[English]Microsoft hat zum 21. August 2023 den Edge-Browser auf die Version 116.0.1938.54 aktualisiert. Es ist ein neuer Entwicklungszweig, der auch neue Features bringt und Schwachstellen beseitigt. Inzwischen liegt mir aber eine Lesermeldung vor, die über Probleme mit Gruppenrichtlinien berichtet. Diese werden bei Anmeldung am Microsoft Konto ignoriert. Ergänzung: Ein Administrator hat mir eine Ergänzung als Workaround (Downgrade auf Edge 115 per GPO) geschickt, die ich nachgetragen habe. Ergänzung 2: Mit dem Edge 116.0.1938.62 greifen die Richtlinien wieder.
Anzeige
Edge 116.0.1938.54
Tom hat in diesem Kommentar auf die Freigabe des Edge 116.0.1938.54 hingewiesen (danke dafür). Die Release Notes für den Edge 116.0.1938.54 berichten einerseits davon, dass verschiedene Bugs und Leistungsprobleme behoben wurden. Andererseits heißt es (in den Sicherheits-Release Notes), dass die beiden nachfolgenden Schwachstellen beseitigt wurden:
- CVE-2023-38158: Information Disclosure; Durch die Ausnutzung dieser Schwachstelle können begrenzte Informationen preisgegeben werden, es lassen sich keine sensiblen Informationen erlangen.
- CVE-2023-36787: Elevation of Privilege; Ein Angreifer könnte in einem webbasierten Angriffsszenario eine Website hosten, die eine speziell gestaltete Datei enthält, mit der die Sicherheitslücke ausgenutzt werden kann auf das Opfersystem überträgt. Der Angreifer müsste den Benutzer dazu bringen, auf einen Link zu klicken, in der Regel in einer E-Mail oder Instant Messenger-Nachricht, und dann dazu bringen, die speziell gestaltete Datei zu öffnen.
Für beide Schwachstellen sieht Microsoft die Ausnutzbarkeit als gering an. Die Release Notes für den Edge 116.0.1938.54 geben zudem an, dass folgende neue Features mit dieser Version ausgerollt werden:
- Microsoft Edge for Business. Mit nativer Sicherheit, Produktivität, Verwaltbarkeit und integrierter künstlicher Intelligenz ermöglicht Edge for Business Unternehmen die Maximierung von Produktivität und Sicherheit und bietet die Möglichkeit, durch automatisches Umschalten zwischen dem leicht verwalteten persönlichen Browser-Fenster (MSA-Profil) und dem Arbeits-Browser-Fenster (Microsoft Entra ID) eine Trennung zwischen Arbeit und privatem Surfen zu schaffen. Alle Benutzer, die sich mit ihrer Entra ID (früher Azure Active Directory) anmelden, erhalten automatisch Edge for Business und sehen ein aktualisiertes Edge-Symbol mit einer Aktentasche, um anzuzeigen, dass sie sich im Arbeitsbrowserfenster befinden. Weitere Informationen finden sich in dieser FAQ.
- Option zum Anhängen der Edge-Seitenleiste an den Windows-Desktop. Nutzer der Microsoft Edge-Seitenleiste können direkt von ihrem Windows 10-Desktop auf ihre Apps und Websites zugreifen. Als Opt-in-Erfahrung in Windows 10 können Benutzer die Seitenleiste an ihren Windows-Desktop anhängen, indem sie auf ein "Popout"-Symbol in der Nähe der Basis der Seitenleiste im Browser klicken. Dies ermöglicht ein Side-by-Side-Erlebnis, das mit jeder Windows-App funktioniert – einschließlich Microsoft Edge selbst. Die Nutzer genießen einen optimierten Zugang zu denselben leistungsstarken KI-Tools und webbasierten Diensten, einschließlich Bing Chat, ohne ein Browser-Fenster öffnen zu müssen, was die Produktivität steigert, unabhängig davon, wo sie sich in Windows befinden. Weitere Funktionen und Optionen sind für zukünftige Versionen von Microsoft Edge geplant. Administratoren können die Verfügbarkeit dieser Funktion mithilfe der Richtlinie StandaloneHubsSidebarEnabled steuern.
