Neue Gruppenrichtlinien in Windows 11 23H2

Windows 11 23H2 bringt eine Reihe neuer Einstellungen für die Gruppen­richt­linien. Diese betreffen zum einen neue Features wie Dev Drive und erweitern zum anderen die Management-Optionen für be­stehende Komponenten. Die dazugehörigen ADMX-Vorlagen sind bereits für den Download ver­fügbar, ebenso die Excel-Tabelle mit der Dokumentation.

Die meisten Neuerungen von Windows 11 23H2 ergänzen vorhandene Features um neue Funk­tionen. Eine der wenigen genuinen Innovationen sind Dev Drive und die Integration von Copilot, die in der EU aber noch aussteht. Hinzu kommt das verbesserte LAPS, das nun mit dem Betriebs­system ausgeliefert wird.


Neun der insgesamt ca. 33 neuen Gruppenrichtlinien entfallen auf LAPS, zwei weitere auf Dev Drive und eine auf Copilot. Letzterer lässt sich auf diesem Weg abschalten.

Inkonsistente Dokumentation

Welche und wie viele Einstellungen in Windows 11 23H2 wirklich neu sind, lässt sich nicht ohne Weiteres ermitteln. Das liegt zum einen daran, dass Microsoft neue Funktionen kontinuierlich ausliefert und so der Bezugspunkt für den Vergleich unklar ist. Zum anderen erschwert Microsofts nachlässige Dokumentation diese Aufgabe.

Aktuell gibt es zwei Dokumente, aus denen die neuen Einstellungen hervorgehen sollten. Dabei handelt es sich zum einen um die bekannte Group Policy Settings Reference, zum anderen um eine Excel-Tabelle in der Dokumentation der Security Baseline ("Windows 11 22H2 to 23H2 Delta.xlsx").

Die Group Policy Settings Reference ordnet viele neue Einstellungen den Versionen 22H2-V2 und 22H2-V3 zu.

Beide weisen verschiedene Einstellungen als neu aus.

So gab es Konfigurieren der Einbindung von App-Registerkarten in ALT-TAB ("Configure the inclusion of app tabs into Alt-Tab") bereits unter Windows 10 und taucht nun nachträglich in der Version 11 auf. Die Baseline-Dokumentation weist sie aber nicht aus.

Die Optionen für die Verwaltung von SMB Compression ordnet die Referenz 22H2 zu, das Baseline-Dokument hingegen 23H2.

Die Dokumentation der Security Baseline listet die Einstellungen für SMB Compression als neu auf.

Die ADMX-Vorlagen mit den neuen Einstellungen sind nicht nur auf einer Workstation mit Windows 11 23H2 unter %systemroot%\PolicyDefinitions zu finden, sondern wie gewohnt als eigener Download zu haben. Das Paket enthält im Unterschied zum Betriebs­system alle verfügbaren Sprachdateien.

Übersicht über die neuen Einstellungen

Die meisten neuen Einstellungen in der folgenden Liste sprechen für sich, die anderen ergänze ich um Anmerkungen. Außerdem subsumiere ich sie zugunsten einer besseren Übersichtlichkeit unter mehreren Kategorien. Wie üblich enthält Microsofts Dokumentation nur die englische Bezeichnung der Einstellungen, diese Aufstellung umfasst auch die deutsche Übersetzung.

Benachrichtigungen

  • Organisationsnachrichten aktivieren
    Enable Organizational Messages

Admins können an ausgewählte Benutzer mit Hilfe geeigneter Anwendungen (wie beispielsweise Configuration Manager) Nachrichten senden. Per Voreinstellung ist diese Option deaktiviert.

  • Mehrere erweiterte Popupbenachrichtigungen im Info-Center aktivieren
    Turn on multiple expanded toast notifications in action center

Standardmäßig zeigt Windows 11 nur die erste Toast-Benachrichtigung einer Anwendung im Info-Center ("Action Center") an. Diese Zahl kann man mit dieser Einstellung auf 3 erhöhen.

  • Deaktivierungsbenachrichtigung Internet Explorer 11 ausblenden
    Hide Internet Explorer 11 retirement notification

Damit lässt sich im IE die Warnung über das Support-Ende des Browsers ausblenden und existiert sowohl im Zweig Computer- als auch in der Benutzerkonfiguration.

