Neuigkeiten in Windows 10 Enterprise 2015 LTSCWhat's new in Windows 10 Enterprise 2015 LTSC

Betrifft:Applies to

  • Windows10 Enterprise 2015 LTSCWindows10 Enterprise 2015 LTSC

In diesem Artikel werden neue und aktualisierte Features und Inhalte aufgeführt, die für IT-Experten für Windows10 Enterprise 2015 LTSC (LTSB) von Interesse sind.This article lists new and updated features and content that are of interest to IT Pros for Windows10 Enterprise 2015 LTSC (LTSB). Eine kurze Beschreibung des LTSC-Wartungs Kanals finden Sie unter Windows 10 Enterprise-LTSC.For a brief description of the LTSC servicing channel, see Windows 10 Enterprise LTSC.

Hinweis

Die Features in Windows 10 Enterprise 2015 LTSC sind mit Windows 10, Version 1507,identisch.Features in Windows 10 Enterprise 2015 LTSC are equivalent to Windows 10, version 1507.

BereitstellungDeployment

Bereitstellung für Geräte mit dem Windows Imageerstellungs- und Konfigurationsdesigner (ICD)Provisioning devices using Windows Imaging and Configuration Designer (ICD)

Mit Windows 10 können Sie Bereitstellungspakete erstellen, die Ihnen das schnelle und effiziente Konfigurieren eines Geräts ermöglichen, ohne ein neues Image installieren zu müssen.With Windows 10, you can create provisioning packages that let you quickly and efficiently configure a device without having to install a new image. Mithilfe der Windows-Bereitstellung kann ein IT-Administrator auf einfache Weise die Konfiguration und die Einstellungen angeben, die für die Registrierung von Geräten in der Verwaltung mithilfe einer vom Assistenten gesteuerten Benutzeroberfläche erforderlich sind, und diese Konfiguration dann innerhalb weniger Minuten auf Zielgeräte anwenden.Using Windows Provisioning, an IT administrator can easily specify the configuration and settings required to enroll devices into management using a wizard-driven user interface, and then apply this configuration to target devices in a matter of minutes. Diese Methode eignet sich am besten für kleine bis mittlere Unternehmen mit Bereitstellungen von ein paar Dutzend bis zu einigen Hundert Computern.It is best suited for small- to medium-sized businesses with deployments that range from tens to a few hundred computers.

Weitere Informationen zur Bereitstellung in Windows 10Learn more about provisioning in Windows 10

SicherheitSecurity

AppLockerAppLocker

AppLocker war für Windows 8,1 verfügbar und wurde mit Windows 10 verbessert.AppLocker was available for Windows 8.1, and is improved with Windows 10. Eine Liste der Betriebssystemanforderungen finden Sie unter Voraussetzungen für die Verwendung von AppLocker .See Requirements to use AppLocker for a list of operating system requirements.

Zu den Verbesserungen von AppLocker in Windows 10 gehören:Enhancements to AppLocker in Windows 10 include:

  • Dem Windows PowerShell-Cmdlet New-AppLockerPolicy wurde ein neuer Parameter hinzugefügt, mit dem Sie auswählen können, ob die Regelsammlungen für ausführbare Dateien und DLLs auf nicht interaktive Prozesse angewendet werden sollen.A new parameter was added to the New-AppLockerPolicy Windows PowerShell cmdlet that lets you choose whether executable and DLL rule collections apply to non-interactive processes. Um dies zu aktivieren, setzen Sie ServiceEnforcement auf Aktiviert.To enable this, set the ServiceEnforcement to Enabled.
  • Ein neuer AppLocker -Konfigurationsdienstanbieter (CSP) wurde hinzugefügt, damit Sie die AppLocker-Regeln mithilfe eines MDM-Servers aktivieren können.A new AppLocker configuration service provider was add to allow you to enable AppLocker rules by using an MDM server.
  • Sie können Windows 10 Mobile-Geräte mit dem neuen AppLocker CSP verwalten.You can manage Windows10 Mobile devices by using the new AppLocker CSP.

Informationen zum Verwalten von AppLocker in Ihrer OrganisationLearn how to manage AppLocker within your organization.

