Für IT-Experten: Neuigkeiten in Windows 10, Version 1809

Gilt für: Windows 10, Version 1809

In diesem Artikel beschreiben wir neue und aktualisierte Features in Windows 10, Version 1809, die für IT-Experten von Interesse sind. Dieses Update enthält auch alle Funktionen und Anpassungen, die in früheren kumulativen Updates für Windows 10, Version 1803, enthalten waren.

Das folgende 3-minütige Video fasst einige der neuen Features zusammen, die in dieser Version für IT-Profis interessant sind.

 

Bereitstellung

Self-Deployment-Modus im Windows Autopilot

Der Self-Deployment-Modus von Windows Autopilot ermöglicht die Bereitstellung von Zero Touch-Geräten. Schalten Sie das Gerät einfach ein, verbinden Sie es mit Ethernet, und das Gerät wird von Windows Autopilot automatisch vollständig konfiguriert.

Somit ist es nicht mehr erforderlich, dass der Endbenutzer während des Bereitstellungsprozesses auf die Schaltfläche „Weiter" drückt.

Sie können den automatischen Bereitstellungsmodus von Windows Autopilot verwenden, um das Gerät bei einem AAD-Mandanten zu registrieren, beim MDM-Anbieter Ihrer Organisation anzumelden und Richtlinien und Anwendungen bereitzustellen, ohne dass eine Benutzerauthentifizierung oder Benutzerinteraktion erforderlich ist.

Weitere Informationen zum Self-Deployment-Modus sowie schrittweise Anleitungen für eine solche Bereitstellung finden Sie unter Self-Deployment-Modus im Windows Autopilot.

SetupDiag

SetupDiag Version 1.4 wird veröffentlicht. SetupDiag ist ein eigenständiges Diagnosetool, das verwendet werden kann, um Probleme zu beheben, wenn ein Windows 10-Upgrade nicht erfolgreich ist.

Sicherheit

Wir haben in Viren- & Bedrohungsschutz weiter am Bereich Aktuelle Bedrohungen gearbeitet, der jetzt alle Bedrohungen anzeigt, die eine Aktion erfordern. Sie können auf diesem Bildschirm schnell auf Bedrohungen reagieren:

Einstellungen für Viren- & Bedrohungsschutz

Mit kontrolliertem Ordnerzugriff können Sie verhindern, dass Ransomware und andere schädliche Malware Ihre persönlichen Dateien ändert. In einigen Fällen werden Apps, die Sie normalerweise verwenden, möglicherweise daran gehindert, Änderungen an üblichen Ordnern wie Dokumente oder Bilder vorzunehmen. Wir haben es Ihnen einfacher gemacht, Apps hinzuzufügen, die kürzlich blockiert wurden, sodass Sie Ihr Gerät weiterhin verwenden können, ohne das Feature vollständig zu deaktivieren.

Wenn eine App blockiert wird, wird sie in einer Liste mit kürzlich gesperrten Apps angezeigt, zu der Sie gelangen, indem Sie unter Ransomware-Schutz auf Einstellungen verwalten klicken. Klicken Sie auf App durch überwachten Ordnerzugriff zulassen. Klicken Sie auf die Schaltfläche +, sobald Sie dazu aufgefordert wurden, und wählen Sie Zuletzt blockierte Apps. Wählen Sie eine der Apps aus, um sie zur Liste der zulässigen Apps hinzuzufügen. Sie können über diese Seite auch nach einer App suchen.

Wir haben eine neue Funktion für den Windows-Zeitdienst im Abschnitt Geräteleistung und -integrität hinzugefügt. Wenn wir feststellen, dass die Uhrzeit Ihres Geräts nicht korrekt mit unseren Zeitservern synchronisiert und der Zeitsynchronisierungsdienst deaktiviert ist, bieten wir die Option an, ihn erneut zu aktivieren.

Wir arbeiten weiter daran, wie andere von Ihnen installierte Sicherheitsanwendungen in der App Windows-Sicherheit angezeigt werden. Der Abschnitt Einstellungen der App enthält eine neue Seite namens Sicherheitsanbieter. Klicken Sie auf Anbieter verwalten, um eine Liste aller anderen Sicherheitsanbieter (einschließlich Antivirensoftware, Firewall und Webschutz) anzuzeigen, die auf Ihrem Gerät ausgeführt werden. Hier können Sie einfach die App des Anbieters öffnen oder weitere Informationen zum Beheben der Probleme abrufen, die von Windows-Sicherheit erkannt wurden.

