Monthly Archives: Juli 2019

You are browsing the site archives by month.

Windows 10 Update Version 1903: Handeln Sie schnell, um dieses große Upgrade zu verzögern.

Jedes Mal, wenn Microsoft ein größeres Upgrade auf Windows 10 herausbringt, haben Sie die Möglichkeit, einige Monate zu warten, bevor Sie es auf PCs mit Windows 10 Pro oder Enterprise installieren. Aber man muss schnell handeln.

Irgendwann in diesem Monat wird Microsoft das nächste große Feature-Update abschließen. Wenn das Unternehmen seiner langjährigen Praxis folgt, werden Windows Update-Server im April mit der Bereitstellung des Updates für Windows 10 Version 1903 für aktuelle Installationen von Update Windows 10 Dauer beginnen, die seit mindestens 30 Tagen laufen.

Dies ist das neueste Feature-Update in Microsofts neuer, zweimal jährlich stattfindender Release-Kadenz, und Sie sollten es mit der Skepsis betrachten, die jede erste öffentliche Veröffentlichung einer neuen Windows-Version verdient. In einem Geschäftsumfeld bedeutet dies in der Regel, das Upgrade um einige Monate zu verzögern, während Sie das neue Release auf einer kleineren Anzahl von Testgeräten einsetzen.

Dieser Aufschiebungsprozess ist nur auf PCs verfügbar, auf denen Geschäfts- und Bildungseinrichtungen wie Windows 10 Pro, Windows 10 Enterprise und Windows 10 Education ausgeführt werden. Windows 10 Home bietet keine Stundungsoptionen. (Auf einem PC mit Windows 10 Home können Sie möglicherweise kostenlos aktualisieren. Weitere Informationen finden Sie unter „Wie Sie kostenlos von Windows 10 Home auf Pro aktualisieren“.)

Im Laufe mehrerer Feature-Updates seit dem Erscheinen von Windows 10 im Jahr 2015 hat Microsoft an der Schnittstelle zum Aufschieben von Feature-Updates herumgebastelt. Die hier beschriebenen Schritte gehen davon aus, dass Sie das Update Oktober 2018, Version 1809, bereits installiert haben.

Und ein wichtiger Hinweis: Diese Verfahren sind nicht verfügbar, wenn Sie ein Windows Insider Preview Build ausführen. Auf einem Computer, der Teil des Windows Insider-Programms ist, können Sie Updates für sieben Tage unterbrechen, aber da neue Builds (vollständige Feature-Updates) normalerweise wöchentlich an den Fast Ring geliefert werden, sind die normalen Verzögerungsoptionen nicht relevant.

Die gute Nachricht ist, dass Sie sich nicht mehr mit den Gruppenrichtlinieneinstellungen herumschlagen müssen, um Updates auf einem eigenständigen PC zu verschieben. Stattdessen können Sie zwischen drei Optionen wählen, die alle in der Anwendung Windows 10 Einstellungen verfügbar sind.

Gehen Sie zu Einstellungen > Update & Sicherheit > Windows Update, und klicken Sie dann auf Erweiterte Optionen, um alle drei Einstellungen anzuzeigen, die ich im Screenshot auf dieser Seite beschrieben habe.

Mit Option 1 können Sie einen Servicekanal (früher als Niederlassung bezeichnet) auswählen. Die Standardeinstellung ist Semi-Annual Channel (Targeted), was dem entspricht, was früher als Current Branch bezeichnet wurde.

Sie können diese Einstellung auf Halbjährlicher Kanal ändern (der neue Name für das, was früher als Aktuelle Branche für Unternehmen bekannt war, wie hier gezeigt. Das verschiebt Feature-Updates, bis Microsoft sie für „ready for business deployment“ erklärt. Für die Version 1803 geschah diese Erklärung untypisch schnell, nur zwei Monate nach der ersten Freigabe. Im Gegensatz dazu wurde die Version 1809 kurz nach der Veröffentlichung wegen mehrerer Qualitätsprobleme von Microsofts Update-Servern abgezogen; die Wahl dieser Option ersparte den Geräten, dass sie von diesen ersten Fehlern betroffen waren.