BitLockerBitLocker

Zu den Verbesserungen von AppLocker in Windows 10 gehören:Enhancements to AppLocker in Windows 10 include:

  • Verschlüsseln und Wiederherstellen Ihres Geräts mit Azure Active Directory.Encrypt and recover your device with Azure Active Directory. Zusätzlich zu einem Microsoft-Konto kann die automatische Geräteverschlüsselung jetzt Ihre Geräte, die mit einer Azure Active Directory-Domäne verbunden sind, verschlüsseln.In addition to using a Microsoft Account, automatic Device Encryption can now encrypt your devices that are joined to an Azure Active Directory domain. Wenn das Gerät verschlüsselt ist, wird automatisch der BitLocker-Wiederherstellungsschlüssel im Azure Active Directory hinterlegt.When the device is encrypted, the BitLocker recovery key is automatically escrowed to Azure Active Directory. Dadurch kann der BitLocker-Schlüssel einfacher online wiederhergestellt werden.This will make it easier to recover your BitLocker key online.
  • DMA-Portschutz.DMA port protection. Sie können mit der MDM-Richtlinie DataProtection/AllowDirectMemoryAccess DMA-Ports beim Starten des Geräts blockieren.You can use the DataProtection/AllowDirectMemoryAccess MDM policy to block DMA ports when the device is starting up. Wenn ein Gerät gesperrt ist, werden alle nicht verwendeten DMA-Ports deaktiviert, aber alle Geräte, die bereits mit einem DMA-Port verbunden sind, funktionieren weiterhin.Also, when a device is locked, all unused DMA ports are turned off, but any devices that are already plugged into a DMA port will continue to work. Wenn das Gerät entsperrt ist, sind alle DMA-Ports wieder aktiviert.When the device is unlocked, all DMA ports are turned back on.
  • Neue Gruppenrichtlinien zum Konfigurieren der Pre-Boot-Wiederherstellung.New Group Policy for configuring pre-boot recovery. Jetzt können Sie die Pre-Boot-Wiederherstellungsmeldung konfigurieren und die URL wiederherstellen, die auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt wird.You can now configure the pre-boot recovery message and recover URL that is shown on the pre-boot recovery screen. Weitere Informationen finden Sie unter „BitLocker-Gruppenrichtlinieneinstellungen“ im Abschnitt Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL.For more info, see the Configure pre-boot recovery message and URL section in "BitLocker Group Policy settings."

Informationen zum Bereitstellen und Verwalten von BitLocker in Ihrer OrganisationLearn how to deploy and manage BitLocker within your organization.

ZertifikatverwaltungCertificate management

Für Windows 10-basierte Geräte können Sie Ihren MDM-Server nutzen, um Clientauthentifizierungszertifikate direkt bereitzustellen, indem Sie den privaten Informationsaustausch nutzen, und außerdem die Registrierung per Simple Certificate Enrollment-Protokoll (SCEP) durchführen. Dabei können Sie Zertifikate verwenden, um Windows Hello for Business in Ihrem Unternehmen zu aktivieren.For Windows10-based devices, you can use your MDM server to directly deploy client authentication certificates using Personal Information Exchange (PFX), in addition to enrolling using Simple Certificate Enrollment Protocol (SCEP), including certificates to enable Windows Hello for Business in your enterprise. Mit MDM können Sie Zertifikate registrieren, erneuern und löschen.You'll be able to use MDM to enroll, renew, and delete certificates. Analog zu Windows Phone 8.1 können Sie die Zertifikate-App verwenden, um die Details von Zertifikaten auf Ihrem Gerät zu überprüfen.As in Windows Phone 8.1, you can use the Certificates app to review the details of certificates on your device. Informationen zum Installieren digitaler Zertifikate unter Windows 10 MobileLearn how to install digital certificates on Windows 10 Mobile.

Microsoft PassportMicrosoft Passport

Unter Windows 10 werden Kennwörter von Microsoft Passport durch eine sichere zweistufige Authentifizierung (Zwei-Faktor-Authentifizierung) ersetzt, die ein registriertes Gerät und Windows Hello (biometrisch) oder eine PIN umfasst.In Windows 10, Microsoft Passport replaces passwords with strong two-factor authentication that consists of an enrolled device and a Windows Hello (biometric) or PIN.

Mit Microsoft Passport können sich Benutzer gegenüber einem Microsoft-Konto, einem Active Directory-Konto, einem Microsoft Azure Active Directory (AD)-Konto oder einem nicht von Microsoft stammenden Dienst authentifizieren, der die Authentifizierung vom Typ Fast ID Online (FIDO) unterstützt.Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. Nach einer anfänglichen zweistufigen Überprüfung während der Microsoft Passport-Registrierung wird auf dem Gerät des Benutzers Microsoft Passport eingerichtet, und der Benutzer legt eine Geste (Windows Hello oder PIN) fest.After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user's device and the user sets a gesture, which can be Windows Hello or a PIN. Der Benutzer gibt die Geste an, um seine Identität zu verifizieren. Von Windows wird dann Microsoft Passport verwendet, um Benutzer zu authentifizieren und den Zugriff auf geschützte Ressourcen und Dienste zu unterstützen.The user provides the gesture to verify identity; Windows then uses Microsoft Passport to authenticate users and help them to access protected resources and services.

