Sicherheit, Stabilität und Leistung im Griff behalten

Darauf müssen Admins bei Windows 10 achten

| Autor / Redakteur: Thomas Joos / Andreas Donner

Windows 10 ist ein gutes, stabiles und leistungsstarkes Betriebssystem – beim Einsatz im Unternehmensumfeld gilt es jedoch, einige Punkte zu beachten.
Windows 10 ist ein gutes, stabiles und leistungsstarkes Betriebssystem – beim Einsatz im Unternehmensumfeld gilt es jedoch, einige Punkte zu beachten. (Bild: Joos / Microsoft)

Immer mehr Unternehmen setzen auf Windows 10 als Betriebssystem für Arbeitsstationen. Allerdings müssen Administratoren beim Einsatz des aktuellen Microsoft-Betriebssystems einige Stolperfallen umschiffen. Ansonsten drohen Ausfall von Arbeitsstationen, Sicherheitsgefahren und ausgefallene Internetverbindungen.

Windows 10 ist auch für Unternehmen ein sehr gutes, stabiles und leistungsstarkes Betriebssystem. Allerdings müssen einige Stolperfallen umschifft werden, um zu vermeiden, dass Sicherheitsgefahren auftreten, die Leistung einbricht, oder die Internetverbindung des Unternehmens beeinträchtigt wird.

Windows-Updates richtig steuern

Die Konfiguration von Windows-Updates ist in Windows 10 weitaus komplizierter als in den Vorgängerversionen. Die Konfigurationsmöglichkeiten werden nahezu in jeder neuen Windows 10-Version angepasst und erweitert. Administratoren und Anwender können Einstellungen vornehmen, um manche Updates zu verzögern (siehe Abbildung 1). In den Gruppenrichtlinieneinstellungen stehen verschiedene Möglichkeiten zur Verfügung, um Updates zu steuern und zentral vorzugeben. Hier ist es notwendig, sich umfassend mit dem Thema zu befassen, und auch die entsprechenden Gruppenrichtlinieneinstellungen korrekt vorzugeben. Auch die einzelnen Menüpunkte passt Microsoft ständig an (siehe Abbildung 2).

Neben den Einstellungsmöglichkeiten in der Windows 10-Einstellungs-App, stehen aber auch Einstellungsmöglichkeiten in den Gruppenrichtlinien zur Verfügung. Diese sind im Gruppenrichtlinieneditor unter „Computerkonfiguration\Richtlinie\Administrative Vorlagen\Windows-Komponenten\Windows-Update“ zu finden. Die Einstellungen funktionieren, wie alle Gruppenrichtlinien, nur auf Rechnern mit Windows 10 Professional, Enterprise oder Education.

Apps aus dem App-Store im Griff behalten

Anwender können in Windows 10 aus dem App-Store Anwendungen herunterladen und installieren (siehe Abbildung 3). Auch Spiele lassen sich dadurch nahezu unkontrolliert und ohne Eingriffsmöglichkeiten von Administratoren installieren. Prinzipiell kann zwar unterbunden werden, dass Anwender Apps aus dem Store herunterladen und installieren. Das geht allerdings nur über Gruppenrichtlinien und vor allem nur auf Rechnern mit Windows 10 Enterprise.

Nur Windows 10 Enterprise bietet alle Einstellungsvarianten, wie zum Beispiel die Möglichkeit, die Konfiguration des Startmenüs zu exportieren und über Gruppenrichtlinien zu verteilen oder die Deaktivierung der Microsoft Store-App. Microsoft hat in der TechNet eine Liste veröffentlicht, welche GPO-Einstellungen nur mit Windows 10 Enterprise und Windows 10 Education (entspricht Windows 10 Enterprise) möglich sind. Die entsprechenden Einstellungen sind in Windows 10 Enterprise in den Gruppenrichtlinien über die folgenden Wege zu finden:

  • Computer Configuration >Administrative Templates >Windows Components > Store >Turn off the Store application
  • User Configuration > Administrative Templates > Windows Components > Store > Turn off the Store

Auf deutschen Rechnern sind die Einstellungen über folgenden Weg zu finden:

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Store

Über die Einstellung „Disable all apps from Microsoft Store“ bei „Windows Components\Store“ im Bereich der lokalen Computerkonfiguration lassen sich alle Apps aus dem Microsoft-Store auf einmal deaktivieren. Dazu ist mindestens Windows 10 Version 1803 notwendig.

