Afschermen van Verkenner

Binnen de verkenner zijn al aardig wat onderdelen afgeschermd. Het kunnen bladeren op netwerkshares moet nog worden afgeschermd. Dit kan gedaan worden door middel van het blokkeren van de optie ‘Network Discovery and file Sharing’. Als dit geblokkeerd is kunnen gebruikers niet meer over het netwerk bladeren. De eigen netwerk mappings blijven wel beschikbaar. Deze optie is te vinden onder de volgende policy. Deze policy moet Disabled worden om de gewenste resultaten te krijgen.

  • Computer Policy > Policies > Administrative Templates >Network > Link-Layer Topology Discovery > Turn on Mapper I/O (LLTDIO) driver

Afschermen van het configuratiescherm

Veel van de standaardonderdelen van het configuratiescherm wil je als systeembeheerder niet beschikbaar maken voor iedere gebruiker. Als standaardgebruiker heb je vaak al niet de mogelijkheid om deze instellingen aan te passen, hiervoor is een administrator account benodigd. Het is daarom ook niet nodig om deze onderdelen weer te geven. Om een zo afgeschermd mogelijke omgeving te realiseren kunnen verschillende objecten afgeschermd worden. Dit kan gedaan worden door middel van een GPO. Om te beginnen worden de onderdelen van het configuratiescherm ookwel uitgedrukt in Cononical Names. Deze namen zijn nodig om alleen de door de systeembeheerder aangegeven onderdelen te laten zien. Het is immers wel handig als een gebruiker zijn eigen instellingen kan maken betreft de snelheidsinstellingen van de muis. Het instellen kan op meerdere manieren gebeuren. Zo kan er een whitelist of een blacklist gemaakt worden. In dit voorbeeld gaan we uit van een whitelist, alles wordt geblokkeerd op de aangegeven configuratiescherm items na. De instellingen betreft de configuratie van het configuratiescherm zijn te vinden onder GPO:

  • User Configuration > Policies > Administrative Templates > Control Panel > Show only specified Control Panel item settings

Zet de instelling op enabled en klik op de show button. In de lijst die weergegeven wordt kunnen de Cononical Names van de configuratiescherminstellingen toegevoegd worden van de onderdelen die weergegeven morgen worden in het configuratiescherm. Na instelling van deze GPO kunnen de gebruikers alleen de onderdelen zien waar zij recht toe hebben.

ScreenShot053

 

Hieronder zijn alle Cononical Names te vinden (Bron: Technet):

