Windows 10 bringt mehr als nur 3D-Eigenschaften auf den Desktop der Anwender. Gerade Administratoren in den Unternehmen müssen Veränderungen bei Verwaltung und Betrieb berücksichtigen. Der LANline-Praxis-Check zeigt, was sich im Hinblick auf Sicherheitsfragen mit dem Creators Update änderte und was es mit dem bald folgenden Fall Creators Update auf sich hat.

Ein Windows 11 wird es wohl nicht geben – jedenfalls dann nicht, wenn Microsoft die bisher eingeschlagene Linie fortführt. Im Moment deutet nichts darauf hin, dass der bisher übliche Zyklus von neuen Windows-Versionen wiederkehren sollte. Anwender und Administratoren werden also in den nächsten Jahren – so sie denn weiterhin auf das Client-Betriebssystem aus Redmond setzen – stets mit einem Windows 10 arbeiten: mit einem Betriebssystem, das in regelmäßigen Abständen nicht nur mit Sicherheits-Updates, sondern auch mit neuen Features und Funktionen punkten soll.

Microsoft spricht in diesem Zusammenhang von „Windows as a Service“ und schickt bereits jetzt in Abständen von etwa sechs Monaten neue Versionen auf die Rechner der Anwender. Im April dieses Jahres gelangte mit dem „Creators Update“ genannten Release die Version 1703 auf die Geräte. In den Windows-Einstellungen im Bereich „System“ und dann wiederum in „Info“ findet sich neben der Versionsnummer auch der Eintrag „Betriebsystembuild“. Dieser gibt an, welche kleineren aktuellen Änderungen bereits installiert sind. Mehr Informationen zu diesen Änderungen stellt Microsoft unter der Adresse support.microsoft.com/de-de/help/4018124 bereit.

Auf dem ersten Blick scheinen sich beim Creators Update (hier ein „Insider Preview“ des kommenden Fall Creators Update) die Änderungen nur an der Oberfläche abzuspielen. Doch Microsoft hat auch sehr viel „unter der Haube“ geändert.

Zum Zeitpunkt der Erstellung dieses Artikels (Ende Juli 2017) war die Version 1703 mit dem Betriebssystem-Build 15063.483 aktuell. Es lohnt sich für einen Administrator, sich einen Überblick über wichtige Änderungen im Security-Umfeld zu verschaffen, die nun auf den Client-Systemen angekommen sind. Zudem stellt unser Praxis-Check anhand der Windows-Insider-Preview-Version mit der Build-Nummer 16251.0 einige Neuerungen und Änderungen vor, die mit dem „Fall Creators Update“ Teil der nächsten Windows-10-Version werden sollen. Nach aktuellen Informationen aus dem Windows-Insider-Blog wird diese dann die Release-Nummer 1709 tragen. Sie soll bereits im September 2017 bei den Anwendern ankommen.

Ein Blick auf die Erfahrungsberichte und Nachrichten rund um die aktuellen Windows-10-Versionen kann schnell zu dem Eindruck führen, dass es dabei nur um Veränderungen im Bereich 3D- und Videoanwendungen geht. Auch die voranschreitende Weiterentwicklung des hauseigenen Edge-Browsers, der dann den immer noch vorhandenen Internet-Explorer ersetzen soll, wird dabei ausführlich diskutiert.

Viele Änderungen: Erstes „Creators Update“

Doch obwohl auch diese Aspekte den IT-Profi selbstverständlich interessieren müssen, sind es andere Bereiche, die für ihn weitaus mehr Bedeutung haben. Einer davon ist zweifelsohne die Sicherheit, ein Aspekt, den Microsoft nach eigenem Bekunden in den Mittelpunkt rückt. Viele Anwender hatten bei den vorherigen Versionen des Windows-10-Systems bemängelt, dass die Einstellungen für den Datenschutz, die der Nutzer während der Installation des Betriebssystems auswählen konnte, viel zu ungenau und pauschal waren. Die von den meisten Nutzern gewählten „Express-Einstellungen“ mussten dann in vielen Fällen Stück für Stück zurückgenommen werden.

