Einleitung
Dieser Leitfaden richtet sich an Fachinformatiker Systemintegration, die Windows 11 (Pro oder Enterprise) in ein bestehendes Active-Directory-Umfeld integrieren. Schritt für Schritt konfigurieren wir ein klientenseitiges „Best-Practice“-Setup à la Netzleiter – inklusive Treiberverwaltung, Energie- und Sicherheitseinstellungen, Domänenbeitritt und Netzlaufwerksintegration. Ziel ist ein performanter, ausfallsicherer und wartungsarmer Arbeitsplatz, der perfekt zu den Managed-Services-Paketen von Netzleiter passt.
1 Checkliste vor der Installation
| Punkt | Details | Tipp |
|---|---|---|
| Installationsmedium | Windows 11 ISO (22H2 oder neuer), USB-Stick (≥ 8 GB) | Rufus im GPT/UEFI-Modus verwenden |
| Hardware-Firmware | UEFI, Secure Boot aktiv, TPM ≥ 2.0 | BIOS-Update prüfen |
| Netzplan | IP-Adressen, DNS, Gateway, VLANs | Tabelle in OneNote anlegen |
| Domänenname | z. B. praxis.local |
Keine öffentliche TLD |
| Admin-Kennwort | ≥ 12 Zeichen, komplex | Richtlinie testen |
| Offline-Treiber | Chipsatz, NIC, GPU | Vom OEM laden |
| Backup-Medium | Externe SSD/NAS | Testschreibvorgang durchführen |
2 Windows 11 installieren
- USB-Stick booten (UEFI-Bootmenü).
- Sprache, Uhrzeit, Tastatur wählen → Weiter.
- Jetzt installieren → Edition Windows 11 Pro oder Enterprise.
- Lizenzbedingungen akzeptieren.
- Benutzerdefiniert → Datenträgeroptionen:
- System-Partition ≥ 100 GB (NTFS).
- Daten-Partition ≥ 80 GB (NTFS, optional BitLocker-bereit).
- Installation abschließen, erster Neustart.
- OOBE-Einrichtung: Region → Tastatur → Domänenkonto später verbinden.
3 Grundlegende Post-Install-Konfiguration
3.1 Treiber
- Chipsatz– und GPU-Pakete installieren, Neustart.
- Auflösung ≥ 1024 × 768 einstellen.
3.2 Windows-Update
- Start → Einstellungen → Windows Update bis „Keine Updates verfügbar“.
4 Personalisierung & Usability
| Schritt | Pfad | Zweck |
|---|---|---|
| Bildschirmschoner deaktivieren | Einstellungen → Personalisierung → Sperrbildschirm → Bildschirmschoner → „Kein“ | Verhindert unnötige Sperren (learn.microsoft.com) |
| DEP nur für Systemdienste | Win + Pause → Erweitert → Leistung → Einstellungen → DEP → Option 1 | Verhindert App-Abstürze, hält Schutz aktiv (learn.microsoft.com) |
| Regionaleinstellung UTF-8 deaktivieren | Systemsteuerung → Zeit & Region → Verwaltung → Gebietsschema ändern → Haken bei „Beta: Unicode UTF-8…“ entfernen | DS-Win-Kompatibilität (learn.microsoft.com, learn.microsoft.com) |
5 Energie- und Netz-Optimierung
5.1 Netzwerkadapter: Energiesparen aus
- Win + X → Geräte-Manager → Netzwerkadapter → Eigenschaften → Energieverwaltung → Haken entfernen (learn.microsoft.com, learn.microsoft.com)
5.2 Autodisconnect abschalten
net config server /autodisconnect:-1
Verhindert Abwürfe von Netzlaufwerken nach Leerlauf (learn.microsoft.com, learn.microsoft.com)
5.3 Bildschirm & Sleep auf „Nie“
- Einstellungen → System → Stromversorgung & Akku → Bildschirm & Schlaf
- Bildschirm ausschalten: Nie
- Ruhezustand: Nie (support.microsoft.com)
6 Domänenbeitritt & Netzlaufwerke
- Domänen-Login mit praxis\benutzername.
- Netzlaufwerk erscheint via GPO-Mapping (siehe Server-Artikel).
- Intranet-Zone-Freigabe:
Systemsteuerung → Internetoptionen → Sicherheit → Lokales Intranet → Sites → Erweitert →N:oder\\praxis-serverhinzufügen → OK.
7 Sicherheit & Hardening
| Aufgabe | Tool | Kommentar |
|---|---|---|
| Firewall-Profil prüfen | wf.msc | Domänenprofil aktiv |
| Defender-SmartScreen | Einstellungen → Datenschutz & Sicherheit → Windows-Sicherheit | Standard lassen |
| BitLocker | control / name Microsoft.BitLockerDriveEncryption | Mind. Systempartition |
8 Automatisierung mit PowerShell (Beispiel)
# Energieeinstellungen Setzen
powercfg -change -monitor-timeout-ac 0
powercfg -change -standby-timeout-ac 0
# Netzadapter-PM deaktivieren
Get-NetAdapter | Foreach-Object {
Set-NetAdapterAdvancedProperty $_ -DisplayName "Energy Efficient Ethernet" -DisplayValue "Off"
}
9 Abschluss-Checks
- Event Viewer: Fehler & Warnungen kontrollieren.