Zudem wurde die neue Richtlinie ThrottleNonVisibleCrossOriginIframesAllowed eingeführt. Diese ermöglicht die Drosselung von nicht sichtbaren, herkunftsübergreifenden Iframes. Weiterhin ist die Richtlinie EventPathEnabled als überholt (obsolet) kategorisiert worden.
Die Kollegen von deskmodder.de berichten hier, dass die neue Security Baseline freigegeben wurde, aber mit der Version 114 übereinstimmt.
Ignoriert der Edge 116.0.1938.54 Richtlinien?
Vor zwei Stunden hat mich Gunnar Haslinger per E-Mail kontaktiert und von dem Problem, dass der Edge Richtlinien ignoriert, wenn man mit seinem persönlichen Microsoft Konto angemeldet ist, berichtet. Hier seine Schilderung:
Anzeige
Edge v116 "Problem": Microsoft Edge Policies werden ignoriert wenn mit persönlichem Microsoft Account angemeldet
Servus Günter,
Seit gestern 21.08.2023 Nachmittag rollt Microsoft die neueste Major-Release v116 seines Edge Browsers aus.
Und damit in Zusammenhang tritt leider eine für viele SysAdmins unerwartete Änderung in Kraft: Microsoft Edge Policies werden ignoriert wenn mit persönlichem Microsoft Account angemeldet
Ich denke damit kämpfen momentan zahlreiche Admins, die das auf dem falschen Fuß erwischt.
Ich habe den Sachverhalt hier zusammengefasst. Eventuell möchtest du diese Info ja mit Deiner Reichweite an die Community weitergeben. Ich musste leider den harten Weg gehen und zuerst ein paar Stunden "Debuggen" bis ich den Zusammenhang verstanden habe.
Beste Grüße,
Gunnar
Mein Dank an Gunnar für den Hinweis und den Link auf seine Beschreibung. Noch jemand, der diese Beobachtungen gemacht hat bzw. das so bestätigen kann?
Ergänzung 2: Mit dem Edge 116.0.1938.62 greifen die Richtlinien wieder, siehe meinen Blog-Beitrag Edge 116.0.1938.62 freigegeben, Probleme mit ignorierten Richtlinien bei Anmeldung am Benutzerkonto korrigiert?.
Lesertipp: Edge auf 115 zurücksetzen
Ergänzung: Nachdem ich den Beitrag hier gepostet habe, hat sich Stev B. auf Facebook in einer direkten Nachricht gemeldet (danke dafür) und schlägt vor, den Microsoft Edge per Gruppenrichtlinie auf den 115-Entwicklungszweig zurückzusetzen. Da gibt es das Problem nicht. Hier sein Hinweis:
Guten Tag Herr Born,
bezüglich auf Ihren Post gestern mit den Edge und den Gruppenrichtlinen Problem: Dieses Problem kann man gezielt ohne Sperre umgehen.
Für die Admins, die ein ganzes Netzwerk betreuen: Die sitzen nun vor dem Problem, wie man [die Nutzer] nun mit einem MS-Konto sich weiter Anmelden [lassen] kann.
[Die Lösung:] Man erstellt eine GPO, die [sich] rein auf die Computerebene bezieht und setzt die Edge-Version auf 115.0.1901.203 zurück; und somit bleibt diese Version auf allen PC's erhalten.
Ich habe auch eine wunderschöne Seite gefunden die das wunderbar beschreibt.
Zurücksetzen der vorherigen Version von Microsoft Edge
Ich hoffe man konnte dabei helfen. Und man hofft das Microsoft sich dieses Spiel nochmal überdenkt. Ich wünsche Ihnen noch einen schönen Tag.
Vielleicht ist das ja eine Hilfe für genervte Administratoren, die auf die Schnelle eine Lösung für viele Nutzer suchen.
