Tags: Gruppenrichtlinien, Windows 10
Windows 10 2004 (20H1) bringt zwei neue Einstellungen, welche der Verwendung langer Passwörter dienen. Hinzu kommt eine Option, um die Sicherheit der LDAP-Authentifizierung zu erhöhen. Weitere Einstellungen betreffen Update-Management, Store-Apps, Authentifizierung und ostasiatische Schriftzeichen.
Zählt man die Summe aller Einstellungen in den ADMX-Dateien mit PowerShell, dann zeigt sich, dass ihre Zahl nicht gewachsen, sondern von 3440 in Windows 10 1909 auf 3245 in der Version 2004 abgenommen hat. Dieses Rätsel löst sich auf, sobald man den Inhalt des Verzeichnisses PolicyDefinitions prüft. In Windows 10 2004 fehlt nämlich msedge.admx mit ca. 200 Einstellungen.
Neue Kennwortrichtlinien
Die interessanteste Neuerung kommt nicht über die administrativen Vorlagen, sondern über die Sicherheitsrichtlinien. Sie heißt Kennwortlängenbeschränkung lockern und erlaubt es, die Minimale Passwortlänge von bisher höchstens 14 Zeichen zu überschreiten. Nach Aktivierung dieser Einstellung kann man den Wert bis auf 128 Zeichen hochschrauben.
Damit eröffnet sich die Möglichkeit, Passphrasen auch ohne Tools von Drittherstellern zu erzwingen. Dabei handelt es sich um eine Folge mehrerer Wörter oder ganze Sätze, die sich die Benutzer leichter merken als einzelne lange Kennwörter. Aufgrund ihrer Länge lassen sie sich trotzdem nicht so einfach über Brute-Force-Angriffe knacken, vor allem wenn sie zusätzlich den Komplexitätsanforderungen genügen müssen.
Microsoft weist jedoch darauf hin, dass die Erhöhung der minimalen Passwortlänge zu Kompatibilitätsproblemen führen kann. Daher bringt Windows 10 2004 ergänzend dazu eine weitere Einstellung mit der Bezeichnung Überwachung der Mindestpasswortlänge. Damit kann man das Logging für Ereignisse aktivieren, die im Zusammenhang mit der Passwortlänge auftreten.
FIDO-Authentifizierung
Im Rahmen seiner Bemühungen, Passwörter für die Anmeldung an Windows zu eliminieren, unterstützt Microsoft mit Windows Hello seit einiger Zeit FIDO2. Eine neue Einstellung erlaubt es nun, Benutzern die Verwendung externer Security Keys wie etwa jenen von Yubico zu genehmigen.
Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.
Die Authentifizierung betreffend kommt eine weitere Einstellung hinzu, die man zuvor nur über eine separate ADMX-Datei setzen konnte. Sie findet sich unter Lokale Richtlinien und heißt Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken. Eine Erklärung dazu gibt dieses Security Advisory.
Keine GPO-Einstellungen für Edge und WSL 2
Die frühere Version von Microsoft Edge ist bei Windows 10 2004 zwar immer noch an Bord, aber die dafür zuständigen Gruppenrichtlinien wurden nun entfernt. Der Browser bietet beim ersten Start an, Chromium Edge herunterzuladen. Dessen administrative Vorlagen gehören somit beim neuesten Release von Windows 10 ebenfalls nicht zum Lieferumfang.
Für das Browser-Management enthält Windows 10 2004 eine Einstellung für den Internet Explorer, die unter der Version 1909 ursprünglich noch nicht vorhanden war, aber nach der Freigabe von Edge Chromium über ein Update hinzukam.
Sie dient dazu, die Version von Edge zu festzulegen, wenn man bestimmte Seiten vom IE auf den neuen Browser umleitet (mit Hilfe der Option Alle Websites, die nicht in der Enterprise Mode Site List enthalten sind, an Microsoft Edge senden). Sie ist unter Computer- sowie Benutzerkonfiguration verfügbar.
Bei der größten einzelnen Neuerung des Betriebssystems, dem weitgehend umgebauten Subsystem for Linux (WSL 2), setzt Microsoft wie bereits bei der Sandbox auf eine Konfigurationsdatei im Textformat (.wslconfig). Entsprechend gibt es dafür keine Gruppenrichtlinien.
Konfiguration der Übermittlungsoptimierung
Einige Verbesserungen erhielt die Übermittlungsoptimierung (Delivery Optimization), ein Cache-Mechanismus von Windows Update for Business (WUfB). Dazu gehört besonders, dass Admins nun absolute Werte für die maximale Bandbreite angeben können, die für den Download von Updates zur Verfügung steht.
