Die neuen administrativen Vorlagen für Windows 11 24H2 laden Sie unter [1] herunter und kopieren sie auf den Domänencontrollern (DC) nach "C:\Win-dows\PolicyDefinitions". Nutzen Sie den gemeinsamen Ordner für Gruppenrichtlinien im Active Directory (AD), dann ist dies Ihr Speicherort. Wichtig ist es zudem, die ADML-Dateien in den jeweiligen Sprachordner zu kopieren. Die Liste der zur Verfügung gestellten Richtlinien liefert Microsoft in der Excel-Tabelle "Group Policy Settings Reference Spreadsheet" [2].

Im Security Compliance Toolkit (SCT) [3] finden Sie Vorlagen, mit denen sich Windows 11 24H2 absichern lässt, konkret mit der Datei "Windows 11 v24H2 Security Baseline.zip". Die Details zeigt Ihnen die im Download enthaltene Tabelle "Windows 11 23H2 to 24H2 Delta.xlsx". Leider sind hier die Neuerungen nicht eindeutig gekennzeichnet, sodass es durchaus sein kann, dass einzelne Richtlinieneinstellungen nicht dokumentiert oder Teil älterer Windows-Versionen sind.

Generell liefern die 24H2-GPOs etwa 70 bis 90 neue Funktionen. Die Erste, die wir betrachten wollen, ist "Installationsablaufverfolgung deaktivieren", die im Pfad "Administrative Vorlagen / Windows-Komponenten / App- und Geräte-Inventar" aufzufinden ist. Diese Richtlinie erlaubt es Administratoren, das Installations-Tracking zu deaktivieren – vor allem für Apps, die Anwender aus dem Microsoft Store installieren. Im gleichen Bereich angesiedelt ist "API-Stichprobenentnahme deaktivieren", worüber Sie die API-Abtastung abschalten, was die Leistungsfähigkeit von Systemen steigert und potenzielle Datenschutzrisiken reduziert. Mit "Anwendungsfußabdruck deaktivieren" unterbinden Sie das Sammeln und Verarbeiten von Daten zur Anwendungsnutzung.

Eine weitere Ergänzung betrifft die Richtlinieneinstellung "Kompatibilitätsüberprüfung für gesicherte Anwendungen deaktivieren". Das Betriebssystem sucht dadurch nach möglichen Konflikten mit dem aktuellen Windows-Build und warnt bei ungeeigneten Abhängigkeiten oder veralteten APIs. Das Abschalten der Prüfung spart Zeit bei Updates und Bereitstellungen, erhöht jedoch das Risiko unerkannter Kompatibilitätsprobleme. Sie profitieren von einer schnelleren Implementierung neuer Pakete, sollten allerdings genau prüfen, ob die Vorteile mögliche Risiken überwiegen. Ein fehlender Warnmechanismus erschwert die Ursachenforschung bei unklaren Fehlermeldungen und führt unter Umständen zu Ausfällen, wenn eine Anwendung nur eingeschränkt lauffähig ist.

Unter "Windows-Komponenten / Bereitstellung von App-Paketen" hat Microsoft die Option "Standardmäßige Installation von nicht signierten Paketen pro Benutzer nicht zulassen" eingeführt. Dieses Verbot verhindert, dass Anwender Apps aus nicht vertrauenswürdigen Quellen eigenständig installieren. Schadsoftware nutzt häufig unsignierte Pakete, um unbemerkt in Systeme einzudringen. Eine zentrale Signaturprüfung reduziert dieses Risiko und fördert eine kontrollierte Softwareverteilung über definierte Freigabeprozesse.

Das GPO schränkt zugleich experimentelle Szenarien ein, die nicht signierte Pakete in einzelnen Benutzerkonten testen. Wer eine angepasste oder selbst erstellte Software nur vorübergehend einsetzen möchte, benötigt stattdessen eine signierte Variante oder sollte alternative Testumgebungen aufsetzen.