Anzeige
man kann per GPO auswählen welche Adressen sich anmelden dürfen und so persönliche Konten ausschließen. haben imho auf einem Firmen System eh nichts zu suchen.
sehe ich auch so Privatkonto auf Firmenrechner, da liegt schon der Hund begraben!
Sehe ich auch als richtiges Verhalten! Der Edge hat die Rechte anzunehmen die im Konto hinterlegt sind (und die sind im Privatkonto eben anders als im Firmenkonto) Wenn Privatkonten auf dem Firmenrechner laufen hat die IT bereits im Vorfeld versagt! Ist ja auch ein DSGVO Thema! Firmen sind ja je nach Art zum logging verpflichtet, da haben Privatdaten nix verloren.
Ich weiß nicht was Du mit "Privatkonto" meinst.
Es geht um das Edge-Browser-Profil.
Als SysAdmin konfiguriere ich System-Policies. Und meine Erwartungshaltung ist, dass diese vom Anwender NICHT dadurch einfach ausgehebelt werden können, indem er seine Favoriten in einen Micrsosoft Account synchronisiert.
Freilich kann man – wie von mir im Blog-Post als Workaround ja auch beschrieben – die Nutzung von MSA zur Synchronisation deaktivieren. War bislang aber nicht nötig. Und es kann durchaus use-cases geben wo man dem Benutzer die Synchronisation der Favoriten über MSA eigentlich nicht verbieten möchte. Kunden die z.b. kein Azure-AD/Entra-ID nutzen möchten (oder können) werden eventuell doch den (kostenfreien) Umweg der Synchronisation über MSA erlaubt haben.
ich denke das ganze ist durch das neuen Edge for Business (v116) entstanden.
https://techcommunity.microsoft.com/t5/microsoft-edge-insider/microsoft-edge-for-business-faq/ba-p/3891837
Und wenn der Mode als Privat erkannt wurde werden hat die Firmenregeln ausgesetzt.
Ergo Privat Mode abschalten
https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-policies#restrictsignintopattern
Früher war es möglich das MSA Account die gleiche E-Mail Adresse wie Firmenaccounts haben, da wird man dann immer gefragt ob man sich mit Firmen oder Privaten Konto anmelden möchte. Da hilft ein Pattern natürlich nicht. Ich hoffe Microsoft ändern das.
Das ist doch aber genau der Sinn und Zweck das man sich am Browser mit einem "Account" anmeldet: nämlich das seine eigenen Favoriten Einstellungen Extensions etc. überall gesynct hat, unabhängig vom benutzten Gerät!
Also macht der Edge genau das wozu gedacht.
Will ich das als Admin in der Firma nicht darf ich eben keine persönlichen Accounts zulassen bzw. eindeutig als Firmenaccount geflagt!
Die privaten Bookmarks und gespeicherten Passwörter haben in der Firma nichts zu suchen, und umgekehrt auch nicht!
Bedenke, der Privat-PC ist üblicherweise nicht so gut abgesischert wie der Firmen-PC (Applocker, Firewall, Credential-Guard, etc.) und wenn ein Angreifer per personal engeneering beim Privatnutzer einbricht und dann Anmeldeseiten für Firmen-Accounts etc. abgreift, die er auf dem Firmen-PC nicht oder nur viel schwerer erbeuten kann, ist die Kagge am Dampfen.
siehe mein Ausgangspost ;-P
bezüglich Private PC Absicherung ich habe in über 40 Jahren noch keine Malware oder Datenverlust auf dem privaten Rechner gehabt und bin trotzdem schon 3x Opfer von Datenabfluss geworden… Durch Drecksfirmen die ihre IT nicht im Griff hatten *hust Adobe *hust LAstFM *hust.
/edit/ also ja die "ach so tollen gesicherte Firmen IT" Da gebe ich nicht mal den Dreck unterm Fingernagel! Wenn ich als sehe was sich da heute Admin schimpft… ist alles klar!
Es gibt solche und solche Admins. Es gibt sogar Firmen, die haben eine eine Abteilung, welche sich nur um Sicherheitsthemen kümmern, und sich dabei auch bei den Betriebs-Admins unbeliebt machen.
