Categories: NetzwerkeSoftware

Windows 10 für den Unternehmenseinsatz optimal einrichten

Mit Windows 10 erhalten Unternehmen ein modernes Betriebssystem für den professionellen Einsatz. Mit Vorsicht zu genießen ist allerdings die Kommunikation des Betriebssystems mit Microsoft. Aus Sicht des Datenschutzes und der Sicherheit ist Windows 10 durchaus noch kritisch zu sehen, vor allem, weil das Sperren der Verbindungsaufnahme zu den Microsoft-Servern nur sehr schwer möglich ist.

Besonders interessant ist für Unternehmen die Edition Windows 10 Enterprise, die alle notwendigen Funktionen mit sich bringt. Außerdem bietet nur die Enterprise-Edition alle Einstellungsmöglichkeiten über Gruppenrichtlinien. Zwar unterstützt auch Windows 10 Pro Gruppenrichtlinien, aber hier fehlen viele Einstellungen bezüglich des Datenschutzes, der Sicherheit und vor allem zum Windows Store.

Windows Store ist nur in den Editionen Enterprise und Education deaktivierbar

Nur die Editionen Windows 10 Enterprise und Education bieten die Möglichkeit, den Windows Store über Gruppenrichtlinien zu deaktivieren. In diesen Editionen funktionieren die Einstellungen zur Deaktivierung der Gruppenrichtlinien fehlerfrei und ohne Probleme. In Windows 10 Pro gibt es seit Windows 10 Version 1511 keine Möglichkeit mehr, den Store über Gruppenrichtlinien zu deaktivieren. Dieses Verhalten hat Microsoft offiziell bestätigt. Die entsprechenden Einstellungen sind in Windows 10 Enterprise in den Gruppenrichtlinien über die folgenden Wege zu finden:

Computer Configuration >Administrative Templates >Windows Components > Store >Turn off the Store application

User Configuration > Administrative Templates > Windows Components > Store > Turn off the Store

Auf deutschen Rechnern sind die Einstellungen über folgenden Weg zu finden:

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Store

Die Gruppenrichtlinieneinstellung zum Deaktivieren des Windows Store funktioniert nur noch in den Editionen Enterprise und Education (Screenshot: Thomas Joos).

Die Einstellungen sind zwar auch in Windows 10 Pro zu sehen, funktionieren aber nicht. Für Windows 10 Enterprise bietet Microsoft eine spezielle Lizenzierungsvariante, Long Time Service Branch (LTSB) genannt. Bei dieser Version müssen keine neuen Funktionen und Erweiterungen installiert werden, um Support zu erhalten. Auch ohne Aktualisierung bietet die LTSB-Version 10 Jahre Support. Sicherheits- und Stabilitätspatches müssen auch in dieser Version installiert werden, aber keine Updates, die Features installieren oder neue Builds von Windows 10. Unternehmen mit dieser Lizenz erhalten uneingeschränkten Support für den dauerhaften Einsatz. Einfach ausgedrückt verspricht Microsoft, dass Unternehmen mit LTSB nicht dazu gezwungen werden sollen neue Versionen zu installieren, um innerhalb des Support-Zyklus zu bleiben.

Spionagefunktionen deaktivieren

Windows 10 sendet ziemlich viele Informationen zu Microsoft. In den AGB sind außerdem viele Einträge zu finden, die Microsoft gestatten, umfassend Daten von Rechnern abzugreifen, die mit dem Internet verbunden sind. Die Datenverbindungen lassen sich mit Netzwerksniffern leicht feststellen. Es gibt aber Möglichkeiten, die Datenschutzeinstellungen in Windows 10 deutlich zu verbessern. Allerdings lassen sich die Spionagefunktionen auch in der Enterprise-Version ohne Zusatztools nicht vollständig abschalten.

Wie weit Administratoren bei der Deaktivierung der Datenschutzfunktionen gehen, ist natürlich Sache des jeweiligen Unternehmens. In jedem Fall ist die Überprüfung des Datenschutzes in Windows 10 notwendig, wenn das Betriebssystem im Unternehmen eingeführt wird. Viele Einstellungen sind über Gruppenrichtlinien lösbar, oder mit kostenlosen Tools wie „Destroy Windows 10 Spying“. Die einzelnen Möglichkeiten, Tools und Einstellungen sind hier zu finden:

Windows 10 muss bezüglich des Datenschutzes etwas gezähmt werden (Screenshot: Thomas Joos).

In Unternehmen ist das Deaktivieren der Spionagefunktionen mit Tools kaum zu empfehlen, aber durchaus eine Option.