Der Windows Protected Print Mode (WPP) [4] ist ein neues Druckprotokoll von Microsoft, das die Sicherheit und Einfachheit des Druckens verbessern soll. Die Einführung dieses Protokolls ist eine direkte Reaktion auf Schwachstellen, die der PrintNightmare-Vorfall vor einigen Jahren offenlegte. Dabei nutzten Angreifer Druckertreiber von Drittanbietern, um Server zu kompromittieren. Mit WPP möchte Microsoft solche Risiken minimieren und die Druckverwaltung grundlegend verändern.

WPP ersetzt herstellerspezifische Druckertreiber durch eine einheitliche, von Microsoft bereitgestellte Druckumgebung. Das Protokoll eliminiert die Abhängigkeit von herkömmlichen Treibern und überträgt die Verantwortung für die Druckverwaltung an Windows und durch Microsoft-zertifizierte Treiber. Microsoft rollt WPP in Phasen aus: Aktuell haben Sie die Möglichkeit, das Protokoll manuell zu aktivieren. Microsoft plant, WPP bis 2027 als Standardprotokoll für alle Druckaufträge in Windows festzulegen. Win-dows 11 24H2 führt eine erste Einstellung ein, die WPP steuert. Über den Pfad "Administrative Vorlagen / Drucker" steht dazu "Konfigurieren des geschützten Windows-Drucks" zur Verfügung. Damit aktivieren Sie WPP für die jeweiligen Rechner. Standardmäßig ist WPP ausgeschaltet, sodass keine Einschränkungen bei der Treiberinstallation oder der Druckfunktion bestehen. Wenn Sie die Richtlinie nicht konfigurieren oder explizit abschalten, läuft das Drucken weiterhin uneingeschränkt.

Das Update 24H2 kommt zudem mit neuen Konfigurationsoptionen für das SMB-Protokoll über Gruppenrichtlinien daher. Dies ergibt vor allem im Zusammenspiel mit Windows Server 2025 Sinn, da die GPOs auch dessen SMB-Neuerungen berücksichtigen. Unter "Administrative Vorlagen / Netzwerk / LanMan-Server" und "LanMan-Arbeitsstation" lassen sich Ereignisse definieren, die festhalten, wenn Clients oder Server keine SMB-Signierung oder Verschlüsselung unterstützen. Zu den selbsterklärenden Überwachungsrichtlinien gehören "Der Über- wachungsserver unterstützt keine Verschlüsselung", "Der Überwachungsserver unterstützt keine Signierung" und "Un- sichere Gastanmeldungen überwachen".

In Sachen Sicherheit stehen "NTLM blockieren (LM NTLM NTLMv2)" und "NTLM-Serverausnahmeliste blockieren" zur Verfügung, um das veraltete Authentifizierungsverfahren NTLM im Netzwerk zu blockieren. Die Funktion "Begrenzer für Authentifizierungsrate aktivieren" in Kombination mit "Verzögerung der Authentifizierungsratenbegrenzung festlegen (Millisekunden)" begrenzt die Häufigkeit von Authentifizierungsanforderungen, um Angriffe zu minimieren. Bei "Administrative Vorlagen / Netzwerk" stehen darüber hinaus über "DNS-Client" noch neue Richtlinieneinstellungen bezüglich der DNS-Konfiguration zur Verfügung. Das sind "Multicast-DNS-Protokoll (mDNS) konfigurieren" und "IPv6-DNS-Standardserver deaktivieren". Diese Optionen unterstützen auch ältere Betriebssysteme.