Control Panel Item Canonical name GUID
Action Center Microsoft.ActionCenter (Windows 7 and later only) {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
Administrative Tools Microsoft.AdministrativeTools {D20EA4E1-3957-11d2-A40B-0C5020524153}
AutoPlay Microsoft.AutoPlay {9C60DE1E-E5FC-40f4-A487-460851A8D915}
Backup and Restore Microsoft.BackupAndRestore (Windows 7 and later only) {B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}
Biometric Devices Microsoft.BiometricDevices (Windows 7 and later only) {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
BitLocker Drive Encryption Microsoft.BitLockerDriveEncryption {D9EF8727-CAC2-4e60-809E-86F80A666C91}
Color Management Microsoft.ColorManagement {B2C761C6-29BC-4f19-9251-E6195265BAF1}
Credential Manager Microsoft.CredentialManager (Windows 7 and later only) {1206F5F1-0569-412C-8FEC-3204630DFB70}
Date and Time Microsoft.DateAndTime {E2E7934B-DCE5-43C4-9576-7FE4F75E7480}
Default Location Microsoft.DefaultLocation (Windows 7 and later only) {00C6D95F-329C-409a-81D7-C46C66EA7F33}
Default Programs Microsoft.DefaultPrograms {17cd9488-1228-4b2f-88ce-4298e93e0966}
Desktop Gadgets Microsoft.DesktopGadgets (Windows 7 and later only) {37efd44d-ef8d-41b1-940d-96973a50e9e0}
Device Manager Microsoft.DeviceManager {74246bfc-4c96-11d0-abef-0020af6b0b7a}
Devices and Printers Microsoft.DevicesAndPrinters (Windows 7 and later only) {A8A91A66-3A7D-4424-8D24-04E180695C7A}
Display Microsoft.Display (Windows 7 and later only) {C555438B-3C23-4769-A71F-B6D3D9B6053A}
Ease of Access Center Microsoft.EaseOfAccessCenter {D555645E-D4F8-4c29-A827-D93C859C4F2A}
Folder Options Microsoft.FolderOptions {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}
Fonts Microsoft.Fonts {93412589-74D4-4E4E-AD0E-E0CB621440FD}
Game Controllers Microsoft.GameControllers {259EF4B1-E6C9-4176-B574-481532C9BCE8}
Get Programs Microsoft.GetPrograms {15eae92e-f17a-4431-9f28-805e482dafd4}
Getting Started Microsoft.GettingStarted (Windows 7 and later only) {CB1B7F8C-C50A-4176-B604-9E24DEE8D4D1}
HomeGroup Microsoft.HomeGroup (Windows 7 and later only) {67CA7650-96E6-4FDD-BB43-A8E774F73A57}
Indexing Options Microsoft.IndexingOptions {87D66A43-7B11-4A28-9811-C86EE395ACF7}
Infrared Microsoft.Infrared (Windows 7 and later only) {A0275511-0E86-4ECA-97C2-ECD8F1221D08}
Internet Options Microsoft.InternetOptions {A3DD4F92-658A-410F-84FD-6FBBBEF2FFFE}
iSCSI Initiator Microsoft.iSCSIInitiator {A304259D-52B8-4526-8B1A-A1D6CECC8243}
Keyboard Microsoft.Keyboard {725BE8F7-668E-4C7B-8F90-46BDB0936430}
Location and Other Sensors Microsoft.LocationAndOtherSensors (Windows 7 and later only) {E9950154-C418-419e-A90A-20C5287AE24B}
Mouse Microsoft.Mouse {6C8EEC18-8D75-41B2-A177-8831D59D2D50}
Network and Sharing Center Microsoft.NetworkAndSharingCenter {8E908FC9-BECC-40f6-915B-F4CA0E70D03D}
Notification Area Icons Microsoft.NotificationAreaIcons (Windows 7 and later only) {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
Offline Files Microsoft.OfflineFiles {D24F75AA-4F2B-4D07-A3C4-469B3D9030C4}
Parental Controls Microsoft.ParentalControls {96AE8D84-A250-4520-95A5-A47A7E3C548B}
Pen and Touch Microsoft.PenAndTouch (Windows 7 and later only) {F82DF8F7-8B9F-442E-A48C-818EA735FF9B}
People Near Me Microsoft.PeopleNearMe {5224F545-A443-4859-BA23-7B5A95BDC8EF}
Performance Information and Tools Microsoft.PerformanceInformationAndTools {78F3955E-3B90-4184-BD14-5397C15F1EFC}
Personalization Microsoft.Personalization {ED834ED6-4B5A-4bfe-8F11-A626DCB6A921}
Phone and Modem Microsoft.PhoneAndModem (Windows 7 and later only) {40419485-C444-4567-851A-2DD7BFA1684D}
Power Options Microsoft.PowerOptions {025A5937-A6BE-4686-A844-36FE4BEC8B6D}
Programs and Features Microsoft.ProgramsAndFeatures {7b81be6a-ce2b-4676-a29e-eb907a5126c5}
Recovery Microsoft.Recovery (Windows 7 and later only) {9FE63AFD-59CF-4419-9775-ABCC3849F861}
Region and Language Microsoft.RegionAndLanguage (Windows 7 and later only) {62D8ED13-C9D0-4CE8-A914-47DD628FB1B0}
RemoteApp and Desktop Connections Microsoft.RemoteAppAndDesktopConnections (Windows 7 and later only) {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
Scanners and Cameras Microsoft.ScannersAndCameras {00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3}
Sound Microsoft.Sound (Windows 7 and later only) {F2DDFC82-8F12-4CDD-B7DC-D4FE1425AA4D}
Speech Recognition Microsoft.SpeechRecognition (Windows 7 and later only) {58E3C745-D971-4081-9034-86E34B30836A}
Sync Center Microsoft.SyncCenter {9C73F5E5-7AE7-4E32-A8E8-8D23B85255BF}
System Microsoft.System {BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
Tablet PC Settings Microsoft.TabletPCSettings {80F3F1D5-FECA-45F3-BC32-752C152E456E}
Taskbar and Start Menu Microsoft.TaskbarAndStartMenu {0DF44EAA-FF21-4412-828E-260A8728E7F1}
Text to Speech Microsoft.TextToSpeech {D17D1D6D-CC3F-4815-8FE3-607E7D5D10B3}
Troubleshooting Microsoft.Troubleshooting (Windows 7 and later only) {C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}
User Accounts Microsoft.UserAccounts {60632754-c523-4b62-b45c-4172da012619}
Windows Anytime Upgrade Microsoft.WindowsAnytimeUpgrade {BE122A0E-4503-11DA-8BDE-F66BAD1E3F3A}
Windows CardSpace Microsoft.CardSpace {78CB147A-98EA-4AA6-B0DF-C8681F69341C}
Windows Defender Microsoft.WindowsDefender {D8559EB9-20C0-410E-BEDA-7ED416AECC2A}
Windows Firewall Microsoft.WindowsFirewall {4026492F-2F69-46B8-B9BF-5654FC07E423}
Windows Mobility Center Microsoft.MobilityCenter {5ea4f148-308c-46d7-98a9-49041b1dd468}
Windows SideShow Microsoft.WindowsSideShow {E95A4861-D57A-4be1-AD0F-35267E261739}
Windows Update Microsoft.WindowsUpdate {36eef7db-88ad-4e81-ad49-0e313f0c35f8}

