Monat: November 2015

Windows 10 im Unternehmen – Viele Features & Einstellungen

von

Windows 10 LogoMit Windows 10 kommen viele neue Features, vor allem was das Userfeeling angeht. Allerdings stellt sich bei einigen davon die Frage ob sie im Business Umfeld auch brauchbar sind und keine unnötigen Sicherheitsrisiken darstellen. Viele neue Sachen wie eine tiefgehende Integration von Xbox Live, Cortana und dem allgemeinem Drang des Daten sammeln sollte man zuvor überdenken und ggf. deaktivieren.
Ich liste hier ein paar Punkte auf die man beim Einsetzen von Windows 10 im Unternehmen berücksichtigen sollte – sowie die passenden Einstellungen dazu.
1. Startmenü anpassen
2. Windows Store deaktivieren
3. Automatische Updates konfigurieren
4. Synchronisation konfigurieren / deaktivieren
5. Active Help / Suchfunktion konfigurieren
6. Senden von Feedback/Telemetry Daten verhindern
7. Wifi-Sense deaktivieren
8. Update Optimierte Verteilung deaktivieren
9. Cortana deaktivieren
10. OneDrive aus Explorer entfernen
11. Windows Explorer anstatt Schnellzugriff anzeigen
12. Windows Apps entfernen
Mit Windows 10 kommen eine ganze Hand voll neuer vorinstallierter Apps hinzu, die Möglicherweise unerwünscht sind. (z.B. Spiele)
Diese kann man per Powershell entfernen:

Get-AppxProvisionedPackage -Online | Out-GridView -PassThru | Remove-AppxProvisionedPackage -Online

Apps wie der WindowsStore lassen sich zwar so nicht entfernen, das geht dann wiederum aber per GPO.
13. Error Reporting
Die Fehlerberichtsersattung kann man ebenfalls konfigurieren, sodass keine zusätzlichen Dateien gesammelt werden, sowie dass man Fehler an Microsoft berichten kann.
Die Fehlerberichtserstattung kann auch komplett deaktiviert werden, aber das macht die Fehlersuche eventuell nur schwerer.
per GPO:

Computer Configuration > Administrative Templates > Windows Components > Windows Error Reporting
Configure Error Reporting (do not collection additional files, do not collect additional machine data).
Disable Windows Error Reporting.
Disable logging.
Do not send additional data.

Error Reporting - GPO
14. Unnötige Dienste deaktivieren
Es gibt einige Dienste die im Unternehmen bestimmt keinen Sinn haben wie zum Beispiel die folgenden 3, welche problemlos deaktiviert werden können:

Xbox Live Auth Manager
Xbox Live Game Save
XboxNetApiSvc

Eine Auflistung aller Windows Dienste sowie die Einstufung, ob diese benötigt werden oder nicht gibt es am besten sortiert bei BlackViper.
Habe ich etwas vergessen, oder ihr habt Anmerkungen ? Lasst es mich wissen!

Windows 10 – Startmenü anpassen

von

Ein cooles neues Feature von Windows 10 ist die Anpassbarkeit des Startmenü, sowie die globale Verteilung davon.
Hier passt man das Startmenü nach den eigenen wünschen unter einem beliebigem Benutzer an, kann Gruppen erstellen, Live Tiles etc.
Zum Exportieren des Layout dann via Powershell folgenden Befehl absetzen:

export-startlayout -path c:\CustomizeLayout.xml –verbose

Alternative als Binary File: export-startlayout -asbin –path c:\configs\start.bin
Um die Einstellungen nun in das Default User Profil des lokalen PC’s zu kopieren als Administrator das Profil wieder importieren:

import-startlayout -layoutpath c:\CustomizeLayout.xml -mountpath %systemdrive%\

Die XML Datei kann auch per Hand bearbeitet werden, wenn man sich einmal in das Schema eingelesen hat.
windows-startmenü
per GPO verteilen:
Man beachte, wenn man das Layout per GPO verteilt, können Benutzer das Startmenü NICHT mehr selbst verändern. Hier also gut überlegen ob man das Layout nicht besser per Default Profil verteilt.

User configuration > Administrative Templates > Start Menu and Taskbar > Start Layout

Der Pfad muss ein Netzwerkshare sein.
gpo-startmenu

Windows 10 – App Store deaktivieren

von

Wer den Windows Store komplett deaktivieren will kann dies per GPO erledigen:

Computer Configuration > Administrative Templates > Windows Components > Store

Windows Store - GPO

oder per Registry:

Hier muss ein neuer Wert (ggf. noch der Ordner zuvor) angelegt werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore\
Dwort Wert: RemoveWindowsStore
Option: 1 = deaktiviert
0 = aktiviert