SMB-over-QUIC ist in Windows Server 2025 bei allen Editionen dabei. Durch diese Technologie verbinden sich Client und Server mit Server Quick UDP Internet Connections (QUIC) für die SMB-Kommunikation. Um SMB-over-QUIC auf dem Client zu nutzen, ist Windows 11 Voraussetzung – idealerweise in Version 24H2, da diese Version alle Funktionen aus Windows Server 2025 beherrscht. Dadurch lassen sich SMB-Zugriffe über die Cloud TLS 1.3 verschlüsselt und schnell durchführen. Eine der Schlüsselfunktionen von SMB-over-QUIC ist die Flexibilität in der Port-Auswahl, wodurch Administratoren nicht länger auf den standardmäßig festgelegten UDP/443-Port beschränkt sind, sondern diesen anpassen können. Darüber hinaus gilt SMB-over-QUIC als "SMB-VPN" für Remotearbeiter, mobile Gerätenutzer und Organisationen mit hohen Sicherheitsanforderungen.

Wichtige Einstellungen dazu finden Sie über "Enable remote mailslots", "SMB over QUIC wurde aktiviert" und "Alternative Ports" aktivieren" sowie "Alternative Portzuordnungen". Mit den Richtlinien "Maximale Version von SMB vorgeben" und "Mindestversion von SMB vorgeben" lassen sich auf Server und Clients spezifische SMB-Protokollversionen erzwingen, um Kompatibilität und Sicherheit zu gewährleisten. Die Richtlinie "Verschlüsselung erforderlich" sorgt dafür, dass SMB-Verbindungen ausschließlich verschlüsselt stattfinden.

Bei Passkeys handelt es sich um einen Standard der FIDO Alliance für die passwortlose Anmeldung an Websites und Applikationen mithilfe eines privaten und öffentlichen Schlüsselpaares. Win-dows 11 bietet eine Infrastruktur für Passkeys und mit 24H2 hat Microsoft die Technologie weiter verbessert. So lassen nunmehr auch Passkeys von Drittanbietern nutzen. Auch die Oberfläche zur Einrichtung hat Microsoft in diesem Zusammenhang überarbeitet und ermöglicht die Speicherung von Passkeys an anderen Stellen, wie zum Beispiel in Apple iCloud Keychain.

Die Anbindung an Passwortmanager ist ebenfalls über APIs möglich sowie die Synchronisierung der Daten mit einem Microsoft-Konto, um mehrere Geräte anzubinden. So ist Windows 11 24H2 in der Lage, Passkeys zwischen mehreren Devices zu synchronisieren. Dazu müssen Sie sich an den verschiedenen Geräten mit dem gleichen Konto anmelden. Richten Sie Passkey mit Windows Hello ein, versucht Windows bei der Anmeldung an anderen PCs, ebenfalls Windows Hello mit den entsprechenden Einstellungen zu nutzen. Sie steuern Passkeys mit Gruppenrichtlinien und über Intune beim Einrichten von Windows Hello for Business. Letzteres erweitert Windows Hello um spezifische Sicherheits- und Managementoptionen und ermöglicht eine nahtlose und kennwortlose Authentifizierung an Windows-Arbeitsstationen, Unternehmensressourcen sowie Clouddiensten.

Vor dem Einrichten von Windows Hello for Business müssen Sie im jeweiligen Azure-Abonnement über das Entra Admin Center Passkeys einschalten. Im Intune Admin Center unter "Geräte / Registrierung / Windows Hello for Busi- ness" aktivieren Sie die Funktion und legen unter "Endpunktsicherheit / Verwalten / Kontoschutz" die zugehörigen Policies an. Über GPOs haben Sie via "Computerkonfiguration / Windows-Komponenten / Windows Hello for Business" Zugriff auf die Steuerung. Neu dazugekommen ist an dieser Stelle "Zwischenspeichern der Windows Hello for Business Anmeldeinformationen nach der Anmeldung deaktivieren".

Für Windows-Updates hat Microsoft zunächst die verschiedenen Richtlinien im Pfad "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Update" anders aufgeteilt. Teilweise sind bereits in den Vorgängerversionen verfügbare Optionen jetzt bei "Legacy-Richtlinien" zu finden. Weitere steuern das Updateverhalten, das Sie über "Automatische Updates konfigurieren" im Ordner "Endbenutzeroberfläche verwalten" festlegen. Auch dieser Ordner ist neu, aber nicht alle Einstellungen darin.