Firmen, die jetzt ein Windows 10 Creators Update neu installieren oder Windows 7/8/8.1-Systeme auf diese Version updaten, erhalten ein verbessertes Setup bei der Konfiguration von Datenschutzeinstellungen, das nicht nur die Einstellungen übersichtlicher darstellt, sondern auch Hilfetexte anbietet. Weiterhin hat Microsoft die bisher vorhandenen drei Konfigurationsstufen auf die zwei Optionen „Einfach“ und „Vollständig“ reduziert – die ehemalige Stufe „Erweitert“ gibt es nicht mehr.

Mehr Schutz, mehr Kontrolle: Nutzer können per Defender Security Center ab dem Fall Creators Update Infos über den Exploit-Schutz finden und konfigurieren.

Dabei soll auch die Menge der in der Stufe „Einfach“ gesammelten Diagnose- und Nutzungsdaten stark reduziert ausfallen.

Die auffälligste Maßnahme ist sicher das erstmals eingeführte Defender Security Center, das nun fünf Bereiche enthält und damit die oft als unzureichende AV-Lösung geschmähte Defender-Software deutlich aufwertet. Die fünf Unterbereiche dieses eigenständigen Teils der Windows-Einstellungen bieten nun eine Auswahl zwischen Viren- und Bedrohungsschutz, Geräteleistung und Integrität, Firewall- und Netzwerkschutz, App- und Browser-Steuerung sowie Familienoptionen.

Während unter Viren- und Bedrohungsschutz die bekannten AV-Einstellungen (samt manuellem Download aktueller Signaturen, falls notwendig) aufgeführt sind, finden Anwender bei der App- und Browser-Steuerung die Einstellungen für Smartscreen-Einstellungen sowohl für Apps als auch für den Edge-Browser. Der Eintrag Geräteleistung und Integrität signalisiert, ob in den Bereichen Windows-Update, Speicherkapazität oder Gerätetreiber Probleme aufgetaucht sind. Wenn dem so ist, stellt das Menü in der Regel auch einen Link zu den entsprechenden Einstellungen oder auf eine Web-Seite mit Lösungen bereit.

Die Familienoptionen sind nun aus dem klassischen Systemmenü ebenfalls in die neue Oberfläche gewandert. Für Administratoren sicher noch interessant: Auch die Windows Firewall ist mit den grundsätzlichen Einstellungen wie etwa der Blockade aller eingehenden Verbindungen nun über die Windows-10-Oberfläche erreichbar. Wer allerdings die erweiterten Einstellungen der Firewall benötigt, wird auch weiterhin zur altbekannten Windows-Oberfläche der „Windows Firewall mit erweiterter Sicherheit“ geführt. Dies wird sich nach dem augenblicklichen Stand der Dinge auch mit dem Fall Creators Update nicht ändern – nur dass dieser Teil des Betriebssystems dann überall „Windows Defender Firewall“ heißt.

Mit Fall Creators Update geht es weiter

Was beim kommenden Windows-10-Release (häufig auch noch unter dem Codenamen Redstone 3 im Gespräch) sofort auffällt: Die Statusanzeige des Defender Security Centers taucht nun direkt mit in der Systeminfo auf. Auch das Security Center selbst erhält zusätzliche Optionen: Im Bereich App- und Browser-Steuerung finden Administratoren dann den weiteren Eintrag „Exploit-Schutz“. Wer dort die Einstellungen für den Exploit-Schutz wählt, kann diesen sowohl für das System als auch für einzelne Programme einstellen. Einige dieser Einstellung – wie der Ablaufsteuerungsschutz (Control Flow Guard, CFG) – sind standardmäßig aktiviert.

Grundsätzlich handelt es sich beim Ablaufsteuerungsschutz um eine Einstellung, die im Betriebssystem, nicht aber durch den Entwickler in der Anwendung konfiguriert werden muss. Sie ist in Edge, IE11 und weitere Bereichen von Windows 10 integriert. Weitere Einstellungsmöglichkeiten, die an dieser Stelle hinzukommen, betreffen den Speicherschutz, etwa die Datenausführungsverhinderung (Data Execution Prevention, DEP) oder das Erzwingen der zufälligen Anordnung von Images (obligatorisches ASLR). Dabei sind Techniken wie DEP unter Windows nicht neu, die Anordnung und der direkte Zugriff im Security Center sollten jedoch ihre Verwaltung erleichtern.

So sieht es dann wohl für die Anwender aus, wenn sie sich die Systeminfos anzeigen lassen: Der mit dem April-Release deutlich erweiterte Schutz von Windows Defender rückt weiter in den Vordergrund.

