Windows 10 2004: 17 neue Einstellungen für Gruppenrichtlinien

    Teaser-Bild für GPOWindows 10 2004 (20H1) bringt zwei neue Ein­stellungen, welche der Ver­wendung langer Pass­wörter dienen. Hinzu kommt eine Option, um die Sicherheit der LDAP-Authen­tifi­zierung zu erhöhen. Weitere Ein­stellungen betreffen Update-Management, Store-Apps, Authen­tifi­zierung und ost­asiatische Schrift­zeichen.

    Zählt man die Summe aller Einstellungen in den ADMX-Dateien mit PowerShell, dann zeigt sich, dass ihre Zahl nicht gewachsen, sondern von 3440 in Windows 10 1909 auf 3245 in der Version 2004 abgenommen hat. Dieses Rätsel löst sich auf, sobald man den Inhalt des Verzeichnisses Policy­Definitions prüft. In Windows 10 2004 fehlt nämlich msedge.admx mit ca. 200 Einstellungen.

    Neue Kennwortrichtlinien

    Die interessanteste Neuerung kommt nicht über die administrativen Vorlagen, sondern über die Sicherheits­richtlinien. Sie heißt Kennwort­längen­beschränkung lockern und erlaubt es, die Minimale Passwortlänge von bisher höchstens 14 Zeichen zu überschreiten. Nach Aktivierung dieser Einstellung kann man den Wert bis auf 128 Zeichen hoch­schrauben.

    Neue Einstellungen, um die minimale Länge von Passwörtern zu erhöhen und diese Maßnahme zu überwachen.

    Damit eröffnet sich die Möglichkeit, Passphrasen auch ohne Tools von Drittherstellern zu erzwingen. Dabei handelt es sich um eine Folge mehrerer Wörter oder ganze Sätze, die sich die Benutzer leichter merken als einzelne lange Kennwörter. Aufgrund ihrer Länge lassen sie sich trotzdem nicht so einfach über Brute-Force-Angriffe knacken, vor allem wenn sie zusätzlich den Komplexitäts­anforderungen genügen müssen.

    Microsoft weist jedoch darauf hin, dass die Erhöhung der minimalen Passwortlänge zu Kompa­tibilitäts­problemen führen kann. Daher bringt Windows 10 2004 ergänzend dazu eine weitere Einstellung mit der Bezeichnung Überwachung der Mindestpasswortlänge. Damit kann man das Logging für Ereignisse aktivieren, die im Zusammenhang mit der Passwortlänge auftreten.

    FIDO-Authentifizierung

    Im Rahmen seiner Bemühungen, Passwörter für die Anmeldung an Windows zu eliminieren, unter­stützt Microsoft mit Windows Hello seit einiger Zeit FIDO2. Eine neue Einstellung erlaubt es nun, Benutzern die Verwendung externer Security Keys wie etwa jenen von Yubico zu genehmigen.

    Einstellung zur Konfiguration der FIDO-Authentifizierung

    Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.

    Die Authentifizierung betreffend kommt eine weitere Einstellung hinzu, die man zuvor nur über eine separate ADMX-Datei setzen konnte. Sie findet sich unter Lokale Richtlinien und heißt Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken. Eine Erklärung dazu gibt dieses Security Advisory.

    Keine GPO-Einstellungen für Edge und WSL 2

    Die frühere Version von Microsoft Edge ist bei Windows 10 2004 zwar immer noch an Bord, aber die dafür zuständigen Gruppen­richtlinien wurden nun entfernt. Der Browser bietet beim ersten Start an, Chromium Edge herunter­zuladen. Dessen administrative Vorlagen gehören somit beim neuesten Release von Windows 10 ebenfalls nicht zum Lieferumfang.

    Für das Browser-Management enthält Windows 10 2004 eine Einstellung für den Internet Explorer, die unter der Version 1909 ursprünglich noch nicht vorhanden war, aber nach der Freigabe von Edge Chromium über ein Update hinzukam.

    Bei der Umleitung von Seiten aus dem Internet Explorer auf Edge lässt sich die Version des Ziel-Browsers festlegen.

    Sie dient dazu, die Version von Edge zu festzulegen, wenn man bestimmte Seiten vom IE auf den neuen Browser umleitet (mit Hilfe der Option Alle Websites, die nicht in der Enterprise Mode Site List enthalten sind, an Microsoft Edge senden). Sie ist unter Computer- sowie Benutzer­konfiguration verfügbar.

    Bei der größten einzelnen Neuerung des Betriebs­systems, dem weitgehend umgebauten Subsystem for Linux (WSL 2), setzt Microsoft wie bereits bei der Sandbox auf eine Konfigurations­datei im Textformat (.wslconfig). Entsprechend gibt es dafür keine Gruppen­richtlinien.

    Konfiguration der Übermittlungsoptimierung

    Einige Verbesserungen erhielt die Übermittlungs­optimierung (Delivery Optimization), ein Cache-Mechanismus von Windows Update for Business (WUfB). Dazu gehört besonders, dass Admins nun absolute Werte für die maximale Band­breite angeben können, die für den Download von Updates zur Verfügung steht.