Ich empfinde den Diskussionsstrang hier etwas problematisch. Natürlich ist es korrekt, dass man per GPO regeln kann, ob und wer sich anmelden darf. Aber Kernpunkt ist, das sich das Verhalten des Edge nach dem Update geändert hat. Das ist jetzt von Gunnar dokumentiert worden und es wurde gefragt, ob jemand das bestätigen kann. Wenn es keinen Systemadministrator betrifft, um so besser. Diejenigen, die vor der Problematik stehen, erhalten dagegen den Hinweis, was Sache ist – oder sehe ich das falsch?
Ja, Edge ab Version 116 ignoriert unter bestimmten Bedingungen etliche Richtlinien. Absichtlich. Das ganze ist ja nun schon etwas länger bekannt gegeben worden (seitdem 116 im Canary-Zweig ist oder so, also schon vor etlichen Wochen) und sollte mittlerweile eigentlich wirklich niemanden mehr überraschen: Unter https://learn.microsoft.com/de-de/DeployEdge/microsoft-edge-policies steht nämlich schon seit einiger Zeit folgendes beschrieben (im vierten Absatz): "Ab Microsoft Edge Version 116 werden bestimmte Richtlinien nicht auf ein Profil angewendet, das mit einem Microsoft-Konto angemeldet ist. Weitere Informationen finden Sie in einer einzelnen Richtlinie, ob sie für ein Profil gilt, das mit einem Microsoft-Konto angemeldet ist." Das ist also kein Bug oder Versehen, sondern gut dokumentierte geplante Absicht.
Bei Edge-Profilen, die nicht mit einem Microsoft-Konto verknüpft sind, funktionieren entsprechende Richtlinien weiterhin, bei Profilen mit Microsoft-Konto hingegen seit 116 gewollt nicht mehr. Leider sind das eine ganze Menge Richtlinien, die von dieser Neuregelung betroffen sind.
Im Klartext heißt das: Willst Du Deine Edge-Einstellungen, Favoriten, Tabs usw. geräteübergreifend synchronisieren, dann kannst Du das weiterhin mit einem Microsoft-Konto tun; allerdings greifen dann viele nützliche Policies nicht mehr, sondern es muss mühsam manuell in den Einstellungen vieles wieder glattgezogen werden. Von Hand. Für jedes Profil separat. Wenn Du hingegen viele der Policies weiter nutzen willst, dann musst Du darauf verzichten, das Edge-Profil mit einem Microsoft-Konto zu verknüpfen (was gar nicht so einfach ist, da Edge das ziemlich penetrant versucht, einem unterzujubeln). Ohne verknüpftes Microsoft-Konto ist dann aber auch die Synchronisation von Einstellungen, Favoriten, Tabs usw. nicht mehr möglich. Es sei denn, man entscheidet sich für Microsoft Entra ID (formerly known as Azure Active Directory): Damit kann man auch weiterhin sowohl sämtliche Policies nutzen als auch die Edge-Synchronisierung. Ist halt nur nicht ganz billig…
Alles in allem also ein mehr oder minder plumper Schachzug, Firmen und Behörden noch mehr zu melken und von Kauf- zu Mietlizenzen zu drängen, und Privatleute noch mehr zu entmündigen und mit Microsoft-Standardeinstellungen wie Bing-Suche oder nicht wechselbarer NewTab-Seite zwangszubeglücken.
Kennt Microsoft eigentlich § 240 StGB? "Wer einen Menschen rechtswidrig […] durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Rechtswidrig ist die Tat, wenn […] die Androhung des Übels zu dem angestrebten Zweck als verwerflich anzusehen ist.
Der Versuch ist strafbar."