Option 2 ermöglicht es Ihnen, zusätzliche Zeit nach der offiziellen Freigabe für den von Ihnen gewählten Kanal festzulegen. Sie können das Upgrade um bis zu weitere 365 Tage ab dem ursprünglichen Veröffentlichungsdatum verzögern; in dem hier gezeigten Beispiel habe ich eine Verzögerung von 90 Tagen gewählt, was bedeutet, dass das Feature-Update 1903 diesem PC erst ab Juli 2019 angeboten wird.

Auf jedem PC, auf dem Sie die volle 365-Tage-Verlängerung wählen und sich für den halbjährlichen Kanal entschieden haben, bleiben Ihnen alle Feature-Updates bis irgendwann weit nach Anfang 2020 erspart. (Auch hier ist diese Option nur auf PCs mit Pro-, Enterprise- und Education-Versionen von Windows 10 verfügbar.)

Option 3 arbeitet unabhängig von den Einstellungen für die Feature-Updates und ermöglicht es Ihnen, die monatlichen kumulativen Sicherheitsupdates und alle zusätzlichen Out-of-Band-Updates um bis zu 30 Tage zu verschieben. In diesem Beispiel habe ich mich dafür entschieden, diese Updates um 7 Tage zu verschieben, um Zeit für Tests zu haben.

Um die entsprechenden Änderungen in einem Unternehmensnetzwerk mit Hilfe der Gruppenrichtlinie vorzunehmen, folgen Sie einem etwas anderen Satz von Schritten.

Navigieren Sie mit dem Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update > Windows Update > Windows Update for Business. Öffnen Sie die Richtlinie Select when Preview Builds and Feature Updates are received, stellen Sie sie auf Enabled und wählen Sie dann mit den Steuerelementen Ihren bevorzugten Zweig. Die Optionen hier sind identisch mit denen in Einstellungen, mit einem Zusatz: Sie können auch festlegen, dass Sie Vorschau-Builds oder Feature-Updates ab einem bestimmten Datum anhalten möchten. Die Pause bleibt 35 Tage lang gültig, es sei denn, Sie kehren zur Seite mit den Einstellungen für Gruppenrichtlinien zurück und löschen das Startdatum manuell.

Stellen Sie einfach sicher, dass Sie eine Kalendererinnerung mindestens ein bis zwei Wochen vor dem Ablaufdatum einstellen, da Sie keine Warnung erhalten, wenn die Uhr abgelaufen ist. Sie werden einfach das Update zur Installation angeboten bekommen, ohne weitere Optionen zum Verzögern oder Verschieben.

Windows 10 Expertenhandbuch: Alles, was Sie über BitLocker wissen müssen.

Die Verschlüsselung aller Daten auf einem Windows 10 PC ist eine wichtige Sicherheitsmaßnahme. Jede Edition von Windows 10 enthält starke Verschlüsselungsoptionen, wobei die Business-Versionen über die besten Verwaltungstools verfügen. Hier ist eine praktische Anleitung.

Wenn Ihr PC verloren geht oder gestohlen wird, würden Sie wahrscheinlich auf Kosten des Ersatzes erschaudern. Aber das ist nichts im Vergleich zu dem, was Sie verlieren würden, wenn jemand ungehinderten Zugriff auf die Daten auf diesem Gerät hätte. Selbst wenn sie sich nicht mit Ihrem Windows-Benutzerkonto anmelden können, kann ein Dieb von einem Wechseldatenträger booten und ungestört den Inhalt des Systemlaufwerks durchsuchen.

Der effektivste Weg, dieses Albtraum-Szenario zu stoppen, ist die Verschlüsselung des gesamten Geräts, so dass sein Inhalt nur für Sie oder jemanden mit dem Wiederherstellungsschlüssel verfügbar ist.

Alle Editionen von Windows 10 seit der Version 1511 (veröffentlicht im November 2015) enthalten XTS-AES 128-Bit-Geräteverschlüsselungsoptionen, die robust genug sind, um selbst vor den bestimmtesten Angriffen zu schützen. Mit Hilfe von Verwaltungstools können Sie die Verschlüsselungsstärke auf XTS-AES 256 erhöhen.

