Tags: Gruppenrichtlinien, Windows 11, Defender, Drucker
Das aktuelle Release von Windows 11 bringt insgesamt über 70 neue Einstellungen für die Gruppenrichtlinien. Neben solchen, die der Sicherheit dienen und weitgehend in die Security Baseline übernommen wurden, kommen weitere für die Windows-UI, den Paket-Manager winget und den Internet Explorer hinzu.
Wenn man die Einstellungen im Group Policy Settings Reference Spreadsheet über die Spalte "New in Windows 11" filtert, dann zeigt die Tabelle, dass sich die Neuerungen auf wenige ADMX-Dateien konzentrieren.
Davon entfallen 11 auf den Paket-Manager winget, der sich schon bisher über Gruppenrichtlinien konfigurieren ließ. Die dafür erforderliche administrative Vorlage musste man aber separat von GitHub herunterladen, nun gehört sie zum Lieferumfang des Betriebssystems.
Ein Nebeneffekt davon ist, dass die Bezeichnungen für die Einstellungen lokalisiert wurden und nun auch auf Deutsch verfügbar sind:
- Aktivieren des ms-appinstaller-Protokolls für den App-Installer
- App-Installer aktivieren
- Einstellungen für den App-Installer aktivieren
- Experimentelle Features für den App-Installer aktivieren
- Hash-Überschreibung für den App-Installer aktivieren
- Intervall für automatische Aktualisierung der App-Installer-Quelle in Minuten festlegen
- Lokale Manifestdateien für App-Installer aktivieren
- Microsoft Store-Quelle für den App-Installer aktivieren
- Standardquelle für den App-Installer aktivieren
- Zulässige Quellen für den App-Installer aktivieren
- Zusätzliche Quellen für den App-Installer aktivieren
Alle diese Einstellungen gibt es nur im Zweig Computerkonfiguration.
Einstellungen für das Drucken
Ein weiterer Block betrifft Einstellungen zum Drucken, mit denen Microsoft auf mehrere Schwachstellen reagiert, die unter der Bezeichnung "PrintNightmare" bekannt wurden. Eine erste Abhilfe bestand darin, die Installation von Druckertreibern auf Admins zu beschränken.
Die entsprechende Einstellung war bei Windows 11 21H2 noch nicht an Bord, daher benötigte man SecGuide.admx aus der Security Baseline. Bei Windows 11 2022 ist sie nun wie bei Windows 10 21H2 in Printing.admx enthalten.
Insgesamt bringt das aktuelle Windows-Release folgende Settings für das Drucken:
- Konfigurieren von RPC-Verbindungseinstellungen ("Configure RPC connection")
- Konfigurieren von RPC-Listenereinstellungen ("Configure RPC listener")
- Datenschutzeinstellung auf RPC-Paketebene für eingehende Verbindungen konfigurieren ("Configure RPC packet level privacy setting for incoming connections")
- Konfigurieren von RPC über TCP-Port ("Configure RPC over TCP port")
- Umleitungsschutz konfigurieren ("Configure Redirection Guard ")
- Informationen zur Auftragsseitenanzahl immer an IPP-Drucker senden ("Always send job page count information for IPP printers"): Diese Policy betrifft das Internet Printing.
- Beschränkt die Installation von Druckertreibern auf Administratoren ("Limits print driver installation to Administrators")
- Verwalten der Verarbeitung von warteschlangenspezifischen Dateien ("Manage processing of queue-specific files")
- Signaturvalidierung des Druckertreibers verwalten ("Manage Print Driver signature validation")
- Ausschlussliste für Druckertreiber verwalten ("Manage Print Driver exclusion list")
Eine Beschreibung zu den meisten dieser Einstellungen findet sich in meinem Beitrag zur Security Baseline von Windows 11 2022.
Startmenü und Taskleiste
Eine ganze Reihe von Einstellungen gibt Admins mehr Kontrolle darüber, wie weit die Benutzer diese UI-Komponenten konfigurieren dürfen. Zu diesem Zweck kamen die folgenden Optionen hinzu, wobei die meisten davon selbsterklärend sind.
Startmenü
Auffallend ist hier, dass sich die Einstellungen in der folgenden Liste wider Erwarten nur im Zweig Computerkonfiguration finden (soweit nicht ausdrücklich anders angemerkt).
