Neue Gruppenrichtlinien in Windows 11: Einstellungen für Device-Management, DoH, Updates, PrintNightmare

    , 13.10.2021
    Tags: , , ,

    Teaser-Bild für GPONachdem die letzten Releases von Windows 10 nur wenige neue GPO-Ein­stellungen brach­ten, führt Microsoft mit Windows 11 wieder einige interes­sante Optionen ein. Diese be­treffen unter anderem die Installation von Geräten, das Drucken, Updates, die Sandbox, Microsoft Defender oder das Erfassen von Diagnose­daten.

    Die gesamte derzeit verfügbare Dokumentation sowie der ADMX-Download beziehen sich aus­schließlich auf Windows 11. Dieses trägt die gleiche Versions­nummer wie das letzte Windows 10, nämlich 21H2. Einige der neuen Gruppen­richtlinien gelten aber auch für Windows 10 21H2, jedoch sind die dort mitgelieferten administrativen Vorlagen veraltet.

    Am besten installiert man daher gleich die neuen Templates für Windows 11 und sieht bei den einzelnen Einstellungen nach, ob sie auch unter Windows 10 unterstützt werden. Bei einigen ist diese Angabe allerdings nicht vorhanden, etwa bei jenen für die Windows Sandbox. Die dafür zuständige ADMX-Datei fehlt zudem unter Windows 10 21H2.

    Zahl der neuen Einstellungen

    Glaubt man dem aktuellen Group Policy Settings Reference Spreadsheet, dann bringt Windows 11 satte 111 neue Einstellungen. Die meisten davon sind jedoch nur das Ergebnis der notorisch schlechten Dokumentation.

    So gelten dort sämtliche Optionen für Windows Update als neu, nur weil Microsoft diese in eine neue Ordnerstruktur einsortiert hat. Hinzu kommen solche, bei denen sich bloß der Name geändert hat, wie etwa von Allow Telemetry zu Allow Diagnostic Data.

    Wirft man einen Blick auf die Dokumentation der Security Baseline, dann dürfte diese der Realität näher kommen. Die darin enthaltene Excel-Tabelle weist 61 neue Einstellungen aus. Beseitigt man daraus die Doppelungen zwischen dem Geltungsbereich Computer und User, dann bleiben noch 56 übrig.

    DoH und Geräteinstallation

    Unter ihnen finden sich nur zwei Einstellungen, die tatsächlich neuen Features gelten. Das ist zum einen Namens­auflösung von DNS über HTTPS (DoH) konfigurieren ("Configure DNS over HTTPS (DoH) name resolution), mit dem man DNS über HTTPS deaktivieren, erzwingen oder einfach nur zulassen kann. Diese Option fehlt unter Windows 10 und das Template für Windows 11 gibt Vista als minimale OS-Version an.

    Gruppenrichtlinie zur zentralen Konfiguration von DNS over HTTPS

    Die zweite wesentliche Neuerung betrifft die Geräteinstallation. Dort erhält man nun dank der Option Anwenden einer übergeordneten Reihenfolge für Zulassen und Verhindern-Geräte­installations­richtlinien für alle Geräte­über­einstimmungs­kriterien ("Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria") eine feinere Kontrolle darüber, welche Geräte die User installieren dürfen.

    Neue Einstellung zur Änderung der Logik bei der Abarbeitung der Regeln zur Geräteinstallation

    Verschiedene Quellen je nach Update-Typ

    Eine interessante neue Option bringt 21H2 für Windows Update. Quelldienst für bestimmte Klassen von Windows-Updates angeben ("Specify source service for specific classes of Windows Updates") erlaubt nun, für verschiedene Kategorien von Updates (Qualität, Feature-Update, Treiber, andere) jeweils WSUS oder Windows Update zu beziehen.

    Für verschiedene Typen von Updates kann man nun zwischen WSUS und Windows Update wählen.

    Bevor man diese Einstellung konfiguriert, sollte man Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird ("Do not allow update deferral policies to cause scans against Windows Update") deaktivieren.

    Wenn man die Templates für Windows 11 verwendet, dann findet sich diese in dem neuen Ordner Legacy-Richtlinien.

    Neue Richtlinien für das Drucken

    Im Nachgang zu den Schwachstellen, die als "PrintNightmare" bekannt wurden, bringt Microsoft einige Restriktionen für Drucker.

    Limit print driver installation to Administrators, mit der man Point und Print nach dem August-Update wieder für Standard­benutzer erlauben kann, findet sich nicht in den normalen Vorlagen, sondern in SecGuide.admx. Diese Datei gehört zum Lieferumfang der Security Baseline.

    Neu ist die Möglichkeit, das Drucken auf bestimmte Geräte einzuschränken. Mit Druck­beschränkungen für die Geräte­steuerung aktivieren ("Enable Device Control Printing Restrictions") lässt man nur Drucker im Unter­nehmens­netz oder genehmigte USB-Printer zu.

    Admins können nun das Drucken per GPO auf bestimmte Geräte beschränken.

