Bei der zentralen Ver­waltung von Microsoft Office spielen die Gruppen­richt­linien eine zentrale Rolle, besonders für die Sicher­heits­konfi­guration. Der Cloud Policy Service erlaubt es Admins, die Office-Apps über einen M365-Service anzu­passen, und zwar auch dann, wenn die PCs nicht Mitglied in einer Domäne sind.

Microsoft gab die Version 21H1 von Windows 10 frei. Es handelt sich dabei um ein kleines Update, das per Enablement-Package aktiviert wird. Zeitgleich sind die ADMX-Vorlagen für die Gruppen­richt­linien ver­fügbar, die 10 neue Einstellungen ent­halten. Nichts Neues gibt es bei der Security Base­line, dem ADK und den RSAT.

Die Sicher­heits­filterung erlaubt es, GPOs auf be­stimmte AD-Gruppen, Ben­utzer oder Com­puter anzu­wen­den bzw. diese auszu­schließen. Will man diesen Mecha­nismus für viele Konten konfi­gurieren, dann ist die Gruppen­richtlinien­verwaltung um­ständlich. Power­Shell erweist sich für diese Aufgabe als effi­zienter.

Wenn Benutzer auf ver­schlüsselte Lauf­werke nicht mehr zugreifen können, etwa weil sie das Pass­wort ver­gessen haben, dann muss man den betref­fenden Daten­träger über andere Mecha­nismen ent­sperren. Dazu zählen Wieder­herstel­lungs­agenten, die das Lauf­werk mittels Zerti­fikat frei­schalten können.

Die Anwen­dungen von MS Office sind kom­plex und über viele Jahre ge­wachsen. Besonders einige ältere Features sind im profes­sionellen Um­feld nicht mehr er­wünscht oder gar ein Sicher­heits­risiko. Micro­soft stellt daher eine Security Baseline bereit, mit der Anwender die Angriffs­fläche über GPOs redu­zieren können.

Die grafischen Bord­mittel von Windows sind primär für das Ver­walten von AD-Objekten aus­gelegt und nur sehr einge­schränkt geeig­net, um das Active Directory abzu­fragen. Diese Lücke füllt eine ganze Reihe von Dritt­anbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.

Die Security Base­line enthält alle von Micro­soft empfoh­lenen Ein­stellungen für die Gruppen­richt­linien, um Windows-Rechner möglichst sicher zu konfi­gurieren. Im Juni 2020 kam die Update Base­line zur Opti­mierung des Update-Ver­haltens als sepa­rater Down­load hinzu, beide werden nun ver­schmolzen.

Ab dem 01.01.2021 stellt Adobe den Support für den Flash-Player ein. Da die Soft­ware schon so unter noto­rischen Sicherheits­problemen litt, ist es nicht rat­sam, sie künftig weiter zu ver­wenden. Die in Windows inte­grierte Ver­sion lässt sich per Update ent­fernen, im Browser kann man Flash über ein GPO blockieren.

Aufgrund der überschaubaren Neuerungen von Windows 10 20H2 erhält es nur wenige zusätz­liche GPO-Einstellungen. Die vorläufige Security Baseline dokumentiert vier, aber tatsächlich sind es mehr. Der Schwe­rpunkt liegt auf Optionen für den Datenschutz. Nach längerer Zeit wieder verfügbar ist die Referenz als Excel-Tabelle.

Kurz nach der Fertigstellung von Windows 10 20H2 gibt Microsoft die dazu passenden ADMX-Vorlagen frei. Für die Gruppen­richt­linien kommen aber nur wenige neue Ein­stellungen hinzu, ein eigenes ADK gleich gar nicht. Verfügbar ist auch die Security Baseline mit mehreren Einstellungen für Defender Antivirus.