- Menüeintrag "Ausführen" aus dem Startmenü entfernen ("Remove Run menu from Start Menu")
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern ("Prevent changes to Taskbar and Start Menu Settings")
- Zugriff auf Kontextmenüs für die Taskleiste deaktivieren ("Remove access to the context menus for the taskbar")
- Deinstallieren von Anwendungen aus "Start" durch Benutzer verhindern ("Prevent users from uninstalling applications from Start")
- Abschnitt "Empfohlen" aus dem Startmenü entfernen ("Remove Recommended section from Start Menu"): Diese Einstellung ist sowohl für User als auch für Machine verfügbar
- Vereinfachen des Layouts für Schnelleinstellungen ("Simplify Quick Settings Layout")
- Bearbeiten von Schnelleinstellungen deaktivieren ("Disable Editing Quick Settings")
- Schnelleinstellungen entfernen ("Remove Quick Settings"): Diese Einstellung gibt es nur im Zweig Benutzerkonfiguration.
Taskbar
- Angeheftete Programme aus Taskleiste entfernen ("Remove pinned programs from the Taskbar")
- Schaltfläche 'TaskView' ausblenden ("Hide the TaskView button "): Diese Einstellung ist sowohl für User als auch für Machine verfügbar. Sie bezieht sich auf das Symbol, mit dem man zwischen virtuellen Desktops und Anwendungen umschalten kann.
Für die Anpassung der Benutzeroberfläche kommen noch folgende Einstellungen hinzu:
- Alle Desktopsymbole ausblenden und deaktivieren ("Hide and disable all items on the desktop"): Dabei handelt es sich um eine radikale Maßnahme, die für die meisten Benutzer wohl nicht akzeptabel wäre. Damit soll vor allem verhindert werden, dass Dateien in größerer Zahl auf dem Desktop abgelegt werden.
- Die Search-Benutzeroberfläche vollständig deaktivieren ("Fully disable Search UI"): Auch wenn die Qualität der integrierten Suche häufig ein Ärgernis ist, so wird man sie kaum vollständig blockieren, solange man keine Alternative hat.
- Suchhervorhebungen zulassen ("Allow search highlights"): Damit lässt sich das Einblenden von Bing-News unterbinden.
Defender Smartscreen
Zu den Neuerungen von Windows 11 2022 gehört der erweiterte Phishing-Schutz von Smartscreen. Er lässt sich über die folgenden vier Einstellungen konfigurieren:
- Bösartigkeit benachrichtigen ("Notify Malicious")
- Kennwortwiederverwendung benachrichtigen ("Notify Password Reuse")
- Unsichere App benachrichtigen ("Notify Unsafe App")
- Dienst aktiviert ("Service Enabled")
Eine weitergehende Erläuterung dazu findet sich ebenfalls in meinem Beitrag zur Security Baseline von Windows 11 2022.
Defender Antivirus
Das in Windows integrierte Anti-Malware-Programm erhält neue Einstellungen für mehrere Zwecke. Zwei davon betreffen das Blockieren unerwünschter Peripheriegeräte im Zusammenspiel mit dem Cloud-Service Defender for Endpoint:
- Standarderzwingungsrichtlinie für Gerätesteuerung auswählen ("Select Device Control Default Enforcement Policy"): Hiermit kann man nun festlegen, ob alle Geräte grundsätzlich erst zugelassen oder blockiert werden sollen
- Definieren des Remotespeicherorts für Beweisdaten der Gerätesteuerung ("Define Device Control evidence data remote location")
Aus unbekannten Gründen findet sich eine weitere neue Einstellungen zur Aktivierung von Device Control nicht im gleichen Ordner wie die anderen Settings zu diesem Zweck, sondern unter Features:
- Gerätesteuerung ("Device Control"): Damit lässt dieses Feature aktivieren. Dies setzt jedoch ein Abo vom Typ M365 E3 oder E4 voraus.
Defender-Updates
Schon bisher konnten Admins das Herunterladen von Sicherheitsinformationen über Gruppenrichtlinien steuern. Dabei kann man mehrere Quellen und ihre Priorität bestimmen.
