Microsoft

So verwenden Sie mehrschichtige Gruppenrichtlinien in Windows

Mit geschichteten Gruppenichtlinien (Layered Group Policies) lassen sich komplexe Sicherheitsrichtlinien für die Geräteinstallation festlegen. Wir erklären, wie das funktioniert.

USB-Geräte sind eine große Sicherheitslücke in Unternehmen, da sie mobil und sehr schwer zu kontrollieren sind. Deshalb ist es wichtig, dass Administratoren die Installation von USB-Geräten, USB-Sticks und externen Festplatten im Unternehmen steuern und bei Bedarf verhindern. Das gilt auch für Drucker. Viele der genannten Punkte lassen sich mit Layered Group Policies umsetzen.

Layered Group Policies (mehrschichtige Gruppenrichtlinien) sind ab Windows 10 21H2 und Windows 11 verfügbar. Mit der Technologie ist es möglich, Gruppenrichtlinien zu definieren, die genau die Installation von Hardware und deren Treiber steuert.

Installation von Hardware mit Richtlinien verhindern

Wenn Sie ein neues Gerät anschließen, ruft Windows bestimmte Informationen ab, auf deren Basis das Betriebssystem entscheidet, ob es einen internen Treiber verwenden oder diesen von einem Drittanbieter beziehen soll. Auch zusätzliche Funktionen der Endgeräte lassen sich über diesen Weg aktivieren.

Installationsanweisungen sind in die Gerätidentifikations-Strings und die Gerätesetupklasse verpackt. Ein Gerät verfügt normalerweise über mehrere Identifikations-Strings, die der Hersteller festlegt. Außerdem ist auch in der *.inf-Datei des Treibers ein String hinterlegt. Auf dieser Basis entscheidet Windows, welchen Treiber es installieren soll.

Über Richtlinien unterbinden Administratoren zum Beispiel die Installation von USB-Sticks, oder schalten nur bestimmte Geräte überhaupt für den Betrieb frei. Auch das Installieren von Druckern lässt sich auf diesem Weg steuern und verhindern. Auf der Seite Verwalten der Geräteinstallation mit Gruppenrichtlinien erklärt Microsoft, wie Sie das bewerkstelligen.

Die Einstellungen dazu sind in den Gruppenrichtlinien von Windows 11 und Windows Server 2022 unter Computerkonfiguration\Administrative Vorlagen\System\Geräteinstallation\Einschränkungen bei der Geräteinstallation zu finden. Besonders wichtig ist an dieser Stelle die Richtlinie Anwenden einer übergeordneten Reihenfolge für Zulassen und Verhindern-Geräteinstallationsrichtlinien für alle Geräteüberstimmungskriterien.

Sie weisen die Richtlinien also einem Computer oder Computergruppen zu, nicht Benutzern oder Benutzergruppen. Admins bestimmen somit, an welche Computer die Benutzer Geräte anbinden können und nicht, welche Benutzer das dürfen.

Dazu verwenden die Richtlinien Informationen zur Geräteerkennung: die Klasse, Geräte-ID und Instanz-ID. Sie hinterlegen diese Informationen in der Richtlinie und erstellen somit eine Freigabeliste, die Windows überprüft, um herauszufinden, auf welchen Rechnern im Netzwerk was erlaubt ist.

Abbildung 1: Die neuen geschichteten Gruppenrichtlinien ermöglichen eine gezielte Steuerung der Geräteinstallation in Windows 10 und Windows 11
Abbildung 1: Die neuen geschichteten Gruppenrichtlinien ermöglichen eine gezielte Steuerung der Geräteinstallation in Windows 10 und Windows 11

Mehr Flexibilität mit Layered Group Policies

Layered Group Policies erhöhen die Flexibilität der Hardwareinstallation auf Rechnern mit Windows 10 und Windows 11. Ihr Vorteil ist ein intuitiverer Zugang zur Nutzung von Richtlinien. Administratoren müssen nicht mehr die Geräteklassen kennen, um die Installationseinstellungen vorzunehmen.

Verbote hatten bei der bisherigen Funktionsweise Vorrang vor Erlaubnissen. Mit Layered Group Policies führt Microsoft eine hierarchische Schichtung in der folgenden Reihenfolge ein:

  1. Instanz-ID: die höchste Stufe
  2. Hardware-IDs und kompatible IDs (Geräte-IDs)
  3. Klasse

Die Rangfolge der Gerätekennungen ist der erste Faktor, den das System überprüft. Sind sie gleichrangig, erhält das Verbot Vorrang vor der Erlaubnis. Dadurch lassen sich zum Beispiel alle USB-Klassen sperren während Sie nur eine kleine, ausgewählte Gruppe von USB-Geräten über Hardware-IDs zulassen. Umgekehrt hat die Zulassen-Liste Vorrang vor der Verhindern-Liste, wenn die in der Zulassen-Liste aufgeführten Geräte mit dem Computer verbunden sind. Windows weist Treiberpaketen einen gewissen Rang zu. Je niedriger der Rang, umso besser passt der Treiber zum Gerät. Der beste Rang für einen Treiber ist 0. Je höher der Rang, umso schlechter passt der Treiber. Bei der Installation spielen vor allem folgende Richtlinien eine Rolle:

Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind:

Aktivieren Sie diese Einstellung, können Anwender keine Geräte installieren, außer Sie haben diese in der Einstellung Installation von Geräten mit diesen Geräte-IDs zulassen oder Installation von Geräten zulassen, die diesen Gerätesetupklassen entsprechen aufgeführt.

Wenn die Richtlinie Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind nicht konfiguriert ist, können Anwender alle Geräte installieren mit Ausnahme der Geräte die in den Einstellungen Installation von Geräten mit diesen Geräte-IDs verhindern oder Installation von Geräten verhindern, die diesen Gerätesetupklassen entsprechen oder Installation von Wechselgeräten verhindern definiert sind.

Administratoren das Außerkraftsetzen der Richtlinien unter „Einschränkungen bei der Geräteinstallation" erlauben:

Mit dieser Richtlinie erlauben Sie Mitgliedern der lokalen Administratorengruppe jede Art von Treiber installieren, unabhängig von den Gruppenrichtlinieneinstellungen. Dazu müssen Sie allerdings den Assistenten zum Hinzufügen von neuer Hardware verwenden. Wenn diese Einstellung nicht gesetzt ist, dürfen auch die Administratoren die entsprechenden Geräte nicht installieren.

Installation von Geräten mit diesen Geräte-IDs verhindern

Hier hinterlegen Sie eine Liste mit allen Geräte-IDs, deren Installation Sie verhindern möchten.

Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen

Hier können Sie die Installation ganzer Geräteklassen sperren

Installation von Geräten mit diesen Geräte-IDs zulassen

Hinterlegen Sie in dieser Einstellung eine Liste mit Geräte-IDs, um zu erlauben, dass die zugehörigen Geräte installiert werden.

Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen

Hier können Sie festlegen, welche Geräteklassen die Anwender installieren dürfen.

Konfiguration von Gruppenrichtlinien für den Zugriff auf Wechselmedien

Neben den genannten Möglichkeiten, Installationen zu sperren oder erlauben, haben Sie die Option, den schreibenden und lesenden Zugriff auf Wechselmedien über die Gruppenrichtlinien zu regulieren. Auf die Richtlinie zum Steuern von Wechselmedien können Sie sowohl unter der Computerkonfiguration als auch in der Benutzerkonfiguration zugreifen. Dorthin gelangen Sie folgendermaßen:

Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

Erfahren Sie mehr über IT-Sicherheits-Management