Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft brengt layered Group Policies uit voor toestaan van externe apparaten

Microsoft geeft systeembeheerders de mogelijkheid om aangesloten hardware te beheren op apparaten binnen Group Policies. Via layered Group Policies kunnen beheerders bepalen welke apparaten wel en niet mogen worden geïnstalleerd.

Met layered Group Policies krijgen systeembeheerders de mogelijkheid de installaties van interne en externe apparaten op verschillende manieren goed te keuren of juist op een blocklist te zetten. Apparaten krijgen verschillende identifiers mee; een class, device ID en een instance ID. Systeembeheerders kunnen vervolgens een allow-lijst maken met welke apparaten met die identifiers wel of juist niet zijn toegestaan op een netwerk.

Microsoft zegt dat de feature erg intuïtief werkt voor systeembeheerders. Het bedrijf geeft het voorbeeld van usb-apparaten, een aparte class. "Beheerders hoeven met deze nieuwe policy niet te weten welke verschillende device classes er zijn als ze alleen usb-classes niet willen installeren. De nieuwe policy zorgt ervoor dat je je script kunt maken op basis van usb-classes zonder dat andere classes automatisch worden geblokkeerd." Ook worden de policies met het nieuwe beleid in een hiërarchische structuur geplaatst zodat apparaten altijd dezelfde toegangs- of blokkadestructuur volgen.

De feature om layered Group Policies in te schakelen zit in de C-release van Windows 10 die nu uit is, zegt Microsoft. In de augustus-update van het besturingssysteem komt die breder beschikbaar. 'Later' volgt een Windows Server-release, al geeft Microsoft daar geen datum voor. Ook komt de feature naar Windows 11.

Windows layered group policies

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

05-08-2021 • 08:45

50 Linkedin

Reacties (50)

Wijzig sortering
Alle USB poorten doen we bij default blokkeren. Nu kunnen we het dus openzetten om telefoons wel op te laden en USB STICKS wel blokkeren.
Dit was al heel lang mogelijk.

Tweakers doet alsof dit volledig nieuw is maar je kan al device id's blokkeren. Wij hebben op kantoor een test gedaan met het blokkeren van specifiek logitech dongles die ongepatched waren (deze hebben een ander deviceID als gepatchte dongles). Zolang je een deviceID of class weet kan je het al blokkeren met huidige policies.

Deze layered policies maken het alleen duidelijker en beter beheersbaar.
Dit was al heel lang mogelijk.
Nee, dit was voorheen niet mogelijk op de manier hoe je het nu gelaagd kan inregelen met deze nieuwe opties. Ja je kon devices blokkeren of toestaan maar niet op deze manier waarbij de regels veel beter beheersbaar zijn.
Dat is toch precies wat ik zei, het was al mogelijk om randapparatuur te blokkeren het kan nu alleen veel mooier en beter.

De manier waarop tweakers het brengt lijkt alsof dit helemaal nieuw is, het is enkel verbeterd.
Tsja, zo brengt Microsoft "nieuwe" features natuurlijk altijd uit. Net alsof het eerder op geen enkele manier kon en nu iets nieuws is.

Tweakers plaats het gewoon zoals MS het uitbrengt. De meerwaarde van Tweakers zou moeten zijn dat ze wat dieper ingaan op het nieuws en dit soort dingen die jij wist, ook toevoegt aan het artikel.
Zo lijkt het mij okk.
Momenteel zal je wellicht de lijst overschrijven als er een ‘specifiekere’ gpo van toepassing is.
En moet je de hele lijst weer ingeven…
Bij de gpo van bv edge / chrome kan je ook websites blokkeren, maar dat werkt ook niet layered, en moet je dus de hele lijst per gpo opsommen ipv de som van de verschillende gpo’s voor die lijst.
Telefoon is toch effectief een USB stick (te maken), of mis ik iets?
Niet perse... een telefoon kan via USB op verschillende manieren communiceren. Wat deze policy dus doet is een aangesloten telefoon die alleen in "oplaad modus" is ingesteld toe te staan, iedere andere modus waar ook dataoverdracht bij komt kijken werkt niet.
oplaad modus of niet... het device-ID blijft toch hetzelfde?
Met de policy kun je blokkeren dat er drivers worden gebruikt om te communiceren met het apparaat.
Neem aan dat je het opladen wel kunt toestaan maar de uitwisseling van data kunt blokkeren.
Dat hangt er maar van af hoe je telefoon is ingesteld. Het kan als 'storage', het kan ook als 'media-device' met video's en/of audio.

