Kurz nach der Frei­gabe des Betriebs­systems legt Microsoft die Security Baseline für Windows Server 2022 nach. Die Em­pfehlungen des Her­stellers ent­halten drei neue bzw. modi­fizierte Ein­stellungen. Sie be­treffen die Nutzung von Web-Browsern auf DCs und Microsoft Defender sowie Maß­nahmen gegen "PrintNightmare".

Die ver­schiedenen Wechsel­medien, die sich per Plug-and-Play an einen PC an­schließen lassen, bergen die Gefahr von Daten­diebstahl oder die Infek­tion mit Malware. Admins können die Instal­lation solcher Geräte per GPO ver­hindern. Eine kürz­lich einge­führte Ein­stellung erlaubt nun ein White­listing von benötigter Peri­pherie.

Mit dem Support-Ende für den Internet Explorer (IE) im Juni 2022 müssen Unter­nehmen auf einen moder­nen Browser um­steigen. In vielen Fällen wird das Micro­soft Edge sein. Er bietet den Vorteil, dass er alte Seiten oder Anwen­dungen an den IE weiter­leiten kann. Dafür bieten die Gruppen­richt­linien mehrere Optionen.

Zwar enthält jeder Windows-PC einen eigenen Satz an admini­stra­tiven Vor­lagen für die Gruppen­richt­linien, diese lassen sich aber in einer zen­tralen Ablage besser ver­walten. Dies gilt umso mehr, wenn ADMX für ver­schiedene Anwen­dungen hinzu­kommen. Als trick­reich kann sich aber dann das Update gestalten.

Wenn man die Zugriffs­rechte auf Verzeich­nisse für viele Rechner an­passen möchte, dann lässt sich auch diese Auf­gabe über die Gruppen­richt­linien erledigen. Damit spart man sich nicht nur die inter­aktive Konfi­guration, sondern stellt auch sicher, dass die Berech­tigungen künftig nicht mehr von der Vorgabe abweichen.

DNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authen­tizität des DNS-Servers gewähr­leistet und die An­fragen an diesen Dienst vor neu­gierigen Zeit­genossen ver­birgt. Microsoft hat den Support für DoH in Windows schon länger ange­kündigt, in den aktu­ellen Previews lässt es sich via GUI oder GPO konfi­gurieren.

Seit Windows 10 1909 blendet Microsoft ein Widget in die Task­leiste ein, das ver­schiedene Inhalte wie Wetter oder Börsen­kurse aus MSN anzeigt. Diese Neuig­keiten und interes­sante Themen dürften in den meisten profes­sionellen Umgebungen uner­wünscht sein. Sie lassen sich über Gruppen­richt­linien deak­tivieren.

Bei der zentralen Ver­waltung von Microsoft Office spielen die Gruppen­richt­linien eine zentrale Rolle, besonders für die Sicher­heits­konfi­guration. Der Cloud Policy Service erlaubt es Admins, die Office-Apps über einen M365-Service anzu­passen, und zwar auch dann, wenn die PCs nicht Mitglied in einer Domäne sind.

Microsoft gab die Version 21H1 von Windows 10 frei. Es handelt sich dabei um ein kleines Update, das per Enablement-Package aktiviert wird. Zeitgleich sind die ADMX-Vorlagen für die Gruppen­richt­linien ver­fügbar, die 10 neue Einstellungen ent­halten. Nichts Neues gibt es bei der Security Base­line, dem ADK und den RSAT.

Die Sicher­heits­filterung erlaubt es, GPOs auf be­stimmte AD-Gruppen, Ben­utzer oder Com­puter anzu­wen­den bzw. diese auszu­schließen. Will man diesen Mecha­nismus für viele Konten konfi­gurieren, dann ist die Gruppen­richtlinien­verwaltung um­ständlich. Power­Shell erweist sich für diese Aufgabe als effi­zienter.