Kompatibilitäts-Test von Anwendungen mit dem Application Compatibility Toolkit

Eine interessante Sammlung, die an Unternehmen oder sehr erfahrene Anwender gerichtet ist, stellt Microsoft mit dem Application Compatibility Toolkit (ACT) zur Verfügung. Hierbei handelt es sich um Anwendungen, die bei der Analyse der Applikationen und deren Kompatibilität zu Windows 10 helfen sollen. Bestandteil der Sammlung sind der Application Compatibility Manager und Compatibility Administrator. Mit diesen Tools wird getestet, ob Anwendungen auch unter Windows 10 lauffähig sind. Die Tools machen vor allem vor der Migration zu Windows 10 Sinn, da dadurch festgestellt werden kann, ob die Anwendungen im Unternehmen auch problemlos mit Windows 10 funktionieren.

Für Profis bietet Microsoft kostenlose Tools, mit denen die Kompatibilität von Programmen mit Windows 10 sichergestellt werden kann (Screenshot: Thomas Joos).

Cortana und Co bremsen und mit Gruppenrichtlinien konfigurieren

Microsofts Sprach- und Suchassistent Cortana wird mit dem Windows 10 Anniversary Update noch weiter ausgebaut. Unter anderem besteht jetzt die Möglichkeit den Assistenten auch über den Sperrbildschirm zu nutzen. Damit sind nicht alle Unternehmen einverstanden. Die Einstellungen für den neuen Suchassistenten sind in den Gruppenrichtlinien im Bereich „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche“ zu finden. Um auch die neuen Einstellungen von Cortana, und generell den Neuerungen von Windows 10 Anniversary Update konfigurieren zu können, müssen Administratoren die neuen Vorlagen herunterladen und in die Gruppenrichtlinien einbinden.

Nach dem Download bei Microsoft, werden die ADMX-Dateien in das Verzeichnis C:\PolicyDefinitions auf den Domänencontrollern kopiert, beziehungsweise der Freigabe im Netzwerk, in der Administratoren auch die anderen Vorlagendateien für Gruppenrichtlinien speichern. Die ADML-Dateien aus den Archiven werden wiederum in das entsprechende Sprachverzeichnis in C:\PolicyDefinitions kopiert, zum Beispiel in das Verzeichnis de-de. Wird im Unternehmen noch parallel auf Office 2016 gesetzt, macht es auch Sinn hier die Sicherheitseinstellungen über Gruppenrichtlinien zu konfigurieren. Microsoft bietet auch hier Vorlagen für Gruppenrichtlinien an.

Nachdem die Gruppenrichtlinienvorlagen importiert sind, können Administratoren zentral Sicherheit-Einstellungen für Windows 10 und für Office 2016 vorgeben (Screenshot: Thomas Joos).

Über Gruppenrichtlinieneinstellungen lässt sich Cortana generell recht gut bremsen. Dazu nutzen Unternehmen am besten die Enterprise-Edition von Windows 10. Mit der Option „Nicht im Web suchen und keine Webergebnisse in der Suche anzeigen“ wird verhindert, dass Anwender über Cortana im Internet nach Informationen suchen. Bei solchen Suchvorgängen werden schließlich auch Informationen des lokalen Rechners in das Internet gesendet.

Cortana lässt sich auch mit dem Anniversary Update über Gruppenrichtlinien zähmen (Screenshot: Thomas Joos).

Mit der Richtlinieneinstellung „Cortana zulassen“ kann über die Option „Deaktivieren“ Cortana per Richtlinie ausgeschaltet werden. Die Standard-Suche in Windows funktioniert weiterhin. Diese wird dadurch nicht beeinträchtigt. Über „Cortana auf dem Sperrbildschirm zulassen“ wird festgelegt, ob die neue Cortana-Funktion aus dem Anniversary Update auf Windows 10-Rechnern erlaubt sein sollen.

Microsoft Edge Steuern

Der Nachfolger des Internet Explorers wird in Windows 10 Anniversary Update weiter ausgebaut. Es ist jetzt zum Beispiel möglich Erweiterungen zu installieren. Das ist allerdings in Unternehmen nicht immer gewünscht. Auch Microsoft Edge lässt sich über Gruppenrichtlinien steuern. Zu finden sind die Einstellungsmöglichkeiten über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge“.

Auch Microsoft Edge lässt sich über Gruppenrichtlinien steuern (Screenshot: Thomas Joos).

Hier lassen sich Cookies verbieten, oder die Skriptausführung in Edge blocken. Außerdem können Administratoren hier festlegen, dass keine Erweiterungen installiert werden dürfen. Dazu wird die Richtlinieneinstellung „Erweiterungen zulassen“ deaktiviert.

Die neuen Erweiterungen von Microsoft Edge lassen sich über Gruppenrichtlinien deaktivieren (Screenshot: Thomas Joos).

Spezielle Richtlinien für Windows 10 Enterprise

Unternehmen, die auf Windows 10 Enterprise setzen, können weitere Sicherheitseinstellungen setzen, die in Windows 10 Pro nicht verfügbar sind. Besonders wichtig ist in diesem Bereich die Richtlinieneinstellung „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Datensammlung und Vorabversionen“. Diese Einstellungen können Administratoren nutzen, um den Datenschutz zu verbessern. Die Funktionen stehen allen Unternehmen zur Verfügung, die auf Windows 10 Enterprise setzen.