    Die Gruppen­richtlinien bilden diese Option mit zwei Einstellungen ab, und zwar getrennt für den Download im Vorder- und im Hintergrund. Sie finden sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Übermittlungs­optimierung.

    Maximale Band­breite für den Download von Updates festlegen

    Eine weitere Einstellung dient dazu, den Clients einen Cache-Host über DHCP (Option 235) zuzuweisen. Sie heißt Quelle des Cacheserver-Hostnamens. Mit dem Wert 2 erzwingt man diese Form der Zuordnung, auch wenn sie bereits auf andere Weise festgelegt wurde, zum Beispiel über die GPO-Einstellung Cacheserver Hostname.

    Einstellung, um den Cache-Host über DHCP zuzuweisen

    WUfB erhält zudem die Option, mit der man die Suche nach Feature-Updates auf eine bestimmte Version einschränken kann. Sie heißt Zielversion des Funktionsupdates auswählen. Damit lassen sich Feature-Updates diesem Blog-Kommentar zufolge beliebig lange aufschieben. Diese Einstellung hat eine höhere Priorität als Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen in WUfB.

    Der Scan für Feature-Updates lässt sich auf bestimmte Releases eingrenzen.

    Einstellungen für Apps

    Gleich drei neue Settings regeln die Installation und Verwendung von (bestimmten) Apps:

    • Verhindern, dass Benutzer ohne Administrator­rechte verpackte Windows-Apps installieren: Diese Einstellung wirkt sich nur auf das Side-Loading von Apps aus, aber nicht auf die Installation über den Store. Diese müsste man separat einschränken.
    • Im Hintergrund ausgeführte Windows-Apps dürfen auf Benutzer­bewegungen zugreifen: Dabei handelt es sich um eine weitere Option zum Schutz der Privatsphäre. Sie regelt, ob Windows-Apps die Bewegung von Kopf, Händen oder Motion-Controllern erfassen dürfen.
    • Diagrammrechner zulassen: Hierbei geht es um eine Funktion des neuen Rechners, der als Store-App vorliegt. Sie kann auf diesem Weg deaktiviert werden.

    Neue Einstellung für Apps zum Schutz der Privatsphäre

    Defender Antivirus

    Über die Einstellung Dateihash-Berechnungsfunktion aktivieren kann man veranlassen, dass der Virenscanner einen Hash für ausführbare Dateien erstellt. Per Voreinstellung ist diese Option abgeschaltet.

    Defender Antivirus zum Berechnen von Datei-Hashes konfigurieren

    Es liegt auf der Hand, dass sich die Hash-Berechnung auf die Performance des Gesamtsystems auswirkt. Diese erfolgt jedoch nur bei der ersten Prüfung. Da diese Einstellung primär im Zusammen­spiel mit Defender ATP von Nutzen ist, wird man sie nicht aktivieren, wenn man diesen Service nicht gebucht hat.

    IME für ostasiatische Sprachen

    Drei neue Einstellungen bestimmen, ob Benutzer die verwendete Version des Input Method Editor (IME) für Japanisch, vereinfachtes oder traditionelles Chinesisch kontrollieren können. Das Tool dient der Eingabe komplexer Schriftzeichen. Standardmäßig ist der neue Microsoft-IME aktiviert.

    Sie finden sich unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => IME

    Entfernte Einstellungen

    Mit Windows 10 2004 fügt Microsoft nicht nur 17 neue Einstellungen hinzu, sondern entfernt auch fünf. Drei davon betreffen die Übermittlungs­optimierung, weil dort für die Bandbreiten­kontrolle nun jeweils eigene Optionen für den Download im Vorder- und Hintergrund eingeführt wurden. Somit entfallen künftig:

    • Max. Uploadbandbreite (in KB/s)
    • Maximale Downloadbandbreite (in KB/s)
    • Maximale Downloadbandbreite (in Prozent)

    Auf der Strecke bleiben zudem zwei Einstellungen für Application Guard:

    • Zulassen, dass Benutzer Dateien vertrauen, die in Windows Defender Application Guard geöffnet werden
    • Konfigurieren zusätzlicher Quellen für nicht vertrauenswürdige Dateien in Windows Defender Application Guard

    Das grundsätzliche Problem mit entfernten Einstellungen besteht darin, dass sie sich in vorhandenen GPOs nicht mehr konfigurieren lassen, sobald man die neuen ADMX-Vorlagen verwendet.

    2 Kommentare

    GiuMess sagt:
    12. Juni 2020 - 12:02

    Hallo

    Ich kann leider die neuen Win10 2004 admx nicht zu Downloaden finden.
    Wo kann ich diese Downloaden? Oder wann stehen dieser zum Download bereit.

    Vielen Dank

    Bild von Wolfgang Sommergut
    12. Juni 2020 - 12:06

    Die ADMX-Dateien für Windows 10 2004 gibt es zurzeit noch nicht. Die neuen Einstellungen erhält man aktuell daher nur auf einer Workstation mit Win 10 2004.