Figuur 1 : Overzicht van policies in Vista

Belangrijke wijzigingen die hebben plaatsgevonden zijn:
- Delegeren van printer driver installaties
- Printers kiezen op basis van locatie informatie
- Verbeterd internet explorer management
- Verbeterde beveiligings policies
- Randapparatuur controle
- Energiebeheer
- Netwerk localisatie
- Policy template formaat
- Group policy service
- FRS en Sysvol
- Ondersteuning voor kiosk configuraties
- Uitbreiding in de administrative templates

Delegeren van printer driver installaties
Een aloud probleem, eingebruikers dienen geen installatie rechten te bezitten om redenen van veiligheid, beveiliging en kosten. Dat laatste punt is dan ook gelijk weer het heikele punt, zonder installatierechten is ook het installeren van een gewone printer niet eenvoudig. Windows Vista voegt een policy categorie toe die het mogelijk maakt om klassen met drivers te benoemen die mogen worden geïnstalleerd door een eindgebruiker. De policy die het controleert heet de ‘Allow non-administrators to install drivers for these device classes’ welke terug te vinden is onder Computer Configuration\Administrative Templates\System\Driver Installation.
Printer deployment is nu ook standaard aanwezig als optie. Afhankelijk van de omgeving zal dit echter niet meteen werken en het is mogelijk dat, om schijnbaar onverklaarbare reden, het niet lukt om een printer te deployen. Een van de oorzaken kan liggen in de gebruikte Active Directory. Pas in Windows 2003 R2 werd het schema uitgebreid om dit soort zaken mogelijk te maken. Wanneer er geen R2 domain controllers aanwezig zijn en/of er geen schema uitbreiding hiervoor is gedaan dan kan deze functie ook niet worden gebruikt. Op de tweede CD van Windows 2003 R2 bevind zich een adprep met de benodigde uitbreidingen. Deze moet eerst worden gedraait om het mogelijk te maken deze funtie in te zetten.

Figuur 2 : Het toevoegen van device classes welke mogen worden geïnstalleerd

Printers kiezen op basis van locatieinformatie
Het is nu ook mogelijk printers toe te kennen op basis van loatie. Wanneer een eindgebruiker van locatie wisselt worden de printers voor de ene locatie vervangen door die van de andere locatie. Eerdere versies van Windows werkten hier al naartoe en is nu verder geïntegreerd in Vista.

Verbeterd internet explorer management
N iet direct een nieuwe als wel een sterk verbeterde categorie. Voorheen werd de internet explorer policy vooral bepaald door het beheerstation waar de policy werd geopend. Hier werd namelijk uitgelezen wat er lokaal stond ingesteld en dat werd aan de policy toegevoegd. Dit maakte internet explorer beheer onnodig complex, wanneer iemand onoordeelkundig de policy bekeek kon dat al tot grote problemen leiden. Dit is nu veranderd en we kunnen gewoon direct de diverse policies aanpassen.

Figuur 3 : De nieuwe Windows Firewall aansturen via een policy

Verbeterde beveiligingspolicies
De firewall en ipsec policies zijn nu gecombineerd. Dit is meer dan alleen een cosmetische actie. Het gaat om twee verwante technologieën waardoor het logischer is ze ook zo te groeperen.

Figuur 4 : Firewall policies in Vista

Randapparatuur controle
Net als met printer drivers is ook de overige apparatuur een probleem wanneer we beschikken over een beveiligde omgeving. De device installation policies helpen om het voor gebruikers makkelijke te maken apparaten aan te sluiten zonder dat het ingrijpen van een beheerder noodzakelijk is. Het wordt dan makkelijker om een camera, telefoon of usb geheugen aan te sluiten. De devices worden geselecteerd op basis van Guids, de guids zijn onder meer terug te vinden in de eigenschappen van een device in de device manager. Zowel de guid van het device als die van de klasse waartoe hij behoort kunnen worden teruggevonden.

Device Class Guid
Bluetooth {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Imaging Device {6bdd1fc6-810f-11d0-bec7-08002be2092f}
Modem {4d36e96d-e325-11ce-bfc1-08002be10318}
Storage Volumes {71a27cdd-812a-11d0-bec7-08002be2092f}
USB {36fc9e60-c465-11cf-8056-444553540000}
Smart Card Readers {50dd5230-ba8a-11d1-bf5d-0000f805f530}
Printer {4d36e979-e325-11ce-bfc1-08002be10318}
Network Adapter {4d36e972-e325-11ce-bfc1-08002be10318}

Figuur 5 : Controleer externe storage (USB, I-pod)

Figuur 6 : De device class guid in de device eigenschappen

Energiebeheer
De laatste is een klein, maar enigszins vervelend gemis in de huidige Windows versies. Energiebeheer kon niet worden gestuurd via policies behoudens via extra software van derde partijen of met script trucs. In Vista heeft energiebeheer echter zijn eigen verdiende plek gekregen en is gelocaliseerd onder Computer Configuration\Administrative Templates\System\Power Management

