Tags: Windows 10, OS Deployment, Patch-Management, Gruppenrichtlinien
Windows 10 1903, das wegen der verlängerten Release Preview zum so genannten May Update wurde, bringt einige substanzielle Neuerungen. Diese bestehen in zusätzlichen Funktionen sowie in Änderungen beim Service-Modell und den Best Practices. Hinzu kommen einige Verbesserungen in der Bedienerführung.
Windows 10 1903 verdient den Titel eines Major Updates nicht nur deswegen, weil es einige wichtige Neuerungen bringt. Vielmehr sieht es so aus, als hätte Microsoft seinen Entwicklungszyklus erneut umgestellt, so dass es zwar bei zwei Feature-Updates pro Jahr bleibt, aber nur eines davon für größere Innovationen sorgt.
Previews für 20H1 statt 19H2
Bisher diente der so genannten Skip Ahead Ring im Insider-Programm dazu, Anwendern noch vor der Freigabe der neuesten Version bereits Zugriff auf die Vorschau des kommenden Upgrades zu geben. Dies wäre aktuell Windows 10 1909, aber Microsoft liefert dort bereits Vorabversionen für Windows 10 20H1 aus.
Die offizielle Begründung für dieses Vorgehen lautet, dass die Version 20H1 Features erhält, die eine Entwicklungszeit von einem Jahr benötigten. Es spricht jedoch einiges dafür, dass Microsoft nach den Qualitätsproblemen in Windows 10 1809 den Update-Druck reduzieren möchte, indem nur mehr ein Release pro Jahr größere Änderungen bringt.
Herbst-Updates für Firmenkunden
Dafür ist das Update im Frühjahr zuständig, und das jeweils im Herbst folgende Release dient dann primär der Qualitätssicherung. Entsprechend liegt es dann für Unternehmen nahe, stets auf das zweite Update im Jahr zu warten, denn es übernimmt quasi die Funktion eines Service Packs.
Dazu passt, dass Anwender der Enterprise Edition seit der Version 1809 nur für das Herbst-Update 30 Monate Support erhalten, im Frühjahr dagegen nur 18 Monate.
Umstellungen beim Update-Prozess
Mit der Version 1903 stehen auch Änderungen beim eigentlichen Update-Prozess an. So entfällt bei Windows Update for Business der Channel SAC-T, so dass jedes Release sofort im Semi-annual Channel erscheint und den Anwendern dadurch ein zusätzlicher Aufschub verloren geht.
Die neuen Möglichkeiten in der App Einstellungen, um die Installation von Qualitäts- und Features-Updates separat aufzuschieben, spielen in verwalteten Umgebungen keine Rolle, weil hier der Admin über WSUS oder SCCM den Zeitpunkt vorgibt.
Flexiblerer Neustart
Interessant sind hingegen zwei Neuerungen, die den Neustart des Rechners bei Updates steuern helfen. Dabei handelt es sich zum einen um flexiblere Nutzungszeiten, die das System anhand der Gewohnheiten des Anwenders automatisch ermittelt.
Zum anderen erzwingt eine neue GPO-Richtlinie den Reboot nach einer bestimmten Frist auch außerhalb der Nutzungszeit und unabhängig davon, ob ein User angemeldet ist.
Wiederherstellung nach gescheiterten Updates
Die Installation von Updates verbessert Microsoft durch ein so genanntes Auto Rollback. Es sorgt dafür, dass sich das System selbständig auf den vorherigen Zustand zurücksetzt, wenn ein Update fehlschlägt.
Dieser Mechanismus greift sowohl bei den monatlichen kumulativen Updates als auch bei der Installation neuer Treiber.
Reservierung von Speicherplatz für Updates
Bei einer Neuinstallation reserviert Windows 10 1903 ungefähr 7GB Speicherplatz für Updates, Apps, System-Cache und temporäre Dateien, legt dafür aber keine eigene Partition an. Die Größe dieses Bereichs hängt auch von der Zahl der installierten optionalen Features und Sprachen ab. Den aktuellen Wert kann man der App Einstellungen entnehmen.
