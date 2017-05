Mit dem Creators Update erhält Windows 10 zahlreiche neue Funktionen. Windows 10 Version 1703 Build 15063, aka Creators Update, beinhaltet dabei nicht nur neue Features, die für Endanwender interessant sind, sondern bietet auch Verbesserungen für Administratoren und IT-Profis. Diese betreffen in erster Linie die Steuerung von Aktualisierungen. Aber auch neue Tools wie mbr2gpt.exe, mit dessen Hilfe eine MBR-Partition in eine GPT-Variante umgewandelt werden kann und so den Umstieg von PCs von BIOS auf EFI erleichtert, gehören dazu. Auch Verbesserungen hinsichtlich der Anbindung an MDM-Lösungen sind Teil der neuen Windows-10-Version.

Verbesserte Steuerung von Aktualisierungen

Mit dem Creators Update führt Microsoft seine Strategie fort, die Steuerung von Windows-10-Updates effizienter und flexibler für Administratoren zu gestalten. Über die „Windows Update for Business“-Funktion können Administratoren zum Beispiel flexibel steuern, wann Windows-10-Rechner sogenannte „Feature Updates“ und „Quality Updates“ installieren sollen. Dazu kommt die Unterstützung der neuen Express-Updates für System Center Configuration Manager. Das ermöglicht das bessere Verteilen großer Updates in kleineren Paketen. Natürlich ermöglicht auch Windows 10 Version 1703 weiterhin die Anbindung an Windows Server Update Services, und das Creators Update lässt sich auch mit WSUS verteilen. Daran wird sich auch in Zukunft nichts ändern. Die neuen Windows Update for Business-Funktionen ergänzen WSUS, beziehungsweise erleichtern die Aktualisierung von Windows, wenn kein WSUS zur Verfügung steht. WSUS ist aber alles andere als abgekündigt und weiterhin das zentrale Medium für die Verteilung von Updates für Windows und andere Microsoft-Produkte.

Installation des Creators Updates auf Firmenrechnern zurückstellen

Wer die Installation von Windows 10 Version 1703 (Creators Update) bis zu vier Monate zurückstellen will, kann auf Rechnern mit Windows 10 Pro oder Enterprise die Option „Featureupdates zurückstellen“ im Bereich „Update und Sicherheit\Erweiterte Optionen“ in der Einstellungs-App setzen. Diese Funktion steht also nur für Unternehmen zur Verfügung, oder für Bildungseinrichtungen, die auf Windows 10 Education setzen.

Anwender mit Windows 10 Pro oder Enterprise/Education können vor der Aktualisierung in den Gruppenrichtlinien Einstellungen ändern, um die Internetleitung beim Herunterladen von Updates etwas zu entlasten. Die wichtigsten Einstellungen für Windows 10-Updates sind in den Richtlinien (gpedit.msc) über Computereinstellungen\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung zu finden. Hier wird festgelegt, wie sich das Betriebssystem beim Herunterladen von Updates verhalten soll. Zukünftig sollen solche Maßnahmen aber nicht mehr notwendig sein. Ob sich das bewahrheitet, zeigen die nächsten Updates für Windows 10.

Bei Computereinstellungen\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung\Downloadmodus lässt sich festlegen, ob und wie der neue Verteilungsmodus für Windows-Updates verwendet werden soll. Durch Aktivieren der Option „Umgehen“, wird der neue Modus übergangen und weiterhin die BITS-Technologie verwendet, so wie bei Windows 7. Das behebt auch Download-Probleme bei Windows 10 ohne den Einsatz von WSUS. Windows-Updates können in Windows 10 eine Internetverbindung komplett lahmlegen. Durch Aktivieren der Option „Umgehen“ bei „Downloadmodus“ lässt sich das Problem beheben. Soll die neue Technologie zum Herunterladen von Windows 10 aber verwendet werden, sollten die Werte bei „Maximale Downloadbandbreite“, „Max. Uploadbandbreite“ und „Minimaler Hintergrund-QoS-Wert“ überprüft und angepasst werden.

Mehr Flexibilität bei der Steuerung von Updates

Im Creators Update lassen sich Updates vor der Installation bis zu 35 Tage blockieren. Dazu gibt es die neue Einstellung bei Update und Sicherheit\Erweiterte Einstellungen. Durch Aktivieren der Option „Updates aussetzen“ blockiert Windows 10 die Installation von Updates. Allerdings werden Sicherheitsupdates und Definitionsdateien von Windows Defender weiter installiert, das Blockieren gilt nur für neue Features und unwichtige Aktualisierungen. Diese Option steht generell in allen Editionen von Windows 10 zur Verfügung.

