Die meisten Gruppen­richt­linienobjekte (GPOs) fassen mehrere Ein­stellungen zu einem Windows-Feature oder einer Anwen­dung zu­sammen. Möchte man eine bestimmte Einstellung wieder daraus ent­fernen, dann funk­tioniert das oft nicht rück­stands­los. In diesem Fall ist manuelle Nach­arbeit nötig.

Microsoft doku­mentierte mit jedem neuen Release von Windows 10 alle Ein­stellungen für die Gruppen­richt­linien in einer Excel-Tabelle. Eine solche ist aber seit der Version 1809 nicht mehr er­schienen. Mit etwas PowerShell und Studium der ADMX-Datei­struktur habe ich eine solche nun selbst erstellt.

Microsoft gab auf Basis von Chromium 79 die erste stabile Ver­sion seines neuen Browsers frei. Während private An­wender ihn über Windows Update er­halten, haben Unter­nehmen ver­schiedene Deployment-Optionen. Dem zen­tralen Management von Edge dienen zahl­reiche Einstellungen für die Gruppen­richtlinien.

Power­Shell Core fehlte bis dato die Möglich­keit, Einstellungen zentral über Gruppen­richt­linien zu konfi­gurieren. Die Preview von PowerShell 7 behebt diese Ein­schränkung mit einer eigenen ADMX-Vorlage. Sie ent­hält alle von Windows PowerShell be­kannten Ein­stellungen sowie eine neue Sicher­heits­option.

Microsoft neuer Web-Browser auf Basis von Chromium nähert sich seiner Fertig­stellung. Er soll ab Mitte Januar über Windows Update ver­teilt werden. Unter­nehmen ohne WSUS können die Instal­lation mittels GPO ver­hindern. Eine Security Baseline empfiehlt die Konfi­guration für den profes­sionellen Einsatz.

Die Registry enthält zahl­reiche sicher­heits­kritische Ein­stellungen, durch deren Mani­pulation ein An­greifer wichtige Schutz­mecha­nismen außer Kraft setzen kann. So lassen sich damit beispiels­weise die Gruppen­richtlinien aus­hebeln. Das Auditing der Registry hilft, solche uner­wünschten Aktivi­täten zu erkennen.

Wenn Unter­nehmen Dienste der Microsoft-Cloud nutzen, dann kommen sie für das Identity Manage­ment kaum an Azure Active Directory (AAD) vorbei. Daher läge es nahe, auch das On-Prem-AD in die Cloud zu migrieren. Eine Hürde dafür ist, dass es einige Unter­schiede zwischen den beiden Ver­zeichnis­diensten gibt.

Microsoft veröffent­lichte die Security Baseline für die neue­sten Windows-Versionen. Es han­delt sich dabei um eine Sammlung empfoh­lener Sicher­heits­ein­stellungen für Gruppen­richtlinien. Auf­grund der wenigen Neuerungen im Release 1909 kommen keine weiteren Vor­gaben hinzu, aber 4 davon wurden entfernt.

Bereits kurz nach der Frei­gabe der neuesten Version von Windows 10 stellt Microsoft die dazu­gehörigen admini­strativen Vor­lagen für die Gruppen­richt­linien bereit. Die Änderungen im Ver­gleich zum Release 1903 sind nur gering­fügig, eine Dokumen­tation lässt seit Windows 10 1809 auf sich warten.

Mozilla stattet Fire­fox mit einer Daten­bank für Zertifikate aus, die ab Werk eine Reihe von Stamm­zertifikaten ent­hält. Ver­teilt man etwa selbst­signierte Zerti­fikate mittels GPO an Clients, dann bleiben sie deshalb für Firefox unbe­kannt. Über eine Ein­stellung kann Firefox aber Zertifi­kate aus dem Windows-Speicher impor­tieren.