Damit will Microsoft sicherstellen, dass Systemoperationen wie das Einspielen von Updates nicht am fehlenden Speicherplatz scheitern. Davon steht dann allerdings dem User weniger zur Verfügung. Auf leistungsschwachen Office-PCs mit kleinen SSDs könnten die damit erhöhten Hardware-Anforderungen ein Problem sein.
Sandbox
Das bedeutendste neue Feature ist die Windows Sandbox. Es handelt sich dabei um eine abgeschottete Umgebung, aus der kein Zugriff auf das Host-System möglich ist. In ihr können IT-Pros solche Aufgaben erledigen, die sie direkt auf einer Admin-Workstation vermeiden sollten, zum Beispiel das Browsen im Web.
Technisch gesehen handelt es sich dabei um eine vorkonfigurierte leichtgewichtige virtuelle Maschine, die keine explizite Installation von Hyper-V erfordert. Sie teilt sich die OS-Binaries mit dem Host, so dass kein separates Patchen erforderlich ist.
Die Sandbox verwirft beim Beenden alle in ihr enthaltenen Daten und Anwendungen. Um Benutzerdateien zu sichern, kann man mit Hilfe einer Konfigurationsdatei eigene Transferverzeichnisse einrichten und die Daten vor dem Schließen der Sandbox dorthin kopieren. Anwendungen lassen sich bei Bedarf mit Hilfe eines Startup-Scripts automatisch installieren.
Web-Browser
Noch keine wesentlichen Neuerungen bringt Windows 10 1903 beim integrierten Web-Browser. Edge ist in der aktuellen Form ein Auslaufmodell und der Umstieg von der Microsoft-eigenen Rendering-Engine auf Chromium in vollem Gange.
Der Chromium-basierte Edge erschien erst kürzlich als Public Preview und lässt noch viele Funktionen für den Einsatz in Unternehmen vermissen. Dazu gehört etwa die Unterstützung für Gruppenrichtlinien. Ein erstes offizielles Release könnte aber den Weg in Windows 10 1909 finden.
Application Guard für Chrome und Firefox
Edge ist weiterhin der einzige Browser, den Microsoft mit Application Guard unterstützt. Es handelt sich dabei um ein ähnliches Feature wie die Sandbox, aber beschränkt auf die geschützte Verwendung eines Web-Browsers.
Microsoft gab kürzlich Erweiterungen für Chrome (hier) und Firefox (hier) frei. Sie übergeben vom Admin festgelegte (externe) URLs an Edge in der Sandbox, während etwa interne Seiten weiter vom Standard-Browser angezeigt würden.
Gruppenrichtlinien
Wie bei jedem bisherigen Release von Windows 10 kommen auch mit 1903 zusätzliche Einstellungen für die Gruppenrichtlinien hinzu. Diese betreffen im Wesentlichen keine neuen, sondern bereits bestehende Features.
So lässt sich die Speicheroptimierung nun über GPOs zentral steuern. Hinzu kommt die oben erwähnte Option für das Erzwingen eines Neustarts zum Installieren von Updates sowie die Deaktivierung von Sicherheitsfragen für den Fall, dass User ihr Passwort vergessen haben.
Security Baseline ohne Ablaufdatum für Kennwörter
Die Security Baseline ist eine Sammlung von GPO-Einstellungen, die Microsoft zur Absicherung von Windows Server und Workstations empfiehlt. Sie lassen sich im GPO Analyzer mit einem Backup der aktuell genutzten Richtlinien vergleichen und bei Bedarf über die Gruppenrichtlinienverwaltung importieren, um die Systeme zu härten.
Aktuell liegt die Baseline noch als Preview vor, hat aber im Vorfeld bereits für kontroverse Diskussionen gesorgt. Grund dafür ist die Entfernung der Policies für die Gültigkeit von Passwörtern, die User zum regelmäßigen Ändern der Kennwörter zwingen.