SicherheitsüberwachungSecurity auditing

In Windows 10 wurde die Sicherheitsüberwachung verbessert:In Windows10, security auditing has added some improvements:

Neue ÜberwachungsunterkategorienNew audit subcategories

In Windows 10 wurden zwei neue Überwachungsunterkategorien zur erweiterten Überwachungsrichtlinienkonfiguration hinzugefügt, um eine höhere Granularität in Überwachungsereignissen bereitzustellen:In Windows10, two new audit subcategories were added to the Advanced Audit Policy Configuration to provide greater granularity in audit events:

  • Gruppenmitgliedschaft überwachen Die Unterkategorie „Gruppenmitgliedschaft überwachen“ in der Überwachungskategorie „Anmelden/Abmelden“ ermöglicht Ihnen die Überwachung der Gruppenmitgliedschaftsinformationen im Anmeldetoken eines Benutzers.Audit Group Membership Found in the Logon/Logoff audit category, the Audit Group Membership subcategory allows you to audit the group membership information in a user's logon token. Ereignisse in dieser Unterkategorie werden generiert, wenn Gruppenmitgliedschaften auf dem PC, auf dem die Anmeldesitzung erstellt wurde, aufgelistet oder abgefragt werden.Events in this subcategory are generated when group memberships are enumerated or queried on the PC where the logon session was created. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem PC generiert, auf dem sich der Benutzer angemeldet hat.For an interactive logon, the security audit event is generated on the PC that the user logged on to. Für eine Netzwerkanmeldung, zum Beispiel beim Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem PC generiert, der als Host für die Ressource fungiert.For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the PC hosting the resource. Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert.When this setting is configured, one or more security audit events are generated for each successful logon. Außerdem müssen Sie die Einstellung Anmelden überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmelden/Abmelden aktivieren.You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Wenn die Informationen zur Gruppenmitgliedschaft nicht in ein einziges Sicherheitsüberwachungsereignis passen, werden mehrere Ereignisse generiert.Multiple events are generated if the group membership information cannot fit in a single security audit event.
  • PNP-Aktivität überwachen Die Unterkategorie „PNP-Aktivität überwachen“ in der Kategorie „Detaillierte Überwachung“ ermöglicht Ihnen die Überwachung, wenn Plug & Play ein externes Gerät erkennt.Audit PNP Activity Found in the Detailed Tracking category, the Audit PNP Activity subcategory allows you to audit when plug and play detects an external device. Für diese Kategorie werden nur Erfolgsüberwachungen aufgezeichnet.Only Success audits are recorded for this category. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein externes Gerät durch Plug & Play erkannt wird.If you do not configure this policy setting, no audit event is generated when an external device is detected by plug and play. Ein PNP-Überwachungsereignis kann zum Nachverfolgen von Änderungen der Systemhardware verwendet werden und wird auf dem PC, auf dem die Änderungen stattgefunden haben, protokolliert.A PnP audit event can be used to track down changes in system hardware and will be logged on the PC where the change took place. Eine Liste der Hardwareanbieter-IDs sind im Ereignis enthalten.A list of hardware vendor IDs are included in the event.

Mehr Informationen zu vorhandenen ÜberwachungsereignissenMore info added to existing audit events

Mit Windows 10, Version 1507, haben wir weitere Informationen zu vorhandenen Überwachungsereignissen hinzugefügt, um es Ihnen zu vereinfachen, eine vollständige Überwachungsliste zusammenzustellen und die Informationen zu erhalten, die Sie zum Schutz Ihres Unternehmens zu benötigen.With Windows10, version 1507, we've added more info to existing audit events to make it easier for you to put together a full audit trail and come away with the information you need to protect your enterprise. Verbesserungen wurden an folgenden Überwachungsereignissen vorgenommen:Improvements were made to the following audit events:

Standardmäßige Kernel-Überwachungsrichtlinie geändertChanged the kernel default audit policy

In früheren Versionen hing der Kernel von der LSA (Local Security Authority) ab, um Informationen in einigen der Ereignisse abzurufen.In previous releases, the kernel depended on the Local Security Authority (LSA) to retrieve info in some of its events. In Windows 10 wird die Überwachungsrichtlinie für Prozesserstellungsereignisse automatisch aktiviert, bis eine tatsächliche Überwachungsrichtlinie von der LSA empfangen wird.In Windows10, the process creation events audit policy is automatically enabled until an actual audit policy is received from LSA. Dies führt zur einer besseren Überwachung der Dienste, die möglicherweise vor dem Start von LSA gestartet werden.This results in better auditing of services that may start before LSA starts.

