Admin-Kontrolle: So können Sie die Funktion „Neue Verbindung oder neues Netzwerk einrichten” per Policy deaktivieren

In der heutigen vernetzten Welt ist die Verwaltung von IT-Systemen komplexer denn je. Unternehmen und Heimanwender verlassen sich auf eine stabile und sichere Netzwerkinfrastruktur. Eine kleine, aber potenziell folgenreiche Funktion in Windows ist der Assistent „Neue Verbindung oder neues Netzwerk einrichten”. Während dieser für Endnutzer nützlich sein kann, um schnell eine Wi-Fi-Verbindung herzustellen oder ein VPN einzurichten, stellt er für Administratoren eine potenzielle Schwachstelle dar, die zu unautorisierten Verbindungen, Fehlkonfigurationen oder sogar Sicherheitsrisiken führen kann. Dieser Artikel beleuchtet, warum die Deaktivierung dieser Funktion sinnvoll ist und wie Sie sie effektiv per Policy, also per Richtlinie, in Ihrem Netzwerk unterbinden können.

Die Kontrolle über die Netzwerkkonfiguration ist ein Eckpfeiler der IT-Sicherheit. Unkontrollierte Änderungen können zu einer Vielzahl von Problemen führen: von der versehentlichen Verbindung mit einem unsicheren öffentlichen Netzwerk bis hin zur Einrichtung einer nicht autorisierten VPN-Verbindung, die sensible Unternehmensdaten gefährden könnte. Aus diesen Gründen ist es für Administratoren entscheidend, die Fähigkeit der Benutzer, neue Netzwerkverbindungen zu erstellen, einzuschränken.

Warum ist die Deaktivierung dieser Funktion wichtig?

Die Funktion „Neue Verbindung oder neues Netzwerk einrichten” ist standardmäßig in Windows verfügbar und ermöglicht es Benutzern, verschiedene Arten von Netzwerkverbindungen zu erstellen, darunter:

• Breitband- oder DFÜ-Verbindungen
• Drahtlose Netzwerkverbindungen (Wi-Fi)
• VPN-Verbindungen
• Ad-hoc-Netzwerke (direkte Computer-zu-Computer-Verbindungen)

Für einen normalen Heimanwender ist dies eine praktische Möglichkeit, das Gerät mit dem Internet zu verbinden. In einer verwalteten Umgebung, sei es ein großes Unternehmen, ein kleines Büro oder sogar ein Heimnetzwerk mit mehreren Benutzern, birgt dies jedoch erhebliche Risiken:

• Sicherheitsrisiken: Ein Benutzer könnte unwissentlich eine unsichere Verbindung herstellen, die das System angreifbar macht. Ad-hoc-Netzwerke können beispielsweise als Brücken für Angreifer dienen.
• Fehlkonfigurationen: Unerfahrene Benutzer könnten Einstellungen ändern, die die Netzwerkstabilität beeinträchtigen oder den Zugriff auf benötigte Ressourcen verhindern.
• Compliance-Probleme: Viele Industrien unterliegen strengen Compliance-Vorschriften, die eine strikte Kontrolle über Netzwerkkonfigurationen erfordern. Unautorisierte Verbindungen könnten diese Vorschriften verletzen.
• Datenlecks: Das Einrichten einer ungesicherten VPN-Verbindung könnte sensible Unternehmensdaten außerhalb des gesicherten Umfelds übertragen.
• Schatten-IT: Benutzer könnten versuchen, alternative Netzwerkpfade zu schaffen, um Unternehmensbeschränkungen zu umgehen, was die Sichtbarkeit und Kontrolle der IT-Abteilung untergräbt.

Durch die Deaktivierung dieser Funktion stellen Sie sicher, dass nur autorisierte und vorkonfigurierte Verbindungen verwendet werden, was die Netzwerksicherheit und -integrität erheblich verbessert.

Wo finden Sie die Funktion „Neue Verbindung oder neues Netzwerk einrichten”?

Diese Funktion ist leicht über das Netzwerk- und Freigabecenter in Windows zugänglich. Sie finden es, indem Sie mit der rechten Maustaste auf das Netzwerksymbol in der Taskleiste klicken und „Netzwerk- und Freigabecenter öffnen” auswählen, oder indem Sie über die Systemsteuerung navigieren. Dort befindet sich prominent der Link „Neue Verbindung oder neues Netzwerk einrichten”. Dieser Assistent ist der Ausgangspunkt für alle oben genannten Verbindungstypen.

Methoden zur Deaktivierung per Policy

Es gibt zwei Hauptmethoden, um diese Funktion per Policy zu deaktivieren: über den lokalen Gruppenrichtlinien-Editor (für einzelne Computer) oder über Gruppenrichtlinien in einer Active Directory-Umgebung (für Unternehmensnetzwerke). Beide nutzen dasselbe zugrunde liegende Richtlinien-Objekt.