Mit Windows 11 kommt die Möglichkeit hinzu, den Channel für den Bezug der Virensignaturen und anderer Updates zu bestimmen, und zwar getrennt nach täglichen und monatlichen Updates. Diese Einstellungen finden sich nicht - wie man erwarten würde - im Container Aktualisierung der Sicherheitsinformationen, sondern im Wurzelverzeichnis von Defender Antivirus:
- Wählen Sie den Kanal für tägliche Security Intelligence-Updates von Microsoft Defender aus. ("Select the channel for Microsoft Defender daily security intelligence updates")
- Wählen Sie den Kanal für monatliche Microsoft Defender-Plattformupdates aus ("Select the channel for Microsoft Defender monthly platform updates")
- Wählen Sie den Kanal für monatliche Microsoft Defender-Modulupdates aus. ("Select the channel for Microsoft Defender monthly engine updates")
Für Plattform- und Engine-Updates stehen folgende Kanäle zur Auswahl:
- Betakanal: Geräte, die auf diesen Kanal festgelegt sind, erhalten als erste neue Updates. Nur für die Verwendung in (manuellen) Testumgebungen und mit einer begrenzten Anzahl von Geräten.
- Aktueller Kanal (Vorschau): Geräte erhalten Updates frühestens während des monatlichen schrittweisen Release-Zyklus. Empfohlen für Umgebungen für die Validierung.
- Aktueller Kanal (gestaffelt): Empfohlen für einen kleinen, repräsentativen Teil der produktiv eingesetzten Geräte (ca. 10 Prozent).
- Aktueller Kanal (allgemein): Geräte erhalten Updates erst nach Abschluss des schrittweisen Release-Zyklus angeboten. Empfohlen für die meisten Geräte.
- Kritisch - Zeitverzögerung: Geräte erhalten Updates mit einer Verzögerung von 48 Stunden angeboten. Empfohlen nur für geschäftskritische Umgebungen.
Mit der folgenden Einstellung kann man die Zuordnung der Channels durch die obigen Settings überschreiben:
- Deaktivieren Sie das schrittweise Rollout von Microsoft Defender-Updates. ("Disable gradual rollout of Microsoft Defender updates.")
Sie befindet sich im Unterschied zu den anderen drei Einstellungen im Container MpEngine.
Mit einer weiteren Einstellung kann man dafür sorgen, dass die maximal zulässige CPU-Auslastung, die man für Scans definiert hat, auch für Überprüfungen gilt, die von einem Benutzer gestartet wurden (und nicht nur für zeitgesteuerte Scans):
- CPU-Drosselungstyp ("CPU throttling type")
Web-Browser
Nach dem Aus für den Internet Explorer als Standalone-Anwendung legt Microsoft nun eine Einstellung nach, mit der man den Browser auch für eigenständige HTML-Anwendungen (HTA) deaktivieren kann. Sie lautet
- HTML-Anwendung deaktivieren ("Disable HTML Application")
und existiert sowohl für die Computer- als auch Benutzerkonfiguration. Mit folgender Policy kann man bewirken, dass sich der Internet Explorer und Edge im IE Modus den Status von Anwendungen teilen:
- Globale Fensterliste im Internet Explorer Modus aktivieren ("Enable global window list in Internet Explorer mode")
Unternehmen, die noch den ursprünglichen Edge-Browser einsetzen, können nun die Warnmeldung zum veralteten Browser unterdrücken (User und Machine):
- Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken ("Suppress the display of Edge Deprecation Notification")
Diverse Einstellungen
Weitere neue Einstellungen betreffen unter anderem DNS over HTTPS, die Absicherung des Anmeldeprozesses LSASS oder die stufenweise Deaktivierung von NetBIOS. Ich habe sie ebenfalls im Beitrag zur Security Baseline von Windows 11 2022 beschrieben.
Hinzu kommen Optionen für die SMB-Komprimierung (sowohl Client- als auch Server-seitig) sowie zwei für die Terminaldienste.
Fazit
Windows 11 2022 bringt insgesamt zwar relativ wenige Neuerungen, stellt aber für Admins zahlreiche neue Gruppenrichtlinien bereit. Einige davon beruhen auf Vorlagen, die vorher separat einzubinden waren und jetzt bloß an Bord genommen wurden.
Trotzdem bleibt eine Reihe von Optionen, die vor allem die Sicherheit des Systems erhöhen. Diese betreffen das Drucken, Smartscreen oder Defender Antivirus.
In vielen Umgebungen dürften die neuen Möglichkeiten willkommen sein, mit denen man den Spielraum der Benutzer beim Anpassen des Startmenüs und die Taskleiste einschränken kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS
- Neue Gruppenrichtlinien in Windows 11: Einstellungen für Device-Management, DoH, Updates, PrintNightmare
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
- EvergreenAdmx: Administrative Vorlagen automatisch aktualisieren
Weitere Links