Windows 10 1903: Die wichtigsten Neuerungen für professionelle Anwender

    Windows 10 1903 (May Update)Windows 10 1903, das wegen der verlängerten Release Preview zum so genannten May Update wurde, bringt einige sub­stanzielle Neuerungen. Diese be­stehen in zusätzlichen Funk­tionen sowie in Änderungen beim Service-Modell und den Best Practices. Hinzu kom­men einige Verbes­serungen in der Bediener­führung.

    Windows 10 1903 verdient den Titel eines Major Updates nicht nur deswegen, weil es einige wichtige Neuerungen bringt. Vielmehr sieht es so aus, als hätte Microsoft seinen Entwicklungs­zyklus erneut umgestellt, so dass es zwar bei zwei Feature-Updates pro Jahr bleibt, aber nur eines davon für größere Inno­vationen sorgt.

    Previews für 20H1 statt 19H2

    Bisher diente der so genannten Skip Ahead Ring im Insider-Programm dazu, Anwendern noch vor der Freigabe der neuesten Version bereits Zugriff auf die Vorschau des kommenden Upgrades zu geben. Dies wäre aktuell Windows 10 1909, aber Microsoft liefert dort bereits Vorab­versionen für Windows 10 20H1 aus.

    Im Skip Ahead-Ring liefert Microsoft bereits die Previews für die Version 20H1 anstatt für die erwartete 19H2 aus.

    Die offizielle Begründung für dieses Vorgehen lautet, dass die Version 20H1 Features erhält, die eine Ent­wicklungs­zeit von einem Jahr benötigten. Es spricht jedoch einiges dafür, dass Microsoft nach den Qualitäts­problemen in Windows 10 1809 den Update-Druck reduzieren möchte, indem nur mehr ein Release pro Jahr größere Änderungen bringt.

    Herbst-Updates für Firmenkunden

    Dafür ist das Update im Frühjahr zuständig, und das jeweils im Herbst folgende Release dient dann primär der Qualitäts­sicherung.  Entsprechend liegt es dann für Unter­nehmen nahe, stets auf das zweite Update im Jahr zu warten, denn es übernimmt quasi die Funktion eines Service Packs.

    Dazu passt, dass Anwender der Enterprise Edition seit der Version 1809 nur für das Herbst-Update 30 Monate Support erhalten, im Frühjahr dagegen nur 18 Monate.

    Umstellungen beim Update-Prozess

    Mit der Version 1903 stehen auch Änderungen beim eigentlichen Update-Prozess an. So entfällt bei Windows Update for Business der Channel SAC-T, so dass jedes Release sofort im Semi-annual Channel erscheint und den Anwendern dadurch ein zusätzlicher Aufschub verloren geht.

    Ein Aufschub von Features-Updates durch Auswahl von Semi-annual Channel in den Gruppenrichtlinien ist nicht mehr möglich.

    Die neuen Möglichkeiten in der App Einstellungen, um die Installation von Qualitäts- und Features-Updates separat aufzuschieben, spielen in verwalteten Umgebungen keine Rolle, weil hier der Admin über WSUS oder SCCM den Zeit­punkt vorgibt.

    Flexiblerer Neustart

    Interessant sind hingegen zwei Neuerungen, die den Neustart des Rechners bei Updates steuern helfen. Dabei handelt es sich zum einen um flexiblere Nutzungszeiten, die das System anhand der Gewohn­heiten des Anwenders automatisch ermittelt.

    Windows 10 1903 kann die Nutzungszeit anhand der Gewohnheiten des Users selbständig anpassen.

    Zum anderen erzwingt eine neue GPO-Richtlinie den Reboot nach einer bestimmten Frist auch außerhalb der Nutzungszeit und unabhängig davon, ob ein User angemeldet ist.

    Wiederherstellung nach gescheiterten Updates

    Die Installation von Updates verbessert Microsoft durch ein so genanntes Auto Rollback. Es sorgt dafür, dass sich das System selbständig auf den vorherigen Zustand zurücksetzt, wenn ein Update fehlschlägt.

    Dieser Mechanismus greift sowohl bei den monatlichen kumulativen Updates als auch bei der Installation neuer Treiber.

