Windows 10 im Unternehmen – Viele Features & Einstellungen

Windows 10 LogoMit Windows 10 kommen viele neue Features, vor allem was das Userfeeling angeht. Allerdings stellt sich bei einigen davon die Frage ob sie im Business Umfeld auch brauchbar sind und keine unnötigen Sicherheitsrisiken darstellen. Viele neue Sachen wie eine tiefgehende Integration von Xbox Live, Cortana und dem allgemeinem Drang des Daten sammeln sollte man zuvor überdenken und ggf. deaktivieren.
Ich liste hier ein paar Punkte auf die man beim Einsetzen von Windows 10 im Unternehmen berücksichtigen sollte – sowie die passenden Einstellungen dazu.
1. Startmenü anpassen
2. Windows Store deaktivieren
3. Automatische Updates konfigurieren
4. Synchronisation konfigurieren / deaktivieren
5. Active Help / Suchfunktion konfigurieren
6. Senden von Feedback/Telemetry Daten verhindern
7. Wifi-Sense deaktivieren
8. Update Optimierte Verteilung deaktivieren
9. Cortana deaktivieren
10. OneDrive aus Explorer entfernen
11. Windows Explorer anstatt Schnellzugriff anzeigen
12. Windows Apps entfernen
Mit Windows 10 kommen eine ganze Hand voll neuer vorinstallierter Apps hinzu, die Möglicherweise unerwünscht sind. (z.B. Spiele)
Diese kann man per Powershell entfernen:

Get-AppxProvisionedPackage -Online | Out-GridView -PassThru | Remove-AppxProvisionedPackage -Online

Apps wie der WindowsStore lassen sich zwar so nicht entfernen, das geht dann wiederum aber per GPO.
13. Error Reporting
Die Fehlerberichtsersattung kann man ebenfalls konfigurieren, sodass keine zusätzlichen Dateien gesammelt werden, sowie dass man Fehler an Microsoft berichten kann.
Die Fehlerberichtserstattung kann auch komplett deaktiviert werden, aber das macht die Fehlersuche eventuell nur schwerer.
per GPO:

Computer Configuration > Administrative Templates > Windows Components > Windows Error Reporting
Configure Error Reporting (do not collection additional files, do not collect additional machine data).
Disable Windows Error Reporting.
Disable logging.
Do not send additional data.

Error Reporting - GPO
14. Unnötige Dienste deaktivieren
Es gibt einige Dienste die im Unternehmen bestimmt keinen Sinn haben wie zum Beispiel die folgenden 3, welche problemlos deaktiviert werden können:

Xbox Live Auth Manager
Xbox Live Game Save
XboxNetApiSvc

Eine Auflistung aller Windows Dienste sowie die Einstufung, ob diese benötigt werden oder nicht gibt es am besten sortiert bei BlackViper.
Habe ich etwas vergessen, oder ihr habt Anmerkungen ? Lasst es mich wissen!

Offline Installation von .Net 3.5 via GPO korrekt einrichten

Ich habe vor längerer Zeit schon mal mit dem Problem gekämpft, dass die .Net 3.5 Installation unter Windows 8 im Firmenumfeld fehlschlägt. Eine Alternative zur Installation über „Programme und Features hinzufügen“ hatte ich hier beschrieben.
Allerdings bekomme ich neuerdings hier öfter auch einen Fehler, was die Installation fast unmöglich macht:

The source files could not be found.
Use the "Source" option to specify the location of the files that are required to restore the feature. For more information about specifying a source location, see http://go.microsoft.com/fwlink/?LinkId=243077.