Diese Einstellung und jene zu den Toast-Benachrichtigungen sind in Windows 10 bereits seit 22H2 präsent und erscheinen nun auch in Windows 11. Dadurch dürften die administrativen Vorlagen für Windows 11 allmählich abwärts­kompatibel mit Windows 10 sein.

Schutz der Privatsphäre

  • Deaktivieren von kontobasierten Einblicken, letzten, bevorzugten und empfohlenen Dateien im Datei-Explorer
    Turn off account-based insights, recent, favorite, and recommended files in File Explorer

Diese Einstellung verhindert, dass der Datei-Explorer Metadaten für Dateien aus der Cloud abruft.

  • Zulassen, dass Windows-Apps auf Anwesenheitserkennung zugreifen
    Let Windows apps access presence sensing

Die Anwesenheitserkennung wird von Windows für Security-Features genutzt, um beispielsweise den Rechner zu sperren, wenn der Benutzer seinen Platz verlässt, und es bei dessen Rückkehr wieder zu entsperren. Mit dieser Einstellung kann man allen Apps den Zugriff erlauben bzw. verbieten oder dieses Recht selektiv vergeben.

Apps den Zugriff auf die Anwesenheitserkennung gewähren oder untersagen

LAPS

Windows LAPS integriert die zuvor separat verfügbaren Einstellungen in das Betriebs­system  und ergänzt diese um Optionen für die neuen Features. Für eine detaillierte Beschreibung siehe diesen Beitrag.

  • Kennwortsicherungsverzeichnis konfigurieren
    Configure password backup directory
  • Name des zu verwaltenden Administratorkontos
    Name of administrator account to manage
  • Kennwortverschlüsselung aktivieren
    Enable password encryption
  • Autorisierten Kennwortdecryptor konfigurieren
    Configure authorized password decryptors
  • Größe des verschlüsselten Kennwortverlaufs konfigurieren
    Configure size of encrypted password history
  • Kennwortsicherung für DSRM-Konten aktivieren
    Enable password backup for DSRM accounts
  • Aktionen nach der Authentifizierung
    Post-authentication actions

Windows LAPS lässt sich über insgesamt neun Einstellungen verwalten.

Dev Drive

  • Dev Drive aktivieren
    Enable dev drive

Bei Dev Drive handelt es sich um ein für Developer-Aufgaben optimiertes Laufwerk auf Basis von ReFS. Dieses Feature kann man per Gruppenrichtlinie aktivieren oder blockieren.

  • Richtlinie zum Anfügen von Dev Drive-Filtern
    Dev drive filter attach policy

Standardmäßig sind Dev Drive keine Dateisystemfilter zugeordnet, das kann man mit dieser Einstellung nachholen.

Copilot

  • Windows Copilot deaktivieren
    Turn off Windows Copilot

Security Guide

  • Datenschutzeinstellung auf RPC-Paketebene für eingehende Verbindungen konfigurieren
    Configure RPC packet level privacy setting for incoming connections

Diese Einstellung existierte bereits in der Vorlage SecGuide.admx, die zum Lieferumfang der Security Baseline gehört, und wurde nun in die printing.admx übernommen.

Energieverwaltung

  • "Aufwachen deaktivieren" bei aktiviertem Energiesparmodus erzwingen
    Force Disable Wake When Battery Saver On
  • Erzwingen von "Aufwachen zulassen", wenn ein externer Bildschirm angeschlossen ist
    Force Allow Wake When External Display Connected
  • Zulassen einer Sperre erzwingen, wenn ein externer Bildschirm angeschlossen ist
    Force Allow Lock When External Display Connected
  • Erzwingen von "Dimmen zulassen", wenn ein externer Bildschirm angeschlossen ist
    Force Allow Dim When External Display Connected

Spracheinstellungen

  • Spracheinstellungen nicht synchronisieren
    Do not sync language preferences settings

Startmenü und Taskleiste

  • Personalisierte Website-Empfehlungen aus dem Abschnitt „Empfohlen“ im Startmenü entfernen
    Remove Personalized Website Recommendations from the Recommended section in the Start Menu

Windows 11 zeigt im Startmenü personalisierte Website-Empfehlungen und -Vorschläge an, die auf dem Browser-Verlauf des Benutzers basieren. Dies lässt sich mit dieser Einstellung verhindern. Sie existiert im Zweig für Computer und Benutzer.