    Reservierung von Speicherplatz für Updates

    Bei einer Neuinstallation reserviert Windows 10 1903 ungefähr 7GB Speicherplatz für Updates, Apps, System-Cache und temporäre Dateien, legt dafür aber keine eigene Partition an. Die Größe dieses Bereichs hängt auch von der Zahl der installierten optionalen Features und Sprachen ab. Den aktuellen Wert kann man der App Einstellungen entnehmen.

    Die App Einstellungen zeigt den reservierten Speicherplatz an

    Damit will Microsoft sicherstellen, dass System­operationen wie das Einspielen von Updates nicht am fehlenden Speicherplatz scheitern. Davon steht dann allerdings dem User weniger zur Verfügung. Auf leistungs­schwachen Office-PCs mit kleinen SSDs könnten die damit erhöhten Hardware-Anforderungen ein Problem sein.

    Sandbox

    Das bedeutendste neue Feature ist die Windows Sandbox. Es handelt sich dabei um eine abge­schottete Umgebung, aus der kein Zugriff auf das Host-System möglich ist. In ihr können IT-Pros solche Aufgaben erledigen, die sie direkt auf einer Admin-Workstation vermeiden sollten, zum Beispiel das Browsen im Web.

    Technisch gesehen handelt es sich dabei um eine vor­konfigurierte leicht­gewichtige virtuelle Maschine, die keine explizite Installation von Hyper-V erfordert. Sie teilt sich die OS-Binaries mit dem Host, so dass kein separates Patchen erforderlich ist.

    Die Sandbox startet jedes Mal mit einem jungfräulichen Windows 10

    Die Sandbox verwirft beim Beenden alle in ihr enthaltenen Daten und Anwendungen. Um Benutzer­dateien zu sichern, kann man mit Hilfe einer Konfigurations­datei eigene Transfer­verzeichnisse einrichten und die Daten vor dem Schließen der Sandbox dorthin kopieren. Anwendungen lassen sich bei Bedarf mit Hilfe eines Startup-Scripts automatisch installieren.

    Web-Browser

    Noch keine wesentlichen Neuerungen bringt Windows 10 1903 beim integrierten Web-Browser. Edge ist in der aktuellen Form ein Auslauf­modell und der Umstieg von der Microsoft-eigenen Rendering-Engine auf Chromium in vollem Gange.

    Vorab-Versionen von Edge Chromium erscheinen in drei Channels

    Der Chromium-basierte Edge erschien erst kürzlich als Public Preview und lässt noch viele Funktionen für den Einsatz in Unter­nehmen vermissen. Dazu gehört etwa die Unter­stützung für Gruppen­richtlinien. Ein erstes offizielles Release könnte aber den Weg in Windows 10 1909 finden.

    Application Guard für Chrome und Firefox

    Edge ist weiterhin der einzige Browser, den Microsoft mit Application Guard unterstützt. Es handelt sich dabei um ein ähnliches Feature wie die Sandbox, aber beschränkt auf die geschützte Ver­wendung eines Web-Browsers.

    Chrome-Erweiterung für Windows Defender Application Guard

    Microsoft gab kürzlich Erweiterungen für Chrome (hier) und Firefox (hier) frei. Sie übergeben vom Admin festgelegte (externe) URLs an Edge in der Sandbox, während etwa interne Seiten weiter vom Standard-Browser angezeigt würden.

    Gruppenrichtlinien

    Wie bei jedem bisherigen Release von Windows 10 kommen auch mit 1903 zusätzliche Einstellungen für die Gruppen­richtlinien hinzu. Diese betreffen im Wesentlichen keine neuen, sondern bereits bestehende Features.

    Die Steuerung der Speicheroptimierung ist nun über GPOs möglich

    So lässt sich die Speicher­optimierung nun über GPOs zentral steuern. Hinzu kommt die oben erwähnte Option für das Erzwingen eines Neustarts zum Installieren von Updates sowie die Deaktivierung von Sicherheits­fragen für den Fall, dass User ihr Passwort vergessen haben.

    Security Baseline ohne Ablaufdatum für Kennwörter

    Die Security Baseline ist eine Sammlung von GPO-Einstellungen, die Microsoft zur Absicherung von Windows Server und Workstations empfiehlt. Sie lassen sich im GPO Analyzer mit einem Backup der aktuell genutzten Richtlinien vergleichen und bei Bedarf über die Gruppen­richtlinien­verwaltung importieren, um die Systeme zu härten.