In Windows-Sicherheit werden also weitere Links auf Sicherheitsanwendungen angezeigt. Wenn Sie beispielsweise den Abschnitt Firewall & Netzwerkschutz öffnen, sehen Sie die Firewall-Apps, die auf Ihrem Gerät unter jedem Firewalltyp ausgeführt werden, einschließlich Domänen-, privater und öffentlicher Netzwerke.

BitLocker

Automatische Erzwingung auf Festplattenlaufwerken

Über eine MDM-Richtlinie (Modern Device Management) kann BitLocker im Hintergrund für standardmäßig verbundene Benutzer von Azure Active Directory (AAD) aktiviert werden. In Windows 10, Version 1803, wurde die automatische BitLocker-Verschlüsselung für Standard-AAD-Benutzer aktiviert. Dies erforderte jedoch moderne Hardware, die dem Hardware Security Test Interface (HSTI) entsprechen musste. Die neue Funktionalität aktiviert BitLocker über Richtlinien auch dann, wenn Geräte nicht dem HSTI entsprechen.

Dies ist ein Update für die BitLocker CSP, die in Windows10, Version 1703, eingeführt und von Intune und anderen Systemen genutzt wurde.

Dieses Feature wird in Kürze bei Olympia Corp als optionales Feature aktiviert.

Bereitstellen der BitLocker-Richtlinie für AutoPilot-Geräte während der Anzeige der Windows-Willkommensseite (OOBE)

Sie können den Verschlüsselungsalgorithmus auswählen, der für BitLocker-geeignete Geräte angewendet werden soll, statt diese Geräte automatisch mit dem Standardalgorithmus verschlüsseln zu lassen. Auf diese Weise kann der Verschlüsselungsalgorithmus (samt anderer BitLocker-Richtlinien, die vor der Verschlüsselung angewendet werden müssen) bereitgestellt werden, bevor die automatische BitLocker-Verschlüsselung beginnt.

Beispielsweise können Sie den Verschlüsselungsalgorithmus XTS-AES 256 auswählen und ihn auf Geräte anwenden, die sich während der Windows-Willkommensseite (OOBE) normalerweise automatisch mit dem Standardalgorithmus XTS-AES 128 verschlüsseln.

Vorgehensweise:

  1. Konfigurieren Sie in den Einstellungen für die Verschlüsselungsmethode im Endpunktschutzprofil von Windows 10 den gewünschten Verschlüsselungsalgorithmus.
  2. Weisen Sie die Richtlinie Ihrer Autopilot Gerät Gruppe zu.
    • Wichtig: Die Verschlüsselungsrichtlinie muss Geräten in der Gruppe zugewiesen werden, nicht Benutzern.
  3. Aktivieren Sie die Autopilot-Registrierungsstatusseite (ESP) für diese Geräte.
    • Wichtig: Wenn ESP nicht aktiviert ist, wird die Richtlinie erst mit dem Start der Verschlüsselung angewendet.

Verbesserungen für Windows Defender Application Guard

Für Windows Defender Application Guard (WDAG) wird mit dieser Version neue Benutzeroberfläche in Windows-Sicherheit eingeführt. Eigenständige Benutzer können jetzt ihre Windows Defender Application Guard-Einstellungen in Windows-Sicherheit installieren und konfigurieren, ohne die Registrierungsschlüsseleinstellungen ändern zu müssen.

Zudem können Benutzer, für die Unternehmensrichtlinien gelten, ihre Einstellungen überprüfen, um festzustellen, was ihre Administratoren für ihre Computer konfiguriert haben. Benutzer können so das Verhalten von Windows Defender Application Guard besser verstehen. Diese neue UI verbessert die Gesamterfahrung für Benutzer beim Verwalten und Überprüfen ihrer Windows Defender Application Guard-Einstellungen. Solange die Geräte die Mindestanforderungen erfüllen, werden diese Einstellungen in Windows-Sicherheit angezeigt. Weitere Informationen finden Sie unter Windows Defender Application Guard inside Windows Security App.