Uiteindelijk kan een usb-client device doen alsof ze elk ander apparaat is. Als je het maar kan en wilt programmeren. Een RubberDucky is bijvoorbeeld een opslag, een muis, een toetsenbord en nog veel meer, als je het maar netjes programmeert/configureert.

En voor opslag zijn er nog meerdere smaken: internal of external. Een stick of een disk, read-only of read-write en zo nog een paar keuzes.
Het opladen van telefoons gaat toch nu ook al gewoon door als je de toegang tot usb blokkeert?
Tenzij je op BIOS/UEFI laag USB uitzet of het fysiek onmogelijk maakt om in te pluggen kan je altijd laden via USB, immers de USB poort levert altijd minstens een minimum stroom aan het apparaat, anders zou je muis of USB stick levensloos blijven, je computer zou zelfs niet weten dat er iets is ingestopt laat staan wat er juist is ingestopt. Voor zover ik weet heeft het OS niets te zien met power delivery op USB, word op de hardware laag in de USB controller geregeld. (minimum stroom krijg je altijd, als een device meer wilt/nodig heeft word dit onderhandeld)

In de huidige group policy kan je groepen blokkeren die mass storage hebben DVD, Floppy, removable storage, tape drives of WPD of simpelweg alle storage classes. Telefoons vallen onder WPD (Windows portable devices). Vervolgens had je ook custom classes waar je read of write kon blokkeren.

Echter het huidige systeem is niet bepaald flexibel. Stel ik wil enkel corperate telefoon Y toelaten maar alle andere telefoons wil ik blokkeren. Als ik WPD blokkeer dan blokkeer ik alles en dus ook Y. Dus dan moet ik naar de custom class gaan en daar alle device id's ingeven die ik niet wil, immers ik kan enkel custom classes blokkeren. Na lang zwoegen en alle mogelijke device id's er in te kloppen behalve die van telefoon Y rol ik het uit en klaar. Om dan een maand later tot de conclusie te komen dat er een nieuwe telefoon op de markt is met een nieuwe device id die niet in mijn blokkeer lijst zit.

Wat nu vooral nieuw is, je kan een allow doen dus nu kan ik zeggen ik blokkeer WPD of simpelweg alle storage classes en vervolgens zeggen allow corperate telefoon Y. Met nog verder bijkomende opties om het nog verder flexibel te regelen.

Wat ook nieuw is, de oude settings richten zich zuiver op storage devices en niet op andere USB devices, de oude settings kwamen duidelijk uit een ander USB tijdperk. Een ander belangerijk punt, de oude settings verhinderen read and write, de nieuwe verhinderen de installatie en grijpen dus vroeger in.

Alsook leuk meegenomen, de optie om de user een boodschap te geven als een device geblocked word, "gelieve u telefoon ergens anders op te laden".
Want ik heb ook wel de situatie meegemaakt dat die telefoon aan het opladen is maar ondertussen in een loop opnieuw en opnieuw probeert te communiceren met de computer waarbij de telefoon iedere keer de communicatie een reset gaf, alsof je de telefoon continu uit en in stak. Tot de cliënt tilt sloeg, klachten binnen kwamen en ik het uit de logboeken moest halen wat er aan de hand was.
In veel organisaties heeft men de IDs van alle toegelaten USB devices, alle anderen moeten geblokkeerd worden. Zelfs voor een grote organisaties zal die tabel hooguit een paar (tien)duizenden groot zijn. Wat geen probleem is. Zo kan je voorkomen dat men gegevens kopieert naar en van niet bedrijfsapparatuur.

Bv. stel dat je beperkingen oplegt aan het netwerk (men moet via de VPN gaan, en mag niet gewoon op het Internet, of zo), dan kan je er zo voor zorgen dat gebruikers geen usbnet netwerk device gebruiken om dat te omzeilen. Je kan er ook voor zorgen (of het toch al heel wat moeilijker maken) dat men geen USB sticks gebruikt om gegevens te kopieeren, of om virussen te introduceren.
Ja, dat thuis geen usb-netwerk heb ik al eens gemerkt ja...
Usb stond zo dicht, mijn keyboard, muis, scherm en netwerk deden niets.

"Zet hem maar op de wifi" was wat de helpdesk zei.
Heel leuk, maar mijn Customer-VLAN heeft geen wifi, alleen ethernet, 1 poort, want ik wil niet dat ze op mijn netwerk komen met hun vage laptops :) (Een extra SSID was een optie geweest...)
En onder het mom van ergonomisch werken is een los scherm/keyb/muis gewoon verplicht. Je mag maar 2 uur per dag op een laptop/tablet werken volgens de arbo.
Nu klagen collega's alleen nog over het feit dat ik nooit beeld heb bij meetings, maar ja, de webcam mocht ook niet.

