Windows 10/11: Falle Gruppenrichtlinie für "Auto Play"

Windows[English]Kurze Information für die Administratoren unter der Leserschaft. Ein Leser hat mir vorige Woche seine Beobachtung bezüglich der AutoPlay-Funktion in Windows 11 mitgeteilt. Es sieht so aus, als ob Microsoft die Richtlinie zum Abschalten der "Auto Play"-Funktion von Laufwerken geändert hat. Bei Tests ist einem Blog-Leser in einer Unternehmensumgebung aufgefallen, dass die Richtlinie unter Windows 11 nicht mehr greift. Als er unter Windows 10 nachschaute, war auch dort die Restriktion aufgehoben. Könnte aber auch eine fehlerhafte Interpretation der Gruppenrichtlinie sein.


Anzeige

Richtlinie für Auto Play

In Windows lässt sich das AutoPlay-Verhalten beim Einlegen von Medien in ein Laufwerk über Registrierungseinträge und Gruppenrichtlinien verwalten. Administratoren drehen das AutoPlay (oder  AutoRun) auf Laufwerken aus Sicherheitsgründen gerne ab, um die automatische Ausführung und Installation von Schadsoftware über Medien zu verhindern.

Ein Leserhinweis

Blog-Leser Markus K. kontaktierte mich vorige Woche per E-Mail, weil er auf einen Sachverhalt unter Windows 11 gestoßen ist, der ihn zumindest überraschte. Markus schrieb mir:

wir evaluieren gerade welche GPOs unter Windows 11 auch das tun, was sie sollen, darunter auch "auto play" auf allen Laufwerken abdrehen (es ist übrigens egal ob Computer- oder User-Teil).

Nun gab es die GPO ja schon unter Windows 10 (eigentlich ab Win2000) nur tut diese nichts unter Windows 11.

Nun gut, wir wissen, dass die GPO unter Windows 10 mal funktioniert hat, also schaue ich unter Windows 10 nach. Auch hier unter W10 21H2 auto play an und nicht aus, wie erwartet!

Schön wenn Dinge irgendwann zerbrechen und man das nicht mitbekommt (oder haben nur wir das verschlafen?).

Mir drängt sich die Frage auf, wissen andere von ihrem Glück?

Das war dann der Punkt, wo ich gestutzt und bei Markus nachgefragt habe, ob er nicht die Richtlinien für AutoPlay und AutoRun verwechselt hat.

AutoPlay oder AutoRun?

Mir war im Hinterkopf geläufig, dass die automatische Ausführung von Inhalten auf Wechselmedien über die autorun.inf in deren Hauptverzeichnis über einen Autorun-Eintrag in der Registrierung abgedreht werden kann. Das Thema ist bereits älter, ich hatte bereits 2009 einen praktischen Anwendungsfall im Blog-Beitrag Autorun nach VMware-Installation reaktivieren behandelt. Aber es gab das Thema Auto Play in einem Blog-Beitrag AutoPlay-Richtlinien/Registrierungseinträge aus dem Jahr 2011.


Anzeige

Microsoft hat den Supportbeitrag Policy CSP – Autoplay veröffentlicht, der einige Hinweise zu Richtlinien zur Kontrolle der AutoPlay-Funktionen enthält.

Per GPO oder Registrierungseintrag

Das Sperren der automatischen Wiedergabe lässt sich in verwalteten Umgebungen per Gruppenrichtlinie regeln. Das geht im Gruppenrichtlinien-Editor gpedit.msc im Zweig Computerkonfiguration / Windows-Komponenten / Richtlinien für die automatische Wiedergabe über die Richtlinie AutoPlay konfigurieren.

AutoPlay GPO

Der Wert Automatische Wiedergabe deaktivieren auf lässt sich dann für alle Laufwerke oder für CD-ROM- und Wechselmedienlaufwerke konfigurieren und dann aktivieren. Die Richtlinie gibt es bereits seit mindestens Windows 2000 – ich verweise an dieser Stelle mal auf diesen Windows FAQ-Beitrag aus 2018.