Zur Anwendung:

  1. Wechseln Sie zuWindows-Sicherheit, und wählen Sie App- & Browsersteuerung aus.
  2. Wählen Sie unter Isoliertes Browsen die Option Windows Defender Application Guard installieren aus, und starten Sie das Gerät nach der Installation neu.
  3. Wählen Sie Application Guard-Einstellungen ändern aus.
  4. Konfigurieren oder überprüfen Sie die Einstellungen Application Guard-Einstellungen.

Siehe hierzu das folgende Beispiel:

Sicherheit auf einen Blick Isolierter Browser WDAG Einstellungen ändern WDAG Einstellungen anzeigen

Windows-Sicherheitscenter

Windows Defender Security Center heißt jetzt Windows-Sicherheitscenter.

Sie können die App weiterhin auf die übliche Weise öffnen – fordern Sie einfach Cortana auf, das Windows-Sicherheitscenter (WSC) zu öffnen, oder verwenden Sie das Symbol auf der Taskleiste. Mit WSC können Sie alle Ihre Sicherheitsfeatures verwalten, einschließlich Windows Defender Antivirus und Windows Defender Firewall.

Der WSC-Dienst erfordert jetzt, dass Antivirenprodukte zur Registrierung als geschützter Prozess ausgeführt werden. Produkte, die dies noch nicht implementiert haben, werden im Windows-Sicherheitscenter nicht auf der Benutzeroberfläche angezeigt, und Windows Defender Antivirus bleibt zusammen mit diesen Produkten aktiviert.

WSC enthält jetzt die beliebten Elemente des Fluent Design-Systems. Zudem haben wir Ränder und Abstände in der App angepasst. Die Kategorien auf der Hauptseite werden nun dynamisch angepasst, wenn mehr Platz für zusätzliche Informationen benötigt wird. Die Titelleiste haben wir ebenfalls aktualisiert, sodass Ihre Akzentfarbe verwenden wird, wenn Sie diese Option in den Farbeinstellungen aktiviert haben.

Alternativer Text

Windows Defender Firewall unterstützt jetzt das Windows-Subsystem für Linux (WSL)-Prozesse

Sie können spezifische Regeln für einen WSL-Prozess in der Windows Defender Firewall hinzufügen, in derselben Weise wie für einen Windows-Prozess. Zudem unterstützt Windows Defender Firewall jetzt auch Benachrichtigungen für WSL-Prozesse. Wenn beispielsweise ein Linux-Tool den Zugriff von außen auf einen Port zulassen möchte (für SSH oder einen Webserver wie nginx), fragt Windows Defender Firewall nach der Erlaubnis für den Zugriff – wie bei einem Windows-Prozess, wenn der Port beginnt, Verbindungen zu akzeptieren. Dies wurde mit Build 17627 eingeführt.

Gruppenrichtlinien für Microsoft Edge

Wir haben neue Gruppenrichtlinien und moderne Geräteverwaltungseinstellungen zur Verwaltung von Microsoft Edge eingeführt. Die neuen Richtlinien beziehen sich auf das Aktivieren und Deaktivieren des Vollbildmodus, das Drucken, die Favoritenleiste, das Speichern des Verlaufs, das Verhindern von Zertifikatfehlerüberschreibungen; das Konfigurieren der Startschaltfläche und der Startoptionen, das Festlegen der URL für die Seite „Neue Registerkarte” und die Startschaltfläche sowie auf das Verwalten von Erweiterungen. Weitere Informationen zu den neuen Microsoft Edge-Richtlinien.

Windows Defender Credential Guard wird standardmäßig auf 10S-Geräten unterstützt, die zum AAD gehören.

Windows Defender Credential Guard ist ein Sicherheitsdienst in Windows 10, der zum Schutz von Active Directory (AD)-Domänenanmeldeinformationen entwickelt wurde, damit diese nicht von Malware auf dem Computer eines Benutzers gestohlen oder missbraucht werden können. Er schützt vor bekannten Bedrohungen wie Pass-the-Hash und Credential Harvesting.

Windows Defender Credential Guard ist seit jeher eine optionale Funktion, aber Windows10-S aktiviert diese Funktion standardmäßig, wenn der Computer zum Azure Active Directory gehört. Dies bietet eine zusätzliche Sicherheitsebene bei der Verbindung mit Domänenressourcen, die normalerweise nicht auf 10-S-Geräten vorhanden sind. Bitte beachten Sie, dass Windows Defender Credential Guard nur für S-Modus-Geräte oder Enterprise- und Education-Editionen verfügbar ist.