Figuur 7 : Power management via policy

Netwerk localisatie
De gevoeligheid van het huidige policy systeem wordt nog wel eens onderschat. De kleinste problemen met de netwerk situatie kan al leiden tot niet werkende policies, denk hierbij aan DNS, VPN’s, bandbreedte problemen en firewalls. Een aantal van deze zaken zijn in Vista aangepakt waardoor het policy systeem robuuster wordt. Dit heeft niet alleen met policies te maken, er zijn meerdere systeem onderdelen die hun gedrag aanpassen aan de condities. De ingebouwde firewall moet bijvoorbeeld wanneer de pc verbonden is met het domein de mogelijkheid bieden tot beheer op afstand. Aan de andere kant wanneer dit niet meer het geval is moet juist de toegang worden beperkt. Omdat mogelijk te maken is aan vista een nieuwe set aan API’s (Application Programming Interface) toegevoegd. Deze zorgen ervoor dat onderdelen van het systeem relatief eenvoudig kunnen uitvinden welke verbindingen er zijn en informatie verkrijgen over wat die verbindingen precies kunnen bieden. Je merkt dit in Vista al direct wanneer je verbinding zoekt met een netwerk, je krijgt onmiddellijk de vraag wat voor type netwerk de verbinding moet voorstellen waarbij de keuze wordt geboden tussen Werk, Thuis en Publiek. De eerste mogelijkheid is ook nog eens afgeschermd voor de gewone gebruiker (herkenbaar aan het elevation schildje). Daarnaast zoekt windows uit of de domain controller bereikbaar is wanneer er verbinding is met het netwerk zodat in het geval van een domein verbonden Vista machine er bijvoorbeeld wel policies uitgevoerd gaan worden terwijl dit niet gebeurd als er geen domein aanwezig is. Hier kan dan onnodig verkeer of wachtijden worden vermeden. In tegenstelling tot vroeger gebruiken policies daarom geen eigen algoritme meer om de verbindingskwaliteit vast te stellen. ICMP problemen waarbij routers ICMP afvingen waardoor policies niet liepen behoren hiermee uit het verleden. Het policy systeem is nu ook in staat te wachten met het uitvoeren van policies totdat de omgeving ook daadwerkelijk beschikbaar is en zal niet voortijdig falen.
Op termijn zal de location awareness veel kleine probleempjes in Windows op gaan lossen. Zowel het policy systeem als offline bestanden waren in het verleden bericht om hun WAN detectie problematiek. Dit zal zeker ook gelden voor andere toepassingen welke allemaal nu kunnen gebruik gaan maken van een consistente API.

Figuur 8 : Bandbreedte detectie in Vista

Policy templates
Het formaat van de administratieve templates (*.adm) is ook flink onderhanden genomen en vervangen door, hoe kan het ook anders, een systeem van xml bestanden wat ook policy templates meer in lijn brengt met de standaarden van vandaag de dag. Om deze reden is ook de extensie gewijzigd naar admx.

Voorbeeld van het nieuwe formaat administratieve templates:

http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="0.9" schemaVersion="0.9" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">

Group policy service
Voorheen was het Group policy proces gekoppeld aan het winlogon proces. Dit had een aantal nadelen tot gevolg met betrekking tot het uitvoeren van policies en het vastleggen van de gebeurtenissen. Hier is nu verandering in aangebracht,waardoor het policy systeem veel robuuster is geworden. Overigens zijn hierdoor de Group policy event meldingen verhuisd. Ze zijn nu niet meer terug te vinden in het applicationlog maar in het systemlog. Naast deze verhuizing is er ook een nieuw log verschenen. In het applications and services log bevind zich nu ook een Group policy sectie waar aanvullende logging is terug te vinden.

Figuur 9 : Group policy in het applications and services log

FRS en Sysvol
Het policy systeem is altijd een beetje vreemd geïntegreerd met active directory. Zonder active directory geen Group policies maar de policies zelf zijn gelokaliseerd in sysvol, een soort DFS (Distributed File System) gestuurde bestandsorganisatie. Dit brengt wat nadelen met zich mee, een nieuwe policy veroorzaakt bijvoorbeeld een replicatiegolf vanwege de templates die worden toegevoegd. Replicatie problemen zullen tevens leiden tot policy problemen. Er is nu ook een speciale repository voor de templates waardoor het mogelijk wordt van elke template versie maar één exemplaar te bewaren. Daarnaast is het replicatiemechanisme in Longhorn overgestapt op hetzelfde mechanisme als wat DFS gebruikt in Windows 2003 R2 (DFS-R).
De centrale repository kan bestaan op een Windows 2003 server, echter we moeten dan wel even de repository aanmaken. Dit doen we als volgt:
Als eerste openen we de sysvol share en maken daarin de volgende map:
..\domain\policies\PolicyDefinitions

Kopieer vervolgens alle admx bestanden die zich op een vista werkstation bevinden in de map %systemroot%\PolicyDefinitions naar de gelijknamige map in sysvol.

Vanaf nu zal de vista gpmc automatisch de store gebruiken om admx templates op te vragen.

