedSpaceOnly -TPMandPinProtector -Pin "123456"
$FVE = "HKLM:\SOFTWARE\Policies\Microsoft\FVE"
New-Item $FVE -Force | Out-Null
Set-ItemProperty $FVE UseTPMPIN 1
Set-ItemProperty $FVE EncryptionMethodWithXtsOs 7
Set-ItemProperty $FVE RDVDenyWriteAccess 1
# Telemetrie
$DC = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection"
New-Item $DC -Force | Out-Null
Set-ItemProperty $DC AllowTelemetry 1
# Cloud Content
$SYS = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"
New-Item $SYS -Force | Out-Null
Set-ItemProperty $SYS AllowClipboardHistory 0
Set-ItemProperty $SYS AllowCrossDeviceClipboard 0
$CC = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent"
New-Item $CC -Force | Out-Null
Set-ItemProperty $CC DisableConsumerFeatures 1
# Firewall und Audit
netsh advfirewall set domainprofile state on
auditpol /set /category:* /success:enable /failure:enable
wevtutil sl Security /ms:32768Nach Ausführung Neustart erforderlich, damit alle Registry-Änderungen aktiv werden.
10. Abschluss-Checks
- Event Viewer: Fehler und Warnungen kontrollieren
gpresult /h report.html: GPO-Überblick exportieren- Reboot-Test: Domänenanmeldung, Netzlaufwerk, Drucker, Fachsoftware
Netzleiter Managed Workplace
Netzleiter übernimmt Patch-Management, Monitoring und Remote-Support für Windows-11-Arbeitsplätze in KMU und Arztpraxen. Endpoint-Security über ESET, Backup über Veeam-Endpoint-Jobs direkt ins Rechenzentrum. Fragen direkt an die Hotline: 040 25 499 500.