Danke für den Hinweis
Microsoft scheint inzwischen zumindest teilweise einsichtig zu sein und dürfte wohl zumindest in Szenarien wo es nur ein MSA Profil gibt wie Policies doch wieder nutzbar machen: https://techcommunity.microsoft.com/t5/enterprise/edge-116-beta-policies-are-blocked-if-mdm-managed-amp/m-p/3906655/highlight/true#M5386
Im Techcommunity-Forum ist auch in anderen Threads die Kritik daran nicht zu übersehen. Handlungsbedarf seitens Microsoft also definitiv vorhanden. Im aktuellen Dev und Canary Zweig funktionieren die Policies im Szenario "Single MSA Profile-Sync" nun inzwischen wieder.
bisher konnte man den Edge per Gruppenrichtline konfigurieren – ich z.B. auch in meinem privaten Netz – unabhängig davon ob man mit irgendeinem Konto angemeldet war oder eben nicht.
und jetzt soll das nur noch funktionieren, wenn man an einem Dingsda-AD angemeldet ist und das Business-Profil nutzt?
Aber es gibt auch beim MSEdge Einstellungen pro Rechner und pro Benutzer, vom Anwender einstellbar oder fest vorgegeben. Wovon ist denn im Artikel die Rede? ich konnte das nicht herauslesen.
Es geht um System-Policies.
Ob man einem Benutzer nun erlauben möchte seine Favoriten mit der Microsoft Cloud (MSA) zu synchronisieren kann man freilich kritisch sehen. Fakt ist aber: Bis dato war die Kombination Policies + synchronisiertes Profil mittels MSA problemlos möglich. Nun können Policies nur mehr in Kombination mit nicht synchronisierten Profilen oder mit Azure-AD/Microsoft Entra ID genutzt werden. Nicht jedem steht letzteres zur Verfügung. Das ist somit eine Funktionseinschränkung gegenüber den bisherigen Möglichkeiten
Gunnar hat Recht. Wir installieren immer auf einem kleinen Teil Rechner den Dev-Zweig von Edge. Die letzte funktionierende Dev Version mit kompletter GPO-Verarbeitung war Dev_116.0.1938.1. und die Erste Version wo es wieder funktioniert ist die Dev_117.0.2045.1. Deswegen als Test für zukünftiges Umgemach von MS wird bei uns immer ein ausgesuchter Teil von Rechnern (Usern) mit der Preview installiert, weil MS den Mist meistens in den stable-Zweig mit rüberschleppt. Übrigens MS interessiert es relativ wenig, habe das schon vor ewigen Zeiten gemeldet.
Und in den einschlägigen Foren erntet man nur blöde Kommentare.
Füllt den Feedback-Hub mit dem Problem! Hab ich gerade gemacht, ich kann das Verhalten leider auch bestätigen. Bei uns ist per GPO die Verwendung von Privat-Profilen nicht erlaubt.
Da kannst Du den Feedback-Hub füllen wie du willst, du wirst keine Reaktion geschweige denn Antwort von MS erhalten. Ich erwarte nichts (aus langjähriger Erfahrung). Aber glaube ruhig weiter an das Gute in MS.
Ich habe letztens tatsächlich einen richtigen Support-Case mit MS, wir haben 1 Woche zusammen täglich an der Lösung des Problems gearbeitet und dabei kam tatsächlich was vernünftiges raus. Überhaupt, von allen Support-Cases die ich je irgendwo bei namhaften Herstellern reingestellt habe, ich habe nie eine bessere Betreuung erlebt. Mag sein, dass mir das jetzt keiner glaubt, aber so ist es. Dabei hat mir der MS-Mitarbeiter geraten, bei erkannten Problemen tatsächlich auch den Feedback-Hub zu verwenden, der ist kein reines Zierwerk, sondern wird tatsächlich ausgewertet. Je mehr Feedback zum gleichen Problem kommt, um so höher wird das priorisiert. Also, füllt das verdammte Ding sinnvoll aus, nutzt es!