  • Kontobenachrichtigungen im Startmenü deaktivieren
    Turn off account notifications in Start

Windows sendet Benutzer mit einem Microsoft- oder einem lokalen Konto Nachrichten, um ihr Gerät zu sichern, Quotas für Cloud-Speicher und ihr Microsoft 365- oder Xbox-Abonnement zu verwalten. Diese Einstellung blockiert solche Nachrichten.

  • Konfiguriert die Suche auf der Taskleiste
    Configures search on the taskbar

Optionen zur Konfiguration des Suchfeldes in der Taskleiste (siehe dazu diese detaillierte Beschreibung).

Defender

  • Automatische Datensammlung
    Automatic Data Collection

Diese Richtlinie legt fest, ob der erweiterte Phishing-Schutz zusätzliche Informationen sammeln kann, zum Beispiel angezeigte Inhalte, abgespielte Töne und den Speicherinhalt der Anwendung, wenn Benutzer ihr Passwort für ein Arbeits- oder Schulkonto auf einer verdächtigen Website oder Anwendung eingeben.

  • Scannen von gepackten ausführbaren Dateien
    Scan packed executables

Diese Einstellung gab es schon unter Windows 10 und erlaubt es, Defender das Scannen von selbstextrahierenden ZIP- und anderem Archivdateien zu untersagen. Standardmäßig werden diese Dateien untersucht.

Windows Update

  • Aktivieren von Funktionen, die über die Wartung eingeführt wurden und standardmäßig deaktiviert sind
    Enable features introduced via servicing that are off by default

Zwar liefert Microsoft auch auf verwalteten Geräten neue Features kontinuierlich aus, aktiviert diese aber erst mit dem Rollout eines neuen Upgrades. Mit dieser Einstellung kann man diese Verzögerung deaktivieren (siehe dazu: Microsoft stellt neue Windows-11-Features auf Firmen-PCs zurück).

  • Optionale Updates aktivieren
    Enable optional updates

Mit dem Update für August 2023 kam diese Richtlinie hinzu, mit der sich bestimmen lässt, wie optionale Updates installiert werden und wie Benutzer diesen Vorgang beeinflussen können (siehe dazu: Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11). Sie ist nun auch in Windows 10 verfügbar.

  • Downloads von Microsoft Connected Cache-Servern nicht zulassen, wenn das Gerät über VPN Verbindungen herstellt
    Disallow downloads from Microsoft Connected Cache servers when the device connects via VPN

Die Cache-Server betreffen die Übermittlungs­optimierung ("Delivery Optimization"). Deren Verwendung kann man bei aktiver VPN-Verbindung blockieren.

  • VPN-Schlüsselwörter
    VPN Keywords

Mit Hilfe von Stichwörtern kann man der Übermittlungs­optimierung dabei helfen, VPN-Verbindungen zu erkennen. Standardmäßig wertet es dafür den Namen und die Beschreibung des Netzwerkadapters aus.

Zusammenfassung

Windows 11 23H2 bringt rund 30 neue Einstellungen für die Gruppenrichtlinien. Einige davon gab es jedoch schon in der Vergangenheit, aber sie mussten separat installiert werden. Das betraf LAPS und eine Policy aus der SecGuide.admx. Windows LAPS bietet aber mehrere neue Funktionen, so dass sich diese auch in den Gruppenrichtlinien widerspiegeln.

Als genuin neues Feature findet auch Dev Drive Eingang in die aktuellen Gruppenrichtlinien. Ansonsten betreffen die neuen Policies querbeet alle möglichen Komponenten und Funktionen. Immer von Bedeutung sind Richtlinien für Windows Update, wobei die zwei wichtigsten ebenfalls schon vor dem Launch von 23H2 verfügbar waren.

Ein größerer Schwung von neuen Optionen betrifft die Bedieneroberfläche, und zwar den Datei-Explorer, das Startmenü und die Taskbar. Damit kann man vor allem unerwünschte Zugaben und Funktionen abstellen.

Source link

Loading...