Windows 10 – Automatische Updates konfigurieren

von

Das Updateverhalten wurde mit Windows 10 ja komplett überarbeitet, so gibt es auch einige neue Einstellungsmöglichkeiten.
Man beachte: Wenn Updates installiert werden, startet Windows nach einem gewissem Zeitraum automatisch neu.
Wenn man dies verhindern möchte kann man die Updates auf „Benachrichtigen zum Download“ oder „Benachrichtigen zum Installieren“ setzen.
Außerdem kann man einen Tag planen, an dem Updates installiert werden sollen.
Update verschieben: Updates können bis zur nächsten Updateperiode verschoben werden. (Nur für Pro & Enterprise Benutzer)
Windows Upate - GPO

Windows 10 – Synchronisation steuern/deaktivieren

von

Seit Windows 8 können Benutzer auch ihre Einstellungen, Passwörter, Startmenü, Apps und vieles mehr über ihr Microsoft-Konto synchronisieren.
Was synchronisiert werden darf kann man einschränken, sodass zum Beispiel keine Passwörter synchronisiert werden oder die Sync Funktion komplett deaktiviert ist.
per GPO:

Computer Configuration > Administrative Templates > Windows Components > Sync Your Settings

Sync your Settings - GPO

Windows 10 – Active Help deaktivieren

von

Hier kann auch Cortana komplett deaktivert werden, oder falls die Dame doch gewünscht ist einige Sachen eingeschränkt werden wie zum Beispiel ob die Suchfunktion  und Cortana den Standort benutzen dürfen um Suchergebnisse auf lokaler Ebene anzubieten.

Computer Configuration > Administrative Templates > Windows Components > Search

Allow Cortana.
-> Cortana komplett deaktivieren
Allow indexing of encrypted files.
-> Zum Beispiel verschlüsselte externe Bitlocker Laufwerke nicht indexieren.
Allow search and Cortana to use location.
-> Standort wird nicht weitergegeben.
Do not allow web search.
-> Deaktiviert die Bing Suche komplett.
Don’t search the web or display web results in Search.
-> Deaktiviert die Bing Suche im „Windows durchsuchen“ Feld.
Cortana & Suche - GPO

Windows 10 – Feedback Daten verhindern

von

Feedback DatenAls Telemetry Daten bezeichnet man die Nutzungsdaten die gesammelt werden. Mit Windows 10 ist das Thema Datenschutz ja wieder bei einigen groß im rennen und auch die Fragestellung was alles so an Microsoft nach Hause gefunkt wird.
Die Option der Telemetry Daten
Hier gibt es mehrere Varianten:
– 0 Komplett Deaktivieren
– 1 Basic (Anonymisiert)
Für Enterprise & Server Versionen von Windows 10 gibt es die möglichkeit die Funktion komplett auszuschalten. Benutzer der Home & Professional Versionen können die Funktion nicht komplett deaktivieren. Es kann lediglich Basic (anonymisiert) ausgewählt werden.
per Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
Dwort Wert: DataCollection
Option: 0 = ausgeschaltet (nur Enterprise Versionen)
1 = Basic (für alle anderen)

per GPO:
Computer Configuration > Administrative Templates > Windows Components > Data Collection.
Diese Policy einschalten und den Wert auf 0 Ändern.
Telemetrydaten vermindern

Windows 10 – WiFi-Sense deaktivieren

von

WiFi Sense ist eine neue Funktion in Windows 10 die es erlaubt W-Lan Passwörter an Kontakte weiterzuleiten. Der Gedanke ist erst einmal ok, man muss einzeln die W-Lans zum teilen „freigeben“ und kann sich in alle geteilten W-Lans einwählen.
Ob diese Funktion für Unternehmen sinnvoll ist, ist jedem selbst überlassen 😉
per Registry ein & ausschalten:
Hier muss ein neuer Dword Wert angelegt werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config\AutoConnectAllowedOEM
Dword Wert: AutoConnectAllowedOEM
Option: 0 = aus
1 = ein

Diese Einstellung ist per GPO noch nicht direkt änderbar.

Windows 10 – Update optimierte Verteilung deaktivieren

von

Mit Windows 10 gibt es die neue Funktionalität dass Updates auch via Peer-to-Peer von PC’s aus dem lokalen Netzwerk bezogen werden, sofern verfügbar.
Um dieses Feature zu deaktivieren kann man entweder den Registry Eintrag setzen oder das ganze per GPO verteilen.
per Registry:

HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization!DODownloadMode
Optionen:
0=disable
1=peers on same NAT only
2=Local Network / Private Peering (PCs in the same domain by default)
3= Internet Peering

per GPO:

Computer Configuration\Administrative Templates\Windows Components\Delivery Optimization

GPO Delivery
Microsoft KB: https://support.microsoft.com/en-us/kb/3088114

Windows 10 – Cortana deaktivieren

von

Dies deaktiviert Cortana in Windows 10 komplett, also auch in der Windows Suchfunktion sowie dem Startmenü.
per Registry:

HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search!AllowCortana
Dword Wert: AllowCortana
Ausschalten: 0
Einschalten: 1
(Der Key muss neu angelegt werden.)

per GPO:

Computer Configuration/Administrative Templates/Windows Components/Search

Cortana per GPO deaktivieren