Standardvorgang SACL zu „LSASS.exe“ hinzugefügtAdded a default process SACL to LSASS.exe

In Windows 10 wurde eine SACL für Standardvorgänge zu „LSASS.exe“ hinzugefügt, um Prozesse zu protokollieren, die versuchen, auf „LSASS.exe“ zuzugreifen.In Windows10, a default process SACL was added to LSASS.exe to log processes attempting to access LSASS.exe. Die SACL ist L"S:(AU;SAFA;0x0010;;;WD)".The SACL is L"S:(AU;SAFA;0x0010;;;WD)". Sie können diese Option unter Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff\Kernelobjekt überwachen aktivieren.You can enable this under Advanced Audit Policy Configuration\Object Access\Audit Kernel Object. Auf diese Weise können Sie Angriffe identifizieren, die Anmeldeinformationen aus dem Arbeitsspeicher eines Prozesses stehlen.This can help identify attacks that steal credentials from the memory of a process.

Neue Felder im AnmeldeereignisNew fields in the logon event

Die Anmeldeereignis-ID 4624 wurde aktualisiert, um ausführlichere Informationen für die einfachere Analyse einzuschließen.The logon event ID 4624 has been updated to include more verbose information to make them easier to analyze. Die folgenden Felder wurden dem Ereignis 4624 hinzugefügt:The following fields have been added to event 4624:

  1. MachineLogon: Zeichenfolge „yes“ oder „no“. Wenn das Konto, dass sich am PC angemeldet hat, ein Computerkonto ist, hat dieses Feld den Wert „yes“.MachineLogon String: yes or no If the account that logged into the PC is a computer account, this field will be yes. Andernfalls hat das Feld den Wert „no“.Otherwise, the field is no.
  2. ElevatedToken: Zeichenfolge „yes“ oder „no“. Wenn das Konto, das sich am PC angemeldet hat, ein Administratorkonto ist, hat dieses Feld den Wert „yes“.ElevatedToken String: yes or no If the account that logged into the PC is an administrative logon, this field will be yes. Andernfalls hat das Feld den Wert „no“.Otherwise, the field is no. Falls dies ein Teil eines geteilten Tokens ist, wird außerdem die verknüpfte Anmelde-ID (LSAP_LOGON_SESSION) angezeigt.Additionally, if this is part of a split token, the linked login ID (LSAP_LOGON_SESSION) will also be shown.
  3. TargetOutboundUserName: Zeichenfolge, TargetOutboundUserDomain: Zeichenfolge. Der Benutzername und die Domäne der Identität, die von der LogonUser-Methode für ausgehenden Datenverkehr erstellt wurde.TargetOutboundUserName String TargetOutboundUserDomain String The username and domain of the identity that was created by the LogonUser method for outbound traffic.
  4. VirtualAccount: Zeichenfolge „yes“ oder „no“. Wenn das Konto, dass sich am PC angemeldet hat, ein virtuelles Konto ist, hat dieses Feld den Wert „yes“.VirtualAccount String: yes or no If the account that logged into the PC is a virtual account, this field will be yes. Andernfalls hat das Feld den Wert „no“.Otherwise, the field is no.
  5. GroupMembership: Zeichenfolge. Eine Liste mit allen Gruppen im Token des Benutzers.GroupMembership String A list of all of the groups in the user's token.
  6. RestrictedAdminMode: Zeichenfolge „yes“ oder „no“. Wenn sich der Benutzer mit Remotedesktop im eingeschränkten Administratormodus am PC anmeldet, hat dieses Feld den Wert „yes“.RestrictedAdminMode String: yes or no If the user logs into the PC in restricted admin mode with Remote Desktop, this field will be yes. Weitere Informationen zum eingeschränkten Administratormodus finden Sie unter Eingeschränkter Administratormodus für RDP.For more info on restricted admin mode, see Restricted Admin mode for RDP.

Neue Felder im ProzesserstellungsereignisNew fields in the process creation event

Die Anmeldeereignis-ID 4688 wurde aktualisiert, um ausführlichere Informationen für die einfachere Analyse einzuschließen.The logon event ID 4688 has been updated to include more verbose information to make them easier to analyze. Die folgenden Felder wurden dem Ereignis 4688 hinzugefügt:The following fields have been added to event 4688:

  1. TargetUserSid: Zeichenfolge. Die SID des Zielprinzipals.TargetUserSid String The SID of the target principal.
  2. TargetUserName: Zeichenfolge. Der Kontoname des Zielbenutzers.TargetUserName String The account name of the target user.
  3. TargetDomainName: Zeichenfolge. Die Domäne des Zielbenutzers.TargetDomainName String The domain of the target user..
  4. TargetLogonId: Zeichenfolge. Die Anmelde-ID des Zielbenutzers.TargetLogonId String The logon ID of the target user.
  5. ParentProcessName: Zeichenfolge. Der Name des Erstellerprozesses.ParentProcessName String The name of the creator process.
  6. ParentProcessId: Zeichenfolge. Ein Zeiger auf den tatsächlichen übergeordneten Prozess, falls sich dieser vom Erstellerprozess unterscheidet.ParentProcessId String A pointer to the actual parent process if it's different from the creator process.

