Windows 10-beheerders waren in het verleden niet in staat om selectief USB-apparaten te blokkeren, maar nu kunnen ze dat dankzij de nieuwe gelaagde functie Groepsbeleid van Microsoft.
Groepsbeleid van Windows 10 is een manier voor beheerders om de app Instellingen onder andere op beheerde pc's te beheren, maar de beleidsinstellingen waren in het verleden grof. Ze kunnen nu prioriteit krijgen om te voorkomen dat sommige USB-opslagapparaten verbinding maken met een pc, terwijl andere wel verbinding kunnen maken.
Voor Windows 10 en het komende Windows 11 heeft Microsoft de mogelijkheid ingeschakeld om deze apparaatbesturingselementen toe te passen, waardoor beheerders kunnen kiezen welke apparaten in een organisatie kunnen worden geïnstalleerd en welke apparaten worden verbannen.
De mogelijkheid heeft meerdere implicaties voor beveiliging, waardoor beheerders bijvoorbeeld kunnen voorkomen dat gebruikers schade aanrichten door malafide of kwaadaardige USB-apparaten, zoals thumbdrives of apparaten voor massaopslag, te plaatsen. Beheerders kunnen bepaalde apparaten of klassen van apparaten op de zwarte lijst of op de witte lijst zetten door apparaat-ID's te gebruiken.
Microsoft zegt dat de functie algemeen beschikbaar zal worden voor beheerders met de Patch Tuesday-update van augustus 2021, die op dinsdag 10 augustus arriveert.
“De mogelijkheid om gelaagd groepsbeleid toe te passen is beschikbaar voor alle versies van Windows 10 als onderdeel van de optionele “C”-clientversie van juli 2021 en zal breder beschikbaar worden gemaakt vanaf de update dinsdag van augustus 2021. De Windows Server-release zal volgen daarna. Deze functie wordt ook ondersteund in Windows 11″, zei Microsoft in een blogpost.
Daarna zullen Windows 10 en Windows 11 apparaten die zijn verbonden begrijpen op basis van hun klasse, apparaat-ID en instantie-ID zoals gedefinieerd door de systeembeheerder. Hierdoor kan de beheerder bepalen welke apparaten zijn toegestaan of geblokkeerd.
Windows 11 is nu in preview en wordt geleverd met een groot aantal op hardware en virtualisatie gebaseerde beveiligingsfuncties om ransomware en interne bedreigingen te voorkomen. Windows 11 zal naar verwachting rond oktober 2020 worden uitgebracht, in lijn met de eerdere release-cyclus in de herfst.
Microsoft belooft dat het gelaagde groepsbeleid beheerders in staat zal stellen USB per klasse te blokkeren, terwijl andere klassen USB-apparaten verbinding kunnen maken met een pc met Windows 10 of Windows 111. .
“Het nieuwe beleid stelt je in staat om scripts te focussen op USB-klassen en erop te vertrouwen dat geen enkele andere klasse zal worden geblokkeerd, tenzij aangegeven door de IT-beheerder”, staat er.
Het belooft ook meer flexibiliteit door beheerders selectief beleid te laten maken dat voorkomt dat gebruikers apparaten verbinden met download- en uploadmogelijkheden in plaats van algemene regels.
Het eigenlijke hiërarchische gelaagdheidsgedeelte helpt beheerders bij het prioriteren van instantie-ID's, gevolgd door hardware-ID's en apparaatklasse.
“IT-professionals kunnen alle USB-klassen verbieden en slechts een klein aantal USB-apparaten via hardware-ID's toestaan, aangezien deze een hogere rang hebben; de lijst met toegestane waarden heeft echter alleen voorrang op de lijst met voorkomen als de vermelde apparaten op de toegestane lijst zijn verbonden met de machine”, merkt Microsoft op.
Verwante onderwerpen:
Cloud Big Data Analytics Innovation Tech en Work Collaboration Developer 