Auf modernen Geräten führt der Verschlüsselungscode auch Integritätsprüfungen vor dem Start des Systems durch, die Versuche erkennen, den Bootloader zu umgehen.

Windows 10 Home BitLocker ist der Markenname, den Microsoft für die Verschlüsselungstools verwendet, die in den Business-Versionen von Windows (Desktop und Server) verfügbar sind. Eine begrenzte, aber dennoch effektive Teilmenge der BitLocker-Geräteverschlüsselungsfunktionen ist auch in Windows 10 Home Editionen verfügbar. So stellen Sie sicher, dass Ihre Daten geschützt sind.

Wie funktioniert BitLocker unter Windows 10?

Auf allen Geräten, die für Windows 10 konzipiert sind (die Hardwareanforderungen finden Sie im folgenden Abschnitt), wird die Geräteverschlüsselung automatisch aktiviert. Windows Setup erstellt automatisch die erforderlichen Partitionen und initialisiert die Verschlüsselung auf dem Betriebssystemlaufwerk mit einem klaren Schlüssel. Um den Verschlüsselungsprozess abzuschließen, müssen Sie einen der folgenden Schritte durchführen:

Melden Sie sich mit einem Microsoft-Konto an, das über Administratorrechte auf dem Gerät verfügt. Diese Aktion entfernt den Löschschlüssel, lädt einen Wiederherstellungsschlüssel in das OneDrive-Konto des Benutzers hoch und verschlüsselt die Daten auf dem Systemlaufwerk. Beachten Sie, dass dieser Prozess automatisch abläuft und auf jeder Windows 10 Edition funktioniert.

Melden Sie sich bei der Verwendung eines Active Directory-Kontos in einer Windows-Domäne oder eines Azure Active Directory-Kontos an. Für jede Konfiguration ist eine Business-Version von Windows 10 (Pro, Enterprise oder Education) erforderlich, und der Wiederherstellungsschlüssel wird an einem Ort gespeichert, der für den Domänen- oder AAD-Administrator verfügbar ist.

Wenn Sie sich mit einem lokalen Konto auf einem Gerät mit einer Business-Version von Windows 10 anmelden, müssen Sie die BitLocker-Verwaltungstools verwenden, um die Verschlüsselung auf verfügbaren Laufwerken zu aktivieren.

Auf selbstverschlüsselnden Solid-State-Laufwerken, die Hardwareverschlüsselung unterstützen, wird Windows 10 die Arbeit der Verschlüsselung und Entschlüsselung von Daten auf die Hardware übertragen. Beachten Sie, dass eine Schwachstelle in diesem Feature, die erstmals im November 2018 veröffentlicht wurde, unter bestimmten Umständen Daten offenlegen kann. In diesen Fällen benötigen Sie ein Firmware-Upgrade für die SSD; bis dieses Upgrade verfügbar ist, können Sie mit den Anweisungen in dieser Microsoft-Sicherheitshinweise auf Softwareverschlüsselung umschalten: Anleitung zur Konfiguration von BitLocker zur Durchsetzung der Softwareverschlüsselung.

Beachten Sie, dass Windows 10 weiterhin die viel ältere Funktion Verschlüsseltes Dateisystem unterstützt. Dies ist ein datei- und ordnerbasiertes Verschlüsselungssystem, das mit Windows 2000 eingeführt wurde. Für praktisch jede moderne Hardware ist BitLocker die erste Wahl.

Hardware-Anforderungen

Das wichtigste Hardware-Feature, das zur Unterstützung der BitLocker Device Encryption benötigt wird, ist ein Trusted Platform Module Chip oder TPM. Das Gerät muss auch die Funktion Modern Standby (früher bekannt als InstantGo) unterstützen.

Nahezu alle Geräte, die ursprünglich für Windows 10 hergestellt wurden, erfüllen diese Anforderungen.

Verwalten von BitLocker

BitLocker ist in den meisten Fällen ein Set-it-and-forget-it-Feature. Nachdem Sie die Verschlüsselung für ein Laufwerk aktiviert haben, ist keine Wartung mehr erforderlich. Sie können jedoch die im Betriebssystem integrierten Tools verwenden, um eine Vielzahl von Verwaltungsaufgaben auszuführen.