Neue Sicherheitskontenverwaltungs-EreignisseNew Security Account Manager events

In Windows 10 wurden neue SAM-Ereignisse für SAM-APIs hinzugefügt, die Lese-/Abfragevorgänge ausführen.In Windows10, new SAM events were added to cover SAM APIs that perform read/query operations. In früheren Versionen von Windows wurden nur Schreibvorgänge überwacht.In previous versions of Windows, only write operations were audited. Die neuen Ereignisse haben die Ereignis-IDs 4798 und 4799.The new events are event ID 4798 and event ID 4799. Die folgenden APIs werden jetzt überwacht:The following APIs are now audited:

  • SamrEnumerateGroupsInDomainSamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomainSamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomainSamrEnumerateAliasesInDomain
  • SamrGetAliasMembershipSamrGetAliasMembership
  • SamrLookupNamesInDomainSamrLookupNamesInDomain
  • SamrLookupIdsInDomainSamrLookupIdsInDomain
  • SamrQueryInformationUserSamrQueryInformationUser
  • SamrQueryInformationGroupSamrQueryInformationGroup
  • SamrQueryInformationUserAliasSamrQueryInformationUserAlias
  • SamrGetMembersInGroupSamrGetMembersInGroup
  • SamrGetMembersInAliasSamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformationSamrGetUserDomainPasswordInformation

Neue BCD-EreignisseNew BCD events

Ereignis-ID 4826 wurde hinzugefügt, um die folgenden Änderungen an der Startkonfigurationsdatenbank (Boot Configuration Datenbank, BCD) nachzuverfolgen:Event ID 4826 has been added to track the following changes to the Boot Configuration Database (BCD):

  • DEP-/NEX-EinstellungenDEP/NEX settings
  • TestsignierungTest signing
  • PCAT-SB-SimulationPCAT SB simulation
  • DebuggingDebug
  • StartdebuggingBoot debug
  • IntegritätsdiensteIntegrity Services
  • Deaktivieren des Winload-DebuggingmenüsDisable Winload debugging menu

Neue PNP-EreignisseNew PNP events

Ereignis-ID 6416 wurde hinzugefügt, um nachzuverfolgen, wann ein externes Gerät über Plug & Play erkannt wird.Event ID 6416 has been added to track when an external device is detected through Plug and Play. Ein wichtiges Szenario entsteht, wenn ein externes Gerät, das Malware enthält, in einen hochwertigen Computer eingefügt wird, der diese Art von Aktion nicht erwartet, z. B. ein Domänencontroller.One important scenario is if an external device that contains malware is inserted into a high-value machine that doesn’t expect this type of action, such as a domain controller.

Informationen zum Verwalten von Sicherheitsüberwachungsrichtlinien innerhalb Ihrer OrganisationLearn how to manage your security audit policies within your organization.

Trusted Platform ModuleTrusted Platform Module

Neue TPM-Features in Windows10New TPM features in Windows10

In den folgenden Abschnitten werden die neuen und geänderten Funktionen im TPM für Windows 10 beschrieben:The following sections describe the new and changed functionality in the TPM for Windows10:

Nachweis über GeräteintegritätDevice health attestation

Mit dem Integritätsnachweis für Geräte können Unternehmen eine Vertrauensstellung basierend auf Hardware- und Softwarekomponenten eines verwalteten Geräts herstellen.Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. Mit dem Integritätsnachweis für Geräte können Sie einen MDM-Server so konfigurieren, dass er einen Integritätsnachweisdienst abfragt, der einem verwalteten Gerät den Zugriff auf eine sichere Ressource erlaubt oder verweigert.With device health attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource. Folgendes können Sie für das Gerät überprüfen:Some things that you can check on the device are:

  • Wird die Datenausführungsverhinderung unterstützt und ist sie aktiviert?Is Data Execution Prevention supported and enabled?
  • Wird die BitLocker-Laufwerkverschlüsselung unterstützt und ist sie aktiviert?Is BitLocker Drive Encryption supported and enabled?
  • Wird SecureBoot unterstützt und ist es aktiviert?Is SecureBoot supported and enabled?

Hinweis: Das Gerät muss Windows10 ausführen und mindestens TPM2.0 unterstützen.NoteThe device must be running Windows10 and it must support at least TPM 2.0.