- gpresult /h report.html: GPO-Überblick exportieren.
- Reboot-Test: Neustart, Domänenanmeldung, Netzlaufwerk, Drucker, Fachsoftware.
10 Ihre Vorteile mit Netzleiter
Mit Netzleiter erhalten Sie:
- Managed Workplace-Services – Patch-Management, Monitoring, Remote-Support.
- Cybersecurity-Pakete – ESET Endpoint-Security, zentral gemanagt.
- Backup-Konzepte – Veeam-Endpoint-Jobs direkt ins Rechenzentrum.
- Consulting – Automatisierung via Intune, PowerShell-Skripte oder GPO.
11 Datenschutz & KV-Konformität
Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) verlangt für Praxis-Clients ein Datenschutz- und Datensicherheitsniveau, das mindestens den Vorgaben des BSI-Grundschutzes und der DSGVO entspricht. Unten finden Sie ein umsetzbares Windows-11-Profil, das diese Anforderungen erfüllt und gleichzeitig das Prinzip der Datenminimierung durchsetzt.
| Ziel | Maßnahme | Umsetzungsschritte |
|---|---|---|
| Vollständige Datenträgerverschlüsselung | BitLocker für System- und Festplatten | 1 Gruppenrichtlinie anlegen: Computerkonfiguration → Administrative Templates → Windows Components → BitLocker Drive Encryption • „Require additional authentication at startup“ → Enabled, TPM + PIN • „Choose drive encryption method and cipher strength“ → Enabled, XTS-AES 256 Bit 2 In derselben GPO Operating System Drives und Fixed Data Drives auf „Encrypt all drives“ setzen 3 Recovery-Key automatisch im AD-Objekt sichern (Store BitLocker recovery information in Active Directory) (learn.microsoft.com, learn.microsoft.com) |
| Externe Datenträger sichern | BitLocker-To-Go verpflichtend | GPO: Removable Data Drives → Deny write access to removable drives not protected by BitLocker → Enabled (learn.microsoft.com) |
| Minimaler Telemetry-Level | Diagnosedaten auf „Required“ begrenzen | GPMC: Computer Configuration → Administrative Templates → Windows Components → Data Collection and Preview Builds • „Allow diagnostic data“ → Enabled, Option 1 – Required (ehemals „Security“) (learn.microsoft.com) |
| Optionale Cloud-Funktionen abschalten | Werbung, Vorschläge, Cloud-Clipboard usw. | 1 User Configuration → Administrative Templates → Windows Components → Cloud Content • Alle Policies „Disable consumer features“, „Turn off cloud-based clipboard“, „Turn off Microsoft consumer experiences“ → Enabled 2 Computer Configuration → Administrative Templates → System → Internet Communication Management → Internet Communication settings • „Turn off Windows Customer Experience Improvement Program“ → Enabled (learn.microsoft.com) |
| Lokale Benutzerkonten beschränken | Keine Microsoft-Privatkonten | GPO: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options • „Accounts: Block Microsoft accounts“ → Users can’t add Microsoft accounts |
| Firewall und AV laut KBV | Domänenprofil aktiv, ESET/Defender konfiguriert | 1 wf.msc → Nur benötigte Ports offen 2 ESET Policy: Echtzeit- und Web-Schutz, HIPS, Device-Control |
| Log- und Audit-Pflichten | Ereignisprotokollierung, Log-Retentions | 1 GPO: Advanced Audit Policy Configuration → Alle Unterkategorien aktivieren 2 Ereignisprotokolle per Windows-Event-Forwarding auf SIEM- oder Syslog-Server leiten |
| Regelmäßige Patch-Zyklen | WSUS/Intune oder Netzleiter-Patch-Service | Monatliches Qualitäts-Update, vierteljährliche Firmware-Checks |
| Kontrollierte Remote-Zugänge | VPN + MFA, kein RDP direkt offen | Hardware-Firewall mit L2TP-IPsec, MFA-Portal, Logging aller Sitzungen (kbv.de) |
Schritt-für-Schritt: BitLocker aktivieren
# TPM-PIN-gestützte Verschlüsselung initialisieren
Enable-BitLocker -MountPoint "C:" `
-EncryptionMethod XtsAes256 `
-UsedSpaceOnly `
-SkipHardwareTest `
-TPMandPinProtector `
-Pin "123456"
# Wiederherstellungsschlüssel in AD schreiben
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume C:).KeyProtector[0].KeyProtectorId
Prüfen:
Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, EncryptionMethod
Schritt-für-Schritt: Diagnosedaten minimieren
# GPO-Einstellung via PowerShell Registry
New-ItemProperty `
-Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" `
-Name "AllowTelemetry" -PropertyType DWord -Value 1 -Force
Praxistipp zur KBV-Dokumentation
- Verfahrensverzeichnis aktualisieren: Spezifizieren Sie Verschlüsselung, Protokollierung, Lösch- und Sperrfristen.