Windows 10 Pro S Modus erfordert eine Netzwerkverbindung

Zum Einrichten eines neuen Geräts ist jetzt eine Netzwerkverbindung erforderlich. Daher haben wir die Option „Vorerst überspringen” für das Netzwerk auf der OOBE-Einrichtungsseite entfernt.

Windows Defender ATP

Windows Defender ATP wurde durch viele neue Funktionen erweitert. Weitere Informationen finden Sie in den folgenden Themen:

  • Bedrohungsanalyse
    Die Bedrohungsanalyse besteht aus einer Reihe von interaktiven Berichten, die vom Windows Defender ATP-Forschungsteam veröffentlicht werden, sobald neue Bedrohungen und Angriffe erkannt werden. Mithilfe dieser Berichte können Sicherheitsteams die Auswirkungen auf ihre Umgebung bewerten und empfohlene Maßnahmen zur Eindämmung der organisatorischen Resilienz und zur Vermeidung spezifischer Bedrohungen bereitstellen.

  • Benutzerdefinierte Erkennung
    Bei benutzerdefinierter Erkennung können Sie beliebige eigene Abfragen erstellen, um Ereignisse bezüglich verdächtiger Verhaltensweisen oder entstehende Bedrohungen zu überwachen. Dies kann erreicht werden, indem Sie die Leistungsfähigkeit der erweiterten Suche durch die Erstellung von benutzerdefinierten Erkennungsregeln erhöhen.

  • Managed Security Service Provider (MSSP)-Unterstützung
    Windows Defender ATP unterstützt dieses Szenario durch Bereitstellung der MSSP-Integration. Die Integration ermöglicht MSSPs die folgenden Aktionen: Zugriff auf das Windows Defender Security Center-Portal des MSSP-Kunden, Abrufen von E-Mail-Benachrichtigungen und von Warnungen durch SIEM-Tools (Security Information and Event Management).

  • Zusammenwirken mit Azure Security Center
    Windows Defender ATP ist in Azure Security Center integriert, um eine umfassende Serverschutzlösung bereitzustellen. Dadurch kann Azure Security Center die Leistungsfähigkeit von Windows Defender ATP nutzen, um eine verbesserte Erkennung von Bedrohungen für Windows Server zu ermöglichen.

  • Zusammenwirken mit Microsoft Cloud App Security
    Microsoft Cloud App Security nutzt Windows Defender ATP-Endpunktsignale, um einen direkten Einblick in die Nutzung von Cloud-Anwendungen zu ermöglichen, einschließlich der Verwendung nicht unterstützter Cloud-Dienste (Schatten-IT). Das gilt für alle mit Windows Defender ATP überwachten Computern.

  • Onboarding von Windows Server 2019
    Windows Defender ATP bietet jetzt Unterstützung für Windows Server2019. Sie können das Onboarding für Windows Server 2019 mit der für Windows 10-Clientcomputer verfügbaren Methode vornehmen.

  • Onboarding von früheren Windows-Versionen
    Übernahme unterstützter Versionen von Windows-Computern, damit diese Sensordaten an den Windows Defender ATP-Sensor senden können

Kiosk-Setupprogramm

Wir haben in Einstellungen eine vereinfachte Konfigurationsmöglichkeit für zugewiesene Zugriffsrechte eingeführt, die es Geräteadministratoren ermöglicht, einen PC einfach als Kiosk einzurichten. Ein Assistent führt Sie durch das Kiosk-Setup und erstellt ein Kiosk-Konto, das sich automatisch beim Start eines Geräts anmeldet.

Um dieses Feature anzuwenden, wechseln Sie zu Einstellungen, suchen nach Zugewiesener Zugriff und öffnen die Seite Kiosk einrichten.

kiosk einrichten

Der Microsoft Edge-Kioskmodus, der mit Zugriff auf nur eine App ausgeführt wird, verfügt über zwei Kiosk-Typen.