Die mit dem regelmäßigen Wechsel der Passwörter einhergehenden Nachteile (laufend geringfügig modifizierte Varianten des gleichen Passworts, Vergessen des neuen Passworts und Anruf beim Helpdesk) überwiegen Microsoft zufolge die dadurch gewonnene Sicherheit.
Stattdessen sollten Unternehmen auf Verfahren wie Multifaktor-Authentifizierung und das Ausschließen von trivialen Kennwörtern durch entsprechende Listen setzen.
Die Verbannung des Ablaufdatums für Passwörter aus der Baseline bedeutet natürlich nicht, dass die dafür zuständigen Einstellungen aus den Gruppenrichtlinien verschwinden. Vielmehr handelt es nur um ein Update der Best Practices.
Bedienerführung und Benutzerkomfort
Eine ganze Reihe von Änderung macht sich optisch bemerkbar. Dazu zählt ein schlankeres Startmenü, aus dem viele der vorinstallierten Apps entfernt wurden. Einige dieser Apps können nun auch von den Benutzern deinstalliert werden, wie etwa der 3D-Viewer, Rechner, Kalender, Mail oder Groove Music. Bis dato fehlte bei ihnen die Möglichkeit zur interaktiven Deinstallation über die GUI.
Weniger Zwangsbeglückung gibt es auch durch die Trennung der Suche von Cortana. In der Konkurrenz mit Amazon und Google hat Microsoft bei den digitalen Sprachassistenten den Anschluss verloren und sieht daher wohl keine Notwendigkeit mehr, Cortana den Windows-Anwendern aufzuzwingen.
In verwalteten Umgebungen spielt dieser Schritt keine große Rolle, weil sich Cortana hier über Gruppenrichtlinien ruhigstellen lässt. Entsprechendes gilt auch für die erwähnte Deinstallation von Apps, um die sich meist der Admin schon vor der Verteilung des OS-Images kümmert.
Auch die deutliche Erweiterung der App Einstellungen um weitere Funktionen aus der Systemsteuerung hat in Unternehmen keine große Bedeutung. Dazu gehört zum Beispiel die IP-Konfiguration, zu der den Benutzern meist ohnehin die Rechte fehlen und die der Admin zentral steuert.
Ein Update gibt es dort auch für die integrierte Suche, die standardmäßig nur Dateien innerhalb des Benutzerprofiles indexiert. Die App Einstellungen erlaubt nun, den Index einfach auf den gesamten PC zu erweitern, was aber grundsätzlich auch schon bisher in der Systemsteuerung möglich war.
Terminal und Dateinamen
Die Version 1903 bringt noch ein paar kleinere Änderungen, die IT Pros entgegenkommen. Wer viel auf der Kommandozeile arbeitet, wird zu schätzen wissen, dass man die Fenster von PowerShell, der bash oder der Eingabeaufforderung nun mit STRG + Mausrad zoomen kann. Ein Ändern der kleinen Standardschrift ist daher nicht mehr unbedingt notwendig.
In den Einstellungen von Kommandozeilenfenstern findet sich zudem ein neuer Tab mit der Aufschrift Terminal, wo man Standardfarben und Cursor-Typen für Programme festlegen kann, die das Terminal über VT-Seqeuenzen steuern.
Die engere Integration mit dem Subsystem für Linux macht sich nun auch darin bemerkbar, dass man im Explorer Dateien anlegen kann, deren Name mit einem Punkt beginnt. Dieser Konvention folgen unter Unix viele Konfigurationsdateien.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Updates für Windows 10 aufschieben mit Gruppenrichtlinien
- Update Baseline: Microsofts empfohlene GPO-Einstellungen für Windows-Updates
- Update-Installation und Reboot für Windows 10 über Gruppenrichtlinien konfigurieren
- Windows 10 1909 (November 2019 Update) ist fertig
- Windows 10 1909 kommt als kumulatives Update
Weitere Links