Schließlich noch sehr interessant für Entwickler: Das erstmals mit dem Anniversary Update von Windows 10 (Release 1511) vorgestellte Windows-Subsystem für Linux, das seitdem als Beta zur Verfügung stand, wird fester Bestandteil des Betriebssystems. Entwickler sollen dann diverse Linux-Distributionen aus dem Windows-Store direkt herunterladen können. Damit können sie dann aber immer noch nur ihr Windows-Dateisystem und -Programme behandeln und leider nicht umgekehrt mittels Windows-Kommandos auf das vorhandene virtuelle Linux-Dateisystem zugreifen. Microsoft verspricht jedoch, dass sich auch dies noch ändern wird. Somit ist dieses Subsystem dann zwar eine Komponente von Windows 10, jedoch sicher kein Ersatz für ein komplettes virtualisiertes Linux-System.

Fazit: Kontinuierliche Updates

Abschließend bleibt festzustellen, dass es ein guter Ansatz ist, ein Betriebssystem – nicht nur was Sicherheits-Updates und Patches, sondern auch was neue Funktionen angeht – kontinuierlich auf einem aktuellen Stand zu halten. Microsoft hat zudem mit den bisherigen Versionen und Betriebssystem-Builds von Windows 10 durchaus eindrucksvoll bewiesen, dass dies funktionieren kann. Für Endanwender und kleine Unternehmen ohne eigene IT-Abteilung kann ein solches Vorgehen besonders beruhigend sein. Den IT-Abteilungen größerer Unternehmen kann jedoch gerade dieser ständige Wandel Probleme bereiten, besonders dann, wenn die Entwickler in Redmond – wie aktuell gerade wieder geschehen – das Update-Modell häufig verändern. Warum die grundsätzlich gute Idee von „Current Branch for Business“ (CBB) abgeschafft wurde, bei dem Business-Anwender die Upgrades später als im Kanal „Current Branch“ (CB), also erst nach einer Testphase im allgemeinen Einsatz, auf ihre Systeme bekamen und diese beiden Kanäle zum „Semi-Annual Channel“ zusammengefasst wurden, erschließt sich aus den bisherigen Erklärungen von Microsoft nicht. Dadurch passt der Hersteller wohl hauptsächlich die Zyklen an die halbjährliche Erscheinungsweise neuer Versionen an. Dies bedeutet für Windows-10-Systeme, die bisher auf dem CBB standen, dass sie jetzt auch dann automatisch das Creators Update bekommen. Tatsache ist, dass auf Administratoren dadurch wieder mehr Arbeit zukommt.

Wichtig für Entwickler: Mit der kommenden Version von Windows 10 verliert das erstmals mit dem Anniversary Update eingeführte Linux-Subsystem seinen Beta-Status und wird fester Teil des Betriebssystems.

Glücklicherweise können sie jedoch weiterhin noch die Funktion von „Windows Update for Business“ nutzen, die sich mittels Gruppenrichtlinien-Objekten (GPOs) steuern lässt. Dadurch steht ihnen die Möglichkeit offen, Sicherheits-Updates erst bis zu 30 Tage und Feature-Updates bis zu 365 Tage nach Veröffentlichung auf ihre Systeme zu bringen. Der spezielle Kanal für Systeme, die lange Zeit von Änderungen unberührt eingesetzt werden sollen (bisher: Long Term Servicing Branch, LTSB) erhält die neue Bezeichnung „Long Term Servicing Channel“, soll aber ansonsten weiterhin unverändert bleiben.

Schließlich wollen wir noch einen Umstand des „kontinuierlichen Updates“ erwähnen, der auch in unserer täglichen Praxis – gerade mit den diversen Vorabversionen – immer wieder zu Irritationen geführt hat. Microsoft nutzt diese Änderung nicht nur dafür, neue Features auf die Systeme zu bringen, sondern es werden Features auch recht zügig wieder entfernt. Ein Beispiel dafür ist die Funktion „WiFi-Sense“, die in den deutschen Releases den Namen „WLAN-Optimierung“ trug und es dort den Nutzern ermöglichte, die eigene WLAN-Verbindung mit Kontakten zu teilen. Diese Funktion ist – wohl auch aufgrund reger Kritik – nun nicht mehr zu finden. Dies ist leider oft ein Ärgernis, wenn Anwender fragen, warum sie plötzlich eine bestimmte Funktion nicht mehr nutzen können.