ADMX-Download und Security Baseline für Windows 11 verfügbar

Allerdings tragen die aktuellen Releases beider Betriebs­systeme die Versionsnummer 21H2. Das Group Policy Settings Reference Spreadsheet, also die bekannte Dokumentation als Excel-Tabelle, weist Windows 11 gar nicht als eigenes OS aus. Vielmehr sind dort alle (vermeintlich) neuen Einstellungen mit 21H2 gekenn­zeichnet.

Ein Problem stellt dies nur dar, wenn man bestimmte Einstellungen nutzen möchte und nicht erkennen kann, auf welche Versionen von Windows sich diese auswirken. Es spricht jedoch nichts dagegen, die administrativen Templates für Windows 11 ab sofort in den zentralen Store einzupflegen. Sie enthalten wie gewohnt auch die Einstellungen für ältere Versionen von Windows.

Neue Struktur für Update-Einstellungen

Ein Vorteil der neuen Vorlagen besteht darin, dass Microsoft den unübersichtlichen Wust an Einstellungen für Windows Update aufgeräumt hat. All die Optionen zum Neustart des Rechners nach einem Update, die entweder durch neuere Alternativen überholt sind oder gar nicht mehr wirken, finden sich nun im Ordner Legacy-Einstellungen.

Außerdem sortiert das aktuelle Template die bisher verstreuten Einstellungen für Windows Update bzw. Windows Update for Business sowie WSUS in jeweils eigene Container. Die Optionen, um Update-bezogene Funktionen aus der App Einstellungen zu entfernen, finden sich nun unter End­benutzer­ober­fläche verwalten. Dort hat Microsoft auch die Einstellungen für die Nutzungszeit und den Reboot untergebracht.

Edge-Einstellungen weiter an Bord

Obwohl die ursprüngliche Version von Edge nicht mehr in Windows 11 vorhanden ist und bei der Installation von Edge Chromium unter Windows 10 entfernt wird, sind die Einstellungen für diesen Browser nach wie vor an Bord. Anwender, die ihn noch unter Windows 10 nutzen, können dafür bestehende GPOs also weiterhin bearbeiten.

Wie üblich, erhält man die ADMX-Vorlagen in Form einer MSI-Datei, die man mit administrativen Rechten installieren muss. Sie enthalten im Gegensatz zu den Templates, die zum Lieferumfang von Windows gehören, sämtliche Sprachdateien. Die ADMX für Windows 11 können hier herunter­geladen werden.

Security Baseline

Die Security Baseline umfasst alle von Microsoft empfohlenen GPO-Einstellungen, um Systeme gegen Angriffe und Missbrauch zu härten. Die Version für Windows 11 nimmt zwei neue Settings in diese Liste auf.

Die eine aktiviert das Scannen von Scripts durch Microsoft Defender. Die andere reagiert auf die zuletzt aufgetauchten Schwachstellen im Print-Spooler (PrintNightmare) und beschränkt die Installation von Drucker­treibern auf Administratoren. Dies ist das Standard­verhalten seit dem August-Update und schaltet Point and Print faktisch ab.

Bis dato ließ sich diese Einstellung nur über die direkte Änderung der Registry konfigurieren. Die neue Option für die Gruppen­richtlinien findet sich jedoch nicht in den normalen Vorlagen, vielmehr muss man dafür SecGuide.admx aus der Baseline übernehmen.

Die Security Baseline ist wie üblich Bestandteil des Security Compliance Toolkit, welches neben den empfohlenen Gruppen­richtlinien in importierbarer Form noch eine Dokumentation und diverse Hilfs­programme enthält. Es kann ebenfalls von Microsoft Website heruntergeladen werden.