  1. Digital/Interactive Signage zeigt eine bestimmte Website im Vollbildmodus an und führt sie im InPrivate-Modus aus.
  2. Öffentliches Surfen unterstützt das Browsing mit mehrerer Registerkarten und wird im InPrivate-Modus mit einem minimalen Funktionsumfang ausgeführt. Benutzer können neue Microsoft Edge-Fenster nicht minimieren, schließen oder öffnen oder sie mit Microsoft Edge-Einstellungen anpassen. Benutzer können Browserdaten und Downloads löschen und Microsoft Edge neu starten, indem sie auf Sitzung beenden klicken. Administratoren können Microsoft Edge so konfigurieren, dass der Browser nach einer bestimmten Zeit der Inaktivität neu startet.

zugewiesener Zugriff für nur eine App

Der Microsoft Edge-Kioskmodus, der mit Zugriff auf mehrere Apps ausgeführt wird, verfügt über zwei Kiosk-Typen.

Hinweis

Die folgenden Microsoft Edge-Kioskmodustypen können nicht mit dem neuen Assistenten für den vereinfachten zugewiesenen Zugriff in den Windows 10-Einstellungen eingerichtet werden.

Öffentliches Surfen unterstützt das Browsing mit mehrerer Registerkarten und wird im InPrivate-Modus mit einem minimalen Funktionsumfang ausgeführt. In dieser Konfiguration kann Microsoft Edge eine von mehreren verfügbaren Apps sein. Benutzer können mehrere Fenster im InPrivate-Modus öffnen und schließen.

zugewiesener Zugriff für mehrere Apps

Normalen Modus führt eine Vollversion von Microsoft Edge, obwohl einige Features möglicherweise nicht funktionieren, je nachdem, welche apps im zugewiesenen Zugriff konfiguriert werden. Ist beispielsweise der Microsoft Store nicht eingerichtet, können Benutzer keine Bücher abrufen.

Normaler Modus

Weitere Informationen zum Microsoft Edge-Kioskmodus.

Verbesserungen für den Registrierungs-Editor

Wir haben ein Dropdownliste hinzugefügt, die während der Eingabe angezeigt wird, um den nächsten Teil des Pfads zu vervollständigen. Sie können auch STRG+RÜCKTASTE drücken, um das letzte Wort zu löschen, und STRG+ENTF zum Löschen des nächsten Worts.

Dropdownliste des Registrierungseditors

Schnellere Anmeldung bei einem freigegebenen Windows10-PC

Haben Sie an Ihrem Arbeitsplatz freigegebene Geräte bereitgestellt? Schnelle Anmeldung ermöglicht Benutzern das Anmelden bei einer gemeinsam genutzten Windows10 PC im Handumdrehen!

So aktivieren Sie die schnelle Anmeldung:

  1. Richten Sie ein freigegebenes Gerät oder ein Gastgerät mit Windows 10, Version 1809, ein.
  2. Aktivieren Sie die schnelle Anmeldung über die Policy CSP- sowie die Authentifizierungs- und EnableFastFirstSignIn-Richtlinien.
  3. Melden Sie sich mit einem freigegebenen PC mit Ihrem Konto an. Sie werden den Unterschied bemerken!

    schnelle Anmeldung

Hinweis

Dies ist eine Vorschaufeature und daher nicht für Produktionszwecke vorgesehen oder empfohlen.

Webanmeldung bei Windows 10

Bisher unterstützte die Windows-Anmeldung nur die Verwendung von Identitäten, die mit ADFS oder anderen Anbieten verbunden sind, die das WS-Fed-Protokoll unterstützen. Mit „Webanmeldung” führen wir eine neue Art der Anmeldung beim Windows-PC ein. Webanmeldung ermöglicht Windows-Anmeldeunterstützung für andere Verbundanbieter als ADFS (z. B. SAML).

Testen Sie die Webanmeldung wie folgt:

  1. Stellen Sie sicher, dass Ihr Windows 10-PC zu einer Azure AD-Domäne gehört. (Webanmeldung wird nur auf Azure AD-Computern unterstützt).
  2. Aktivieren Sie die Webanmeldung über die Policy CSP- sowie die Authentifizierungs- und EnableWebSignIn-Richtlinien.
  3. Wählen Sie die Webanmeldung aus den Anmeldeoptionen auf dem Sperrbildschirm.
  4. Klicken Sie auf die Schaltfläche „Anmelden”, um den Vorgang fortzusetzen.