Methode 1: Deaktivierung über den Lokalen Gruppenrichtlinien-Editor (Einzelplatzsysteme)

Diese Methode ist ideal für Standalone-Computer oder kleinere Umgebungen ohne eine zentrale Active Directory-Domain. Beachten Sie, dass der Lokale Gruppenrichtlinien-Editor (gpedit.msc) in den Home-Editionen von Windows nicht verfügbar ist.

1. Lokalen Gruppenrichtlinien-Editor öffnen: Drücken Sie die Tastenkombination Win + R, geben Sie gpedit.msc ein und drücken Sie Enter. Dies öffnet den Editor.
2. Navigieren Sie zum Richtlinienpfad: Im linken Navigationsbereich des Editors navigieren Sie zu:
   Benutzerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkverbindungen
3. Richtlinieneinstellung finden: Suchen Sie im rechten Bereich nach der Einstellung mit dem Namen „Zugriff auf den Assistenten für neue Verbindungen unterbinden” (oder auf Englisch: „Prohibit access to the New Connection Wizard”).
4. Richtlinie konfigurieren: Doppelklicken Sie auf diese Richtlinie, um ihre Eigenschaften zu öffnen.
5. Deaktivieren der Funktion: Wählen Sie die Option „Aktiviert”. Ja, das mag kontraintuitiv klingen, aber „Aktiviert” bedeutet in diesem Kontext, dass die Unterbindung des Zugriffs aktiviert wird.
6. Änderungen übernehmen: Klicken Sie auf Übernehmen und dann auf OK, um die Änderungen zu speichern.
7. Richtlinie aktualisieren: Damit die Änderung sofort wirksam wird, können Sie die Eingabeaufforderung als Administrator öffnen und gpupdate /force eingeben, gefolgt von Enter. Andernfalls tritt die Änderung nach dem nächsten Neustart oder nach einer Weile automatisch in Kraft.

Nachdem diese Richtlinie angewendet wurde, wird der Link „Neue Verbindung oder neues Netzwerk einrichten” im Netzwerk- und Freigabecenter ausgegraut und ist nicht mehr anklickbar. Benutzer können somit keine neuen Verbindungen mehr erstellen.

Methode 2: Deaktivierung über Gruppenrichtlinien in einer Active Directory-Umgebung (Unternehmensnetzwerke)

Für Unternehmen und größere Netzwerke mit einer Active Directory-Domain ist die zentrale Verwaltung über Gruppenrichtlinienobjekte (GPOs) der Standardweg, um solche Einstellungen zu verteilen. Dies stellt sicher, dass die Policy auf alle relevanten Benutzer und Computer im Netzwerk angewendet wird.

1. Gruppenrichtlinienverwaltung öffnen: Melden Sie sich an einem Domain Controller oder einem Workstation mit den Remoteserver-Verwaltungstools (RSAT) an. Öffnen Sie die „Gruppenrichtlinienverwaltung” (gpmc.msc).
2. Neues GPO erstellen oder Bestehendes bearbeiten:
   • Wenn Sie ein neues GPO erstellen möchten, klicken Sie mit der rechten Maustaste auf Ihre Domain oder eine entsprechende Organisationseinheit (OU) und wählen Sie „Gruppenrichtlinienobjekt hier erstellen und verknüpfen…”. Geben Sie einen aussagekräftigen Namen ein, z. B. „Netzwerkverbindungsbeschränkung”.
   • Wenn Sie ein bestehendes GPO bearbeiten möchten, suchen Sie es in der Baumansicht, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Bearbeiten…”.
3. GPO-Editor starten: Dies öffnet den Gruppenrichtlinienverwaltungs-Editor.
4. Navigieren Sie zum Richtlinienpfad: Im linken Navigationsbereich navigieren Sie zu:
   Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > Netzwerkverbindungen
5. Richtlinieneinstellung finden: Suchen Sie im rechten Bereich nach der Einstellung mit dem Namen „Zugriff auf den Assistenten für neue Verbindungen unterbinden”.
6. Richtlinie konfigurieren: Doppelklicken Sie auf diese Richtlinie.
7. Deaktivieren der Funktion: Wählen Sie die Option „Aktiviert”, um die Unterbindung des Zugriffs zu aktivieren.
8. Änderungen übernehmen: Klicken Sie auf Übernehmen und dann auf OK.
9. GPO verknüpfen (falls neu): Wenn Sie ein neues GPO erstellt haben, stellen Sie sicher, dass es mit der richtigen OU verknüpft ist, die die Benutzer oder Computer enthält, auf die diese Richtlinie angewendet werden soll. Bedenken Sie dabei die Gruppenrichtlinienverarbeitungsreihenfolge (LSDOU).
10. Richtlinie aktualisieren: Damit die Änderung wirksam wird, können die Clients entweder neu gestartet werden oder der Befehl gpupdate /force auf den Zielsystemen ausgeführt werden.

Durch diese zentrale Konfiguration wird die Richtlinie automatisch auf alle Benutzer angewendet, die von dem entsprechenden GPO betroffen sind. Dies ist die effizienteste Methode, um Konsistenz und Sicherheit in größeren Umgebungen zu gewährleisten.