- Jährlicher Audit-Check: Kreuztest gegen KBV-Selbstauskunft und BSI-Baustein „Allgemeiner Client“. (bsi.bund.de)
Durch diese Maßnahmen erfüllt Windows 11 die technischen Vorgaben der KBV für den Schutz von Patientendaten, reduziert überflüssige Telemetrie auf das gesetzlich erforderliche Minimum und liefert mit BitLocker eine vollumfängliche Verschlüsselung, die vom BSI ausdrücklich empfohlen wird.
Kontaktieren Sie unser Team in Hamburg für ein unverbindliches Beratungsgespräch und erleben Sie Windows 11-Rollouts in Bestzeit – praxisbewährt, compliance-konform und mit 24/7-Support.
Ergänzung:
Umsetzung der KBV-Vorgaben ohne zentrale Gruppenrichtlinien
Alle Maßnahmen lassen sich auch mit Bordmitteln direkt auf dem Client umsetzen. Voraussetzung: Anmeldung mit einem lokalen Administrator- oder Domänen-Admin-Konto.
| Ziel | Lokales Werkzeug | Schritte |
|---|---|---|
| System- & Datenlaufwerk verschlüsseln | PowerShell / manage-bde | powershell # XTS-AES 256, nur benutzter Bereich, TPM + PIN Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TPMandPinProtector -Pin "123456" # Wiederherstellungsschlüssel als Datei sichern manage-bde -protectors C: -get > D:\BitLockerKey.txt |
| BitLocker-Richtlinie lokal erzwingen | Registry | powershell # TPM + PIN erforderlich New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Force New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name UseTPMPIN -Type DWord -Value 1 # XTS-AES 256 New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name EncryptionMethodWithXtsOs -Type DWord -Value 7 Neustart, dann BitLocker aktivieren. |
| Removable Drives nur mit BitLocker | Registry | powershell New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Force New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\FVE" -Name RDVDenyWriteAccess -Type DWord -Value 1 |
| Diagnosedaten auf „Required“ (Level 1) | Registry | powershell New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Force New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name AllowTelemetry -Type DWord -Value 1 |
| Cloud-Clipboard, Werbung, Consumer-Features aus | Registry | powershell # Cloud-Clipboard deaktivieren New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name "AllowClipboardHistory" -Type DWord -Value 0 New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name "AllowCrossDeviceClipboard" -Type DWord -Value 0 # Consumer-Erlebnisse abschalten New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent" -Name "DisableConsumerFeatures" -Type DWord -Value 1 |
| Microsoft-Privatkonten blockieren | Sicherheitsrichtlinie lokal | shell secpol.msc → Lokale Richtlinien → Sicherheitsoptionen → “Konten: Microsoft-Konten blockieren” → “Benutzer können keine Microsoft-Konten hinzufügen” |
| Domänen-Firewall aktiv halten | netsh | shell netsh advfirewall set domainprofile state on (Offene Ports manuell hinzufügen.) |
| Erweitertes Audit einschalten | auditpol.exe | shell auditpol /set /category:* /success:enable /failure:enable |
| Log-Retention anpassen | wevtutil | shell wevtutil sl Security /ms:32768 # 32 MB max-size |
| Updates automatisieren | Windows Update | Einstellungen → Windows Update → Erweiterte Optionen → Updates automatisch. |
| VPN- & MFA-Zugriff | Windows-VPN + Auth-App | VPN-Profil mit L2TP/IPsec erstellen → Azure/Entra oder RADIUS-MFA App konfigurieren. |
Komplettes Hardening als Skript
Speichern Sie den nachfolgenden Block als kbv_hardening.ps1, starten Sie PowerShell als Administrator und führen Sie aus:
# --- BitLocker ----------------------------------------------------------
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 `
-UsedSpaceOnly -TPMandPinProtector -Pin "123456"
# Richtlinien
$FVE = "HKLM:\SOFTWARE\Policies\Microsoft\FVE"
New-Item $FVE -Force | Out-Null
Set-ItemProperty $FVE UseTPMPIN 1
Set-ItemProperty $FVE EncryptionMethodWithXtsOs 7
Set-ItemProperty $FVE RDVDenyWriteAccess 1
# --- Telemetrie & Cloud Content ----------------------------------------
$DC = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection"
New-Item $DC -Force | Out-Null
Set-ItemProperty $DC AllowTelemetry 1
$SYS = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"
New-Item $SYS -Force | Out-Null
Set-ItemProperty $SYS AllowClipboardHistory 0
Set-ItemProperty $SYS AllowCrossDeviceClipboard 0
$CC = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent"
New-Item $CC -Force | Out-Null
Set-ItemProperty $CC DisableConsumerFeatures 1
# --- Firewall & Auditing -----------------------------------------------
netsh advfirewall set domainprofile state on
auditpol /set /category:* /success:enable /failure:enable
# --- Loggrenzen --------------------------------------------------------
wevtutil sl Security /ms:32768
Hinweis: Ein Neustart ist nötig, damit alle Registry-Änderungen aktiv werden. Dokumentieren Sie die Schritte im Praxis-IT-Handbuch, um KBV-Audits schnell nachweisen zu können.