Die einfachsten Tools sind in der grafischen Windows-Benutzeroberfläche verfügbar, jedoch nur, wenn Sie Windows 10 Pro oder Enterprise verwenden. Öffnen Sie den Datei-Explorer, klicken Sie mit der rechten Maustaste auf ein beliebiges Laufwerkssymbol und klicken Sie auf BitLocker verwalten. Sie gelangen auf eine Seite, auf der Sie BitLocker ein- oder ausschalten können; wenn BitLocker bereits für das Systemlaufwerk aktiviert ist, können Sie die Verschlüsselung vorübergehend einstellen oder Ihren Wiederherstellungsschlüssel von hier aus sichern. Sie können auch die Verschlüsselung auf Wechsellaufwerken und auf sekundären internen Laufwerken verwalten.

Auf einem System mit Windows 10 Home finden Sie unter Einstellungen > Update & Recovery > Geräteverschlüsselung eine Schaltfläche zum Ein- und Ausschalten. Eine Warnmeldung wird angezeigt, wenn die Geräteverschlüsselung nicht durch die Anmeldung bei einem Microsoft-Konto aktiviert wurde.

Für einen viel größeren Satz von Tools öffnen Sie eine Eingabeaufforderung und verwenden Sie eines der beiden integrierten BitLocker-Verwaltungstools manage-bde oder repair-bde mit einem der verfügbaren Schalter. Der einfachste und nützlichste davon ist manage-bde -status, der den Verschlüsselungsstatus aller verfügbaren Laufwerke anzeigt. Beachten Sie, dass dieser Befehl auf allen Editionen funktioniert, einschließlich Windows 10 Home.

Eine vollständige Liste der Schalter finden Sie unter manage-bde -? oder repair-bde -?.

Schließlich enthält Windows PowerShell einen vollständigen Satz von BitLocker-Cmdlets. Verwenden Sie Get-BitLockerVolume, um beispielsweise den Status aller festen und wechselbaren Laufwerke auf dem aktuellen System anzuzeigen. Eine vollständige Liste der verfügbaren BitLocker-Cmdlets finden Sie auf der PowerShell BitLocker-Dokumentationsseite.

Speichern und Verwenden eines Wiederherstellungsschlüssels

Unter normalen Umständen entsperren Sie Ihr Laufwerk automatisch, wenn Sie sich bei Windows 10 mit einem Konto anmelden, das für dieses Gerät autorisiert ist. Wenn Sie versuchen, auf das System auf andere Weise zuzugreifen, z. B. durch Booten von einem Windows 10 Setup-Laufwerk oder einem Linux-basierten USB-Boot-Laufwerk, werden Sie nach einem Wiederherstellungsschlüssel für den Zugriff auf das aktuelle Laufwerk gefragt. Möglicherweise wird auch eine Eingabeaufforderung für einen Wiederherstellungsschlüssel angezeigt, wenn ein Firmware-Update das System so verändert hat, dass das TPM es nicht erkennt.

Als Systemadministrator in einem Unternehmen können Sie mit einem Wiederherstellungsschlüssel (manuell oder mit Hilfe einer Verwaltungssoftware) auf Daten auf jedem Gerät zugreifen, das sich im Besitz Ihres Unternehmens befindet, auch wenn der Benutzer nicht mehr Teil des Unternehmens ist.

Der Wiederherstellungsschlüssel ist eine 48-stellige Zahl, die das verschlüsselte Laufwerk unter diesen Umständen entsperrt. Ohne diesen Schlüssel bleiben die Daten auf dem Laufwerk verschlüsselt. Wenn Ihr Ziel darin besteht, Windows zur Vorbereitung auf das Recycling eines Geräts neu zu installieren, können Sie die Eingabe des Schlüssels überspringen, und die alten Daten sind nach Abschluss der Installation völlig unlesbar.