    Aktuell liegt die Baseline noch als Preview vor, hat aber im Vorfeld bereits für kontroverse Diskussionen gesorgt. Grund dafür ist die Entfernung der Policies für die Gültigkeit von Passwörtern, die User zum regelmäßigen Ändern der Kennwörter zwingen.

    Die mit dem regelmäßigen Wechsel der Passwörter einher­gehenden Nachteile (laufend geringfügig modifizierte Varianten des gleichen Passworts, Vergessen des neuen Passworts und Anruf beim Helpdesk) überwiegen Microsoft zufolge die dadurch gewonnene Sicherheit.

    Stattdessen sollten Unter­nehmen auf Verfahren wie Multifaktor-Authentifizierung und das Ausschließen von trivialen Kennwörtern durch entsprechende Listen setzen.

    Die Verbannung des Ablaufdatums für Passwörter aus der Baseline bedeutet natürlich nicht, dass die dafür zuständigen Einstellungen aus den Gruppen­richtlinien verschwinden. Vielmehr handelt es nur um ein Update der Best Practices.

    Bedienerführung und Benutzerkomfort

    Eine ganze Reihe von Änderung macht sich optisch bemerkbar. Dazu zählt ein schlankeres Startmenü, aus dem viele der vorinstallierten Apps entfernt wurden. Einige dieser Apps können nun auch von den Benutzern deinstalliert werden, wie etwa der 3D-Viewer, Rechner, Kalender, Mail oder Groove Music. Bis dato fehlte bei ihnen die Möglichkeit zur interaktiven Deinstallation über die GUI.

    Weitere der vorinstallierten Apps lassen sich nun in der App Einstellungen deinstallieren.

    Weniger Zwangs­beglückung gibt es auch durch die Trennung der Suche von Cortana. In der Konkurrenz mit Amazon und Google hat Microsoft bei den digitalen Sprachassistenten den Anschluss verloren und sieht daher wohl keine Not­wendigkeit mehr, Cortana den Windows-Anwendern aufzuzwingen.

    In verwalteten Umgebungen spielt dieser Schritt keine große Rolle, weil sich Cortana hier über Gruppen­richtlinien ruhigstellen lässt. Entsprechendes gilt auch für die erwähnte Deinstallation von Apps, um die sich meist der Admin schon vor der Verteilung des OS-Images kümmert.

    Auch die deutliche Erweiterung der App Einstellungen um weitere Funktionen aus der System­steuerung hat in Unter­nehmen keine große Bedeutung. Dazu gehört zum Beispiel die IP-Konfiguration, zu der den Benutzern meist ohnehin die Rechte fehlen und die der Admin zentral steuert.

    Die IP-Konfiguration lässt sich nun in der App Einstellungen anpassen.

    Ein Update gibt es dort auch für die integrierte Suche, die standardmäßig nur Dateien innerhalb des Benutzer­profiles indexiert. Die App Einstellungen erlaubt nun, den Index einfach auf den gesamten PC zu erweitern, was aber grundsätzlich auch schon bisher in der System­steuerung möglich war.

    Der Index für die Desktop-Suche lässt sich einfach auf den ganzen PC erweitern.

    Terminal und Dateinamen

    Die Version 1903 bringt noch ein paar kleinere Änderungen, die IT Pros entgegenkommen. Wer viel auf der Kommando­zeile arbeitet, wird zu schätzen wissen, dass man die Fenster von PowerShell, der bash oder der Eingabeauf­forderung nun mit STRG + Mausrad zoomen kann. Ein Ändern der kleinen Standard­schrift ist daher nicht mehr unbedingt notwendig.

    Zusätzliche Einstellungen für Terminal-Fenster

    In den Einstellungen von Kommando­zeilen­fenstern findet sich zudem ein neuer Tab mit der Aufschrift Terminal, wo man Farben und Cursor-Typen festlegen kann.

    Der Explorer akzeptiert nun auch Dateinamen, die mit einem Punkt beginnen.

    Die engere Integration mit dem Subsystem für Linux macht sich nun auch darin bemerkbar, dass man im Explorer Dateien anlegen kann, deren Name mit einem Punkt beginnt. Dieser Konvention folgen unter Unix viele Konfigurations­dateien.

    Keine Kommentare