Windows Universal Update Platform: Udpates werden kleiner

In Windows 10 Version 1703 integriert Microsoft auch eine neue Installationsvariante in Bezug auf Updates. Mit Windows Universal Update Platform (WUUP) sollen Aktualisierungen in Zukunft wesentlich kleiner werden. Das soll die Internetleitungen entlasten. Aktuell sind Updates, wie das Creators Update selbst, oft mehrere Gigabyte groß, da die Installation im Grunde einer Neuinstallation entspricht. Das soll sich ab Windows 10 Version 1703 ändern. Die Updates, auch Feature-Updates, sollen ab jetzt in kleinen Paketen verteilt werden. Bereits Redstone 3 soll von dieser neuen Technologie profitieren.

In den Einstellungen von Windows 10 lässt sich darüber hinaus festlegen, dass bestimmte Verbindungen als getaktete Verbindungen gezählt werden. Das verhindert die Installation größerer Update-Pakete über diese Verbindung und lässt weitere Einstellungen zu. Die Konfiguration dazu ist über „Netzwerk und Internet“ zu finden. Hier sind Einstellungen für „Ethernet“ und „WLAN“ verfügbar. Durch einen Klick auf die jeweilige Verbindung lassen sich die entsprechenden Einstellungen setzen. Damit alle Optionen auch zentral steuerbar sind, sollten auch die neuen ADMX-Dateien für Windows 10 Version 1703 im Netzwerk integriert werden. Dadurch lassen sich wichtige Einstellungen der neuen Version auch über Gruppenrichtlinien steuern. Dazu ist nicht unbedingt Windows Server 2016 notwendig, da die ADMX-Dateien auch kompatibel mit Windows Server 2008/2008 R2 und Windows Server 2012/2012 R2 sind.

Adressleiste im Registry-Editor und fehlende Systemsteuerung

Viele Anwender vermissen nach der Installation des Creators Updates und neuer den Link zur Systemsteuerung in Windows 10. Um die Systemsteuerung zu öffnen, muss in der neuen Version „control.exe“ im Suchfeld des Startmenüs eingegeben werden. Der Befehl öffnet die Systemsteuerung so wie bisher. Allerdings plant Microsoft mit Redstone 3 die Systemsteuerung komplett abzuschaffen.

Ebenfalls für IT-Profis interessant ist eine Neuerung im Registry-Editor. Dieser verfügt jetzt über eine Adressleiste, wie der Windows-Explorer. Durch Eingabe von zum Beispiel HKLM, kann direkt zu „HKEY_LOCAL_Machine“ gesprungen werden. Das erleichtert das Springen und Suchen von Registry-Einstellungen im Editor erheblich.

Windows 10 mit dem kostenlosen Windows Configuration Designer bereitstellen

Mit dem kostenlosen „Windows Configuration Designer“, dem Nachfolger des „Windows Imaging and Configuration Designer (ICD)“ lassen sich Bereitstellungspakete für Windows 10 erstellen und im Netzwerk verteilen. Das Tool steht über den App-Store in Windows 10 zur Verfügung und lässt sich kostenlos installieren. Natürlich steht auch die neue Version weiterhin über das „Windows 10 Assessment and Deployment Tookit (ADK) for Windows 10 Version 1703“ zur Verfügung. Die Tools aus dem Windows 10 ADK sind wichtige Hilfsmittel, um Windows 10 automatisiert im Netzwerk bereitzustellen, auch über System Center Configuration Manager.

Mit der neuen Version können nicht nur Windows 10-Bereitstellungen als Paket erstellt werden, sondern Administratoren können auch vorinstallierte Apps aus Windows 10 entfernen. Allerdings lassen sich mit der neuen Version keine Windows 10-Images mehr bearbeiten. Diese Funktion wurde aus dem Tool entfernt.

Mit dem Windows Configuration Designer können Windows 10-Rechner auch an Azure Active Directory angebunden werden. Die Installation der Pakete erfolgt entweder über die grafische Oberfläche, mit System Center Configuration Manager, oder durch die PowerShell. Microsoft zeigt in der Technet die verschiedenen Möglichkeiten des Windows Configuration Designer.

Master Boot Record (MBR) zu GUID Partition Table (GPT) konvertieren

Mit Windows 10 Version 1703 stellt Microsoft auch das neue Tool „MBR2GPT.EXE“ zur Verfügung. Damit können in der Befehlszeile oder per Skript die Partitionierungsstile von MBR zu GPT angepasst werden. Das ist vor allem dann nützlich, wenn PCs von BIOS auf UEFI umgestellt werden. Microsoft zeigt die Möglichkeiten in folgendem Video.

