Mit Windows 10 1809 führte Microsoft eine mehrstufige Zwischenablage ein und erweiterte diese dann um die Möglichkeit, ihren Inhalt mit mehreren Geräten zu synchronisieren. Dieses Cloud-Clipboard birgt gewisse Sicherheitsrisiken, etwa für den Datenabfluss. Daher lässt es sich über Gruppenrichtlinien einschränken.
Auf den meisten PCs läuft Defender Antivirus in den Standardeinstellungen. Microsoft bietet Admins jedoch viele Optionen, um das Verhalten der Security-Komponente anzupassen. Damit lässt sich die Kompatibilität mit Anwendungen verbessern, das Scannen optimieren oder die Reaktion auf Bedrohungen ändern.
Das aktuelle Release von Windows 11 bringt insgesamt über 70 neue Einstellungen für die Gruppenrichtlinien. Neben solchen, die der Sicherheit dienen und weitgehend in die Security Baseline übernommen wurden, kommen weitere für die Windows-UI, den Paket-Manager winget und den Internet Explorer hinzu.
Parallel zur Freigabe von Windows 11 2022 veröffentlichte Microsoft die dazugehörige Security Baseline. Sie empfiehlt die Aktivierung einer ganzen Reihe von zusätzlichen Gruppenrichtlinien, wobei die meisten neu mit dieser OS-Version hinzugekommen sind. Ein Schwerpunkt liegt dabei auf der Absicherung von Druckern.
Ein effektiver Schutz durch Virenscanner hängt davon ab, dass diese stets auf die neuesten Definitionen zugreifen können. Daher kann Microsoft Defender seine Signatur-Updates nicht nur von der Standardquelle für OS-Updates beziehen. Vielmehr kann man gleich mehrere angeben, und zwar in der Reihenfolge ihrer Priorität.
Admins können Anwender bei der nächsten Anmeldung zu einem Wechsel des Passworts anhalten. Während man den Status des entsprechenden Attributs in AD-Benutzer und -Computer leicht einsehen kann, ist das Vorgehen mit PowerShell etwas trickreich. Das Setzen dieser Vorgabe fällt dagegen ziemlich einfach.
Unter dem Begriff Exploit-Schutz versammelt Microsoft eine Reihe von Techniken, die Angriffe durch Malware erschweren sollen. Darunter finden sich auch alte Bekannte wie DEP. Während auf Systemebene die meisten Schutzmechanismen standardmäßig aktiv sind, sollte man die Einstellungen für einzelne Apps noch tunen.
Microsoft Defender bietet neben dem Virenscanner noch weitere Sicherheitsfunktionen. Zu diesen gehört die Reduktion der Angriffsfläche, mit der sich Anwendungen wie Office, Browser oder Adobe Reader härten lassen. Das Feature ist standardmäßig nicht aktiv und lässt sich per Gruppenrichtlinie oder PowerShell konfigurieren.
Wenn man Tools wie die Gruppenrichtlinienverwaltung oder AD-Benutzer und -Computer öffnet, dann kann es vorkommen, dass diese die Domäne nicht finden. Verantwortlich dafür sind fast immer Netzwerkprobleme im Allgemeinen und solche mit DNS im Besonderen. Eine spezielle Rolle spielt dabei die IPv6-Konfiguration.
Kaum eine andere Anwendung muss man so häufig mit erhöhten Rechten starten wie einen Kommandointerpreter, beispielsweise cmd.exe oder PowerShell. In Windows Terminal kann man die Erhöhung der Privilegien für einzelne oder alle Shells konfigurieren. Es wartet dabei aber mit einigen Inkonsistenzen und Eigenheiten auf.