Informationen zum Bereitstellen und Verwalten von TPM in Ihrer OrganisationLearn how to deploy and manage TPM within your organization.

BenutzerkontensteuerungUser Account Control

Die Benutzerkontensteuerung (User Account Control, UAC) schützt davor, dass Schadsoftware einen Computer beschädigt, und unterstützt Unternehmen bei der Bereitstellung einer besser verwalteten Desktopumgebung.User Account Control (UAC) helps prevent malware from damaging a computer and helps organizations deploy a better-managed desktop environment.

Sie sollten die Benutzerkontensteuerung nicht deaktivieren, da dies kein unterstütztes Szenario für Geräte unter Windows10 ist.You should not turn off UAC because this is not a supported scenario for devices running Windows 10. Wenn Sie die Benutzerkontensteuerung deaktivieren, arbeiten die universellen Windows-Plattform-Apps nicht mehr.If you do turn off UAC, all Univeral Windows Platform apps stop working. Sie müssen den Registrierungswert HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA immer auf 1 setzen.You must always set the HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA registry value to 1. Wenn Sie die automatische Anhebung für den programmgesteuerten Zugriff oder die Installation bereitstellen müssen, können Sie den HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin -Registrierungswert auf 0 festlegen, was derselbe ist wie beim Festlegen des UAC-Schiebereglers nie benachrichtigen.If you need to provide auto elevation for programmatic access or installation, you could set the HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin registry value to 0, which is the same as setting the UAC slider Never Notify. Dies ist für Geräte unter Windows10 nicht empfohlen.This is not recommended for devices running Windows 10.

Weitere Informationen über das Verwalten der Benutzerkontensteuerung finden Sie unter UAC-Gruppenrichtlinieneinstellungen und Registrierungsschlüsseleinstellungen.For more info about how manage UAC, see UAC Group Policy Settings and Registry Key Settings.

In Windows10 hat die Benutzerkontensteuerung einige Verbesserungen hinzugefügt:In Windows10, User Account Control has added some improvements:

  • Integration in die Antischadsoftware-Scanschnittstelle (Antimalware Scan Interface, AMSI).Integration with the Antimalware Scan Interface (AMSI). Die AMSI untersucht alle UAC-Anforderungen für erhöhte Rechte auf Schadsoftware.The AMSI scans all UAC elevation requests for malware. Wenn Schadsoftware erkannt wird, werden die Administratorrechte blockiert.If malware is detected, the admin privilege is blocked.

Informationen zum Verwalten der Benutzerkontensteuerung in Ihrer Organisation.Learn how to manage User Account Control within your organization.

VPN-ProfiloptionenVPN profile options

Windows10 bietet eine Reihe von VPN-Features, die sowohl die Unternehmenssicherheit als auch die Benutzerfreundlichkeit verbessern, darunter:Windows 10 provides a set of VPN features that both increase enterprise security and provide an improved user experience, including:

  • Automatische VerbindungsherstellungAlways-on auto connection behavior
  • App-gesteuertes VPNApp=triggered VPN
  • VPN-DatenverkehrsregelnVPN traffic filters
  • VPN-SperrmodusLock down VPN
  • Integration in Microsoft Passport for WorkIntegration with Microsoft Passport for Work

Informationen zu den VPN-Optionen in Windows10Learn more about the VPN options in Windows 10.

VerwaltungManagement

Windows 10 bietet mobile Geräteverwaltungsfunktionen (Mobile Device Management, MDM) für PCs, Laptops, Tablet PCs und Smartphones, die der professionellen betrieblichen Verwaltung von unternehmenseigenen und persönlichen Geräten dient.Windows10 provides mobile device management (MDM) capabilities for PCs, laptops, tablets, and phones that enable enterprise-level management of corporate-owned and personal devices.

MDM-UnterstützungMDM support

MDM-Richtlinien für Windows 10 sind an die unter Windows 8.1 unterstützten Richtlinien angelehnt und werden erweitert, um noch mehr Unternehmensszenarien abzudecken, z. B. das Verwalten mehrerer Benutzer, die über Microsoft Azure Active Directory-Konten (Azure AD) verfügen, die vollständige Kontrolle über den Microsoft Store, VPN-Konfiguration und vieles mehr.MDM policies for Windows10 align with the policies supported in Windows8.1 and are expanded to address even more enterprise scenarios, such as managing multiple users who have Microsoft Azure Active Directory (Azure AD) accounts, full control over the Microsoft Store, VPN configuration, and more.

Die MDM-Unterstützung in Windows 10 basiert auf dem Device Management (DM)-Protokoll 1.2.1 der Open Mobile Alliance (OMA).MDM support in Windows10 is based on Open Mobile Alliance (OMA) Device Management (DM) protocol 1.2.1 specification.

Unternehmenseigene Geräte können mit Azure AD automatisch registriert werden.Corporate-owned devices can be enrolled automatically for enterprises using Azure AD. Referenz zur mobilen Geräteverwaltung für Windows 10Reference for Mobile device management for Windows 10

Aufheben der RegistrierungUnenrollment

Wenn eine Person Ihr Unternehmen verlässt und Sie das Benutzerkonto oder das Gerät aus der Verwaltung herausnehmen, werden die vom Unternehmen gesteuerten Konfigurationen und Apps vom Gerät entfernt.When a person leaves your organization and you unenroll the user account or device from management, the enterprise-controlled configurations and apps are removed from the device. Sie können die Registrierung des Geräts remote aufheben, oder die Person kann die Aufhebung der Registrierung vornehmen, indem sie das Konto manuell vom Gerät entfernt.You can unenroll the device remotely or the person can unenroll by manually removing the account from the device.

Beim Aufheben der Registrierung eines persönlichen Geräts bleiben die Daten und Apps des Benutzers unberührt, während Unternehmensinformationen wie Zertifikate, VPN-Profile und Unternehmens-Apps entfernt werden.When a personal device is unenrolled, the user's data and apps are untouched, while enterprise information such as certificates, VPN profiles, and enterprise apps are removed.

InfrastrukturInfrastructure

Unternehmen haben in Bezug auf die Identität und Verwaltung die unten angegebenen Auswahlmöglichkeiten.Enterprises have the following identity and management choices.

BereichArea OptionenChoices
IdentitätIdentity Active Directory, Azure ADActive Directory; Azure AD
GruppierungGrouping Domänenbeitritt, Arbeitsgruppe, Azure AD-BeitrittDomain join; Workgroup; Azure AD join
GeräteverwaltungDevice management Gruppenrichtlinien; Microsoft Endpoint Configuration Manager; Microsoft InTune; andere MDM-Lösungen; Exchange ActiveSync; Windows PowerShell; Windows-Verwaltungsinstrumentation (WMI)Group Policy; Microsoft Endpoint Configuration Manager; Microsoft Intune; other MDM solutions; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI)

Hinweis mit der Veröffentlichung von Windows Server 2012 R2 wurde der Netzwerkzugriffsschutz (Network Access Protection, NAP) als veraltet markiert, und der NAP-Client wurde nun in Windows 10 entfernt.Note With the release of Windows Server 2012 R2, Network Access Protection (NAP) was deprecated and the NAP client has now been removed in Windows 10. Weitere Informationen zu den Supportzyklen finden Sie unter Microsoft Support Lifecycle.For more information about support lifecycles, see Microsoft Support Lifecycle.

Sperrmodus für GeräteDevice lockdown

Benötigen Sie einen Computer, der nur einem Zweck dient?Do you need a computer that can only do one thing? Beispiel:For example:

  • Ein Gerät in der Lobby, mit dem Kunden Ihren Produktkatalog anzeigen können.A device in the lobby that customers can use to view your product catalog.
  • Ein tragbares Gerät, mit dem Mitarbeiter unterwegs eine Route auf einer Karte überprüfen können.A portable device that drivers can use to check a route on a map.
  • Ein Gerät, das ein Zeitarbeiter zum Eingeben von Daten verwendet.A device that a temporary worker uses to enter data.

Sie können einen dauerhaften Sperrzustand konfigurieren und so ein Gerät im Kioskmodus betreiben.You can configure a persistent locked down state to create a kiosk-type device. Wenn Benutzer sich mit dem gesperrten Konto anmelden, wird auf dem Gerät nur die App angezeigt, die Sie ausgewählt haben.When the locked-down account is logged on, the device displays only the app that you select.

Sie können auch einen Sperrmoduszustand konfigurieren, der wirksam wird, wenn die Anmeldung mit einem bestimmten Benutzerkonto erfolgt.You can also configure a lockdown state that takes effect when a given user account logs on. Der Sperrmodus gilt nur für die von Ihnen angegebenen Apps.The lockdown restricts the user to only the apps that you specify.

Außerdem können Sie Sperrmoduseinstellungen konfigurieren, um für ein Gerät ein gewünschtes Erscheinungsbild zu erzielen, z. B. ein Design oder ein benutzerdefiniertes Layout auf der Startseite.Lockdown settings can also be configured for device look and feel, such as a theme or a custom layout on the Start screen.

StartlayoutStart layout

Ein Standardlayout eines Startbildschirms kann auf Geräten nützlich sein, die von mehreren Benutzern verwendet werden, sowie auf Geräten, die auf die Verwendung für spezielle Zwecke beschränkt sind.A standard Start layout can be useful on devices that are common to multiple users and devices that are locked down for specialized purposes. Ab Windows10, Version 1511, können Administratoren ein partielles Startlayout konfigurieren, das für festgelegte Kachelgruppen übernommen wird, gleichzeitig jedoch Benutzer die Möglichkeit lässt, eigene Kachelgruppen zu erstellen und anzupassen.Starting in Windows 10, version 1511, administrators can configure a partial Start layout, which applies specified tile groups while allowing users to create and customize their own tile groups. Informationen zum Anpassen und Exportieren des StartlayoutsLearn how to customize and export Start layout.

Administratoren können die Verwendung von Windows-Blickpunkt auf dem Sperrbildschirm mithilfe der mobilen Geräteverwaltung (Mobile Device Management, MDM) bzw. von Gruppenrichtlinien deaktivieren.Administrators can also use mobile device management (MDM) or Group Policy to disable the use of Windows Spotlight on the lock screen.

UpdatesUpdates

Windows Update for Business ermöglicht IT-Administratoren, die Windows 10-Geräte in ihrem Unternehmen ständig mit den neuesten Sicherheitsmaßnahmen und Windows-Funktionen aktuell zu halten, indem sie diese Systeme direkt mit dem Windows Update-Dienst von Microsoft verbinden.Windows Update for Business enables information technology administrators to keep the Windows10-based devices in their organization always up to date with the latest security defenses and Windows features by directly connecting these systems to Microsoft’s Windows Update service.

Durch die Verwendung von Gruppenrichtlinienobjektenist Windows Update for Business ein leicht einzurichtendes und zu implementierendes System, mit dem Unternehmen und Administratoren kontrollieren können, wie ihre Windows 10-Geräte aktualisiert werden. Dazu dienen:By using Group Policy Objects, Windows Update for Business is an easily established and implemented system which enables organizations and administrators to exercise control on how their Windows10-based devices are updated, by allowing:

  • Bereitstellungs- und Validierungsgruppen; dabei können Administratoren festlegen, welche Geräte zur ersten Upgradephase gehören, und welche erst später aktualisiert werden (um sicherzustellen, dass alle Qualitätsanforderungen erfüllt werden).Deployment and validation groups; where administrators can specify which devices go first in an update wave, and which devices will come later (to ensure any quality bars are met).

  • Peer-to-peer-Übermittlung; damit können Administratoren in sehr effizienter Weise Updates für Zweigstellen und entfernte Standorte zur Verfügung stellen, die nur über eingeschränkte Bandbreiten verfügen.Peer-to-peer delivery, which administrators can enable to make delivery of updates to branch offices and remote sites with limited bandwidth very efficient.

  • Verwendung mit vorhandenen Tools wie Microsoft Endpoint Configuration Manager und Enterprise Mobility Suite.Use with existing tools such as Microsoft Endpoint Configuration Manager and the Enterprise Mobility Suite.

Zusammen helfen diese Features von Windows Update for Business dabei, Verwaltungskosten zu reduzieren, die Kontrolle über die Bereitstellung von Updates zu bewahren, schnelleren Zugang zu Sicherheitsupdates zu ermöglichen und kontinuierlich die neuesten Innovationen von Microsoft zur Verfügung zu stellen.Together, these Windows Update for Business features help reduce device management costs, provide controls over update deployment, offer quicker access to security updates, as well as provide access to the latest innovations from Microsoft on an ongoing basis. Windows Update für Unternehmen ist ein kostenloser Dienst für alle Windows 10 pro-, Enterprise-und Education-Editionen und kann unabhängig von oder in Verbindung mit vorhandenen Geräte Verwaltungslösungen wie Windows Server Update Services (WSUS) und Microsoft Endpoint Configuration Managerverwendet werden.Windows Update for Business is a free service for all Windows 10 Pro, Enterprise, and Education editions, and can be used independent of, or in conjunction with, existing device management solutions such as Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager.

Informationen zu Windows Update for BusinessLearn more about Windows Update for Business.

Weitere Informationen zum Aktualisieren von Windows 10 finden Sie unter Windows 10-Serviceoptionen für Updates und Upgrades.For more information about updating Windows10, see Windows 10 servicing options for updates and upgrades.

Microsoft EdgeMicrosoft Edge

Microsoft Edge steht in der LTSC-Version von Windows 10 nicht zur Verfügung.Microsoft Edge is not available in the LTSC release of Windows 10.

Siehe auchSee Also

Windows 10 Enterprise LTSC: eine Beschreibung des LTSC-Wartungs Kanals mit Links zu Informationen zu den einzelnen Versionen.Windows 10 Enterprise LTSC: A description of the LTSC servicing channel with links to information about each release.