Es gibt diese Fälle – kenne ich auch (ohne Support-Case). Aber es ist Lotteriespiel, wenn ich was über meine Kanäle melde, ob es wischi waschi wird, oder an die Entwickler geht.
tja so unterschiedlich kann die Welt sein. Wir hatten auch mal einen Support-Case bei Microsoft. Der zugewiesene Bearbeiter hatte halt absolut keine Ahnung von dem Ding das er da betreuen sollte und das bei Premium Support. Einfach peinlich war es. Wollte Debug Tools für das Server Programm am Client installieren und hat sich gewundert warum es die Debug Tools nicht in der Version vom Client gab. In ähnlicher Tonart ging es dann weiter über Wochen. Problem wurde natürlich nicht gelöst. War dann aber auch egal, weil wir das Produkt dann nicht mehr verwendeten.
Ich hatte mal einen Fall, das sich ein Server nach einem OS Upgrade nicht mehr sauber beim WSUS gemeldet hat.
Dafür bei MS eine Supportcase in Bereich WU/WSUS eröffnet, die haben dann alle möglichen Sachen abgefragt und ich musste denen erst einmal beibringen das nicht der WSUS Server selbst das Problem ist sondern ein Server der "als Client" an den WSUS reportet.
Im weiteren Verlauf ist mir selbst aufgefallen das die Sache mit der Meldung an den WSUS nur ein Symptom einen ganz anderen Problems ist, dass mit zuvor gar nicht aufgefallen ist, nämlich das diverse Scheduled-Tasks nicht liefen und sich auch nicht da zu bringen ließen und der WSUS Task war nur einer dieser Tasks. Ergo gar kein WU Problem im eigentlichen Sinne.
Das hatte ich denen dann MEHRFACH mitgeteilt und die haben das komplett ignoriert und weiter auf dem WU Problem rumgeritten und wollten immer wieder WU Logs bei denen klar war das das nichts bringt, weil ich ja bereits wusste das der nicht laufende Task die Ursache ist. Hat die alles nicht interessiert.
Lösung: Case geschlossen, neuen mit der Sache mit den Tasks eröffnet und innerhalb von 1-2 Tagen hatte ich die Lösung.
Vermutlich wie mit Fachärzten. Gehst du zum Orthopäden ist es der Rücken die Ursache gehst du zum Gastroenterologen der Magen usw. usw. und nachher stellt sich raus war was ganz anderes.
Seit dem Update auf die 116 wünscht Edge plötzlich die Freigabe zweier Dateien in der Firewall, bgaupdate.exe und bgaupsell.exe: https://abload.de/img/bgaup_files63epz.png
Ich habe die Dateien bei VirusTotal hochgeladen, dort sind sie ohne Malwarebefund. Aber welche Aufgaben haben sie?
Ich hatte bgaupdate.exe hier im Blog nicht thematisiert, aber der gehört wohl zum "Microsoft Bing Service 2.0", war bisher aber funktionslos (siehe auch den Beitrag bei Computerbase). Ist ein "wichtiger Dienst", damit die Leute auch ihre Bing-Hintergrundbilder bekommen, wie ich las.
Bei bgaupsell.exe schreiben Einige, dass es Malware sei – und auf reddit.com fragt hier jemand, ob Microsoft eigene AdWare installiert habe.
Danke für die schnelle Antwort. Beide Dateien wurden nahezu zum gleichen Zeitpunkt gespeichert. Mittlerweile ist die bgaupdate.exe ohne mein Zutun verschwunden. Die bgaupsell.exe wurde ich erst los, als ich sie an ThisIsMyFile schickte. Der Prozess musste erst beendet werden. Mein Eindruck: Sie stammt auch von Microsoft. Es wäre doch ein beträchtlicher Zufall, wenn sich binnen weniger Minuten zwei Dateien fast identischen Namens bei der Firewall anmelden, aber nur eine davon koscher ist.
Erstaunlich ja auch, dass es diese Datei(en) bereits ein Jahr gibt, sie sich aber gestern erstmals bei mir aktiv meldeten. Da sie sofort blockiert wurden, hatten sie keine Internetverbindung.
Mittlerweile gibts ein neues Edge-Update, es wurden bislang aber keine Nachfolgerdateien installiert.
Ergänzend: Beide Dateien waren mit 16,7 MB gleich groß.