Probleem is dat veel bedrijven hun windows zo dicht timmeren, dat gebruikers niets kunnen en juist omwegen gaan verzinnen! Omdat simpele handelingen soms beperkt worden en mensen toch hun werk moeten doen. In plaats van gebruikers beperken, kun je ze beter opvoeden in hoe om te gaan met de data. ;)

Is ook een typisch windows dingetje om alles te willen beperken op deze manier, kom je in andere omgevingen (gelukkig!) nooit tegen ;)
Is ook een typisch windows dingetje om alles te willen beperken op deze manier, kom je in andere omgevingen (gelukkig!) nooit tegen
Dat is niet waar. Kijk bijvoorbeeld naar Apple waar je juist heel veel dicht kan zetten en kan beheren als bedrijf.
Is ook een typisch windows dingetje om alles te willen beperken op deze manier
Het is niet omdat de opties bestaan dat ze gebruikt moeten worden. Het is dus toch echt je eigen bedrijf die dat beslist heeft en als ze dit soort acties doen dan ben ik er vrij zeker van dat ze policies naar je telefoon sturen die oa bluetooth discovery afblockt. Leverde wel eens het probleem op dat mensen niet met een carkit konden verbinden omdat het enkel mogelijk was dat de carkit de telefoon zocht maar niet omgekeerd.
In plaats van gebruikers beperken, kun je ze beter opvoeden in hoe om te gaan met de data
Was dat bedoeld als grap of serieus? Immers indien je gegronde redenen hebt om iets af te schermen is de regel, never trust a user. Of heb jij graag dat je patiënten info op straat ligt omdat iemand het toch zo handig vond de data eventjes op een USB stick te zetten maar hem onderweg verloren is, uiteraard zonder encryptie?

Dat jij je werk niet meer kan uitvoeren omdat het bedrijfsbeleid dit niet toelaat, dat moet je toch echt uitvechten met je bedrijf zelf. Immers als het bedrijf alles blokkeert is het niet aan jou om oplossingen te bedenken om daar rond te werken, afhankelijk van de omgeving kan dat zelfs je baan kosten. Het is echter ook niet doenbaar als bedrijf om elke beleid regel in detail aan iedereen uit te leggen waarom dat nu juist genomen is. Echter jij moet je werk kunnen doen dus dan is het aan het bedrijf om met een oplossing te komen, als men je van het kastje naar het muurtje stuurt en je in de kou laat staan, dan moet je mogelijks is gaan nadenken hoe die werkgever-werknemer relatie nu eigenlijk juist zit.
Dit stimuleert eigenlijk organisaties om voor externe geen apparte gastennetwerk te creëren en mogelijk dat ze de gastennetwerk er uiteindelijk uit halen omdat ze denken dat dit veilig genoeg zal zijn...
Waarom denkt iedereen dat dit over netwerk toegang gaat?
Dit gaat over aansluiten van randapparatuur op hardware die al in het domein zit.

Geen idee hoe je denkt dat een group policy die via het domein wordt beheerd/opgelegd iets zou doen voor non-domeinleden.
Het is me al wat duidelijker geworden op de website van Microsoft zelf.

https://techcommunity.mic...group-policy/ba-p/2608462
Dit stimuleert eigenlijk organisaties om voor externe geen apparte gastennetwerk te creëren en mogelijk dat ze de gastennetwerk er uiteindelijk uit halen omdat ze denken dat dit veilig genoeg zal zijn...
Ik denk niet dat je het zo moet zien of voor dit doeleinde moet willen gebruiken. Een goed ingericht gastennetwerk beschermd tegen veel meer dan alleen externe apparaten. Denk aan malware, hacking etc. Externe devices zijn maar een deel van de uitdaging op beveiligingsgebied.

Daarbij worden deze policies alleen toegepast op systemen welke domain member zijn. Dat is een device van een gast eigenlijk default al niet.