Benutzer, die keinen Gruppenrichtlinien-Editor gpedit.msc verwenden können (z.B. in den Home-Editionen), können die AutoPlay-Funktion per Registrierungseintrag im Schlüssel:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers] 
"DisableAutoplay"=dword:00000001

abschalten. Das soll laut Markus dann die Ausführung von Anwendungen auf Wechselmedien über AutoPlay abdrehen. Markus meint dazu:

Solche Dinge haben für mich einen sehr fahlen Beigeschmack, wenn ADMX-Templates vorhanden sind und dann einfach nichts machen und das seit einem Zeitraum X den man nicht einmal kennt.

Ich hatte dann nochmals nachgefragt, was er evaluiert habe. Dazu schrieb er mit, dass der AutoPlay" den Einstellungen deaktiviert habe und dort der Wert des obigen Registrierungsschlüssels verändert werde. Er ging dann davon aus, dass es auch auf die entsprechende Gruppenrichtlinie wirkt, was aber nicht der Fall ist. Dazu schrieb er:

Mangels physischer Hardware habe ich das nun zu Hause ausprobiert.
Die GPO unterbindet tatsächlich noch das AutoPlay beim z.B. einlegen einer "MRT"-CD (also genau das was wir eigentlich wollen).
Wir (in unserer Naivität) waren doch glatt der Meinung, dass das ja nicht sein kann, dass man die GPO setzt und sich beim Schalter im Settings-Menü nichts tut.

Ich suche jetzt auch ganz ehrlich nicht mehr weiter.

Bleibt die Frage, was dieses AutoPlay Setting nun wirklich macht und warum Microsoft hier nicht auch wie üblich so etwas wie "wird vom Unternehmen verwaltet" einblendet und das Zeug ausgraut.

Sehen nur wir das so? Für mehr Verwirrung kann man aus meiner Sicht wohl kaum sorgen! Jedenfalls ein schönes Fettnäpfchen.

Der Aussage, dass das Ganze irgendwie verwirrend ist, kann ich mich anschließen. Ich habe dann gesucht und bin in diesem Microsoft Beitrag vom 27. Juli 2022 fündig geworden. Ein Nutzer gibt an, dass die AutoPlay-Richtlinie unter Windows 10 21H2 plötzlich nicht mehr funktioniere. Das beträfe auch den Registrierungseintrag. Der Thread ist aber ohne Lösung versandet.

Gibt es aus der Leserschaft Anmerkungen von Administratoren? Ist dies aufgefallen? Haben Markus und meine Wenigkeit einen Denkfehler? Markus zeigt dann auch noch in einer Nachbemerkung auf, wo er als Administrator bei Windows 11 Probleme sieht.

Eines der größten Übel beim Umstieg auf Windows 11 ist, dass man sich aus diversten stellen herauskitzeln muss, was für ein OS man denn gerade bedient, weil viele Skripte ja auf W10 und W11 laufen müssen, aber unterschiedliches tun.

Bis jetzt nur ein eher schlechter Match auf den String "Windows 11" (geliefert von folgendem Script), da ja "[System.Environment]::OSVersion.Version" in der PS eine Major Version "10" liefert.

$os = Get-CimInstance -ClassName Win32_OperatingSystem
    if ($os.Name -match "Windows 11") ….


Anzeige

Dieser Beitrag wurde unter Windows, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Windows 10/11: Falle Gruppenrichtlinie für "Auto Play"

  1. McAlex777 sagt:

    Hallo,

    Danke für die Information – sicher keine Absicht, sondern einer der vielen kleinen Bugs der sich einschleppt bei zichtausenden Konfigurationen die alle gewartet werden wollen.

