Seit Windows 10 1909 blendet Microsoft ein Widget in die Taskleiste ein, das verschiedene Inhalte wie Wetter oder Börsenkurse aus MSN anzeigt. Diese Neuigkeiten und interessante Themen dürften in den meisten professionellen Umgebungen unerwünscht sein. Sie lassen sich über Gruppenrichtlinien deaktivieren.
Bei der zentralen Verwaltung von Microsoft Office spielen die Gruppenrichtlinien eine zentrale Rolle, besonders für die Sicherheitskonfiguration. Der Cloud Policy Service erlaubt es Admins, die Office-Apps über einen M365-Service anzupassen, und zwar auch dann, wenn die PCs nicht Mitglied in einer Domäne sind.
Der Bedarf nach Sicherheit nimmt laufend zu und die Auflagen, die durch interne oder externe Compliance-Richtlinien entstehen, werden immer strenger. Gleichzeitig fehlt das benötigte Fachpersonal zur Bewältigung dieser Aufgaben. Es lohnt sich für Unternehmen deshalb, sich nach effektiven technischen Lösungen umzusehen.
Microsoft gab die Version 21H1 von Windows 10 frei. Es handelt sich dabei um ein kleines Update, das per Enablement-Package aktiviert wird. Zeitgleich sind die ADMX-Vorlagen für die Gruppenrichtlinien verfügbar, die 10 neue Einstellungen enthalten. Nichts Neues gibt es bei der Security Baseline, dem ADK und den RSAT.
Die Sicherheitsfilterung erlaubt es, GPOs auf bestimmte AD-Gruppen, Benutzer oder Computer anzuwenden bzw. diese auszuschließen. Will man diesen Mechanismus für viele Konten konfigurieren, dann ist die Gruppenrichtlinienverwaltung umständlich. PowerShell erweist sich für diese Aufgabe als effizienter.
Wenn Benutzer auf verschlüsselte Laufwerke nicht mehr zugreifen können, etwa weil sie das Passwort vergessen haben, dann muss man den betreffenden Datenträger über andere Mechanismen entsperren. Dazu zählen Wiederherstellungsagenten, die das Laufwerk mittels Zertifikat freischalten können.
Die Anwendungen von MS Office sind komplex und über viele Jahre gewachsen. Besonders einige ältere Features sind im professionellen Umfeld nicht mehr erwünscht oder gar ein Sicherheitsrisiko. Microsoft stellt daher eine Security Baseline bereit, mit der Anwender die Angriffsfläche über GPOs reduzieren können.
Die grafischen Bordmittel von Windows sind primär für das Verwalten von AD-Objekten ausgelegt und nur sehr eingeschränkt geeignet, um das Active Directory abzufragen. Diese Lücke füllt eine ganze Reihe von Drittanbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.
Die Security Baseline enthält alle von Microsoft empfohlenen Einstellungen für die Gruppenrichtlinien, um Windows-Rechner möglichst sicher zu konfigurieren. Im Juni 2020 kam die Update Baseline zur Optimierung des Update-Verhaltens als separater Download hinzu, beide werden nun verschmolzen.
Ab dem 01.01.2021 stellt Adobe den Support für den Flash-Player ein. Da die Software schon so unter notorischen Sicherheitsproblemen litt, ist es nicht ratsam, sie künftig weiter zu verwenden. Die in Windows integrierte Version lässt sich per Update entfernen, im Browser kann man Flash über ein GPO blockieren.
Aufgrund der überschaubaren Neuerungen von Windows 10 20H2 erhält es nur wenige zusätzliche GPO-Einstellungen. Die vorläufige Security Baseline dokumentiert vier, aber tatsächlich sind es mehr. Der Schwerpunkt liegt auf Optionen für den Datenschutz. Nach längerer Zeit wieder verfügbar ist die Referenz als Excel-Tabelle.