Windows 10 Version 1903: Die neuen Gruppenrichtlinien
Administratoren können mit den neuen Gruppenrichtlinien von Windows 10 Version 1903 die neuen Windows-Funktionen im Unternehmen leichter umsetzen. Ein Überblick.
Zu den Bordmitteln von Windows 10 gehört in den Editionen Pro und Enterprise der lokale Gruppenrichtlinien-Editor. Dieser setzt neue Einstellungen der jeweils aktuellen Version um, aber auch die Einstellungen der vorherigen Versionen. Mit Windows 10 Version 1903 gehen neue Funktionen einher, die mit den lokalen Richtlinien, aber auch mit Gruppenrichtlinien umgesetzt werden können.
Damit diese Umsetzung auch im Active Directory funktioniert, müssen die jeweils aktuellen Gruppenrichtlinienvorlagen importiert werden. Das geschieht über die dazu gehörigen ADMX-Dateien und den entsprechenden ADML-Sprachdateien dazu. Natürlich können die neuen Gruppenrichtlinienvorlagen auch ältere Windows 10-Versionen und deren Funktionen absichern.
Neue Gruppenrichtlinienvorlagen herunterladen
Microsoft aktualisiert regelmäßig die aktuellen Gruppenrichtlinienvorlagen, die Einstellungen der jeweils aktuellsten Windows 10-Version beherrschen, aber auch alle Einstellungen der vorhergehenden Versionen. Auch für Windows 10 Version 1903 (Mai 2019 Update) stehen die Gruppenrichtlinienvorlagen zum Download bei Microsoft bereit. Der Download erfolgt als MSI-Datei, der Import kann auf den Domänencontrollern auch manuell erfolgen, nachdem das MSI-Archiv extrahiert wurde.
Neue Gruppenrichtlinieneinstellungen nutzen
Die wichtigsten Neuerungen der Gruppenrichtlinien in Windows 10 Version 1903 besteht darin, die Installation von Updates zu steuern und bestimmte Updates erzwingen zu können. Außerdem kann die Speicheroptimierung (Storage Sense) in Windows 10, mit der beispielsweise unnötige Dateien automatisch gelöscht werden können, zentral aktiviert und konfiguriert werden. Darüber hinaus kann für verschiedene Bereiche, wie Papierkorb, Downloads und temporäre Dateien festgelegt werden, wann Windows 10 über die Speicheroptimierung tätig werden soll und die Dateien löscht.
Mit der Einstellung ComplianceDeadline lässt sich der Zeitpunkt, an dem eine Aktualisierung spätestens installiert werden muss, festlegen. Hierüber kann gesteuert werden, dass ein Windows 10-PC auch innerhalb der Nutzungszeit neu startet, zum Beispiel dann, wenn Anwender ihre PCs einfach gestartet lassen. Ab Windows 10 Version 1903 kann hier detaillierter gesteuert werden, wann die verschiedenen Updates (Quality und Features) installiert werden sollen. Ab Windows 10 Version 1903 startet die Fristdurchsetzung mit dem Datum, an dem ein Update zur Verfügung steht. IT-Administratoren können Compliance-Fristen einsetzen, um das Verhalten von Windows-Rechnern bei der Installation von Feature-Updates, Qualitäts-Updates und Nicht-OS-Updates zu konfigurieren. Beispiele dafür sind:
- Frist für Qualitätsaktualisierungen (Tage): Zulässige Werte 2-30 Tage | Standardwert 7 Tage
- Frist für die Aktualisierung von Features (Tage): Zulässige Werte 2-30 Tage | Standardwert 7 Tage
- Kulanzfrist (Tage): Akzeptierte Werte 0-7 Tage | Standardwert 2 Tage
Wie bei jeder neuen Windows-10-Version aktualisiert Microsoft generell die Einstellungsmöglichkeiten für Updates. Es lohnt sich also, einen Blick in die Windows-Update-Sektion der Richtlinien zu werfen, und diese an die eigenen Anforderungen anzupassen.
Mehr Möglichkeiten zur Anmeldung an Windows 10
In den neuen Einstellungen kann festgelegt werden, wie die Anmeldung an Windows 10 erfolgen kann, ob Windows 10 automatisch angemeldet wird, welches Hintergrundbild genutzt werden soll, und wie das Bild angezeigt wird. Das Sperren von inaktiven Benutzern kann über Richtlinien ebenfalls gesteuert werden. Dazu kommen Einstellungsmöglichkeiten für die Einrichtung von lokalen Benutzerkonten in Windows 10, zum Beispiel das Deaktivieren der Sicherheitsfragen.
In Zukunft soll auch Windows 10 besser per Sprache steuerbar sein. Dazu hat Microsoft verschiedene Richtlinien integriert, mit denen festgelegt werden kann, ob und wie Apps über die Sprache gesteuert werden können, zum Beispiel auch, wenn Windows 10 gesperrt ist.
Außerdem hat Microsoft die Einstellung integriert, mit der festgelegt wird, ob und wie Anwender Zugriff auf die Problembehandlung in Windows haben sollen, um selbst Probleme in Windows 10 zu beheben.
Mehr Sicherheit der svchost.exe
Damit Malware nicht über die Systemdatei svchost.exe in das System geschleust werden kann, lässt sich über Gruppenrichtlinien steuern, dass nur durch Microsoft signierte Binärdateien von svchost.exe akzeptiert werden. Das bedeutet aber auch, dass es zu Kompatibilitätsproblemen führen kann, wenn Dritthersteller ihre Produkte nicht signiert haben.
Security Baseline für Windows 10 Version 1903
Zusätzlich stellt Microsoft für Windows 10 und Windows Server 2019 seine Security Baseline zur Verfügung. Mit dieser lassen sich Computer mit Windows 10 und Windows Server 2019 so absichern, dass der Betrieb möglichst sicher ist. Auch für Windows Server 1903 stehen die Baselines zur Verfügung. Die Baselines dazu erhalten Empfehlungen zur Sicherheit direkt von Microsoft. Für die Umsetzung wird das kostenlose Microsoft Security Compliance Toolkit 1.0 genutzt.
Die Security Baselines nutzen die bereits bekannten Sicherheitseinstellungen von Windows 10 Version 1809 und fügen zusätzliche Optionen hinzu, die mit Windows 10 Version 1903 eingeführt wurde. Generell sind das vor allem die Einstellungen, die wir in den vorhergehenden Abschnitten besprochen haben. Die Umsetzung der Richtlinien über die Security Baselines hat Microsoft im Blogbeitrag „Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903“ behandelt. Es lohnt sich, den Blogbeitrag durchzuarbeiten.