Tags: Windows 10, Gruppenrichtlinien, Windows ADK, Sicherheit
Microsoft veröffentlichte die Version 22H2 von Windows 10 (Windows 10 2022 Update). Sie bietet praktisch keine neuen Features für Endbenutzer, bringt aber einige Änderungen, die für Admins relevant sind. Dazu gehören eine weitgehende Ausrichtung der Gruppenrichtlinien und der Security Baseline an Windows 11 22H2.
Das Microsoft-Marketing beschreibt das neue Release in seiner Ankündigung mit "limited scope of new features and functionality". In der Praxis nennt der Hersteller bis dato keine Neuerungen in Windows 10 2022. Diese beschränken sich im Wesentlichen auf die Integration von bisher erschienenen Updates und auf Qualitätsverbesserungen.
Entsprechend erfolgt das Upgrade von früheren Versionen (ab 20H2) auf 22H2 erneut in Form eines Enablement-Package, das wie ein monatliches Update installiert wird.
Längerer Support durch das Update
Wichtig ist das Release 2022 für Unternehmen deshalb, weil sich damit der Support-Zeitraum für das Betriebssystem verlängert. Für Windows 10 21H1 endet die Unterstützung generell am 13. Dezember 2022 und für die 20H2 Enterprise Edition am 9. Mai 2023.
Für Nutzer dieser Versionen empfiehlt sich der Umstieg auf das neueste Release. Dessen Support läuft für die Home- und Pro-Editionen bis zum 14. Mai 2024 und für die Enterprise-Ausführung bis zum 13. Mai 2025.
Angleichung der Gruppenrichtlinien
Zeitgleich mit dem OS veröffentlichte Microsoft die dazugehörigen administrativen Vorlagen für die Gruppenrichtlinien sowie die Dokumentation in Form der gewohnten Excel-Tabelle (Group Policy settings reference spreadsheet for Windows 10, version 22H2).
Ein Ärgernis bei Windows 10 21H2 bestand darin, dass die Gruppenrichtlinien für die gleiche Version von Windows 11 nicht abwärtskompatibel waren. Windows 10 erhielt nämlich einige neue Einstellungen, die in Windows 11 noch nicht vorhanden waren. Gemischte Umgebungen ließen sich daher nicht vollständig über einen Central Store verwalten.
Diese Lage bessert sich nun, weil Windows 11 22H2 die meisten Einstellungen erhielt, die in 21H2 noch exklusiv in Windows 10 zu finden waren. Dies betrifft:
- Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden (Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects)
- Zoom für HTML-Dialogfelder im Internet Explorer-Modus auf Standard zurücksetzen (Reset zoom to default for HTML dialogs in Internet Explorer mode)
- Anzeige der Benachrichtigung über Veralterung von Microsoft Edge unterdrücken (Suppress the display of Edge Deprecation Notification)
- Beschränkt die Installation von Druckertreibern auf Administratoren (Limits print driver installation to Administrators)
Allerdings enthalten die ADMX des neuesten Windows 10 weiter Einstellungen, die es Windows 11 22H2 immer noch nicht gibt:
Remotedesktop-Lizenzierungsmodus festlegen: Hier beschränkt sich die Auswahl auf Pro Benutzer und Pro Gerät, während Windows 10 noch zusätzlich die Option AAD pro Benutzer bietet (Set the Remote Desktop licensing mode: AAD per User)
Telemetrie zulassen: Windows 11 kennt hier die Optionen Sicherheit, Erforderlich und Optional, während Windows 10 2022 zudem Erweitert anzeigt (Allow Telemetry: Enhanced)
Scannen von gepackten ausführbaren Dateien: Diese Einstellung für Windows Defender fehlt in Windows 11 weiterhin (Scan packed executables)
Zudem gibt es noch zwei Einstellungen für die japanische und koreanische Eingabe (IME), die Windows 11 bis dato nicht nachgeholt hat. Dabei handelt es sich um Live-Sticker aktivieren (Turn on Live Sticker) und Lexikonaktualisierung aktivieren (Turn on lexicon update).
Zwei weitere Einstellungen sind in Windows 10 22H2 sogar noch dazugekommen, die man in Windows 11 vergeblich sucht:
- Deaktivierungsbenachrichtigung Internet Explorer 11 ausblenden ("Hide Internet Explorer 11 retirement notification")
- Mehrere erweiterte Popupbenachrichtigungen im Info-Center aktivieren ("Turn on multiple expanded toast notifications in action center")
Die IE-Richtlinie wird in Windows 11 nicht mehr benötigt, da der Browser dort schon als eigenständige Anwendung deaktiviert ist. Aus Gründen der Abwärtskompatibilität hätte Microsoft sie dort trotzdem aufnehmen sollen.