    Bischen Offtopic:

    Habe gerade mal wieder ein neues "privates" System aufgesetzt – und wieder 3x 8h Aufwand in die 10.000 Funktionen von Datenschutz über Firewall zu den Applikationen verbrannt. Klar – geht auch alles in 2h Business Umfeld.

    Und doch … langsam fragt man sich wozu den Aufwand. Ein neues MacBook klapp ich auf, 10min System Einstellungen konfigurieren – nach 5Apps nachinstallieren, und es läuft out of box.

    Unter Linux "apt install app1 app2 app3 …app100 " und configs aus /home/user einkopieren – fertig. Klar, dazu kommen noch einmalig paar configs anpassen – aber im Grunde 1h Aufwand fertig wenn man weis woman hingreift.

    Unter Windows … jedesmal Tage aufwand bis alles passt. Weil es auch 0,0 Möglichkeiten gibt Configs von PC1 auf PC2 zu übertragen. Dazu der ganze Telemetrie- und Datenschutz Crap … Das geht seit 20Jahren so – und mit jeder Windows-Version wird die Ersteinrichtung komplexer.

    • Paul sagt:

      tja, es sichert aber Leuten mit KnowHow Arbeitsplätze (pssst, nicht Cheffe hören lassen. Es kommt auch für sein Ego besser, wenn er sagen kann, das er seinen Admins jedes Jahr MS-Kurse in *****-Hotels zu xx tausend Euro spendiert. Isser nicht toll?)

      Als Entscheider könnte mir gut vorstellen, von einem MS-Distri mit meiner Frau zum Abendessen im Top restaurant der Stadt eingeladen zu werden oder man trift sich auf dem Golfplatz.
      Bei welcher Linux-Frickel-Bude könnte ich das auch nur erwarten?
      Das sind alles arme Schlucker die nur mit Qualität den Markt überzeugen können… nicht mit Surfaces für meine Frau…letzlich zahlt es eh die Firma und soll ich etwa verantworten, wenn da etwas mit den Linux Büchsen schief geht, wo alle anderen bestens mit MS-Produkten arbeiten? Hallo?

      Hatten GPO nicht das generelle Problem, das MS keine Backannotion vorgesehen hat? Das also, wenn wer in der Regsitry gedreht hat, das GPO-Verwaltung das nicht angezeigt wird?
      Da hat keiner mit regedit 'rumzumachen. ISt doch wohl klar. Also kein Problem…
      Aber MS hindert das nicht auch mal eine neue Variable einzuführen.
      Gerade das "Auto"-Feature hat da eine üble Geschichte hinter sich, die immer noch nachwirkt.

      • McAlex777 sagt:

        >> Das also, wenn wer in der Regsitry gedreht hat, das GPO-Verwaltung das nicht angezeigt wird?

        Das ist so: wobei die GPO die Settings der Registry zuverlässig überschreibt – was letztlich auch was fürsich hat.

        Allerdings ist die GPO wiederum GUI Only, das GPO-Datenformat geschlossen. D.h. nichts mit Automatisierbarkeit von Einstellungen auf andern Systemen. Das einzige was möglich ist, das Datenarchiv komplett als ganzes zu übertragen.

        Da hat man eine Tolle "Power"Shell, und wieso kann man damit nicht jede Config via Eineindeutige ID unter Windows exportieren/importieren/definieren? Statt dessen gibts für 5% der Settings irgendwelche cryptischen Einzelbefehle…

        Statt dessen darf man unter Windows11 in Crap Datenschutz-Menüs in 1000 Untermenüs unübersichtlich alle Haken manuell setzen. EIn Kollege beschriebs mit 1000 Schubladen in denen man rumwühlt: auf, zu, auf, zu, auf …

        Letztlich kommt mir Windows unter der Haube vor, wie durch und durch aufgebohrtes Crap-Design aus den 90ern.