Bei "Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Update" ist "Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren" im Ordner "Endbenutzeroberfläche verwalten" zu finden. An dieser Stelle hat Microsoft mit Windows 11 24H2 zwei neue Optionen integriert. Diese lassen sich aber auch mit älteren Windows-Versionen nutzen. Teilweise sind die Richtlinien nur in englischer Sprache verfügbar ("Specify deadline for automatic updates and restarts for feature update" und "Specify deadline for automatic updates and restarts for quality update"). Diese sind auf Basis einer vorhandenen Richtlinie entstanden.

Seit Windows 10 1903 gibt es "Stichtage für automatische Updates und Neustarts angeben", worüber Sie festlegen, ab wann Updates automatisch installiert und PCs neu starten sollen. Windows lädt die Patches weiterhin nach ihrer Verfügbarkeit herunter und versucht anschließend, den Rechner außerhalb der Nutzungszeit ("Active Hours") neu zu starten. Sie können damit eine Frist von maximal 30 Tagen setzen, innerhalb derer Updates installiert werden müssen. In Windows 11 24H2 hat Microsoft diese Richtlinie in separate Einstellungen für Feature- und Qualitätsupdates aufgeteilt und sie in der Dokumentation als neu gekennzeichnet.

Mithilfe von "Keine Treiber in Windows-Updates einschließen" bei "Von Windows-Update angebotene Updates" verhindern Sie, dass Windows Treiber über Windows-Updates installiert. WSUS konnte bisher ebenfalls Treiber als Winows-Update verteilen, diese Funktion wird im April 2025 abgeschafft.

Da Microsoft Defender in jeder Version von Windows 11 Erweiterungen erhält, gibt es auch in Windows 11 24H2 zahlreiche neue Richtlinieneinstellungen, die sich im Bereich "Administrative Vorlagen / Windows-Komponenten / Microsoft Defender Antivirus" befinden. Nutzen Sie Defender als Malwarescanner, findet die zentrale Überwachung und Steuerung meistens per Intune statt. Dessen Richtlinien lassen sich aber per GPO oder in Kombination beider Verfahren umsetzen.

Aufgrund der großen Anzahl neuer Optionen sollten Sie die verschiedenen Einstellungen und Ordner überprüfen und gegebenenfalls setzen. Neu sind zum Beispiel dieses Setting:

- Sichtbarkeit der Ausschlüsse für lokale Benutzer

- Entra-ID-Aktualisierungsrate

- Datenduplizierungslimit (in MByte)

- Richtlinienaktualisierungsrate

- Aufbewahrungsdauer für Dateien im lokalen Gerätesteuerungscache

- Supportlink für Gerätesteuerungsbenachrichtigungen einrichten

- Gerätesteuerung für bestimmte Gerätetypen ("Turn on device control for specific device types")

- EDR im Sperrmodus

- Intel TDT-Integrationsstufe ("Intel TDT Integration Level")

- Anwenden einer Liste von Ausschlüssen auf bestimmte Regeln zur Verringerung der Angriffsfläche

- Konfigurieren der Aggressivität des Brute-Force-Schutzes

- Blockierungszeit für Brute-Force-Schutz definieren

Wenig überraschend bringt Windows 11 in Version 24H2 zahlreiche GPO-Neuerungen mit sich. Die Mehrheit davon arbeitet im Zusammenspiel mit Windows Server 2025. Die neuen Richtlinieneinstellungen lassen sich entweder mit den Baselines umsetzen oder manuell als GPO definieren. Aufpassen sollten Sie jedoch hinsichtlich der Dokumentation, in der es Microsoft an dieser Stelle teilweise an Vollständigkeit mangeln lässt. Prüfen und testen Sie also alle neuen Optionen, bevor Sie damit in Ihre Windows-Produktivumgebung gehen. Achten Sie auch auf mögliche Versionsabhängigkeiten, da einige Richtlinien nur unter bestimmten Build-Ständen vollständig funktionieren.