Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK

    , 19.10.2022
    Tags: , , ,

    Windows 10 22H2: Angleichung von ADMX und Security Baseline an Windows 11, kein ADKMicrosoft veröffent­lichte die Version 22H2 von Windows 10 (Windows 10 2022 Update). Sie bietet praktisch keine neuen Features für End­benutzer, bringt aber einige Änderungen, die für Admins rele­vant sind. Dazu gehören eine weit­gehende Aus­richtung der Gruppen­richt­linien und der Security Baseline an Windows 11 22H2.

    Das Microsoft-Marketing beschreibt das neue Release in seiner Ankündigung mit "limited scope of new features and functionality". In der Praxis nennt der Hersteller bis dato keine Neuerungen in Windows 10 2022. Diese beschränken sich im Wesentlichen auf die Integration von bisher erschienenen Updates und auf Qualitäts­verbesserungen.

    Entsprechend erfolgt das Upgrade von früheren Versionen (ab 20H2) auf 22H2 erneut in Form eines Enablement-Package, das wie ein monatliches Update installiert wird.

    Längerer Support durch das Update

    Wichtig ist das Release 2022 für Unternehmen deshalb, weil sich damit der Support-Zeitraum für das Betriebs­system  verlängert. Für Windows 10 21H1 endet die Unterstützung generell am 13. Dezember 2022 und für die 20H2 Enterprise Edition am 9. Mai 2023.

    Für Nutzer dieser Versionen empfiehlt sich der Umstieg auf das neueste Release. Dessen Support läuft für die Home- und Pro-Editionen bis zum 14. Mai 2024 und für die Enterprise-Ausführung bis zum 13. Mai 2025.

    Angleichung der Gruppenrichtlinien

    Zeitgleich mit dem OS veröffentlichte Microsoft die dazugehörigen administrativen Vorlagen für die Gruppen­richtlinien sowie die Dokumentation in Form der gewohnten Excel-Tabelle (Group Policy settings reference spreadsheet for Windows 10, version 22H2).

    Ein Ärgernis bei Windows 10 21H2 bestand darin, dass die Gruppen­richtlinien für die gleiche Version von Windows 11 nicht abwärts­kompatibel waren. Windows 10 erhielt nämlich einige neue Einstellungen, die in Windows 11 noch nicht vorhanden waren. Gemischte Umgebungen ließen sich daher nicht vollständig über einen Central Store verwalten.

    Diese Lage bessert sich nun, weil Windows 11 22H2 die meisten Einstellungen erhielt, die in 21H2 noch exklusiv in Windows 10 zu finden waren. Dies betrifft:

    • Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects)
    • Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen (Reset zoom to default for HTML dialogs in Internet Explorer mode)
    • Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken (Suppress the display of Edge Deprecation Notification)
    • Beschränkt die Installation von Druckertreibern auf Administratoren (Limits print driver installation to Administrators)

    Allerdings enthalten die ADMX des neuesten Windows 10 weiter Einstellungen, die es Windows 11 22H2 immer noch nicht gibt:

    Remotedesktop-Lizenzierungsmodus festlegen: Hier beschränkt sich die Auswahl auf Pro Benutzer und Pro Gerät, während Windows 10 noch zusätzlich die Option AAD pro Benutzer bietet (Set the Remote Desktop licensing mode: AAD per User)

    Die Lizenzoption für Azure-AD-Benutzer fehlt nach wie vor in Windows 11

    Telemetrie zulassen: Windows 11 kennt hier die Optionen Sicherheit, Erforderlich und Optional, während Windows 10 2022 zudem Erweitert anzeigt (Allow Telemetry: Enhanced)

    Die Einstellung zur Konfiguration der Telemetrie verfügt in Windows 10 über eine zusätzliche Option.

    Scannen von gepackten ausführbaren Dateien: Diese Einstellung für Windows Defender fehlt in Windows 11 weiterhin (Scan packed executables)

    Zudem gibt es noch zwei Einstellungen für die japanische und koreanische Eingabe (IME), die Windows 11 bis dato nicht nachgeholt hat. Dabei handelt es sich um Live-Sticker aktivieren (Turn on Live Sticker) und Lexikonaktualisierung aktivieren (Turn on lexicon update).