Ihr Wiederherstellungsschlüssel wird automatisch in der Cloud gespeichert, wenn Sie die Geräteverschlüsselung mit einem Microsoft-Konto aktiviert haben. Um den Schlüssel zu finden, besuchen Sie https://onedrive.com/recoverykey und melden Sie sich mit dem zugehörigen Microsoft-Konto an. (Beachten Sie, dass diese Option auf einem Mobiltelefon funktioniert.) Erweitern Sie die Auflistung für jedes Gerät, um zusätzliche Details zu sehen und eine Option zum Löschen des gespeicherten Schlüssels.

Wenn Sie die BitLocker-Verschlüsselung aktiviert haben, indem Sie Ihr Windows 10-Gerät mit einem Azure AD-Konto verbinden, finden Sie den Wiederherstellungsschlüssel unter Ihrem Azure AD-Profil. Gehen Sie zu Einstellungen > Konten > Ihre Daten und klicken Sie auf Mein Konto verwalten. Wenn Sie ein Gerät verwenden, das nicht bei Azure AD registriert ist, besuchen Sie https://account.activedirectory.windowsazure.com/profile und melden Sie sich mit Ihren Azure AD-Anmeldeinformationen an.

Suchen Sie den Gerätenamen unter der Überschrift Devices & Activity und klicken Sie auf Get BitLocker Keys, um den Recovery Key für dieses Gerät anzuzeigen. Beachten Sie, dass Ihr Unternehmen diese Funktion zulassen muss, damit Ihnen die Informationen zur Verfügung stehen.

Schließlich können Sie bei Geschäftsausgaben von Windows 10 eine Kopie des Wiederherstellungsschlüssels drucken oder speichern und die Datei oder den Ausdruck (oder beides) an einem sicheren Ort speichern. Verwenden Sie die im Datei-Explorer verfügbaren Verwaltungswerkzeuge, um auf diese Optionen zuzugreifen. Verwenden Sie diese Option, wenn Sie die Geräteverschlüsselung mit einem Microsoft-Konto aktiviert haben und Sie es vorziehen, den Wiederherstellungsschlüssel nicht in OneDrive verfügbar zu haben.

BitLocker zum Mitnehmen

Auch Wechselspeichergeräte benötigen eine Verschlüsselung. Dazu gehören USB-Sticks ebenso wie MicroSD-Karten, die in einigen PCs verwendet werden können. Hier setzt BitLocker To Go an.

Um die BitLocker-Verschlüsselung für ein Wechselmedium einzuschalten, müssen Sie eine Business-Version von Windows 10 ausführen. Sie können dieses Gerät auf einem Gerät mit einer beliebigen Edition, einschließlich Windows 10 Home, entsperren.

Als Teil des Verschlüsselungsprozesses müssen Sie ein Passwort festlegen, das zum Entsperren des Laufwerks verwendet wird. Sie müssen auch den Wiederherstellungsschlüssel für das Laufwerk speichern. (Es wird nicht automatisch in einem Cloud-Konto gespeichert.)

Schließlich müssen Sie einen Verschlüsselungsmodus wählen. Verwenden Sie die Option Neuer Verschlüsselungsmodus (XTS-AES), wenn Sie das Gerät ausschließlich unter Windows 10 verwenden möchten. Wählen Sie Kompatibler Modus für ein Laufwerk, das Sie möglicherweise auf einem Gerät mit einer früheren Version von Windows öffnen möchten.

Wenn Sie dieses Gerät das nächste Mal in einen Windows-PC einlegen, werden Sie zur Eingabe des Passworts aufgefordert. Klicken Sie auf Weitere Optionen und aktivieren Sie das Kontrollkästchen, um das Gerät automatisch freizuschalten, wenn Sie einen einfachen Zugriff auf seine Daten auf einem vertrauenswürdigen Gerät wünschen, das Sie steuern.

Diese Option ist besonders nützlich, wenn Sie eine MicroSD-Karte für erweiterte Speicherkapazität auf einem Gerät wie Surface Pro verwenden. Nach der Anmeldung sind alle Ihre Daten sofort verfügbar. Wenn Sie das Wechselmedium verlieren oder es gestohlen wird, sind seine Daten für den Dieb nicht zugänglich.