Neue Versionen kontrolliert im Unternehmen verteilen

Neue Windows 10-Versionen, wie die jüngste Version 1809, also Windows 10 Oktober 2018 Update, werden über Windows-Update verteilt. Ist die Installation von Updates nicht über Gruppenrichtlinien festgelegt, können Anwender ihren PC auf die neuste Version aktualisieren, in dem sie die Windows-Update-Funktion verwenden. Dabei wird die neue Version aus dem Internet heruntergeladen, was die Internetleitung deutlich belasten kann. Durch die Aktualisierung wird der Benutzer dann zunächst bei seiner Arbeit behindert. Und wenn die neue Version dann installiert ist, besteht die Gefahr, dass einige Anwendungen mit der neuen Version nicht mehr funktionieren, oder Anwender durch neue Windows 10-Funktionen und -Versionen abgelenkt werden. Windows 10 unterscheidet zwischen drei verschiedenen Update-Typen:

Feature Updates – Diese Updates erhalten, neben Updates für mehr Sicherheit und Qualität, auch neue Funktionen. Beispiele dafür sind die aktuelle Windows 10 Version 1809 Oktober 2018 Update. Diese Updates lassen sich bis zu 365 Tage aufschieben, danach muss die Installation erfolgen.

Quality Updates – Hierbei handelt es sich um herkömmliche Updates, Fehlerbehebungen und Sicherheits-Patches, die keine neuen Funktionen bieten. Auch Updates für Microsoft Office lassen sich so bereitstellen. Quality Updates lassen sich 30-35 Tage aufschieben.

Nicht-aufschiebbare Updates – Dabei handelt es sich zum Beispiel um Updates für Windows Defender.

Die Einstellungen zum Aufschieben lassen sich in den Windows-Einstellungen vornehmen (siehe Abbildung 1), aber natürlich auch zentral über Gruppenrichtlinien (siehe Abbildung 2) verwalten. Die Einstellungen dazu sind in den Gruppenrichtlinieneinstellungen bei „Computerkonfiguration\Richtlinie\Administrative Vorlagen\Windows-Komponenten\Windows-Update\Windows-Updates zurückstellen“ zu finden.

Wildwuchs bei Einstellungen vermeiden

Microsoft verschiebt immer mehr Einstellungen aus der Systemsteuerung und aus anderen Bereichen in die Einstellungs-App von Windows 10. Anwender können viele Einstellungen anpassen, was in größeren Netzwerken schnell zu Problemen und einem gewissen Wildwuchs führt. Mit jeder neuen Windows 10-Version, auch mit Windows 10 Version 1809, werden neue Einstellungen integriert. Am Beispiel von Windows 10 Version 1809 ist das zum Beispiel der Bereich „System\Zwischenablage“. Hier lassen sich Einstellungen der neuen Zwischenablagefunktionen festlegen (siehe Abbildung 4).

Vor der Installation von neuen Versionen, sollten sich Administratoren mit den neuen Menüpunkten auseinandersetzen, um zu prüfen, ob Anwender diese ändern dürfen, oder ob eine Steuerung über Gruppenrichtlinien sinnvoller ist. Das vermeidet Probleme und Rückfragen von Anwendern, die mit neuen Funktionen nicht zurechtkommen.

Erweiterungen für Microsoft Edge steuern

Microsoft Edge ermöglicht die Installation von Erweiterungen. Diese können Anwender auch ohne Administrator installieren (siehe Abbildung 5). Der Nachfolger des Internet Explorers wird in Windows 10 mit jeder neuen Version weiter ausgebaut. Microsoft Edge lässt sich über Gruppenrichtlinien steuern. Zu finden sind die Einstellungsmöglichkeiten über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge“.

Hier lassen sich Cookies verbieten, oder die Skriptausführung in Edge blocken. Außerdem kann hier festgelegt werden, dass keine Erweiterungen installiert werden dürfen. Dazu wird die Richtlinieneinstellung „Erweiterungen zulassen“ deaktiviert.

