Neue Gruppenrichtlinien in Windows 11 23H2

Neun der insgesamt ca. 33 neuen Gruppenrichtlinien entfallen auf LAPS, zwei weitere auf Dev Drive und eine auf Copilot. Letzterer lässt sich auf diesem Weg abschalten.

Inkonsistente Dokumentation

Welche und wie viele Einstellungen in Windows 11 23H2 wirklich neu sind, lässt sich nicht ohne Weiteres ermitteln. Das liegt zum einen daran, dass Microsoft neue Funktionen kontinuierlich ausliefert und so der Bezugspunkt für den Vergleich unklar ist. Zum anderen erschwert Microsofts nachlässige Dokumentation diese Aufgabe.

Aktuell gibt es zwei Dokumente, aus denen die neuen Einstellungen hervorgehen sollten. Dabei handelt es sich zum einen um die bekannte Group Policy Settings Reference, zum anderen um eine Excel-Tabelle in der Dokumentation der Security Baseline ("Windows 11 22H2 to 23H2 Delta.xlsx").

Beide weisen verschiedene Einstellungen als neu aus.

So gab es Konfigurieren der Einbindung von App-Registerkarten in ALT-TAB ("Configure the inclusion of app tabs into Alt-Tab") bereits unter Windows 10 und taucht nun nachträglich in der Version 11 auf. Die Baseline-Dokumentation weist sie aber nicht aus.

Die Optionen für die Verwaltung von SMB Compression ordnet die Referenz 22H2 zu, das Baseline-Dokument hingegen 23H2.

Die ADMX-Vorlagen mit den neuen Einstellungen sind nicht nur auf einer Workstation mit Windows 11 23H2 unter %systemroot%\PolicyDefinitions zu finden, sondern wie gewohnt als eigener Download zu haben. Das Paket enthält im Unterschied zum Betriebs­system alle verfügbaren Sprachdateien.

Übersicht über die neuen Einstellungen

Die meisten neuen Einstellungen in der folgenden Liste sprechen für sich, die anderen ergänze ich um Anmerkungen. Außerdem subsumiere ich sie zugunsten einer besseren Übersichtlichkeit unter mehreren Kategorien. Wie üblich enthält Microsofts Dokumentation nur die englische Bezeichnung der Einstellungen, diese Aufstellung umfasst auch die deutsche Übersetzung.

Benachrichtigungen

• Organisationsnachrichten aktivieren
  Enable Organizational Messages

Admins können an ausgewählte Benutzer mit Hilfe geeigneter Anwendungen (wie beispielsweise Configuration Manager) Nachrichten senden. Per Voreinstellung ist diese Option deaktiviert.

• Mehrere erweiterte Popupbenachrichtigungen im Info-Center aktivieren
  Turn on multiple expanded toast notifications in action center

Standardmäßig zeigt Windows 11 nur die erste Toast-Benachrichtigung einer Anwendung im Info-Center ("Action Center") an. Diese Zahl kann man mit dieser Einstellung auf 3 erhöhen.

• Deaktivierungsbenachrichtigung Internet Explorer 11 ausblenden
  Hide Internet Explorer 11 retirement notification

Damit lässt sich im IE die Warnung über das Support-Ende des Browsers ausblenden und existiert sowohl im Zweig Computer- als auch in der Benutzerkonfiguration.

Diese Einstellung und jene zu den Toast-Benachrichtigungen sind in Windows 10 bereits seit 22H2 präsent und erscheinen nun auch in Windows 11. Dadurch dürften die administrativen Vorlagen für Windows 11 allmählich abwärts­kompatibel mit Windows 10 sein.

Schutz der Privatsphäre

• Deaktivieren von kontobasierten Einblicken, letzten, bevorzugten und empfohlenen Dateien im Datei-Explorer
  Turn off account-based insights, recent, favorite, and recommended files in File Explorer

Diese Einstellung verhindert, dass der Datei-Explorer Metadaten für Dateien aus der Cloud abruft.

• Zulassen, dass Windows-Apps auf Anwesenheitserkennung zugreifen
  Let Windows apps access presence sensing

Die Anwesenheitserkennung wird von Windows für Security-Features genutzt, um beispielsweise den Rechner zu sperren, wenn der Benutzer seinen Platz verlässt, und es bei dessen Rückkehr wieder zu entsperren. Mit dieser Einstellung kann man allen Apps den Zugriff erlauben bzw. verbieten oder dieses Recht selektiv vergeben.

LAPS

Windows LAPS integriert die zuvor separat verfügbaren Einstellungen in das Betriebs­system  und ergänzt diese um Optionen für die neuen Features. Für eine detaillierte Beschreibung siehe diesen Beitrag.

• Kennwortsicherungsverzeichnis konfigurieren
  Configure password backup directory
• Name des zu verwaltenden Administratorkontos
  Name of administrator account to manage
• Kennwortverschlüsselung aktivieren
  Enable password encryption
• Autorisierten Kennwortdecryptor konfigurieren
  Configure authorized password decryptors
• Größe des verschlüsselten Kennwortverlaufs konfigurieren
  Configure size of encrypted password history
• Kennwortsicherung für DSRM-Konten aktivieren
  Enable password backup for DSRM accounts
• Aktionen nach der Authentifizierung
  Post-authentication actions

Dev Drive

• Dev Drive aktivieren
  Enable dev drive

Bei Dev Drive handelt es sich um ein für Developer-Aufgaben optimiertes Laufwerk auf Basis von ReFS. Dieses Feature kann man per Gruppenrichtlinie aktivieren oder blockieren.

• Richtlinie zum Anfügen von Dev Drive-Filtern
  Dev drive filter attach policy

Standardmäßig sind Dev Drive keine Dateisystemfilter zugeordnet, das kann man mit dieser Einstellung nachholen.