Ein Beispiel für die Umwandlung ist:

mbr2gpt /validate /disk:0

Mobile Device Management für Windows 10

Unternehmen, die Notebooks, Smartphones oder Tablets im Einsatz haben, erhalten mit Windows dem Creators Update weitere Neuerungen zur Steuerung der externen Geräte. Für eine bessere Anbindung an MDM-Systeme bietet Windows 10 zahlreiche Funktionen für die Steuerung der Geräte über zentrale Richtlinien. Alle neuen Richtlinien zeigt Microsoft im MSDN.

Mit dem MDM Migration Analysis Tool können Administratoren analysieren, welche Einstellungen aus den Gruppenrichtlinien in eine MDM-Lösung übernommen werden können. In diesem Zusammenhang ist auch Interessant zu wissen, dass durch diese Funktionen auch Microsoft Office über das Office Deployment Tool bereitgestellt werden kann. Die Vorgehensweise dazu zeigt Microsoft ebenfalls im MSDN. Die Automatisierung von Office beschreibt Microsoft auf der Support-Seite von Microsoft Office.

Durch die neuen Technologien lassen sich mit MDM auch BitLocker konfigurieren, die Netzwerkeinstellungen, das Entfernen von Software, und die Verwaltung von virtuellen Anwendungen für Rechner mit Windows 10 Enterprise und Windows 10 Education. Natürlich lassen sich auch Microsoft Edge und Cortana zentral steuern.

Windows Defender Advanced Threat Protection – Virenschutz für Unternehmen

Windows Defender ist in Windows 10 stark ausgebaut worden. Mittlerweile ist die Funktion als Windows Server Antimalware auch in Windows Server 2016 integriert worden. Mit Windows 10 Version 1703 baut Microsoft auch Windows Defender Advanced Threat Protection aus. Dabei handelt es sich um einen Dienst, mit dem Unternehmen Angriffe auf das eigene Netzwerk frühzeitig verhindern können.

Windows Defender Advanced Threat Protection benötigt Rechner mit Windows 10 Pro, Enterprise oder Education im Netzwerk. Bei dem Dienst handelt es sich nicht nur um einen einfachen Virenschutz, sondern der Dienst analysiert das Verhalten von Windows 10-Rechnern und den installierten Anwendungen. Die Verwaltung erfolgt über ein webbasiertes Dashboard, in dem die Daten der einzelnen angebundenen Firmenrechner angezeigt werden.

Windows Defender Advanced Threat Protection arbeitet mit Windows Defender auf Windows 10-Rechnenr zusammen, aber auch mit anderen Virenscanner, die den Dienst unterstützen. Auf den Windows 10-Rechnern läuft dazu auch ein Dienst, der den Rechner auf Basis der Regeln aus Windows Defender Advanced Threat Protection untersucht, und Daten zum Clouddienst sendet. Microsoft zeigt die Vorgehensweise in folgendem Video:

Der Dienst erkennt nicht nur bekannte Virenangriffe, sondern auch verdächtige Aktionen im Netzwerk, und dadurch auch neue Gefahren. Arbeiten Unternehmen mit Microsoft Azure, werden auch hier die Dienste geschützt und überwacht. Mit Windows 10 Version 1703 hat Microsoft die Sensoren deutlich erweitert, die Windows 10 auf Angriffe überwachen. Auch Ransomware wird deutlich schneller erkannt, als bisher.

Neue Gruppenrichtlinien für Windows 10 Creators Update

Administratoren finden auf Windows 10-Rechner auch die neuen Gruppenrichtlinien-Vorlagen für Windows 10 Version 1703. Diese befinden sich, wie bei Servern mit Windows Server 2016, im Verzeichnis „C:\Windows\PolicyDefinitions“. Microsoft stellt die neuen ADMX-Dateien aber auch zum Download zur Verfügung. Die ADMX-Dateien ermöglichen die Steuerung aller neuen Einstellungen von Windows 10 Version 1703, aber auch die Einstellungen älterer Windows 10-Versionen. Einbinden lassen sich die ADMX-Dateien auf Rechnern mit Windows Server 2008/2008 R2/2012/2012 R2 und natürlich Windows Server 2016. Wie immer bei ADMX-Dateien müssen diese auf die Domänencontroller kopiert werden. Die Vorgehensweise entspricht der Einbindung anderer ADMX-Dateien.

Fazit

Windows 10 Version 1703 bietet weitaus mehr als neue Optionen für die grafische Oberfläche. Vor allem die verbesserten und erweiterten Optionen zur Steuerung von Windows-Updates und die Möglichkeiten zur Anbindung an MDM-Lösungen bieten Unternehmen zahlreiche Vorteile. Generell sollten sich Administratoren mit dem Thema umfassend befassen und die Verteilung von Windows 10 Creators Update im Unternehmen planen. Allerdings sollte hier zuvor darauf geachtet werden, dass die Bereitstellung über WSUS erfolgt und die entsprechenden Gruppenrichtlinieneinstellungen korrekt gesetzt sind.