    Diese Einstellung wird ergänzt um Liste der zugelassenen, über USB angeschlossenen Druckergeräte ("List of Approved USB-connected print devices"). Dort gibt man die VID bzw. PID der erlaubten USB-Drucker an.

    Microsoft Defender

    Gleich acht neue Einstellungen erhält Microsoft Defender. Darunter findet sich die Möglichkeit, bestimmte IP-Adressen von den Überprüfungen auszuschließen. Skriptüberprüfung aktivieren ("Turn on script scanning") hat es als Empfehlung in die aktuelle Security Baseline geschafft.

    Auch diese beiden Optionen fehlen in den Vorlagen von Windows 10. Da als minimale Anforderung Windows 8 bzw. Windows 10 1709 genannt werden, sollten sie dort ebenfalls verfügbar sein.

    Konfiguration von Windows Sandbox

    Bei den neuen Gruppen­richtlinien ist die Sandbox zahlenmäßig stark vertreten. Mit ihnen kann man steuern, ob Audio- und Video-Input, Netzwerk, Drucker sowie eine virtuelle GPU in der VM verfügbar sein sollen. Eine weitere Option bestimmt, ob man mit der Sandbox Daten über die Zwischenablage austauschen kann.

    Wie erwähnt, fehlen diese Einstellungen in den Vorlagen von Windows 10 21H2 und obendrein die Angaben zu den unterstützten Versionen von Windows. Daher greifen diese Optionen erst ab Windows 11.

    Diagnosedaten

    Vier neue Einstellungen helfen, die Datenerfassung durch Microsoft zu kontrollieren. So lassen sich Speicher-Dumps mit Absturzabbildsammlung einschränken ("Limit Dump Collection") auf Kernel-Mini-Dumps und User-Mode-Dumps beschränken.

    Eine weitere limitiert das Sammeln von Diagnose-Logs. Zwei zusätzliche Optionen dienen dazu, die Interaktion mit dem OneSettings-Service zu regeln (Logging und Downloads).

    GUI-Features deaktivieren

    In professionellen Umgebungen dürften einige der neuen Einstellungen interessant sein, mit denen man unnütze oder störende Features vom Desktop entfernen kann. Das gilt etwa für Animationen auf dem Sperrbildschirm ("Turn off Spotlight collection on Desktop" und "Prevent lock screen background motion").

    Liste der am häufigsten verwendeten Apps aus dem Startmenü entfernen

    In diese Kategorie fällt auch die Möglichkeit, Widgets zu deaktivieren. Sie fehlt in den Vorlagen von Windows 10 und düfte nur für die neuen Widgets in der Version 11 gelten. Sie soll aber laut Editor auch das ältere OS unterstützen.

    Willkommen dürfte in vielen Fällen auch das Ausblenden der Liste "Am häufigsten verwendet" aus dem Startmenü sein.

    Fazit

    Windows 11 bringt eine ganze Reihe neuer Gruppen­richtlinien. Nur zwei davon betreffen neue Features, der Rest erweitert die Steuerungs­möglich­keiten vorhandener Komponenten.

    Interessant ist die Einstellung zur Bestimmung der Bezugsquelle für bestimmte Update-Typen. Microsoft Defender und das Drucken erhalten weitere sicherheits­relevante Optionen.

    Getrübt wird die Freude über diese neuen Optionen wieder einmal durch Microsofts schlampige Dokumentation und die nachlässige Behandlung der letzten Version von Windows 10. Admins müssen daher die ADMX-Vorlagen für Windows 11 installieren und sehen, welche der neuen Einstellungen auch für Windows 10 greifen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    3 Kommentare

    Karl Wester-Ebb... (Besucher) sagt:
    14. Oktober 2021 - 9:24

    Hallo Wolfgang,
    lt. MVPs sind es in den Windows 11 21H2 ADMX mehr als 400 neue Einstellungen.

    Was sehr gut ist: eine organisatorische Neuaufteilung der Windows Update Richtlinien in Unterordner. Diese Windows 11 Windows Update ADMX sind auch rückwärtskompatibel.

    Da Windows 11 leider kein neues OS ist und intern weiterhin Windows 10 heißt, gibt es in den ADMX keinen neuen OS Filter für Windows 11.

    Max P. (Besucher) sagt:
    3. August 2022 - 18:00

    Zur Info:

    mit "wmi filter" und dann mittels "CIMWin32 + caption"
    >>>
    select * from Win32_OperatingSystem where Caption like "%Windows 11%" and ProductType="1"

    Karl Wester-Ebb... (Besucher) sagt:
    8. August 2022 - 11:11

    Danke für den Tipp Max, bezieht es sich auf das Filtern in ADMX oder referenzierst du hier auf die Filterung zur Anwendung von GPOs auf ein Ziel OS (WMI Filter in der GPO Zuordnung)?

    Meine Kritik bezieht sich auf den Suchfilter in den ADMX-Vorlagen selbst.

    Bedenke, die Anwendung von WMI Filtern benötigt sehr viel Zeit und sollte sehr sparsam und auch nicht auf alle Authentifizierten Benutzer (Computer) angwendet werden.