Kurz nach der erneuten Frei­gabe von Windows 10 1809 und Server 2019 ist nun die dazu­gehörige Security Baseline ver­fügbar. Sie ent­hält die von Micro­soft empfoh­lene Sicher­heits­konfi­guration auf Basis von Grup­pen­richt­linien. Neben den GPOs für den Import bietet sie eine umfang­reiche Doku­mentation.

Mit den jüng­sten Updates des Client- und Server-Betriebs­systems kamen Ein­stellungen für die Gruppen­richtlinien hin­zu, die Vor­lagen gibt es wieder als separaten Down­load. Zuwachs gab es bei der Konfi­guration von Edge, zur Steuerung der Group Policy Preferences und zu neuen Features wie der erwei­terten Zwischen­ablage.

Microsoft gab kürzlich die ADMX-Templates frei, über die sich Office 365 ProPlus und Office 2019, aber auch noch Office 2016 über Gruppen­richt­linien ver­walten lassen. Mit im Paket sind zudem die OPAX-Dateien für das Office Customization Tool sowie eine Excel-Tabelle mit einer Über­sicht über alle Ein­stellungen.

Seit der Version 60 enthält Firefox eine neue Policy Engine, mit der sich viele Ein­stellungen zen­tral fest­legen lassen. Das Regel­werk kann man je nach Platt­form und Vor­lieben über Gruppen­richt­linien oder eine Konfi­gurations­datei im JSON-Format definieren. Der AutoConfig-Mecha­nismus ist vorerst noch an Bord.

Einige Kompo­nenten von Windows 10 kontaktieren regel­mäßig Online-Diensten von Microsoft. Eine vom Her­steller veröffent­lichte Liste mit allen Kommu­nikations­end­punkten erlaubt es Admins, die ge­schwätzigen Sub­systeme von ihren Anlauf­stellen zu iso­lieren und so den Daten­transfer zu unterbinden.

Microsoft veröffent­licht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfoh­lene GPO-Einstellungen, die das OS weniger angreif­bar machen. Ein unge­prüftes Aus­rollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.

Während der Edge-Browser an­fangs fast keine Möglich­keiten für das zen­trale Manage­ment bot, legt Micro­soft nun laufend neue Ein­stellungen für GPOs und MDM nach. Zwischen Windows 10 1703 und 1803 kamen zwar nur recht wenige Einstel­lungen hinzu, aber in der Preview 17713 gibt es nun gleich 16 neue Optionen.

Obwohl das 8+3-Limit für Datei­namen schon lange nicht mehr gilt, kann das Löschen aber immer noch an zu lan­gen Pfad­namen scheitern. In Power­Shell lässt sich das Problem mit einer spezi­fischen Syntax oder einem eigenen Cmdlet umgehen. In Windows 10 beseitigt ein GPO dieses Limit auch im Explorer.

Zu den auffälligsten Neuerungen von Windows 10 1803 gehört die so genannte Timeline. Mit diesem Feature können Benutzer nach­verfolgen, wann sie welche Anwen­dungen, Dateien oder Web-Seiten geöffnet haben. Wenn dies in Unter­nehmen nicht er­wünscht ist, lässt der Aktivitäts­verlauf per GPO ab­schalten.

Bei LAPS handelt es sich um ein kosten­loses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufäl­liges Pass­wort erzeugt. Aller­dings kann man nicht so ein­fach erkennen, ob der Mecha­nismus auf jedem Rechner funk­tioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.