Die Gruppenrichtlinien bilden diese Option mit zwei Einstellungen ab, und zwar getrennt für den Download im Vorder- und im Hintergrund. Sie finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Übermittlungsoptimierung.
Eine weitere Einstellung dient dazu, den Clients einen Cache-Host über DHCP (Option 235) zuzuweisen. Sie heißt Quelle des Cacheserver-Hostnamens. Mit dem Wert 2 erzwingt man diese Form der Zuordnung, auch wenn sie bereits auf andere Weise festgelegt wurde, zum Beispiel über die GPO-Einstellung Cacheserver Hostname.
WUfB erhält zudem die Option, mit der man die Suche nach Feature-Updates auf eine bestimmte Version einschränken kann. Sie heißt Zielversion des Funktionsupdates auswählen. Damit lassen sich Feature-Updates diesem Blog-Kommentar zufolge beliebig lange aufschieben. Diese Einstellung hat eine höhere Priorität als Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen in WUfB.
Einstellungen für Apps
Gleich drei neue Settings regeln die Installation und Verwendung von (bestimmten) Apps:
- Verhindern, dass Benutzer ohne Administratorrechte verpackte Windows-Apps installieren: Diese Einstellung wirkt sich nur auf das Side-Loading von Apps aus, aber nicht auf die Installation über den Store. Diese müsste man separat einschränken.
- Im Hintergrund ausgeführte Windows-Apps dürfen auf Benutzerbewegungen zugreifen: Dabei handelt es sich um eine weitere Option zum Schutz der Privatsphäre. Sie regelt, ob Windows-Apps die Bewegung von Kopf, Händen oder Motion-Controllern erfassen dürfen.
- Diagrammrechner zulassen: Hierbei geht es um eine Funktion des neuen Rechners, der als Store-App vorliegt. Sie kann auf diesem Weg deaktiviert werden.
Defender Antivirus
Über die Einstellung Dateihash-Berechnungsfunktion aktivieren kann man veranlassen, dass der Virenscanner einen Hash für ausführbare Dateien erstellt. Per Voreinstellung ist diese Option abgeschaltet.
Es liegt auf der Hand, dass sich die Hash-Berechnung auf die Performance des Gesamtsystems auswirkt. Diese erfolgt jedoch nur bei der ersten Prüfung. Da diese Einstellung primär im Zusammenspiel mit Defender ATP von Nutzen ist, wird man sie nicht aktivieren, wenn man diesen Service nicht gebucht hat.
IME für ostasiatische Sprachen
Drei neue Einstellungen bestimmen, ob Benutzer die verwendete Version des Input Method Editor (IME) für Japanisch, vereinfachtes oder traditionelles Chinesisch kontrollieren können. Das Tool dient der Eingabe komplexer Schriftzeichen. Standardmäßig ist der neue Microsoft-IME aktiviert.
Sie finden sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => IME
Entfernte Einstellungen
Mit Windows 10 2004 fügt Microsoft nicht nur 17 neue Einstellungen hinzu, sondern entfernt auch fünf. Drei davon betreffen die Übermittlungsoptimierung, weil dort für die Bandbreitenkontrolle nun jeweils eigene Optionen für den Download im Vorder- und Hintergrund eingeführt wurden. Somit entfallen künftig:
- Max. Uploadbandbreite (in KB/s)
- Maximale Downloadbandbreite (in KB/s)
- Maximale Downloadbandbreite (in Prozent)
Auf der Strecke bleiben zudem zwei Einstellungen für Application Guard:
- Zulassen, dass Benutzer Dateien vertrauen, die in Windows Defender Application Guard geöffnet werden
- Konfigurieren zusätzlicher Quellen für nicht vertrauenswürdige Dateien in Windows Defender Application Guard
Das grundsätzliche Problem mit entfernten Einstellungen besteht darin, dass sie sich in vorhandenen GPOs nicht mehr konfigurieren lassen, sobald man die neuen ADMX-Vorlagen verwendet.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Gruppenrichtlinien für Windows 11 und 10 21H2 im Vergleich
- Windows-10-Widget "Neuigkeiten und interessante Themen" (News and Interests) über GPO deaktivieren
- Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT
Weitere Links
2 Kommentare
Hallo
Ich kann leider die neuen Win10 2004 admx nicht zu Downloaden finden.
Wo kann ich diese Downloaden? Oder wann stehen dieser zum Download bereit.
Vielen Dank
Die ADMX-Dateien für Windows 10 2004 gibt es zurzeit noch nicht. Die neuen Einstellungen erhält man aktuell daher nur auf einer Workstation mit Win 10 2004.