Gruppenrichtlinien

    Microsoft veröffentlicht Security Baseline für Windows Server 2022

    Privileged Administrative WorkstationKurz nach der Frei­gabe des Betriebs­systems legt Microsoft die Security Baseline für Windows Server 2022 nach. Die Em­pfehlungen des Her­stellers ent­halten drei neue bzw. modi­fizierte Ein­stellungen. Sie be­treffen die Nutzung von Web-Browsern auf DCs und Microsoft Defender sowie Maß­nahmen gegen "PrintNightmare".

    Installation von (USB)-Geräten kontrollieren mit Gruppenrichtlinien

    Memory-StickDie ver­schiedenen Wechsel­medien, die sich per Plug-and-Play an einen PC an­schließen lassen, bergen die Gefahr von Daten­diebstahl oder die Infek­tion mit Malware. Admins können die Instal­lation solcher Geräte per GPO ver­hindern. Eine kürz­lich einge­führte Ein­stellung erlaubt nun ein White­listing von benötigter Peri­pherie.

    Migration auf Edge: Internet Explorer mit Enterprise Mode weiternutzen

    Internet Explorer 11 InfoMit dem Support-Ende für den Internet Explorer (IE) im Juni 2022 müssen Unter­nehmen auf einen moder­nen Browser um­steigen. In vielen Fällen wird das Micro­soft Edge sein. Er bietet den Vorteil, dass er alte Seiten oder Anwen­dungen an den IE weiter­leiten kann. Dafür bieten die Gruppen­richt­linien mehrere Optionen.

    Zentralen Store für ADMX-Vorlagen einrichten und aktualisieren

    ADMX-Vorlagen für Office 2016 und 2019Zwar enthält jeder Windows-PC einen eigenen Satz an admini­stra­tiven Vor­lagen für die Gruppen­richt­linien, diese lassen sich aber in einer zen­tralen Ablage besser ver­walten. Dies gilt umso mehr, wenn ADMX für ver­schiedene Anwen­dungen hinzu­kommen. Als trick­reich kann sich aber dann das Update gestalten.

    NTFS-Berechtigungen über Gruppenrichtlinien anpassen

    Dateiberechtigungen Windows ExplorerWenn man die Zugriffs­rechte auf Verzeich­nisse für viele Rechner an­passen möchte, dann lässt sich auch diese Auf­gabe über die Gruppen­richt­linien erledigen. Damit spart man sich nicht nur die inter­aktive Konfi­guration, sondern stellt auch sicher, dass die Berech­tigungen künftig nicht mehr von der Vorgabe abweichen.

    DNS-Abfragen über HTTPS (DoH) absichern in Windows 10 / 11

    Domain Name ServiceDNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authen­tizität des DNS-Servers gewähr­leistet und die An­fragen an diesen Dienst vor neu­gierigen Zeit­genossen ver­birgt. Microsoft hat den Support für DoH in Windows schon länger ange­kündigt, in den aktu­ellen Previews lässt es sich via GUI oder GPO konfi­gurieren.

    Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren

    News and InterestsSeit Windows 10 1909 blendet Microsoft ein Widget in die Task­leiste ein, das ver­schiedene Inhalte wie Wetter oder Börsen­kurse aus MSN anzeigt. Diese Neuig­keiten und interes­sante Themen dürften in den meisten profes­sionellen Umgebungen uner­wünscht sein. Sie lassen sich über Gruppen­richt­linien deak­tivieren.

    Microsoft 365 Apps for enterprise (Office ProPlus) über den Cloud-Richtliniendienst verwalten

    Microsoft 365 TeaserBei der zentralen Ver­waltung von Microsoft Office spielen die Gruppen­richt­linien eine zentrale Rolle, besonders für die Sicher­heits­konfi­guration. Der Cloud Policy Service erlaubt es Admins, die Office-Apps über einen M365-Service anzu­passen, und zwar auch dann, wenn die PCs nicht Mitglied in einer Domäne sind.

    Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT

    Teaser-Bild für GPOMicrosoft gab die Version 21H1 von Windows 10 frei. Es handelt sich dabei um ein kleines Update, das per Enablement-Package aktiviert wird. Zeitgleich sind die ADMX-Vorlagen für die Gruppen­richt­linien ver­fügbar, die 10 neue Einstellungen ent­halten. Nichts Neues gibt es bei der Security Base­line, dem ADK und den RSAT.

    GPO-Sicherheitsfilterung für Computer-Konten mit PowerShell konfigurieren

    GPO-Sicherheitsfilterung mit PowerShellDie Sicher­heits­filterung erlaubt es, GPOs auf be­stimmte AD-Gruppen, Ben­utzer oder Com­puter anzu­wen­den bzw. diese auszu­schließen. Will man diesen Mecha­nismus für viele Konten konfi­gurieren, dann ist die Gruppen­richtlinien­verwaltung um­ständlich. Power­Shell erweist sich für diese Aufgabe als effi­zienter.

    Seiten