Windows Defender Application Guard (WDAG) kann Sitzungen im Webbbrowser über Hyper-V virtualisieren und dadurch sicherstellen, dass Malware nicht über das Internet auf einen PC übertragen werden kann. Für den Einsatz sind Windows 10 Pro oder Windows 10 Enterprise notwendig, am besten ab der Version Windows 10 Version 1803.

Neue Funktionen und Menüs

In jeder neuen Windows 10-Version ändert Microsoft die Menüs in der Einstellungs-App ab. Beispiele dafür sind die Umbenennung des „Windows Defender Security Centers“ in „Windows Sicherheit“. Auch Anpassungen bezüglich der Oberfläche in „Personalisierung\Farben“ sind Beispiele für diese Neuerungen. Der Exploit-Schutz in Windows 10 kann Anwendungen aus einzelnen Verzeichnissen aussperren, um die darin enthaltenen Dokumente zu schützen (siehe Abbildung 6). Das alles müssen Administratoren verstehen und lokal oder zentral steuern.

Sicherheits-Einstellungen verstehen

Microsoft erweitert ständig die Sicherheits-Funktionen in Windows 10. Diese sind ab Windows 10 Version 1809 im Bereich „Windows Sicherheit“, ehemals Windows Defender Security Center zu finden. Dazu kommen verschiedene Einstellungsmöglichkeiten, die sich bei „Update und Sicherheit“ verstecken. Beim Einsatz von Windows 10 sollten diese Sicherheitseinstellungen überprüft und an die Anforderungen des Unternehmens angepasst werden. An dieser Stelle sind viele Optionen, auch zum Exploit-Schutz zu finden.

Programmkompatibilität beachten

Jede neue Windows 10 Version, auch Windows 10 Version 1809 bringt Änderungen im Betriebssystem, die zu Inkompatibilitäten führen können. Vor der Verteilung sollten daher alle im Unternehmen eingesetzten Programme auf Kompatibilität mit der neuen Version getestet werden, um Überraschungen bei der Aktualisierung zu verhindern. Dazu gehört auch das Verschieben von neuen Versionen, bis die Tests erfolgreich abgeschlossen worden sind. Vor allem Sicherheitstools müssen auf Kompatibilität überprüft werden, das gilt auch für Anwendungen, die auf Ordner zugreifen sollen, für die der überwachte Ordnerzugriff aktiviert wurde. Die Einstellungen dazu befinden sich in der Einstellungs-App von Windows 10.

Cloudanbindung unterbinden

Windows 10 ist eng an OneDrive angebunden. Mit Windows 10 Version 1809 kann die Speicheroptimierung (Storage Sense) ebenfalls Daten in die Cloud auslagern. Auch über den OneDrive-Client in Windows 10 können Daten in die Cloud ausgelagert werden. Administratoren sollten an dieser Stelle mit Gruppenrichtlinien arbeiten, um die Verwendung von OneDrive einzudämmen. Microsoft stellt für Unternehmen Gruppenrichtlinienerweiterungen zur Verfügung, mit denen sich auch OneDrive for Business über Gruppenrichtlinien steuern lässt.

Gruppenrichtlinien richtig setzen

Windows 10 kann umfassend mit Gruppenrichtlinien gesteuert werden. Um neue Funktionen mit Gruppenrichtlinien zu steuern, müssen Administratoren bei der Einführung einer neuen Version auch die aktuellen Gruppenrichtlinienvorlagen herunterladen und im Netzwerk integrieren. Um alle Gruppenrichtlinien-Funktionen nutzen zu können, ist häufig Windows 10 Enterprise notwendig. Die Vorlagen für die Gruppenrichtlinieneinstellungen, inklusive Windows 10 Oktober 2018 Update (Version 1809) können im Download-Center heruntergeladen werden https://www.microsoft.com/de-de/download/details.aspx?id=56880. Beim Erscheinen neuer Updates müssen die dafür vorgesehenen Vorlagen ebenfalls wieder heruntergeladen und im Netzwerk integriert werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45593004 / Client-/Server-Administration)