Einige Sicherheitseinstellungen und Konfigurationen für den Datenschutz sind der Enterprise-Edition von Windows 10 vorbehalten (Screenshot: Thomas Joos).

Updates besser verteilen und Datenschutz weiter verbessern

Auch die Verteilmöglichkeiten von Updates können Administratoren über Richtlinien steuern. Die Konfiguration ist über „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Delivery Optimization“ zu finden. Die Einstellung „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Position und Sensoren / Windows-Positionssuche“ kann den Datenschutz verbessern, wenn Anwender Notebooks mit Windows 10 nutzen. Allerdings gilt auch hier, dass die Verbesserungen nicht alle Spionagefunktionen deaktivieren.

In Windows 10 lassen sich Datenübertragungen der integrierten Windows-Spiele steuern. Dazu steht die Einstellung „Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Game Recording and Broadcasting“ zur Verfügung. Eine weitere wichtige Einstellung für besseren Datenschutz ist das Aktivieren der Einstellung „Werbe-ID deaktivieren“ unter „Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Benutzerprofile“.

Windows 10 an WSUS anbinden

Wenn im Unternehmen bereits ein Server mit Windows Server Update Services (WSUS) in Betrieb ist, bietet es sich an, die Update-Einstellungen von Windows 10 über Gruppenrichtlinien zu setzen, und die Clientrechner an WSUS anzubinden. Die wichtigsten Einstellungen dazu sind über „Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update“ zu finden. Hier spielen für Unternehmen so gut wie alle Einstellungen eine wichtige Rolle.

Windows 10 bietet auch mit dem Anniversary Update zahlreiche Einstellungen für die Konfiguration von Updates und der Anbindung an WSUS (Screenshot: Thomas Joos).

Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Die erste Option ist „Internen Pfad für den Microsoft Updatedienst angeben“. Diese Option sollte aktiviert werden. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: http://<Servername>:<Port>. WSUS lässt sich auch mit HTTPS nutzen. Dazu muss der Server entsprechend konfiguriert sein. Im rechten Bereich ist der Port für die HTTP/HTTPS-Verbindung zu sehen. Alternativ finden Administratoren den Port auch in der WSUS-Konsole im unteren Bereich.

Die zweite wichtige Option ist das Updateverhalten, das über „Automatische Updates konfigurieren“ festgelegt wird. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:

Vor Herunterladen und Installation benachrichtigen — Mit dieser Option benachrichtigt Windows Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.

Autom. Herunterladen, aber vor Installation benachrichtigen — Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt.

Autom. Herunterladen und laut Zeitplan installieren — Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung.

Lokalen Administrator ermöglichen, Einstellung auszuwählen — Mit dieser Option wird zugelassen, dass lokale Administratoren in den Einstellungen von Windows 10 selbst festlegen können, wann die Updates installiert werden, die WSUS zur Verfügung stellt.

Windows 10 lässt sich optimal über WSUS mit Updates versorgen (Screenshots: Thomas Joos).

Die Einstellung zum Zurückstellen von Updates ist über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update\Windows-Updates zurückstellen“ zu finden. Die Einstellungen ermöglichen die verzögerte Installation von Windows-Updates auf Firmen-Rechnern.

Windows 10-Rechner können Updates für andere Windows 10-Rechner im Netzwerk/Internet bereitstellen (Peer-To-Peer). Der Vorteil dabei ist, dass in Niederlassungen nicht jeder Rechner seine Updates aus Windows Update oder von einem WSUS-Server herunterladen muss, sondern von anderen Rechnern im gleichen Netzwerk beziehen kann. Die Einstellungen dazu sind über „Einstellungen\Update und Sicherheit\Windows Update\Erweiterte Optionen\Übermittlung von Updates auswählen“ zu finden. Über den Pfad zur Konfiguration von Updates über Gruppenrichtlinien, können Administratoren auch diese Einstellungen festlegen.

Fazit

Windows 10 ist ein tolles Betriebssystem mit vielen nützlichen Funktionen. Das Anniversary Update bringt weitere Verbesserungen. Ein großes Manko des Betriebssystems ist und bleibt aber der Datenschutz. Leider bietet Windows 10 keine zuverlässigen Möglichkeiten, die weitreichenden Spionagefunktionen komplett zu deaktivieren. Das ist vor allem für Unternehmensrechner ein echtes Problem. Zwar gibt es Zusatztools, um Windows 10 etwas zu bremsen, solche Tools haben aber eigentlich in einem Unternehmensnetzwerk nichts zu suchen. Dazu kommt das Problem, dass Windows-Updates die Sicherheitseinstellungen der Tools wieder überschreiben oder unbrauchbar machen. Mit Firewallregeln lässt sich viel erreichen, allerdings sind diese komplex im Aufbau, und müssen ebenfalls gepflegt werden.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago