Neues in Windows 10 Enterprise LTSC 2015

  • Artikel

Betrifft:

  • Windows 10 Enterprise LTSC 2015

In diesem Artikel werden neue und aktualisierte Features und Inhalte aufgeführt, die für IT-Experten für Windows 10 Enterprise LTSC 2015 (LTSB) von Interesse sind. Eine kurze Beschreibung des LTSC-Wartungskanals finden Sie unter Windows 10 Enterprise LTSC.

Bereitstellung

Bereitstellung für Geräte mit dem Windows Imageerstellungs- und Konfigurationsdesigner (ICD)

Mit Windows 10 können Sie Bereitstellungspakete erstellen, die Ihnen das schnelle und effiziente Konfigurieren eines Geräts ermöglichen, ohne ein neues Image installieren zu müssen. Ein IT-Administrator, der die Windows-Bereitstellung verwendet, kann die Konfiguration und die Einstellungen, die zum Registrieren von Geräten für die Verwaltung erforderlich sind, ganz einfach mithilfe einer assistentengesteuerten Benutzeroberfläche angeben und diese Konfiguration dann innerhalb weniger Minuten auf Zielgeräte anwenden. Diese Methode eignet sich am besten für kleine bis mittlere Unternehmen mit Bereitstellungen von ein paar Dutzend bis zu einigen Hundert Computern.

Weitere Informationen zur Bereitstellung in Windows 10

Sicherheit

AppLocker

AppLocker war für Windows 8.1 verfügbar und wurde mit Windows 10 verbessert. Eine Liste der Betriebssystemanforderungen finden Sie unter Anforderungen für die Verwendung von AppLocker .

Zu den Verbesserungen an AppLocker in Windows 10 gehören:

  • Dem Windows PowerShell-Cmdlet New-AppLockerPolicy wurde ein neuer Parameter hinzugefügt, mit dem Sie auswählen können, ob die Regelsammlungen für ausführbare Dateien und DLLs auf nicht interaktive Prozesse angewendet werden sollen. Um diesen Parameter zu aktivieren, setzen Sie ServiceEnforcement auf Aktiviert.
  • Ein neuer AppLocker-Konfigurationsdienstanbieter (CSP) wurde hinzugefügt, damit Sie die AppLocker-Regeln mithilfe eines MDM-Servers aktivieren können.

Informationen zum Verwalten von AppLocker in Ihrer Organisation

BitLocker

Zu den Verbesserungen an AppLocker in Windows 10 gehören:

  • Verschlüsseln und Wiederherstellen Ihres Geräts mit Azure Active Directory. Zusätzlich zu einem Microsoft-Konto kann die automatische Geräteverschlüsselung jetzt Ihre Geräte, die mit einer Azure Active Directory-Domäne verbunden sind, verschlüsseln. Wenn das Gerät verschlüsselt ist, wird automatisch der BitLocker-Wiederherstellungsschlüssel im Azure Active Directory hinterlegt. Dadurch kann der BitLocker-Schlüssel einfacher online wiederhergestellt werden.
  • DMA-Portschutz. Sie können mit der MDM-Richtlinie DataProtection/AllowDirectMemoryAccess DMA-Ports beim Starten des Geräts blockieren. Wenn ein Gerät gesperrt ist, werden alle nicht verwendeten DMA-Ports deaktiviert, aber alle Geräte, die bereits mit einem DMA-Port verbunden sind, funktionieren weiterhin. Wenn das Gerät entsperrt ist, sind alle DMA-Ports wieder aktiviert.
  • Neue Gruppenrichtlinien zum Konfigurieren der Pre-Boot-Wiederherstellung. Jetzt können Sie die Pre-Boot-Wiederherstellungsmeldung konfigurieren und die URL wiederherstellen, die auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt wird. Weitere Informationen finden Sie unter „BitLocker-Gruppenrichtlinieneinstellungen“ im Abschnitt Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL.

Informationen zum Bereitstellen und Verwalten von BitLocker in Ihrer Organisation

Zertifikatverwaltung

Für Windows 10-basierte Geräte können Sie Ihren MDM-Server nutzen, um Clientauthentifizierungszertifikate direkt bereitzustellen, indem Sie den privaten Informationsaustausch nutzen, und außerdem die Registrierung per Simple Certificate Enrollment-Protokoll (SCEP) durchführen. Dabei können Sie Zertifikate verwenden, um Windows Hello for Business in Ihrem Unternehmen zu aktivieren. Mit MDM können Sie Zertifikate registrieren, erneuern und löschen.

Microsoft Passport

Unter Windows 10 werden Kennwörter von Microsoft Passport durch eine sichere zweistufige Authentifizierung (Zwei-Faktor-Authentifizierung) ersetzt, die ein registriertes Gerät und Windows Hello (biometrisch) oder eine PIN umfasst.

Mit Microsoft Passport können sich Benutzer gegenüber einem Microsoft-Konto, einem Active Directory-Konto, einem Microsoft Azure Active Directory (AD)-Konto oder einem nicht von Microsoft stammenden Dienst authentifizieren, der die Authentifizierung vom Typ Fast ID Online (FIDO) unterstützt. Nach einer anfänglichen zweistufigen Überprüfung während der Microsoft Passport-Registrierung wird auf dem Gerät des Benutzers Microsoft Passport eingerichtet, und der Benutzer legt eine Geste (Windows Hello oder PIN) fest. Der Benutzer gibt die Geste an, um seine Identität zu verifizieren. Von Windows wird dann Microsoft Passport verwendet, um Benutzer zu authentifizieren und den Zugriff auf geschützte Ressourcen und Dienste zu unterstützen.

Sicherheitsüberwachung

In Windows 10 wurde die Sicherheitsüberwachung verbessert:

Neue Überwachungsunterkategorien

In Windows 10 wurden zwei neue Überwachungsunterkategorien zur erweiterten Überwachungsrichtlinienkonfiguration hinzugefügt, um eine höhere Granularität in Überwachungsereignissen bereitzustellen:

  • Gruppenmitgliedschaft überwachen Die Unterkategorie „Gruppenmitgliedschaft überwachen“ in der Überwachungskategorie „Anmelden/Abmelden“ ermöglicht Ihnen die Überwachung der Gruppenmitgliedschaftsinformationen im Anmeldetoken eines Benutzers. Ereignisse in dieser Unterkategorie werden generiert, wenn Gruppenmitgliedschaften auf dem PC, auf dem die Anmeldesitzung erstellt wurde, aufgelistet oder abgefragt werden. Für eine interaktive Anmeldung wird das Sicherheitsüberwachungsereignis auf dem PC generiert, auf dem sich der Benutzer angemeldet hat. Für eine Netzwerkanmeldung, zum Beispiel beim Zugriff auf einen freigegebenen Ordner im Netzwerk, wird das Sicherheitsüberwachungsereignis auf dem PC generiert, der als Host für die Ressource fungiert. Wenn diese Einstellung konfiguriert ist, werden eine oder mehrere Sicherheitsüberwachungsereignisse für jede erfolgreiche Anmeldung generiert. Sie müssen auch die Einstellung Anmeldung überwachen unter Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmeldung/Abmelden aktivieren. Wenn die Informationen zur Gruppenmitgliedschaft nicht in ein einziges Sicherheitsüberwachungsereignis passen, werden mehrere Ereignisse generiert.
  • PNP-Aktivität überwachen Die Unterkategorie „PNP-Aktivität überwachen“ in der Kategorie „Detaillierte Überwachung“ ermöglicht Ihnen die Überwachung, wenn Plug & Play ein externes Gerät erkennt. Für diese Kategorie werden nur Erfolgsüberwachungen aufgezeichnet. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird kein Überwachungsereignis generiert, wenn ein externes Gerät durch Plug & Play erkannt wird. Ein PNP-Überwachungsereignis kann zum Nachverfolgen von Änderungen der Systemhardware verwendet werden und wird auf dem PC, auf dem die Änderungen stattgefunden haben, protokolliert. Eine Liste der Hardwareanbieter-IDs ist im Ereignis enthalten.

Mehr Informationen zu vorhandenen Überwachungsereignissen

Mit Windows 10, Version 1507, haben wir weitere Informationen zu vorhandenen Überwachungsereignissen hinzugefügt, um es Ihnen zu vereinfachen, eine vollständige Überwachungsliste zusammenzustellen und die Informationen zu erhalten, die Sie zum Schutz Ihres Unternehmens zu benötigen. Verbesserungen wurden an folgenden Überwachungsereignissen vorgenommen:

Standardmäßige Kernel-Überwachungsrichtlinie geändert

In früheren Versionen war der Kernel von der lokalen Sicherheitsautorität (Local Security Authority, LSA) abhängig, um Informationen in einigen seiner Ereignisse abzurufen. In Windows 10 wird die Überwachungsrichtlinie für Prozesserstellungsereignisse automatisch aktiviert, bis eine tatsächliche Überwachungsrichtlinie von der LSA empfangen wird. Diese Einstellung führt zur einer besseren Überwachung der Dienste, die möglicherweise vor dem Start von LSA gestartet werden.

Standardvorgang SACL zu „LSASS.exe“ hinzugefügt

In Windows 10 wurde eine SACL für Standardvorgänge zu „LSASS.exe“ hinzugefügt, um Prozesse zu protokollieren, die versuchen, auf „LSASS.exe“ zuzugreifen. Die SACL ist L"S:(AU;SAFA;0x0010;;;WD)". Sie können diesen Prozess unter Erweiterte Überwachungsrichtlinienkonfiguration\Objektzugriff\Kernelobjekt überwachen aktivieren. Dieser Prozess kann bei Aktiviertem dabei helfen, Angriffe zu identifizieren, die Anmeldeinformationen aus dem Speicher eines Prozesses stehlen.

Neue Felder im Anmeldeereignis

Die Anmeldeereignis-ID 4624 wurde aktualisiert, um ausführlichere Informationen für die einfachere Analyse einzuschließen. Die folgenden Felder wurden dem Ereignis 4624 hinzugefügt:

  1. MachineLogon Zeichenfolge: ja oder nein Wenn das Konto, das sich am PC angemeldet hat, ein Computerkonto ist, lautet dieses Feld ja. Andernfalls hat das Feld den Wert „no“.
  2. ElevatedToken Zeichenfolge: ja oder nein Wenn sich ein Konto über die Methode "administrative Anmeldung" beim PC angemeldet hat, lautet dieses Feld "Ja". Andernfalls hat das Feld den Wert „no“. Wenn dieses Feld Teil eines geteilten Tokens ist, wird außerdem die verknüpfte Anmelde-ID (LSAP_LOGON_SESSION) angezeigt.
  3. TargetOutboundUserName: Zeichenfolge, TargetOutboundUserDomain: Zeichenfolge. Der Benutzername und die Domäne der Identität, die von der LogonUser-Methode für ausgehenden Datenverkehr erstellt wurde.
  4. VirtualAccount: Zeichenfolge „yes“ oder „no“. Wenn das Konto, dass sich am PC angemeldet hat, ein virtuelles Konto ist, hat dieses Feld den Wert „yes“. Andernfalls hat das Feld den Wert „no“.
  5. GroupMembership: Zeichenfolge. Eine Liste mit allen Gruppen im Token des Benutzers.
  6. RestrictedAdminMode: Zeichenfolge „yes“ oder „no“. Wenn sich der Benutzer mit Remotedesktop im eingeschränkten Administratormodus am PC anmeldet, hat dieses Feld den Wert „yes“. Weitere Informationen zum eingeschränkten Administratormodus finden Sie unter Eingeschränkter Administratormodus für RDP.

Neue Felder im Prozesserstellungsereignis

Die Anmeldeereignis-ID 4688 wurde aktualisiert, um ausführlichere Informationen für die einfachere Analyse einzuschließen. Die folgenden Felder wurden dem Ereignis 4688 hinzugefügt:

  1. TargetUserSid: Zeichenfolge. Die SID des Zielprinzipals.
  2. TargetUserName: Zeichenfolge. Der Kontoname des Zielbenutzers.
  3. Targetdomainname Zeichenfolge Die Domäne des Zielbenutzers.
  4. TargetLogonId: Zeichenfolge. Die Anmelde-ID des Zielbenutzers.
  5. ParentProcessName: Zeichenfolge. Der Name des Erstellerprozesses.
  6. ParentProcessId: Zeichenfolge. Ein Zeiger auf den tatsächlichen übergeordneten Prozess, falls sich dieser vom Erstellerprozess unterscheidet.

Neue Sicherheitskontenverwaltungs-Ereignisse

In Windows 10 wurden neue SAM-Ereignisse für SAM-APIs hinzugefügt, die Lese-/Abfragevorgänge ausführen. In früheren Versionen von Windows wurden nur Schreibvorgänge überwacht. Die neuen Ereignisse haben die Ereignis-IDs 4798 und 4799. Die folgenden APIs werden jetzt überwacht:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Neue BCD-Ereignisse

Ereignis-ID 4826 wurde hinzugefügt, um die folgenden Änderungen an der Startkonfigurationsdatenbank (Boot Configuration Datenbank, BCD) nachzuverfolgen:

  • DEP-/NEX-Einstellungen
  • Testsignierung
  • PCAT-SB-Simulation
  • Debugging
  • Startdebugging
  • Integritätsdienste
  • Deaktivieren des Winload-Debuggingmenüs

Neue PNP-Ereignisse

Ereignis-ID 6416 wurde hinzugefügt, um nachzuverfolgen, wann ein externes Gerät über Plug & Play erkannt wird. Ein wichtiges Szenario entsteht, wenn ein externes Gerät, das Malware enthält, in einen hochwertigen Computer eingefügt wird, der diese Art von Aktion nicht erwartet, z. B. ein Domänencontroller.

Erfahren Sie, wie Sie Ihre Sicherheitsüberwachungsrichtlinien in Ihrem organization

Trusted Platform Module

Neue TPM-Features in Windows 10

In den folgenden Abschnitten werden die neuen und geänderten Funktionen im TPM für Windows 10 beschrieben:

Nachweis über Geräteintegrität

Durch den Nachweis der Geräteintegrität können Unternehmen eine Vertrauensstellung basierend auf Hardware- und Softwarekomponenten eines verwalteten Geräts herstellen. Mit dem Integritätsnachweis für Geräte können Sie einen MDM-Server so konfigurieren, dass er einen Integritätsnachweisdienst abfragt, der einem verwalteten Gerät den Zugriff auf eine sichere Ressource erlaubt oder verweigert. Folgendes können Sie für das Gerät überprüfen:

  • Wird die Datenausführungsverhinderung unterstützt und ist sie aktiviert?
  • Wird die BitLocker-Laufwerkverschlüsselung unterstützt und ist sie aktiviert?
  • Wird SecureBoot unterstützt und ist es aktiviert?

Hinweis

Das Gerät muss Windows 10 ausführen und mindestens TPM 2.0 unterstützen.

Informationen zum Bereitstellen und Verwalten von TPM in Ihrer Organisation

Benutzerkontensteuerung

Die Benutzerkontensteuerung (User Account Control, UAC) schützt davor, dass Schadsoftware einen Computer beschädigt, und unterstützt Unternehmen bei der Bereitstellung einer besser verwalteten Desktopumgebung.

Sie sollten die UAC nicht deaktivieren, da eine solche Einstellung keine Unterstützung für Geräte mit Windows 10. Wenn Sie die Benutzerkontensteuerung deaktivieren, funktionieren die Apps der universellen Windows-Plattform nicht mehr. Sie müssen den Registrierungswert HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA immer auf 1 festlegen. Wenn Sie automatische Rechteerweiterungen für den programmgesteuerten Zugriff oder die Installation bereitstellen müssen, können Sie den Registrierungswert HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin auf 0 festlegen. Dies entspricht dem Festlegen des UAC-Schiebereglers Nie benachrichtigen. Diese Einstellung wird nicht für Geräte unter Windows 10 empfohlen.

Weitere Informationen zum Verwalten der UAC finden Sie unter UAC Gruppenrichtlinie Einstellungen und Registrierungsschlüsseleinstellungen.

In Windows 10 hat die Benutzerkontensteuerung einige Verbesserungen hinzugefügt:

  • Integration in die Antischadsoftware-Scanschnittstelle (Antimalware Scan Interface, AMSI). Die AMSI untersucht alle UAC-Anforderungen für erhöhte Rechte auf Schadsoftware. Wenn Schadsoftware erkannt wird, werden die Administratorrechte blockiert.

Informationen zum Verwalten der Benutzerkontensteuerung in Ihrer Organisation.

VPN-Profiloptionen

Windows 10 bietet eine Reihe von VPN-Features, die sowohl die Unternehmenssicherheit als auch die Benutzerfreundlichkeit verbessern, darunter:

  • Automatische Verbindungsherstellung
  • App-gesteuertes VPN
  • VPN-Datenverkehrsregeln
  • VPN-Sperrmodus
  • Integration in Microsoft Passport for Work

Informationen zu den VPN-Optionen in Windows 10

Verwaltung

Windows 10 bietet mobile Geräteverwaltungsfunktionen (Mobile Device Management, MDM) für PCs, Laptops, Tablet PCs und Smartphones, die der professionellen betrieblichen Verwaltung von unternehmenseigenen und persönlichen Geräten dient.

MDM-Unterstützung

MDM-Richtlinien für Windows 10 sind an die unter Windows 8.1 unterstützten Richtlinien angelehnt und werden erweitert, um noch mehr Unternehmensszenarien abzudecken, z. B. das Verwalten mehrerer Benutzer, die über Microsoft Azure Active Directory-Konten (Azure AD) verfügen, die vollständige Kontrolle über den Microsoft Store, VPN-Konfiguration und vieles mehr.

Die MDM-Unterstützung in Windows 10 basiert auf dem Device Management (DM)-Protokoll 1.2.1 der Open Mobile Alliance (OMA) .

Unternehmenseigene Geräte können mit Azure AD automatisch registriert werden. Referenz zur mobilen Geräteverwaltung für Windows 10

Aufheben der Registrierung

Wenn eine Person Ihr Unternehmen verlässt und Sie das Benutzerkonto oder das Gerät aus der Verwaltung herausnehmen, werden die vom Unternehmen gesteuerten Konfigurationen und Apps vom Gerät entfernt. Sie können die Registrierung des Geräts remote aufheben, oder die Person kann die Aufhebung der Registrierung vornehmen, indem sie das Konto manuell vom Gerät entfernt.

Beim Aufheben der Registrierung eines persönlichen Geräts bleiben die Daten und Apps des Benutzers unberührt, während Unternehmensinformationen wie Zertifikate, VPN-Profile und Unternehmens-Apps entfernt werden.

Infrastruktur

Unternehmen haben in Bezug auf die Identität und Verwaltung die unten angegebenen Auswahlmöglichkeiten.

Bereich Optionen
Identität Active Directory, Azure AD
Gruppierung Domänenbeitritt, Arbeitsgruppe, Azure AD-Beitritt
Geräteverwaltung Gruppenrichtlinie; Microsoft Configuration Manager; Microsoft Intune; andere MDM-Lösungen; Exchange ActiveSync; Windows PowerShell; Windows-Verwaltungsinstrumentation (WMI)

Hinweis

Mit der Veröffentlichung von Windows Server 2012 R2 gilt der Netzwerkzugriffsschutz (Network Access Protection, NAP) als veraltet, und der NAP-Client wurde in Windows 10 entfernt. Weitere Informationen zu den Supportzyklen finden Sie unter Microsoft Support Lifecycle.

Sperrmodus für Geräte

Benötigen Sie einen Computer, der nur einem Zweck dient? Zum Beispiel:

  • Ein Gerät in der Lobby, mit dem Kunden Ihren Produktkatalog anzeigen können.
  • Ein tragbares Gerät, mit dem Mitarbeiter unterwegs eine Route auf einer Karte überprüfen können.
  • Ein Gerät, das ein Zeitarbeiter zum Eingeben von Daten verwendet.

Sie können einen dauerhaften Sperrzustand konfigurieren und so ein Gerät im Kioskmodus betreiben. Wenn Benutzer sich mit dem gesperrten Konto anmelden, wird auf dem Gerät nur die App angezeigt, die Sie ausgewählt haben.

Sie können auch einen Sperrmoduszustand konfigurieren, der wirksam wird, wenn die Anmeldung mit einem bestimmten Benutzerkonto erfolgt. Der Sperrmodus gilt nur für die von Ihnen angegebenen Apps.

Außerdem können Sie Sperrmoduseinstellungen konfigurieren, um für ein Gerät ein gewünschtes Erscheinungsbild zu erzielen, z. B. ein Design oder ein benutzerdefiniertes Layout auf der Startseite.

Startlayout

Ein Standardlayout eines Startbildschirms kann auf Geräten nützlich sein, die von mehreren Benutzern verwendet werden, sowie auf Geräten, die auf die Verwendung für spezielle Zwecke beschränkt sind. Ab Windows 10, Version 1511, können Administratoren ein partielles Startlayout konfigurieren, das für festgelegte Kachelgruppen übernommen wird, gleichzeitig jedoch Benutzer die Möglichkeit lässt, eigene Kachelgruppen zu erstellen und anzupassen. Informationen zum Anpassen und Exportieren des Startlayouts

Administratoren können die Verwendung von Windows-Blickpunkt auf dem Sperrbildschirm mithilfe der mobilen Geräteverwaltung (Mobile Device Management, MDM) bzw. von Gruppenrichtlinien deaktivieren.

Updates

Windows Update for Business ermöglicht IT-Administratoren, die Windows 10-Geräte in ihrem Unternehmen ständig mit den neuesten Sicherheitsmaßnahmen und Windows-Funktionen aktuell zu halten, indem sie diese Systeme direkt mit dem Windows Update-Dienst von Microsoft verbinden.

Durch die Verwendung von Gruppenrichtlinienobjektenist Windows Update for Business ein leicht einzurichtendes und zu implementierendes System, mit dem Unternehmen und Administratoren kontrollieren können, wie ihre Windows 10-Geräte aktualisiert werden. Dazu dienen:

  • Bereitstellungs- und Validierungsgruppen; dabei können Administratoren festlegen, welche Geräte zur ersten Upgradephase gehören, und welche erst später aktualisiert werden (um sicherzustellen, dass alle Qualitätsanforderungen erfüllt werden).

  • Peer-to-Peer-Übermittlung: Damit können Administratoren in effizienter Weise Updates für Zweigstellen und entfernte Standorte zur Verfügung stellen, die nur über eingeschränkte Bandbreiten verfügen.

  • Verwenden Sie mit vorhandenen Tools wie Microsoft Intune und der Enterprise Mobility Suite.

Zusammen helfen diese Features von Windows Update for Business dabei, Verwaltungskosten zu reduzieren, die Kontrolle über die Bereitstellung von Updates zu bewahren, schnelleren Zugang zu Sicherheitsupdates zu ermöglichen und kontinuierlich die neuesten Innovationen von Microsoft zur Verfügung zu stellen. Windows Update for Business ist ein kostenloser Dienst für alle Windows 10 Pro-, Enterprise- und Education-Editionen und kann unabhängig von oder in Verbindung mit vorhandenen Geräteverwaltungslösungen wie Windows Server Update Services (WSUS) und Microsoft verwendet werden. Configuration Manager.

Informationen zu Windows Update for Business

Weitere Informationen zum Aktualisieren von Windows 10 finden Sie unter Windows 10-Serviceoptionen für Updates und Upgrades.

Microsoft Edge

Das neue Chromium-basierte Microsoft Edge ist nicht in der LTSC-Version von Windows 10 enthalten. Sie können es jedoch separat hier herunterladen und installieren.

Weitere Informationen

Windows 10 Enterprise LTSC: Eine Beschreibung des LTSC-Wartungskanals mit Links zu Informationen zu den einzelnen Releases.