[Reactie gewijzigd door Bor op 5 augustus 2021 09:54]

Microsoft geeft systeembeheerders de mogelijkheid om aangesloten hardware te beheren op apparaten binnen Group Policies. Via layered Group Policies kunnen beheerders bepalen welke apparaten wel en niet mogen worden geïnstalleerd.
Aangesloten hardware. Er wordt niet gespecieerd naar een device die domain member zijn.
Group policies worden alleen doorgevoerd op domain members in de Windows wereld. Een device moet onder de GPO vallen en daarop voldoende rechten hebben (read + apply). Een non domain member staat ook niet zo maar toe dat er instellingen worden doorgevoerd. Hoe wil je zonder vertrouwensrelatie (domain membership in dit geval) policies doorvoeren? Hoe weet het device dat de door te voeren policies te vertrouwen zijn?

[Reactie gewijzigd door Bor op 5 augustus 2021 10:02]

Waarom wordt het een externe apparaat genoemd? Laten we even een voorbeeld erbij pakken.
Een gebruiker wilt zijn privé laptop meenemen naar werk voor privé doel einde. Moet de laptop dan domain member worden zodat de IT dit soort policies kan toepassen?
Waarom wordt het een externe apparaat genoemd?
Een extern apparaat is een (removable) device welke je op bv je laptop of pc aansluit.
Denk het wel, hoe wil je anders de GPO pushen aangezien de domain controller niet de device herkent? Daarnaast misschien dat ze doelen op lan-netwerk als je verbonden bent.

Als je bijvoorbeeld in een WORKGROUP zit kan je ook GPO pushen volgens mij. Maar zo werken bedrijven niet geloof ik.
Interne en externe apparaten. Dus alles wat je maar kan aansluiten op een systeem.
Het gaat dus niet om een (extern) apparaat wat je aan het netwerk hangt.

De titel van het artikel zou eigenlijk moeten zijn
Microsoft geeft systeembeheerders de mogelijkheid om aangesloten hardware te beheren op apparaten binnen Group Policies.
To give IT admins greater control and visibility with corporate-owned devices in their organization, we have now enabled the apply layered Group Policy feature. This new feature gives you the ability to decide which devices can be installed on machines across your organization and which are prohibited.
Hier wordt het wel duidelijk uitgelegd op de microsoft site.
https://techcommunity.mic...group-policy/ba-p/2608462
Dat omschrijft niets nieuws rond hoe het altijd heeft gewerkt; voor GPO's is domain membership nodig. Wil je dat niet dan kan je alleen met local computer policies aan de gang.
Gastencomputers zijn onbeheerd. Daar gaat een organisatie deze policies niet op toepassen.

Een gastennetwerk is essentieel om BYOD'ers en daadwerkelijke gasten wel te voorzien van een internetverbinding, zonder deze apparaten toegang te geven tot de eigen infrastructuur (waar ze niets te zoeken hebben).

[Reactie gewijzigd door The Zep Man op 5 augustus 2021 09:05]

Gastencomputers zijn onbeheerd.
Kleine nuance; dit hoeft natuurlijk niet. Ze zijn doorgaans echter niet door jouw eigen organisatie beheerd. Een device van bv een consultant welke onder het beheer van zijn eigen firma valt kan in jouw netwerk een gast zijn. Het gaat dus niet alleen om beheerd vs onbeheerd maar ook om wie het device beheerd en daarmee de regels kan bepalen.
Als systeembeheer beschouw je alle systemen van gasten als onbeheerd, het maakt niet uit of het een standalone systeem is van een freelancer of een consultant waarvan het systeem beheerd word door een andere organisatie.
Gasten netwerk is en blijft een gasten netwerk. Dat is alleen een doorvoersluis voor om BYOD te maken zodat interne, externe allemaal toegang hebben tot het internet. Beheerd of als vaste netwerk onbeheerd.
Ja precies maar stel dat een bedrijf geen gastennetwerk willen implementeren omdat ze denken dat ''layered Group Policies uit voor toestaan van externe apparaten'' genoeg zal zijn. Tuurlijk er staan wel wat leuke policy's ertussen maarja het is iets wat net nieuw is en binnenkort geimplementeerd gaat worden.

Ik zou zelf als IT-er nooit willen kijken naar dit als een mogelijke optie binnen een bedrijf. Lekker veilig houden en externe op een gastennetwerk houden.
Hoe gaan windows policies zorgen dat gasten opeens op het netwerk mogen....
Je wilt hoe dan ook een scheiding tussen je diverse netwerken, je weet nooit wat voor ellende gasten met zich mee brengen.
Precies de reden dat je een gasten netwerk wilt in je bedrijf/huis ;)
Bijkomend wil je niet dat je gasten de lijn naar buiten vol trekken, en dat kan je met een separaat netwerk ook meteen aanpakken.

