Gruppenrichtlinien

    BitLocker-Laufwerke entsperren mit einem Recovery Agent

    BitLocker Recovery AgentWenn Benutzer auf ver­schlüsselte Lauf­werke nicht mehr zugreifen können, etwa weil sie das Pass­wort ver­gessen haben, dann muss man den betref­fenden Daten­träger über andere Mecha­nismen ent­sperren. Dazu zählen Wieder­herstel­lungs­agenten, die das Lauf­werk mittels Zerti­fikat frei­schalten können.

    Microsoft Office mit den GPOs der Security Baseline absichern

    Office SecurityDie Anwen­dungen von MS Office sind kom­plex und über viele Jahre ge­wachsen. Besonders einige ältere Features sind im profes­sionellen Um­feld nicht mehr er­wünscht oder gar ein Sicher­heits­risiko. Micro­soft stellt daher eine Security Baseline bereit, mit der Anwender die Angriffs­fläche über GPOs redu­zieren können.

    Reports zum Active Directory erzeugen mit dem kostenlosen AD Info

    AD InfoDie grafischen Bord­mittel von Windows sind primär für das Ver­walten von AD-Objekten aus­gelegt und nur sehr einge­schränkt geeig­net, um das Active Directory abzu­fragen. Diese Lücke füllt eine ganze Reihe von Dritt­anbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.

    Microsoft integriert die Update Baseline in das Security Compliance Toolkit

    Windows Update availableDie Security Base­line enthält alle von Micro­soft empfoh­lenen Ein­stellungen für die Gruppen­richt­linien, um Windows-Rechner möglichst sicher zu konfi­gurieren. Im Juni 2020 kam die Update Base­line zur Opti­mierung des Update-Ver­haltens als sepa­rater Down­load hinzu, beide werden nun ver­schmolzen.

    Nach Support-Aus: Adobe Flash über Gruppenrichtlinien oder WSUS deaktivieren

    Adobe Flash blockierenAb dem 01.01.2021 stellt Adobe den Support für den Flash-Player ein. Da die Soft­ware schon so unter noto­rischen Sicherheits­problemen litt, ist es nicht rat­sam, sie künftig weiter zu ver­wenden. Die in Windows inte­grierte Ver­sion lässt sich per Update ent­fernen, im Browser kann man Flash über ein GPO blockieren.

    Sechs neue Gruppenrichtlinien für Windows 10 20H2, alle Einstellungen als Excel-Tabelle

    Teaser-Bild für GPOAufgrund der überschaubaren Neuerungen von Windows 10 20H2 erhält es nur wenige zusätz­liche GPO-Einstellungen. Die vorläufige Security Baseline dokumentiert vier, aber tatsächlich sind es mehr. Der Schwe­rpunkt liegt auf Optionen für den Datenschutz. Nach längerer Zeit wieder verfügbar ist die Referenz als Excel-Tabelle.

    Windows 10 20H2: ADMX-Download, Security Baseline, kein eigenes ADK

    Windows ADKKurz nach der Fertigstellung von Windows 10 20H2 gibt Microsoft die dazu passenden ADMX-Vorlagen frei. Für die Gruppen­richt­linien kommen aber nur wenige neue Ein­stellungen hinzu, ein eigenes ADK gleich gar nicht. Verfügbar ist auch die Security Baseline mit mehreren Einstellungen für Defender Antivirus.

    Web-Suche in Windows 10 deaktivieren (mit Gruppenrichtlinien)

    Web-Suche über das Suchfeld in der TaskleisteWenn man einen Suchbegriff in das Eingabe­feld der Task­leiste eintippt, dann ergänzt Windows 10 die lokalen Ergeb­nisse mit solchen aus dem Web. Wenn man das als störend empfindet, dann kann man das Feature deaktivieren. Aller­dings hat Microsoft die ent­sprechende Ein­stellung mehr­fach geändert, zuletzt im Release 2004.

    SSL-Zertifikate über AD-Zertifizierungsstelle und GPO automatisch ausstellen und erneuern

    Zertifikat-SymbolWenn man Zertifikate für interne Web-Server, RD Web Access oder WSUS über eine Windows-CA ausstellt, dann kann man diesen Prozess auto­matisieren. Dadurch ver­hindert man zudem, dass Services wegen abge­laufener Zertifi­kate aus­fallen. Benötigt werden dafür ent­sprechende Templates und ein GPO.

    RDP-Client und RD Web Access für RD Gateway konfigurieren

    Gateway-Einstellungen im RDP-ClientDamit Clients über ein RD Gateway auf eine RDS-Bereit­stellung zugreifen können, muss man den RDP-Client entsprechend konfi­gurieren. Anstatt dies dem Benutzer zu überlassen, bieten sich dafür GPOs an. Startet er die Verbindung über RD Web Access oder den Webfeed, dann sollte das Gateway dort einge­tragen sein.

    Seiten