Weblog von Wolfgang Sommergut

    Windows 10 1709 (Fall Creators Update): Die wichtigsten Neuerungen im Überblick

    Paint 3D in Windows 10 1709Microsoft begann am 17. Oktober mit der Aus­lieferung von Windows 10 1703. Wie der Name und die von Micro­soft besonders bewor­benen Features ver­muten lassen, spricht das Update vor allem Consumer an. Aber auch für Unter­nehmen finden sich einige interes­sante Neuerungen, besonders bei Security.

    Mit Windows 10 oder Server 2016 offline einer Domäne beitreten

    Offline Domain JoinMicrosoft führte mit Windows 7 und Server 2008 R2 die Mög­lich­keit ein, mit PCs einer Domäne beizu­treten, ohne dass diese eine Verbin­dung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kom­mando­zeilen-Tool djoin.exe, ein GUI- oder Power­Shell-Äqui­valent dazu gibt es nicht.

    Windows Server Insider Preview herunterladen und installieren

    Windows as a ServiceMit der Aus­dehnung von Windows as a Service auf das Server-OS stellt Microsoft auch dafür regel­mäßige Feature-Updates bereit, die in einem halb­jährlichen Rhyt­hmus er­scheinen. Vor ihrer Frei­gabe kann man die Neuerungen bereits in der Insider Preview eva­luieren. Die folgende Anleitung zeigt, worauf man dabei achten sollte.

    Web-Tools für Windows Server (Projekt "Honolulu"): Die Funktionen im Überblick

    Die Web-Tools bestehen derzeit aus drei Modulen.Die neuen Browser-basierten Tools für das Remote-Management von Windows Server gelten als Nach­folger für die RSAT, sollen diese aber vorerst nicht ersetzen. Mit dem in der Preview vorhan­denen Funktions­umfang wären sie dazu auch nicht in der Lage. Folgende Über­sicht zeigt, wofür sie sich aktuell eignen.

    Web-basierte RSAT (Projekt "Honolulu"): Installation und Funktionsweise

    Projekt HonoluluUnter dem Codenamen "Projekt Honolulu" hat Microsoft kürzlich eine neue Browser-basierte Alternative zu den RSAT angekündigt. Die Tools lassen sich sowohl auf einer Workstation als auch auf einem Server installieren. Letzterer kann als Gateway dienen, über das man andere (auch ältere) Server verwaltet.

    Schnellzugriff als Startseite in Windows Explorer deaktivieren mit GPO

    Schnellzugriff im Explorer von Windows 10Windows 10 führte ein neues Konzept zur Navi­gation im Datei­system ein. Dabei startet der Explorer standard­mäßig mit dem Schnell­zugriff, welcher häufig verwen­dete Ordner und zuletzt geöff­nete Dateien enthält. Wer dieses Feature nicht braucht, kann es per GPO umgehen.

    Windows 10: Zugriff auf Standort, Kamera und Mikrofon per GPO einschränken

    Einstellungen für die Privatsphäre in Windows 10Microsoft kündigte für das Fall Creators Update (Version 1709) eine weitere Änderung zum Schutz der Privat­sphäre an. Apps soll es dann per Vorein­stellung nicht mehr erlaubt sein, auf be­stimmte Geräte und Daten des Systems zuzu­greifen. Dies kann man aber schon heute per GPO zentral durch­setzen.

    Anmelden an bestimmten PCs für Benutzer und Gruppen verweigern

    Lokale Anmeldung erlauben oder verweigernPer Vorein­stellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umge­bungen uner­wünscht sein, weil sich durch die Beschränkung der Anmel­dung Risiken ver­meiden lassen. Entsprechende Restrik­tionen können Admins über Gruppen­richtlinien durchsetzen.

    Anwendungen (Store, Remotehilfe) blockieren mit Firewall-Regeln und GPOs

    Windows-FirewallUm uner­wünschte Anwen­dungen zu blockieren, gibt es für das Black- und Whitelisting die Bord­mittel der Enter­prise Edition oder Tools von Dritt­anbietern. Wenn beide nicht zur Ver­fügung stehen, dann reicht es oft, einem Pro­gramm mit Fir­ewall-Regeln den Netz­zugriff zu verwehren.

    Best Practice: Sichere Rechner für Administratoren einrichten

    Privileged Admini­strative WorkstationMicrosoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

    Seiten