ADMX für Windows 11 als bessere Wahl
Wer diese wenigen Optionen, die exklusiv in Windows 10 existieren, nicht benötigt, sollte selbst in reinen Windows-10-Umgebungen gleich zu den ADMX für Windows 11 22H2 greifen. Sie organisieren die zahlreichen Einstellungen für Windows Update in vier Ordnern, während Windows 10 die meisten, großteils veralteten Richtlinien weiterhin in einer langen Liste präsentiert.
Die ADMX für Windows 11 2202 decken auch die Einstellungen ab, die mit Windows 10 22H2 neu hinzukommen:
- Suchhervorhebungen zulassen ("Allow search highlights")
- Cloudrichtliniendetails ("Cloud Policy Details")
- Umleitungsschutz konfigurieren ("Configure Redirection Guard")
- Configure RPC packet level privacy setting for incoming connections (nur über SecGuide.admx)
- Hiermit wird gesteuert, ob Ausschlüsse für lokale Administratoren sichtbar sind ("Control whether or not exclusions are visible to Local Admins")
- Automatisches Abonnement aktivieren ("Enable auto-subscription")
- Globale Fensterliste im Internet Explorer Modus aktivieren ("Enable global window list in Internet Explorer mode")
- Manage processing of Queue-specific files (nur über SecGuide.admx)
- Liste "am häufigsten verwendet" im Startmenü ein- oder ausblenden ('Show or hide "Most used" list from Start menu')
Security Baseline
Auch bei der Security Baseline fand eine Angleichung zwischen den aktuellen Versionen von Windows 10 und 11 statt. Zum einen nahm Microsoft einige neue Richtlinien in diese Best Practices auf, zum anderen erhielt Windows 10 die oben erwähnten neuen Einstellungen, die teilweise von der Baseline für Windows 11 2022 empfohlen werden.
Dabei handelt es sich um folgende Richtlinien für das Drucken:
- Beschränkt die Installation von Druckertreibern auf Administratoren ("Limits installation of printer drivers to administrators").
- Configure RPC packet level privacy setting for incoming connections
- Umleitungsschutz konfigurieren ("Configure Redirection Guard")
- Verwalten der Verarbeitung von warte¬schlangen¬spezifischen Dateien ("Manage processing of queue-specific files")
Eine Beschreibung dieser Einstellungen enthält mein Beitrag zur Security Baseline für Windows 11 2022.
Hinzu kommen wie bei Windows 11 die Richtlinien für die Absicherung Local Security Authority (LSA) sowie eine Policy zur Reduktion der Angriffsfläche. Die Ankündigung der Baseline enthält zudem einen Hinweis auf die neue lokale Richtlinie für die Kontosperrung des eingebauten Administrator-Accounts.
Windows ADK
Nicht viel zu berichten gibt es zum Windows Assessment and Deployment Kit. Der Werkzeugkasten für das Image-Management und die Evaluierung der Update-Tauglichkeit von PCs blieb seit Windows 10 2004 unverändert und gilt somit auch für das Release 22H2.
Das trifft auch auf Windows PE zu, das man seit einiger Zeit getrennt vom ADK herunterlanden muss.
Zusammenfassung
Während Windows 10 2022 für Endbenutzer praktisch keine neuen Funktionen bringt, erhalten Admins ein erweitertes Set an Gruppenrichtlinien. Es enthält überwiegend Einstellungen, die bereits in Windows 11 existieren und zum Teil als Empfehlung in die Security Baseline aufgenommen wurden.
Eine Angleichung zwischen den beiden Betriebssystemen fand vor allem dadurch statt, dass Windows 11 22H2 einige der zuvor exklusiven Einstellungen von Windows 10 nachgeholt hat. Trotzdem sind die ADMX für Windows 11 weiterhin nicht vollständig abwärtskompatibel.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
- Windows 10 21H1: 10 neue GPO-Einstellungen, ADMX als Download, Security Baseline verfügbar, kein eigenes ADK und RSAT
- Windows 10 20H2: ADMX-Download, Security Baseline, kein eigenes ADK
- Security Baseline für Windows 10 2004: Zwei neue Einstellungen empfohlen, eine entfernt
- Security Baseline für Windows 10 und Server 1909: 4 Einstellungen aus 1903 entfernt
Weitere Links