Windows 10 für den Business-Einsatz
Mehr zum Thema: MicrosoftProfessionelle Anwender werden nicht mit „fliegenden Fahnen“ zu Windows 10 wechseln – waren sie doch schon bei Windows 8/8.1 extrem vorsichtig und haben sich diesen Wechseln ihren Client-Systeme in vielen Fällen einfach erspart. Doch Windows 10 hat mehr zu bieten: Wir haben uns einige Features rund um die Themen Update und Sicherheit, die im professionellen Einsatz gefragt und sinnvoll sind, einmal näher angeschaut.
Wer dem großen französischen Denker Voltaire ebenso wie Microsoft glaubt, der muss eigentlich zwangsläufig seine Systeme mit Windows 10 ausstatten: Hat doch der Philosoph schon im 18. Jahrhundert postuliert "Das Bessere ist der Feind des Guten" und die amerikanische Softwarefirma wird nicht müde...
Wer dem großen französischen Denker Voltaire ebenso wie Microsoft glaubt, der muss eigentlich zwangsläufig seine Systeme mit Windows 10 ausstatten: Hat doch der Philosoph schon im 18. Jahrhundert postuliert "Das Bessere ist der Feind des Guten" und die amerikanische Softwarefirma wird nicht müde zu kommunizieren, dass Windows 10 das beste Windows aller Zeiten ist.
Nun ist es gerade für die professionellen Anwender und die IT-Verantwortlichen in den Firmen sicher nicht üblich, die Client-Betriebssysteme sofort bei Verfügbarkeit einer komplett neuen Windows-Version auszutauschen. Es kommt hinzu, dass die meisten Firmen nach wie vor auf Windows 7 setzen, denn dieses System hat sich als zuverlässig und stabil erwiesen - im Sinne Voltaires als "das Gute". Trotzdem ist es gerade für die professionellen Anwender, IT-Administratoren und -Verantwortlichen wichtig, solche neuen Systeme und deren Eigenschaften im Blick zu behalten - auch im Hinblick auf eine mögliche Migration.
Windows 10: Versionen und Unterschiede
Viele Firmen sowohl aus dem Bereich der großen Unternehmen als auch aus dem KMU-Umfeld setzen auf den Desktops ihrer Anwender aktuell die Professional-Version von Windows 7 ein. Gerade für diese Firmen ist es dann interessant, welche der Windows-10-Versionen für sie im Falle eines Umstiegs in Frage käme. Die Home-Version kommt für diesen Anwenderkreis schon allein deshalb nicht in Frage, da die Nutzer bei diesen Systemen alle Updates automatisch bekommen Sie können diese Installation nicht verhindern.
Das ist im Heimumfeld sicher sinnvoll, vergessen die Anwender dort doch häufig wichtige Sicherheitsupdate und gefährden so ihre Systeme unnötig. Für professionelle Anwender ist deshalb also wenigstens die Windows 10 Pro-Edition Pflicht. Administratoren können diese Systeme problemlos in eine Active-Directory-Domäne aufnehmen - ein Feature, das im professionellen Umfeld heute Pflicht ist. Was die Professional-Version von Windows 10 von der vergleichbaren Windows-7-Version absetzt: Es ist ebenfalls möglich, diese Systeme ohne zusätzlichen Aufwand direkt in eine Azure Active Directory in der Cloud einzubinden.
Lesetipp: Windows 10 oder Windows 7? - Entscheidungshilfe
Unternehmen, die eine Volumenlizenz der Software-Assurance besitzen, werden wahrscheinlich aktuell auch die Enterprise-Version von Windows 7 einsetzen. Sie können bei Windows 10 zwischen drei unterschiedlichen Ausprägungen der Enterprise-Edition wählen: Windows 10 Enterprise, Windows 10 Education und Windows 10 Enterprise LTSB. Für die Profis ist dabei sicher auch die LTSB-Version (Long Time Service Branch) eine sehr interessante Variante, gerade wenn die Windows-Rechner in sicherheitskritischen Bereichen eingesetzt werden sollen.
Administratoren und IT-Verantwortliche können beim Einsatz dieser Windows-10-Edition sicher sein, dass diese Systeme den vollen Enterprise-Support und auch alle sicherheitsrelevanten Updates bekommen. Zugleich versichert Microsoft bei diesen Systemen aber auch, dass sie im Rahmen des Mainstream- und Extended Supports über einen Zeitraum von fünf Jahren nicht mit neuen Funktionen ausgestattet werden.
Windows as a Service: Updates, Upgrades und Business-Versionen
Das bedeutet für die IT: Sie behält in den Bereichen, die für den Geschäftsbereich der eigenen Firma entscheidend sind, die volle Kontrolle darüber, wann sie welches Feature des Betriebssystems ausliefern will. So können die IT-Profis dann beispielsweise auch entscheiden, dass eine bestimmte Neuerung oder Erweiterung, die Microsoft dem Betriebssystem angedeihen lässt, für ihre sicherheitskritischen Business-Systeme einfach nicht installiert werden sollen. Die üblichen Werkzeuge der IT, wie der System Center Configuration Manager oder WSUS (Windows Server Update Service) können dabei natürlich wie üblich zum Einsatz kommen.
