Kurz nach der erneuten Freigabe von Windows 10 1809 und Server 2019 ist nun die dazugehörige Security Baseline verfügbar. Sie enthält die von Microsoft empfohlene Sicherheitskonfiguration auf Basis von Gruppenrichtlinien. Neben den GPOs für den Import bietet sie eine umfangreiche Dokumentation.
Mit den jüngsten Updates des Client- und Server-Betriebssystems kamen Einstellungen für die Gruppenrichtlinien hinzu, die Vorlagen gibt es wieder als separaten Download. Zuwachs gab es bei der Konfiguration von Edge, zur Steuerung der Group Policy Preferences und zu neuen Features wie der erweiterten Zwischenablage.
ManageEngine hat Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicherheitskritischen Aufgaben ab. Dieses reicht von einer zentralen Browser- und BitLocker-Verwaltung über ein Device- und Schwachstellen-Management bis zum App-Whitelisting.
Microsoft gab kürzlich die ADMX-Templates frei, über die sich Office 365 ProPlus und Office 2019, aber auch noch Office 2016 über Gruppenrichtlinien verwalten lassen. Mit im Paket sind zudem die OPAX-Dateien für das Office Customization Tool sowie eine Excel-Tabelle mit einer Übersicht über alle Einstellungen.
Seit der Version 60 enthält Firefox eine neue Policy Engine, mit der sich viele Einstellungen zentral festlegen lassen. Das Regelwerk kann man je nach Plattform und Vorlieben über Gruppenrichtlinien oder eine Konfigurationsdatei im JSON-Format definieren. Der AutoConfig-Mechanismus ist vorerst noch an Bord.
Einige Komponenten von Windows 10 kontaktieren regelmäßig Online-Diensten von Microsoft. Eine vom Hersteller veröffentlichte Liste mit allen Kommunikationsendpunkten erlaubt es Admins, die geschwätzigen Subsysteme von ihren Anlaufstellen zu isolieren und so den Datentransfer zu unterbinden.
Microsoft veröffentlicht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfohlene GPO-Einstellungen, die das OS weniger angreifbar machen. Ein ungeprüftes Ausrollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.
Während der Edge-Browser anfangs fast keine Möglichkeiten für das zentrale Management bot, legt Microsoft nun laufend neue Einstellungen für GPOs und MDM nach. Zwischen Windows 10 1703 und 1803 kamen zwar nur recht wenige Einstellungen hinzu, aber in der Preview 17713 gibt es nun gleich 16 neue Optionen.
Obwohl das 8+3-Limit für Dateinamen schon lange nicht mehr gilt, kann das Löschen aber immer noch an zu langen Pfadnamen scheitern. In PowerShell lässt sich das Problem mit einer spezifischen Syntax oder einem eigenen Cmdlet umgehen. In Windows 10 beseitigt ein GPO dieses Limit auch im Explorer.
Zu den auffälligsten Neuerungen von Windows 10 1803 gehört die so genannte Timeline. Mit diesem Feature können Benutzer nachverfolgen, wann sie welche Anwendungen, Dateien oder Web-Seiten geöffnet haben. Wenn dies in Unternehmen nicht erwünscht ist, lässt der Aktivitätsverlauf per GPO abschalten.
Bei LAPS handelt es sich um ein kostenloses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufälliges Passwort erzeugt. Allerdings kann man nicht so einfach erkennen, ob der Mechanismus auf jedem Rechner funktioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.