    Webanmeldung

Hinweis

Dies ist eine Vorschaufeature und daher nicht für Produktionszwecke vorgesehen oder empfohlen.

App „Ihr Smartphone“

Benutzer von Android-Handys müssen sich Ihre Fotos nun nicht mehr selbst zusenden. Mit „Ihr Smartphone” erhalten Sie über den PC direkten Zugriff auf die zuletzt mit Android aufgenommenen Fotos. Ziehen Sie ein Foto von Ihrem Handy auf den PC. Anschließend können Sie das Foto kopieren und bearbeiten (auch per Freihand). Probieren Sie es aus – öffnen Sie die App Ihr Smartphone. Sie erhalten eine SMS mit einem Link zum Herunterladen einer App von Microsoft auf Ihr Handy. Android 7.0+-Geräte mit Ethernet oder WLAN in nicht getakteten Netzwerken sind mit der App Ihr Smartphone kompatibel. Für PCs in der Region China werden die Dienste der App Ihr Smartphone erst später aktiviert.

Auch für iPhone-Benutzer kann die App Ihr Smartphone das Handy mit dem PC verknüpfen. Wenn Sie auf Ihrem Handy im Internet surfen und die Webseite dann an Ihren Computer senden, können Sie dort weitersurfen – mit allen Vorteilen eines größeren Bildschirms.

Ihr Smartphone

Über den Desktop-Pin gelangen Sie direkt zur App Ihr Smartphone und damit sofort zu den Inhalten Ihres Handys. Sie können auch die Liste aller Apps im Startmenü durchlaufen oder die Windows-Taste verwenden, um Ihr Smartphone zu suchen.

Projizieren per Funk

Wir haben Ihrem Feedback entnommen, dass eine Funkprojektion schwer zu erkennen und zu beenden ist, nachdem sie mit dem Datei-Explorer oder einer App gestartet wurde. In Windows 10, Version 1809, wird oben im Bildschirm zur Steuerung ein Banner angezeigt, wenn Sie sich in einer Sitzung befinden (wie bei der Remotedesktop-Verwendung). Das Banner informiert Sie über den Status Ihrer Verbindung und ermöglicht, die Verbindung schnell zu trennen, wiederherzustellen und entsprechend der jeweiligen Verwendung zu optimieren. Dazu dienen die Einstellungen, mit denen einer von drei Modi für die Latenz zwischen Bildschirmen ausgewählt werden kann:

  • Der Spielmodus minimiert die Latenz zwischen Bildschirmen, um Spiele über eine Funkverbindung zu ermöglichen.
  • Der Videomodus erhöht die Latenz zwischen Bildschirmen, um sicherzustellen, dass Videos auf dem großen Bildschirm ruckelfrei wiedergegeben werden.
  • Der Produktivitätsmodus schafft ein Gleichgewicht zwischen Spielmodus und Videomodus. Die Latenz zwischen Bildschirmen ist so eingestellt, dass sich Tastatureingaben natürlich anfühlen und Videos möglichst ungestört dargestellt werden.

Banner für Funkprojektion

Remotedesktop mit Biometrie

Benutzer von Azure Active Directory und Active Directory, die Windows Hello for Business verwenden, können Biometrie zur Authentifizierung für eine Remotedesktopsitzung verwenden.

Melden Sie sich zunächst mit Windows Hello for Business bei Ihrem Gerät an. Rufen Sie Remotedesktopverbindung (mstsc.exe) auf, geben Sie den Namen des Computers ein, zu dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. Windows merkt sich, dass Sie sich mit Windows Hello for Business angemeldet haben, und wählt automatisch Windows Hello for Business aus, um Sie für Ihre RDP-Sitzung zu authentifizieren. Sie können auch auf Weitere Auswahlmöglichkeiten klicken, um andere Anmeldeinformationen auswählen. Gesichtserkennung wird von Windows verwendet, um die RDP-Sitzung mit dem Windows Server 2016 Hyper-V-Server zu authentifizieren. Sie können Windows Hello for Business weiterhin in der Remotesitzung verwenden, müssen jedoch Ihre PIN angeben.

Siehe hierzu das folgende Beispiel:

Anmeldeinformationen eingeben Anmeldeinformationen eingeben Microsoft Hyper-V Server 2016