[Reactie gewijzigd door pOZORjED op 5 augustus 2021 09:05]

Precies de reden dat je een gasten netwerk wilt in je bedrijf/huis ;)
Let ook op dat je je gastennetwerk niet direct je internetverbinding laat gebruiken. Een gast die bijvoorbeeld een BitTorrent client aan laat staan kan bijvoorbeeld nog wel eens voor ellende zorgen.

Een gastennetwerk dat enkel via een VPN verbinding naar een algemene VPN provider het internet kan bereiken is beter.
Ik heb beperkingen staan in de firewall ;)
Daarbij komen hier vooral telefoons en tablets op bezoek.
Kwestie van policy’s op je gasten netwerk toepassen en zorgen dat een client/protocol niet alle bandbreedte verbruikt ;)
Nee, deze policy wordt alleen applied op jouw managed devices. Met externe apparaten worden hier USB-sticks, muis-dongles, webcams, printers en alle overige randapparatuur bedoeld.
Je staat hiermee geen externe laptop toe om op jouw bedrijfsnetwerk te mogen.
Dit gaat over "externe randapparatuur" die je inplugged op beheerde systemen.
Denk aan Keyboards, Muizen, Webcams, Headsets, Usbdisks etc.

Heeft niets te maken met Gast Computers/Systemen.
Maar een usb-device is wel heel algemeen om te blokkkeren. Stel je wilt van een bepaald merk geen USB-devices... heeft dan elk product van dat merk een eigen device-id? Moet je dan elk product aanschaffen om achter het device-id te komen? Ik hoop toch echt dat Microsoft een on-line lijst met device-id's per merk beschikbaar stelt.

[Reactie gewijzigd door Mic2000 op 5 augustus 2021 09:19]

Dus Microsoft moet alle DeviceID van alle devices op de hele wereld kennen? Beetje vreemde gedachte.
Sowieso zou ik niet snel alles van een bepaald merk blokkeren maar best dat er een usecase voor is.
Meestal wil je specifieke ID's blokkeren omdat deze een vulnerability hebben, of een bepaalde class omdat je bijvoorbeeld externe opslag wilt blokkeren.
device id bestaat uit een vendor en een device deel.
Mag hopen dat ze wildcards accepteren.

Maar dan nog, waarom zou je de boel willen blokkeren?
Met het installeren van een device, wordt ook driversoftware geïnstalleerd. Ik kan me voorstellen dat bedrijven bv alleen hardware van bepaalde vendors willen toestaan, waarvan ze weten dat de drivers OK zijn. Zat drivers die enge dingen uithalen, zoals bv de Samsung telefoon companion software, die vrolijk Windows Update VOLLEDIG uit zette (OK, is wat jaartjes terug, maar er zijn recent vast vergelijkbare voorbeelden).

Je kunt als ICT afdeling bv puur de hardware white-listen die je zelf getest hebt, zonder dat je alles preventief al op elke PC moet gaan installeren.
Met het installeren van een device, wordt ook driversoftware geïnstalleerd.
Dat hoeft niet altijd. Voor veel devices kent Windows de driver al of kan er gebruik worden gemaakt van een universal driver (bv bij usb sticks). Driver installatie kan je overigens ook op andere manieren blokkeren.

[Reactie gewijzigd door Bor op 5 augustus 2021 10:23]

Maar dan nog, waarom zou je de boel willen blokkeren?
Omdat er ook rogue usb devices zijn zoals keyloggers, data exfiltratie devices, usb sticks zijn een veelvoorkomend bron van malware besmetting etc.
Blacklist: *
Whitelist: DeviceID's (via PNPUtil)

MS Doc
Ben benieuwd hoe intuïtief dit werkt voor de beheerder.
Wij gebruiken Sophos Peripheral Control (onderdeel van Endpoint Protection)
Deze vind ik voor het beheren erg makkelijk want je hoeft niet te zoeken naar USB class GUID bijv: {4d36e979-e325-11ce-bfc1-08002be10318}

Er zijn 9 categorieën met per categorie de gedetecteerde apparaten (GUID)
Bluetooth, Secure removable storage, Floppy drive, Infrared, Modem, Optical drive, Removable storage, Wireless, MTP/PTP

Voor ons zijn alle Secure removable storage toegestaan.
Daarnaast kun je op Type en Model sorteren wat je verder nog wilt toestaan.

Policy Peripheral Model
Allow MTP/PTP CANON DR-M140 USB
Block MTP/PTP Apple iPhone
Allow MTP/PTP Logitech HD Webcam C525
Block Removable storage Generic Flash Disk USB

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True