Microsoft kündigte für das Fall Creators Update (Version 1709) eine weitere Änderung zum Schutz der Privat­sphäre an. Apps soll es dann per Vorein­stellung nicht mehr erlaubt sein, auf be­stimmte Geräte und Daten des Systems zuzu­greifen. Dies kann man aber schon heute per GPO zentral durch­setzen.

Um uner­wünschte Anwen­dungen zu blockieren, gibt es für das Black- und Whitelisting die Bord­mittel der Enter­prise Edition oder Tools von Dritt­anbietern. Wenn beide nicht zur Ver­fügung stehen, dann reicht es oft, einem Pro­gramm mit Fir­ewall-Regeln den Netz­zugriff zu verwehren.

Microsoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

Desired State Configuration (DSC) ist nicht nur ein Mecha­nismus, mit dem sich eine ge­wünschte System­konfiguration auf Rechnern her­stellen lässt. Die Tech­nik kann man auch ein­setzen, um fest­zu­stellen, ob PCs von einem gewün­schten Stan­dard abweichen. Neben den Bord­mitteln ist das Modul DSCEA dabei behilf­lich.

Viele Firmen ver­schicken immer noch kritische Daten per Mail oder über öffent­liche Cloud-Dien­ste. Nicht nur die Nach­teile dieser un­sich­eren Tech­niken, son­dern auch die Euro­päische Daten­schutzgrund­ver­ord­nung soll­ten Firmen veran­lassen, auf Managed File Transfer umzustellen.

E-Mails sind nach wie vor das größte Einfalls­tor für Schad­pro­gramme und Phishing-Attacken. Um An­griffe schneller zu er­kennen, haben sich einige Tech­niken etab­liert, mit denen sich die Her­kunft von Nach­richten veri­fi­zieren lässt. Wichtig ist es aber auch, dem Miss­brauch des Systems beim Mail-Versand vorzu­beugen.*

Windows Server enthält in der Version 2016 erst­mals die Anti-Malware von Microsoft. Während Defender bei Server Core und Desktop Experience bereits vorin­stal­liert ist, muss man es unter Nano Server als Package hinzufügen. Für das Manage­ment auf einem Server ohne GUI stehen GPOs und Power­Shell-Cmdlets zur Verfügung.

Altaro VM Backup sichert VMs unter Hyper-V sowie VMware vSphere. Die Version 7.1 erhielt mit der verbes­ser­ten Dedup­lika­tion, dem Booten von VMs aus Backups sowie der Cloud Manage­ment Con­sole weitere Funktionen, die bis­lang eher Enterprise-Lösungen vorbe­halten waren.

Microsoft hat angekündigt, dass der Support für das Tool Security Compliance Manager (SCM) endet. Das Tool ist seit 2010 verfügbar und dient dazu, GPO-basierte Sicher­heits­konfi­gura­tionen mit den empfoh­lenen Ein­stel­lungen des Her­stellers zu vergleichen. Diese lassen sich damit in die eigenen Systeme übernehmen.

Microsoft veröffent­lichte eine Excel-Tabelle, die alle standard­mäßig installierten Dienste von Windows Server 2016 enthält. Sie gibt Auf­schluss darüber, welche Aufgabe diese Services jeweils erfüllen und unter welchen Bedin­gungen man auf sie ver­zichten kann. Bedarf für Optim­ierung gibt es beson­ders bei instal­lierter Desktop Experience.