Lesetipp: Windows 10: Update Probleme lösen
Diese Funktionalität speziell für die Enterprise-Version ist ein Teil der neuen "Update-Philosophie", die Microsoft versucht, mit Windows 10 in den Unternehmen zu etablieren. Diese ist nicht zuletzt eine Reaktion darauf, dass der Hersteller mit dieser Windows-Version angefangen hat, das Betriebssystem grundsätzlich schneller und häufiger mit Updates zu versorgen. Das Schlagwort lautet: "Windows as a Service". So existieren dann auch ausreichend Gerüchte im Internet, deren Urheber wissen wollen, dass es nach Windows 10 kein Windows 11 oder 12 geben werde, da Microsoft nur noch Versionsnummern und Betriebssystem-Builds ändern würde. Definitive Aussagen von Microsoft gibt es dazu aktuell (Mitte Februar 2016) nicht, aber die Anzeige von Versionsnummer und Build in der Systeminfo könnte als Hinweis darauf interpretiert werden.
Die Updates werden nun in sogenannten "Branches", also unterschiedlichen Zweigen zur Verfügung gestellt. Sie unterscheiden sich durch die verschiedenen Arten und Zeitpunkte der Verteilung von sogenannten Upgrades (ein neues Windows-Release, das in der Regel auch neue Features und Möglichkeiten beinhaltet) und Updates (die bekannten Pakete, die sowohl Bug- als auch Sicherheits-Fixes beinhalten und traditional am "Patch Tuesday" auf die Systeme der Anwender gelangen).
Bei den "Branches" unterscheidet Microsoft zwischen "Current Branch", Current Branch for Business" und dem bereits erwähnten "Long Time Service Branch". Schließlich bleibt noch die "Windows Insider Preview Branch", für die Anwender, die bereits im Vorfeld neue Versionen und Features austesten möchten. Ganz gleich, ob sich eine Firma für Windows 10 Professional oder Windows 10 in einer der Enterprise-Editionen entscheidet, kann sie sich frei für den Einsatz der Methode "Current Branch" oder "Current Branch for Business" entscheiden, während LTSB-Branch ausschließlich der Enterprise Version vorbehalten bleibt.
Für professionelle Anwender im Firmenumfeld ist dabei die Methode "Current Branch for Business" besonders interessant: Bei ihrem Einsatz werden funktionale Updates erst dann zur Verfügung gestellt, wenn diese Neuerungen beim Einsatz im Consumer-Bereich (wo sie über das nicht abschaltbare Update verteilt werden) keine Probleme mehr zeigen. So können Administratoren zunächst auf die Ergebnisse eigener Testläufe mit solchen Updates warten, bis sie diese dann für die Systeme mit "Current Branch for Business" freigeben - was wiederum in Zusammenarbeit mit WSUS möglich ist.
Hohe Sicherheit ist machbar: Was es mit der Funktion "Device Guard" auf sich hat
Nur wer Windows 10 in der Enterprise-Version einsetzt, kann ein auch Sicherheitsfeature namens "Device Guard" verwenden. Mit Hilfe dieser integrierten Software können IT-Profis das System so konfigurieren, dass auf einem Gerät nur ganz bestimmte Anwendungen ausgeführt werden können (White List). Administratoren können die Durchsetzung dieser Sicherheitsmaßnahme durch eine entsprechende Richtlinie erzwingen. Die wird nach dem aktuellen Stand (Mitte Februar 2016) auch auf dem kommenden Windows Server 2016 entsprechend unterstützt werden.
Lesetipp: 20 Tipps für Windows 10
Ein weiteres Feature, das ebenfalls nur unter der Enterprise-Version bereitsteht und im engen Zusammenhang mit Device Guard steht, nennt sich "Credential Guard" und wird im System auch als "Virtualisierungsbasierte Sicherheit" bezeichnet. Bei diesen Funktionalitäten handelt es sich prinzipiell um eine Kombination von Hard- und Software, deren Aufgabe darin besteht, eine Art zusätzliche Schutzschicht rund um das Betriebssystem aufzubauen.
Diese insgesamt sehr komplexe Technik erfordert es, dass zunächst bestimmte in Hardware vorhandene Sicherheitsmerkmale vom Administrator eingeschaltet werden, die IT anschließend eine Richtlinie entwirft, mit der die Integrität der Anwendungen bestimmt wird, und diese dann auch auf die entsprechenden Geräte anwendet. Damit das klappen kann, müssen zunächst einige Voraussetzungen erfüllt sein: Dazu gehört ein Windows-10-Betriebssystem in der Enterprise-oder Education-Version, das System muss UEFI Secure Boot unterstützen, wobei in der UEFI-Daten keine Zertifizierungsstelle (CA - Certificate Authority) eines Drittherstellers mehr vorhanden sein darf.
Zusätzlich kann diese Technik mittels Virtualisierung und dem "Credential Guard" so ergänzt werden, dass sowohl die Apps im Kernel-Modus als auch die Systemdaten im Hauptspeicher vor Veränderung durch Schadprogramme geschützt werden. Zu diesem Zweck kommen Sicherheitsdienste zum Einsatz, die auf Hyper-V basieren. Das setzt dann ebenfalls noch voraus, dass die CPUs der PCs, auf denen diese Sicherheitstechnik zum Einsatz kommen soll, die Hardware-gestützten Virtualisierungs-Features unterstützen und diese eingeschaltet sind. Ein Trusted Platform Module (TMP) 2.0 wird für bestimmte Konfigurationen ebenfalls benötigt.