Ondersteuning voor kiosk configuraties
Voorheen waren groupolicies voor bijna 100% afhankelijk van een domein. Dit is echter niet altijd aanwezig, denk aan pc’s in internet cafe’s of locatie zonder verdere verbindingen. Middels enige moeite kon hier wel een beetje gebruik worden gemaakt van het policy systeem maar dit was toch enigszins bewerkelijk. Met de introductie van Vista is er een volledige ondersteuning voor lokale policies waarvan er meerdere kunnen zijn die middels lokale groepen worden gestuurd. Dit maakt het bijvoorbeeld mogelijk om een restrictieve policy voor een kiosk gebruiker te maken en een open policy voor beheerders.

Nieuwe policies in administative templates
Naast deze grote verbeteringen zijn er ook veel policies toegevoegd aan de bestaande set zoals Antivirus, Disk diagnostics, Netwerk Quarantine, Tablet PC en user account protection. Hiermee heeft het policy systeem weer een grondige oppoetsbeurt ondergaan en is helemaal klaar voor de nieuwe wereld van Windows Vista.
Een aantal van de nieuwe features springen er uit. Er is de al eerder genoemde mogelijkheid om te controleren of en welke devices kunnen worden toegevoegd, interessant in combinatie daarmee is de mogelijkheid de toegang tot bepaalde externe devices te controleren. Een nadeel is overigens wel dat devices opgegeven worden middels de guid en dat de policy editor geen handige koppeling kent met bijvoorbeeld device manager om dergelijke informatie te achterhalen.
Ook de nieuwe en soms verguisde User Account Control functie kent een plaats onder de Security options sectie, het zijn een aantal van de bijna 1500 nieuwe beveiligings gerelateerde instellingen die zijn toegevoegd. Twee zullen zeker interessant zijn. De eerste schakelt de instemmings dialogen uit voor beheerders:

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
Mogelijke opties:
- Prompt for consent
- Prompt for credentials
- Elevate without prompting

De derde optie voorkomt het continu verschijnen van de instemmings dialogen. Met name voor beheerderswerkzaamheden is dit vrij snel vervelend. Voor gebruikers is dit wat minder van belang, zij krijgen echter standaard het ‘prompt for credentials’ scherm wat vermoedelijk meer tot telefoontjes naar de helpdesk zal leiden dan daadwerkelijk behulpzaam zijn. Dit gedrag wordt geregeld door de volgende policy:

User Account Control: Behavior of the elevation prompt for standard users

In dit geval willen we misschien juist kiezen voor de optie ‘automatically deny elevation requests’. Dit zorgt ervoor dat de gebruiker een toegang geweigerd krijgt in plaats van de vraag om een naam en wachtwoord waar de gebruiker mogelijk niet eens over beschikt.

Een item lijkt nauwelijks te zijn verandert, dat zijn de audit policies. Maar wacht, wanneer we kijken in de security options sectie is erl een nieuwe policy verschenen:

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

De bijgaande hulp zegt hierover:

Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature

Wanneer we zoeken naar de subcategory functie kunnen we deze echter nergens terugvinden. En dat klopt, deze schitteren door afwezigheid. Er is gelukkig wel een workaround beschikbaar door een startup policy script te gebruiken.
We gaan als volgt te werk:
Met de commandline tool auditpol kunnen we een policy gaan maken. Een overzicht van de standaard policies zijn dan te verkrijgen met dit commando:
auditpol /list /subcategory:*

Als eerste verwijderen we de default: auditpol /clear
Vervolgens kunnen we nieuwe policies toevoegen bijvoorbeeld:
auditpol /set /subcategory:"user account management" /success:enable /failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Wanneer we tevreden zijn over het resultaten dan kunnen we de policies gaan exporteren met dit commando:
auditpol /backup /file:auditpolicy.txt

Het resulterende bestand kopiëren we naar de netlogon share van de PDC emulator. We zullen vervolgens hiervoor een startup policy gaan maken.

Alvorens dat te doen gaan we nog even terug naar de security options, naar deze policy:
Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings

Schakel deze policy in zodat er geen group policies zijn die onze nieuwe policies kunnen uitschakelen.

Maak vervolgens een applypolicy.cmd met de volgende inhoud:
%systemroot%\system32\auditpol.exe /restore /file:%logonserver%\netlogon\auditpolicy.txt

(let op: dit is een enkele regel)
Plaats vervolgens applypolicy.cmd in de netlogon share naast de auditpolicy.cmd.

Verwijder nu nogmaals alle instellingen uit de auditpolicy: Auditpol /clear

Herstart nu de machine. De nieuwe policies zouden moeten worden geladen.

Tot slot
Algemeen gesproken is er wel veel verandert op policy gebied maar erfenissen uit het verleden zijn niet helemaal verdwenen. Het nieuwe XML formaat, de centrale store, location awareness zijn allemaal goede verbeteringen. Een voorbeeld als voorgaand hoe nu moet worden omgegaan met audit policies maakt alles er niet duidelijker op. Het policy is verbeterd, we kunnen meer instellen maar er is zeker nog ruimte voor verbetering.