Um Dot Net nun doch installiert zu bekommen gibt es 2 Lösungen:
1. Offline Installer verwenden (Weg für die Faulen :p)
Ihr findet hier eine Offline-Version zum Installieren von .Net die unter Windows 8, Windows 10, Windows 2012 Server etc. funktioniert.
2. Gruppenrichtlinien anpassen
Als erstes benötigt man die aktuellen ADMX-Templates für Windows 8.1/2012, die es hier zum herunterladen gibt, ansonsten sieht man evtl. die Einstellungen im Gruppenrichtlinieneditor nicht.
Nun kann man über den Gruppenrichtlinieneditor die folgende Einstellung setzen:
Computer Configuration\Administrative Templates\System -> Specify settings for optional component installation and component repair
Feature Install GPO

a) Entweder man macht den Haken wie im Bild rein, d.H. dass alle Features über Windows Update aus dem Internet heruntergeladen werden
oder:
b) Man gibt einen Alternativen Quell-Pfad der Windows Dateien auf einem Netzwerkpfad an
Dies können auch mehrere sein, wie zum Beispiel folgende Einstellung:

\\netzlaufwerk\wsus\Win81\sources\sxs;\\netzlaufwerk\wsus\Win2012\sources\sxs;

In diesem Fall werden die Features aus dem lokalen Lan installiert, geht bei den meisten dann schneller 😉
(via)

Office 2010/2013/2016 – Word/Excel – persönliche Vorlagen anzeigen

img_008In Word 2013 wurde die Anzeige für die Erstellung von neuen Dokumenten erneuert, sodass man jetzt bei „Neu“ standardmäßig direkt Empfohlene Vorlagen von Microsoft findet.
Im Unternehmen möchte man aber vermutlich hier seine eigenen Vorlagen per Default anzeigen, das geht per Registry Einstellung oder Gruppenrichtlinie relativ einfach.
Als erstes prüft, ob der „Standardspeicherort für persönliche Vorlagen“ auch korrekt gesetzt ist. (Datei -> Optionen -> Erweitert)
Diesen Wert kann man natürlich auch per Gruppenrichtlinie setzten. Dort gibt es auch eine Einstellung  (Userteil)“Workgroup templates path“ unter „Microsoft Office 201x -> Shared paths“ womit man einen zusätzlichen Speicherort angeben kann, ohne den Pfad der direkten Uservorlagen ändern zu müssen.

Registrierungspfad der Gruppenrichtlinie:
HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\%WORD,Excel, usw..%\options\general!officestartdefaulttab

In der Praxis also ungefähr so:

Word:
HKEY_CURRENT_USER\Software\Microsoft\office\15.0\word\options
DWORD: officestartdefaulttab
Value: 1
Excel:
HKEY_CURRENT_USER\Software\Microsoft\office\15.0\excel\options
DWORD: officestartdefaulttab
Value: 1

Im Gegenzug findet man die gleichwertige Gruppenrichtlinie unter:
User Configuration -> Policies -> Administrative Templates -> Microsoft Word 2013 (oder anderes Produkt) -> Miscellaneous -> Show custom templates tab by default in Word on the Office
img_012img_011
Dass man dafür die Office 2013 ADMX Templates installiert haben muss ist denke ich klar, sonst sieht man den Punkt nicht 😉 (via)
Update (11.05.2017): Das gleiche funktioniert auch bei Office 2016. Hier braucht ihr dann die passenden Office 2016 ADMX Templates – die Namen und Beschreibungen sind aber alle identisch geblieben.
Alle Werte finden sich in der Registry unter der Ebene: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0

Sicherheitswarnung bei "Datei oeffnen" per GPO bzw. Registry deaktivieren

Ohne viel Schmankerl: Seit XP gibt es die Execution Prevention, in anderen Worten eine Dialogbox die beim Aufruf möglicher unsicherer Programme aufpoppt.
Setzt man diese Registry keys per GPO ist man die Meldung los. (Zusätzlich kann man noch die Internet Explorer – Sicherheitseinstellungen bzw. Zonen/Sites konfigurieren)

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations]
"DefaultFileTypeRisk"=dword:00001808
"LowRiskFileTypes"=".exe;.lnk"
"ModRiskFileTypes"=".doc;.pdf;.xls;.exe;.lnk"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations]
"DefaultFileTypeRisk"=dword:00001808
"LowRiskFileTypes"=".exe;.lnk"
"ModRiskFileTypes"=".doc;.pdf;.xls;.exe;.lnk"

Das ganze ist hier sehr gut beschrieben.