Alternative: Deaktivierung über die Registry (Für Windows Home-Editionen oder als Notlösung)

Wenn Sie eine Windows Home-Edition verwenden, die keinen Gruppenrichtlinien-Editor besitzt, oder wenn Sie die Einstellung schnell über ein Skript verteilen möchten, können Sie die Registrierung direkt bearbeiten. Diese Methode ist leistungsstark, aber auch fehleranfällig; Seien Sie daher äußerst vorsichtig.

1. Registrierungs-Editor öffnen: Drücken Sie Win + R, geben Sie regedit ein und drücken Sie Enter. Bestätigen Sie die Benutzerkontensteuerung.
2. Navigieren Sie zum Pfad: Navigieren Sie zu folgendem Schlüssel:
   HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections
   (Wenn der Schlüssel „Network Connections” nicht existiert, müssen Sie ihn manuell unter „Windows” erstellen. Klicken Sie dazu mit der rechten Maustaste auf „Windows”, wählen Sie „Neu” > „Schlüssel” und benennen Sie ihn „Network Connections”.)
3. Neuen DWORD-Wert erstellen: Klicken Sie mit der rechten Maustaste in den leeren Bereich des rechten Fensters, wählen Sie „Neu” > „DWORD-Wert (32-Bit)”.
4. Wert benennen: Benennen Sie den neuen DWORD-Wert als NC_NewConnectionWizard.
5. Wert festlegen: Doppelklicken Sie auf NC_NewConnectionWizard und ändern Sie den „Wertdaten” auf 1. Ein Wert von 1 deaktiviert den Zugriff, ein Wert von 0 aktiviert ihn wieder.
6. Änderungen übernehmen: Klicken Sie auf OK.
7. Neustart oder Abmeldung: Melden Sie sich ab und wieder an, oder starten Sie den Computer neu, damit die Änderung wirksam wird.

Beachten Sie, dass Registrierungseinstellungen, die über Gruppenrichtlinien angewendet werden, Vorrang vor manuellen Registrierungsänderungen haben. In einer Domain-Umgebung ist die GPO-Methode immer vorzuziehen.

Auswirkungen und Überlegungen

Nach der erfolgreichen Deaktivierung der Funktion „Neue Verbindung oder neues Netzwerk einrichten” können Benutzer die folgenden Aktionen nicht mehr selbstständig durchführen:

• Erstellung neuer DFÜ-, Breitband- oder VPN-Verbindungen.
• Einrichtung neuer drahtloser oder Ad-hoc-Netzwerke.

Bestehende Netzwerkverbindungen bleiben davon unberührt und funktionieren weiterhin normal. Die Benutzer können weiterhin vorhandene Wi-Fi-Netzwerke auswählen und sich mit ihnen verbinden, sofern sie die erforderlichen Anmeldeinformationen besitzen.

Wichtige Überlegungen vor der Implementierung:

• Benutzer informieren: Klären Sie Ihre Benutzer über die bevorstehenden Änderungen auf, um Frustration und unnötige Supportanfragen zu vermeiden.
• Ausnahmen definieren: Gibt es bestimmte Benutzergruppen (z.B. IT-Administratoren), die weiterhin in der Lage sein müssen, neue Verbindungen einzurichten? In einer Active Directory-Umgebung können Sie dies durch die Verknüpfung des GPOs mit spezifischen OUs oder durch Sicherheitsfilterung erreichen.
• Alternative Bereitstellungswege: Wenn Benutzer VPNs oder andere spezielle Verbindungen benötigen, stellen Sie sicher, dass diese vorkonfiguriert oder über automatisierte Skripte bereitgestellt werden können.
• Testumgebung: Testen Sie die Richtlinie immer zuerst in einer kleinen, kontrollierten Umgebung, bevor Sie sie auf das gesamte Netzwerk anwenden.
• Wiederherstellbarkeit: Halten Sie die Schritte zum Rückgängigmachen der Richtlinie bereit, falls unerwartete Probleme auftreten.

Fazit

Die Admin-Kontrolle über die Erstellung von Netzwerkverbindungen ist ein grundlegender Bestandteil einer robusten IT-Sicherheitsstrategie. Durch die Deaktivierung der Funktion „Neue Verbindung oder neues Netzwerk einrichten” über Gruppenrichtlinien oder die Registrierung nehmen Sie eine wichtige Vorkehrung gegen Fehlkonfigurationen, unautorisierte Verbindungen und potenzielle Sicherheitslücken. Diese Maßnahme trägt dazu bei, ein stabileres, sichereres und leichter zu verwaltendes Netzwerk zu gewährleisten, sei es in einem Unternehmensumfeld oder in einem anspruchsvollen Heimbüro. Indem Sie die Kontrolle über diese scheinbar kleine, aber wirkungsvolle Funktion behalten, stärken Sie die allgemeine Windows-Sicherheit und sorgen für eine konsistente Einhaltung Ihrer Netzwerkrichtlinien.

Denken Sie daran: Proaktive Sicherheit ist immer besser als reaktive Problembehebung. Die Implementierung dieser Richtlinie ist ein einfacher, aber effektiver Schritt in die richtige Richtung.