    Zwei weitere Einstellungen sind in Windows 10 22H2 sogar noch dazugekommen, die man in Windows 11 vergeblich sucht:

    • Deaktivierungsbenachrichtigung Internet Explorer 11 ausblenden ("Hide Internet Explorer 11 retirement notification")
    • Mehrere erweiterte Popupbenachrichtigungen im Info-Center aktivieren ("Turn on multiple expanded toast notifications in action center")

    Die IE-Richtlinie wird in Windows 11 nicht mehr benötigt, da der Browser dort schon als eigenständige Anwendung deaktiviert ist. Aus Gründen der Abwärts­kompatibilität hätte Microsoft sie dort trotzdem aufnehmen sollen.

    ADMX für Windows 11 als bessere Wahl

    Wer diese wenigen Optionen, die exklusiv in Windows 10 existieren, nicht benötigt, sollte selbst in reinen Windows-10-Umgebungen gleich zu den ADMX für Windows 11 22H2 greifen. Sie organisieren die zahlreichen Einstellungen für Windows Update in vier Ordnern, während Windows 10 die meisten, großteils veralteten Richtlinien weiterhin in einer langen Liste präsentiert.

    Die ADMX für Windows 11 2202 decken auch die Einstellungen ab, die mit Windows 10 22H2 neu hinzukommen:

    • Suchhervorhebungen zulassen ("Allow search highlights")
    • Cloudrichtliniendetails ("Cloud Policy Details")
    • Umleitungsschutz konfigurieren ("Configure Redirection Guard")
    • Configure RPC packet level privacy setting for incoming connections (nur über SecGuide.admx)
    • Hiermit wird gesteuert, ob Ausschlüsse für lokale Administratoren sichtbar sind ("Control whether or not exclusions are visible to Local Admins")
    • Automatisches Abonnement aktivieren ("Enable auto-subscription")
    • Globale Fensterliste im Internet Explorer Modus aktivieren  ("Enable global window list in Internet Explorer mode")
    • Manage processing of Queue-specific files (nur über SecGuide.admx)
    • Liste "am häufigsten verwendet" im Startmenü ein- oder ausblenden ('Show or hide "Most used" list from Start menu')

    Security Baseline

    Auch bei der Security Baseline fand eine Angleichung zwischen den aktuellen Versionen von Windows 10 und 11 statt. Zum einen nahm Microsoft einige neue Richtlinien in diese Best Practices auf, zum anderen erhielt Windows 10 die oben erwähnten neuen Einstellungen, die teilweise von der Baseline für Windows 11 2022 empfohlen werden.

    Download der Security Baseline für Windows 10 2022 als Teil des Security Compliance Toolkit

    Dabei handelt es sich um folgende Richtlinien für das Drucken:

    • Beschränkt die Installation von Drucker­treibern auf Admini­stratoren ("Limits installation of printer drivers to administrators").
    • Configure RPC packet level privacy setting for incoming connections
    • Umleitungsschutz konfigurieren ("Configure Redirection Guard")
    • Verwalten der Verarbeitung von warte¬schlangen¬spezifischen Dateien ("Manage processing of queue-specific files")

    Eine Beschreibung dieser Einstellungen enthält mein Beitrag zur Security Baseline für Windows 11 2022.

    Hinzu kommen wie bei Windows 11 die Richtlinien für die Absicherung Local Security Authority (LSA) sowie eine Policy zur Reduktion der Angriffsfläche. Die Ankündigung der Baseline enthält zudem einen Hinweis auf die neue lokale Richtlinie für die Kontosperrung des eingebauten Administrator-Accounts.

    Windows ADK

    Nicht viel zu berichten gibt es zum Windows Assessment and Deployment Kit. Der Werkzeug­kasten für das Image-Management und die Evaluierung der Update-Tauglichkeit von PCs blieb seit Windows 10 2004 unverändert und gilt somit auch für das Release 22H2.

    Das trifft auch auf Windows PE zu, das man seit einiger Zeit getrennt vom ADK herunterlanden muss.

    Zusammenfassung

    Während Windows 10 2022 für Endbenutzer praktisch keine neuen Funktionen bringt, erhalten Admins ein erweitertes Set an Gruppenrichtlinien. Es enthält überwiegend Einstellungen, die bereits in Windows 11 existieren und zum Teil als Empfehlung in die Security Baseline aufgenommen wurden.

    Eine Angleichung zwischen den beiden Betriebs­systemen fand vor allem dadurch statt, dass Windows 11 22H2 einige der zuvor exklusiven Einstellungen von Windows 10 nachgeholt hat. Trotzdem sind die ADMX für Windows 11 weiterhin nicht vollständig abwärts­kompatibel.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links