        Anderes Beispiel: Berechtigungen von Apps in der Gui definieren, aber in der Registry kann ich auch ohne die Gui-Rechte die entsprechenden Werte setzen.

        ================

        Gäb es alle Applikationen unter GNU/Linux wie unter Windows wär ich schon längst final gewechselt.

      • DrFuture sagt:

        Eine GPO ist eine Vorgabe die man an ein System setzt.
        Diese kann man auch regelmäßig überschreiben lassen und definieren das lokale Einstellungen ignoriert werden bzw. immer die GPO der Domain gewinnt.

        Sollte lokal etwas in der Registry verändert werden – wird dies schlicht überschrieben.

        GPOs sind zur Verwaltung beliebig vieler Computer – die Einstellung in der Registry welches Computers sollte im GP-Editor denn wiedergespiegelt werden?

        Im Richtlinien-Ergebnissatz steht eine per Reg gesetzte GPO durchaus.

        • Paul sagt:

          Ja. Klar. Das ist aber kein "Backannotating" :-)
          Und wenn diese Registry-Änderungen durch ein Windows-Update gekommen sind dann steht zumindest bis zum nächsten Verteiler der GPOs etwas anderes
          in dieser Maschine drin.

          Und wenn Mikrosoft solche Gags wie "HonorAutoRunSetting" nachträglich einbaut, was nutzt einem das Überschreiben der anderen Werte?

          OK, passiert nicht in einem Firmenumfeld wo die PCs als Schreibmaschine mit eMail dienen.
          Da wird ja jedes Update genauestens auf Nebenwirkungen geprüft. Wäre ja fatal, wenn nach dem Update 90% der Rechner ausfallen würde.

          • drfuture sagt:

            Windows-Update gekommen sind dann steht zumindest bis zum nächsten Verteiler der GPOs etwas anderes
            in dieser Maschine drin.

            >> Die Policy wird mindestens bei jedem PC-Neustart überschreiben – oder zusätzlich nach einem selbst gesetzten Intervall z.B. 1x pro Stunde.
            Wenn ein Windows-Update das überschreibt wird das nie aktiv da das Update erst bei Neustart aktiv wird – Auch wenn da öfter drüber gemeckert wird ist ein konsistenter Status des Systems im Betrieb nicht Grund verkehrt ;)

            @Nachträglich – schreibe ich unten gleich noch was.

      • Bernd B. sagt:

        Ich sehe die Ursache vielmehr im 'Versicherungsgedanken' des Managements:
        Setzt man auf "Bewährtes!!" (Windows) und es geht schief ist es Pech. Setzt man auf "Innovatives" (Linux, zumindest ausserhalb des Serverumfeldes) und es geht schief gibt es Vorwürfe.

        Das gleiche Prinzip, warum bei der Einstellung Zertifikate mehr zählen, als tatsächliches Können.

    • DrFuture sagt:

      Es gibt jede Menge Möglichkeiten.
      1) ein MS-Konto verwenden – dann Syncen sich die meisten Einstellungen von selbst (natürlich ist hier nun die Frage was du unter Einstellungen verstehst – und ja dann liegen deine Konfigurationen natürlich auf US-Servern. Ob das gut oder schlecht ist sei mal dahin gestellt – erst einmal sind das zu Meist keine privaten Daten).

      2) Für mehrere Computer eignet sich das USMT-Tool (User state migration Toolkit) https://docs.microsoft.com/de-de/windows/deployment/usmt/usmt-overview Wem die Anleitung zu kompliziert ist der kann unter http://usmtgui.com/ für $10 (privat) eine Gui dafür kaufen.

      3) Wenn man ganze Programme und deren Konfigurationen migrieren möchte kann man sich über dism und sysprep (beides bereits mit installiert) eigene Installationsmedien erstellen und diese auf neue Computer übertragen.
      gescriptet und automatisiert gibt es das recht cool bei heise / c`t wimimage

      4) insofern der alte PC noch funktioniert kann über den Profil-Dialog in der Systemsteuerung ein ganzes Benutzerprofil von einem PC auf einen neuen kopiert werden insofern diese übers Netzwerk verbunden sind und man vom alten PC Zugriff auf den neuen hat.