Copilot

• Windows Copilot deaktivieren
  Turn off Windows Copilot

Security Guide

• Datenschutzeinstellung auf RPC-Paketebene für eingehende Verbindungen konfigurieren
  Configure RPC packet level privacy setting for incoming connections

Diese Einstellung existierte bereits in der Vorlage SecGuide.admx, die zum Lieferumfang der Security Baseline gehört, und wurde nun in die printing.admx übernommen.

Energieverwaltung

• "Aufwachen deaktivieren" bei aktiviertem Energiesparmodus erzwingen
  Force Disable Wake When Battery Saver On
• Erzwingen von "Aufwachen zulassen", wenn ein externer Bildschirm angeschlossen ist
  Force Allow Wake When External Display Connected
• Zulassen einer Sperre erzwingen, wenn ein externer Bildschirm angeschlossen ist
  Force Allow Lock When External Display Connected
• Erzwingen von "Dimmen zulassen", wenn ein externer Bildschirm angeschlossen ist
  Force Allow Dim When External Display Connected

Spracheinstellungen

• Spracheinstellungen nicht synchronisieren
  Do not sync language preferences settings

Startmenü und Taskleiste

• Personalisierte Website-Empfehlungen aus dem Abschnitt „Empfohlen“ im Startmenü entfernen
  Remove Personalized Website Recommendations from the Recommended section in the Start Menu

Windows 11 zeigt im Startmenü personalisierte Website-Empfehlungen und -Vorschläge an, die auf dem Browser-Verlauf des Benutzers basieren. Dies lässt sich mit dieser Einstellung verhindern. Sie existiert im Zweig für Computer und Benutzer.

• Kontobenachrichtigungen im Startmenü deaktivieren
  Turn off account notifications in Start

Windows sendet Benutzer mit einem Microsoft- oder einem lokalen Konto Nachrichten, um ihr Gerät zu sichern, Quotas für Cloud-Speicher und ihr Microsoft 365- oder Xbox-Abonnement zu verwalten. Diese Einstellung blockiert solche Nachrichten.

• Konfiguriert die Suche auf der Taskleiste
  Configures search on the taskbar

Optionen zur Konfiguration des Suchfeldes in der Taskleiste (siehe dazu diese detaillierte Beschreibung).

Defender

• Automatische Datensammlung
  Automatic Data Collection

Diese Richtlinie legt fest, ob der erweiterte Phishing-Schutz zusätzliche Informationen sammeln kann, zum Beispiel angezeigte Inhalte, abgespielte Töne und den Speicherinhalt der Anwendung, wenn Benutzer ihr Passwort für ein Arbeits- oder Schulkonto auf einer verdächtigen Website oder Anwendung eingeben.

• Scannen von gepackten ausführbaren Dateien
  Scan packed executables

Diese Einstellung gab es schon unter Windows 10 und erlaubt es, Defender das Scannen von selbstextrahierenden ZIP- und anderem Archivdateien zu untersagen. Standardmäßig werden diese Dateien untersucht.

Windows Update

• Aktivieren von Funktionen, die über die Wartung eingeführt wurden und standardmäßig deaktiviert sind
  Enable features introduced via servicing that are off by default

Zwar liefert Microsoft auch auf verwalteten Geräten neue Features kontinuierlich aus, aktiviert diese aber erst mit dem Rollout eines neuen Upgrades. Mit dieser Einstellung kann man diese Verzögerung deaktivieren (siehe dazu: Microsoft stellt neue Windows-11-Features auf Firmen-PCs zurück).

• Optionale Updates aktivieren
  Enable optional updates

Mit dem Update für August 2023 kam diese Richtlinie hinzu, mit der sich bestimmen lässt, wie optionale Updates installiert werden und wie Benutzer diesen Vorgang beeinflussen können (siehe dazu: Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11). Sie ist nun auch in Windows 10 verfügbar.

• Downloads von Microsoft Connected Cache-Servern nicht zulassen, wenn das Gerät über VPN Verbindungen herstellt
  Disallow downloads from Microsoft Connected Cache servers when the device connects via VPN

Die Cache-Server betreffen die Übermittlungs­optimierung ("Delivery Optimization"). Deren Verwendung kann man bei aktiver VPN-Verbindung blockieren.

• VPN-Schlüsselwörter
  VPN Keywords

Mit Hilfe von Stichwörtern kann man der Übermittlungs­optimierung dabei helfen, VPN-Verbindungen zu erkennen. Standardmäßig wertet es dafür den Namen und die Beschreibung des Netzwerkadapters aus.

Zusammenfassung

Windows 11 23H2 bringt rund 30 neue Einstellungen für die Gruppenrichtlinien. Einige davon gab es jedoch schon in der Vergangenheit, aber sie mussten separat installiert werden. Das betraf LAPS und eine Policy aus der SecGuide.admx. Windows LAPS bietet aber mehrere neue Funktionen, so dass sich diese auch in den Gruppenrichtlinien widerspiegeln.

Als genuin neues Feature findet auch Dev Drive Eingang in die aktuellen Gruppenrichtlinien. Ansonsten betreffen die neuen Policies querbeet alle möglichen Komponenten und Funktionen. Immer von Bedeutung sind Richtlinien für Windows Update, wobei die zwei wichtigsten ebenfalls schon vor dem Launch von 23H2 verfügbar waren.

Ein größerer Schwung von neuen Optionen betrifft die Bedieneroberfläche, und zwar den Datei-Explorer, das Startmenü und die Taskbar. Damit kann man vor allem unerwünschte Zugaben und Funktionen abstellen.