Toegang tot lokale schijven afschermen

Om te zorgen dat gebruikers van de RDS server de lokale schijven van de RDS server niet kunnen benaderen moeten twee acties uitgevoerd worden. Ten eerste dient er een policy aangemaakt te worden die er voor zorgt dat de schrijven niet zichtbaar zijn binnen de verkenner. Binnen deze policy kan per driveletter aangegeven worden welke schijven verborgen worden. De policy die dit regelt is te vinden onder:

  • User Configuration > Policies >Administrative Templates > Windows Components / File Explorer > Hide these specified drives in My Computer

Ten tweede dient de toegang tot de schijven geblokkeerd te worden. Als bovenstaande policy geconfigureerd is kan de gebruiker nog steeds de lokale schijven benaderen. Dit komt omdat de toegang niet is geblokkeerd, de disk is alleen onzichtbaar gemaakt. Om de toegang te blokkeren kan de volgende GPO gebruikt worden:

  • User Configuration > Policies >Administrative Templates > Windows Components / File Explorer > Prevent access to drives from My Computer

Taakbalk afschermen

Bij een nieuwe installatie van Windows Server 2012 staat altijd bij iedere gebruiker een Server Manager en Powershell icoon weergegeven in de taakbalk. Gebruikers horen hier geen rechten op te hebben. Deze rechten kunnen ingesteld worden via AppLocker. AppLocker wordt in een opvolgend hoofdstuk behandeld. Als de gebruikers geen rechten hebben, is het ook niet nodig om de snelkoppelingen te hebben. Ze kunnen per profiel verwijderd worden. Echter neemt dat zeer veel tijd in beslag. Deze instelling kan snel gedaan worden via de volgende GPO:

  • Computer Configuration > Policies > Windows Settings > Security Settings > File System

Door middel van rechtermuisknop op de policy kunnen de volgende bestanden toegevoegd worden:

  • %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\System Tools\Windows PowerShell.lnk
  • %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk

Vervolgens moet in het security tabblad ingesteld worden dat de ‘Creator Owner’ en ‘Domain Users’ geen rechten hebben. Verwijder deze gebruikers uit de lijst. De snelkoppeling zal vervolgens niet aangemaakt worden bij het aanmaken van een nieuw profiel van een standaardgebruiker. De applicaties kunnen echter nog wel gestart worden. Dit kan voorkomen worden door middel van AppLocker.