      • Mario sagt:

        Ich habe das jetzt auch nicht ganz verstanden mit dem Zeitaufwand.
        Selbst für unsere kleine Firma habe ich per dism und sysprep ein eigenes, passendes Image erstellt.
        Da sind dann alle Standardprogramme und so schon installiert, als das, was jeder Rechner in der Firma bekommt.
        Auf einem Server habe ich für alle Abteilungen sortiert Ordner mit den Installern die ich dort brauche.
        Alles andere kommt per Computer oder User GPO und fertig.

    • Wil Ballerstedt sagt:

      Ein Mac mag innerhalb von 10 Minuten fertig eingerichtet sein. Und wie gut halten heute diese Einstellungen? In der Vergangenheit streckte ein Mac-Rechner gerne nach Minuten alle vier aus.

  2. Paul sagt:

    Evtl. hilft ein Blick auf:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    HonorAutoRunSetting

    Das sollte "1" sein.
    Fragt einer was das das soll?
    Vielleicht ist das inzwischen auch nur noch "Woodoo"-Code (XP?).
    (Irgendwann hat irgendwer das mal programmiert und keiner traut sich das 'rauszunehmen, weil es einfach zuviel Aufwand das zu testen.)

    Ziemlich sicher ist:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"

    Kann aber den Nebeneffekt haben, das der Name des Datenträgers nicht mehr angezeigt wird (heißen immer "Externes Laufwerk")

    Aber das ist "Autorun", nicht "Autoplay".
    Da hab ich das bekannte
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]
    DisableAutoplay=dword:00000001

    Vielleicht muß man auch noch die User
    S-1-5-19 Name: NT-Autorität Beschreibung: Lokaler Dienst
    S-1-5-20 Name: NT-Autorität Beschreibung: Netzwerkdienst
    damit ausstatten?
    Wer Zeit/den Zwang hat das mal auszuprobieren, sachliches feedback ist immer willkommen

    https://www.cisa.gov/uscert/ncas/alerts/TA09-020A

  3. Heiko sagt:

    Ich bin da schon zu Win10-Zeiten vor zwei Jahren drüber gestolpert.

    Mein Fazit:
    – Die GPO wirkt und blockiert AutoRun/AutoPlay.
    – Ja, komischerweise werden in der Settings App die Menüs nicht gesperrt. (Mein Workaround: Menü via GPO ausblenden.)
    – Ich meine mich auch zu erinnern, dass die Menüs in der Systemsteuerung brav deaktiviert werden.
    – Das mit dem Namen ist glaube ich einfach ne Übersetzungsproblematik. (Wenn man es im englischen Windows mit englischen GPOs prüft, passt es glaube ich.)

    Gruß aus Mainz

  4. M.D. sagt:

    Im Rahmen dieser Diskussion möchte ich nochmal auf eine etwas ältere Diskussion aufmerksam machen und dort auf einen Beitrag meinerseits, der irgendwie zur aktuellen Situation passt. Siehe:

    https://www.borncity.com/blog/2022/08/11/wurden-die-august-updates-fr-windows-server-automatisch-installiert/#comment-131679

    Das Ganze erweckt den Anschein, dass Microsoft in der letzten Zeit Änderungen an den GPOs vorgenommen hat bzw. an der Gültigkeit der GPOs innerhalb der verschiedenen Systeme (Server/Desktop), d.h. dass GPOs, die vormals auf Version X.Y. funktioniert haben, dort plötzlich keine Wirkung mehr entfalten.

    Wahrscheinlich passieren solche Änderungen sogar regelmäßig und man bemerkt es erst, wenn man selber betroffen ist und irgend eine Einstellung plötzlich nicht mehr funktioniert. Dass sowas im Fluss sein kann, ist logisch. Allerdings ist es dann doch ziemlich nervig, wenn man nach jeder Update-Runde seine kompletten GPOs auf Gültigkeit prüfen muss, um keine Überraschungen zu erleben.

    Stellt Microsoft zu dieser "Baustelle" irgendwo zusammenfassende Informationen bereit, was sich exakt seit dem letzten Mal alles geändert hat? Weiß das jemand?

  5. dasolli sagt:

    Die admini­strativen Vorlagen für Windows 11 sind nicht abwärts­kompatibel, so dass sich Windows 10 damit nicht voll­ständig ver­walten lässt.

    https://www.windowspro.de/wolfgang-sommergut/admx-fuer-windows-11-windows-10-central-store

    War hier im Blog auch schon aml Thema

    • drfuture sagt:

      Allgemein wurde aber schon immer dazu geraten das Policies auf dem System erzeugt werden für das sie bestimmt sind – ganz davon abgesehen das man dann auch die passenden admx-files im System hat.

      Der Central GPO Store hat auch zu XP-Zeiten schon Ärger gemacht.
      Zumindest für mich macht das allgemein Sinn GPOs pro OS Major-Version zu erzeugen (Also Windows 7, 10, 11, Server 2016, 2019 usw.).
      Die Windows Varianten haben andere Feature die im Zweifel auch anders konfiguriert werden wollen.
      Zusätzlich löst man evtl. irgendwann eine Windows-Version ab und kann dann die "Altlasten" also die nicht mehr benötigte GPO löschen.

      Und man hat keine Inkompatibilitätsprobleme.
      Das es ich nun mit Windows 11 mal was ändert (Innerhalb von Windows 10 ist mir zumindest keine GPO bekannt die nicht offiziell als obsolet gekennzeichnet wurde und nicht mehr funktioniert).

  6. Alitai sagt:

    Hast du es schon mit:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoDriveTypeAutoRun FF
    versucht?

    • Markus K sagt:

      Die GPO funktioniert eh, aber wenn man in das entsprechende Settings Menü schaut, wird einem suggeriert, dass man volle Kontrolle darüber hat.
      Das ist nicht gut, da so weder User noch Support sich auskennen, ob das Zeug jetzt funktionieren soll oder nicht.

      Von mir ein ganz klares "Extra"-Pfui!

  7. Oliver L. sagt:

    Meiner Erfahrung nach gibt es Auto-Play schon ewig (seit gefühlt Jahrzehnten) nicht mehr in aktuellen Windows-Versionen, und somit auch kein Sicherheitsproblem damit – es erscheint stets eine Dialogbox, in der man auswählen kann, ob man überhaupt etwas machen möchte wie z. B. den Explorer öffnen oder diese auch einfach ignorieren.

  8. Oliver L. sagt:

    Das mache ich nie, so selten wie ich Wechseldatenträger im Cloudzeitalter nutze, und außerdem kann ich die aufpoppende Frage ja ignorieren. Ich habe gerade aber mal einen USB-Stick mit einer 64 GB SDXC angesteckt unter Windows 11 und habe diese Option gar nicht, nur:
    – Speichereinstellungen konfigurieren
    – Ordner öffnen, um Dateien anzuzeigen
    – Keine Aktion durchführen
    Also alles so, wie ich es erwarte, und secure by default.
    Mag sein, dass man so eine "immer die Aktion"-Auswahl bei älteren Windows-Versionen noch hat. Aber auch dann stellte das kein Sicherheitsrisiko dar, sondern wäre eine bewusste Entscheidung des Anwenders. Ich habe jetzt nicht probiert, eine Autostart-Datei und eine Setup.Exe o. ä. auf meinen Test-Stick zu kopieren…
    bin mir aber sicher, auch diese dann niemals automatisch starten lassen zu können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.