image

Microsoft adviseert organisaties om 25 Windows-policies te vermijden

vrijdag 21 januari 2022, 14:21 door Redactie, 17 reacties

Sinds de lancering van de eerste Windows 10-versie is er het nodige veranderd op het gebied van patches en beveiligingsupdates, waardoor allerlei Windows-policies irrelevant of door betere opties zijn vervangen, aldus Microsoft. Het techbedrijf heeft daarom een lijst van 25 Windows-policies met betrekking tot de installatie van updates verzameld die organisaties niet moeten instellen.

Volgens Microsoft hebben organisaties nu meer controle over het updaten van hun computers, zoals de installatie en het herstarten van machines. Veel organisaties maken gebruik van group policies om het updatebeleid voor hun omgeving te configureren. Door de aanpassingen die de afgelopen jaren zijn doorgevoerd zijn oudere policies irrelevant geworden of vervangen door een betere optie.

Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken, niet meer werken zoals omschreven op systemen met Windows 10 versie 20H2 of nieuwer of wel werken, maar niet zo goed als de policies die een soortgelijke ervaring op een betere manier bieden. Systeembeheerders worden dan ook door Microsoft opgeroepen om hun policy-instellingen te controleren en alleen aanbevolen policies te gebruiken.

Reacties (17)
21-01-2022, 22:20 door Anoniem
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?
21-01-2022, 23:02 door Anoniem
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?
Omdat het heel vervelend is als jouw scripts en policy files ineens ongeldig zijn en foutmeldingen veroorzaken. En je dus moet gaan uitzoeken wat er aan de hand is. Het is beter dat Microsoft een optie zinloos maakt een adviseert deze te verwijderen.
21-01-2022, 23:06 door Anoniem
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?
Omdat ze dit enkel doen om beheerder te pesten naar hun idee van netwerk runnen waarbij M$ bepaalt wanneer iets moet gebeuren.

Voorbeeld
Allows the IT admin to restrict the updates that are installed on a device to only those on an update approval list. It enables IT to accept the End User License Agreement (EULA) associated with the approved update on behalf of the end user. EULAs are approved once an update is approved.

M$ hun response:
Deprecated already, replaced with Require Update Approval - which is now also being deprecated.


Tentijde van XP en W7 kon je als beheerder alles exact regelen zonder tramalant.
Gebruikers werden nooit lastig gevallen met update meldingen als je dat wou. Die kon je verbergen en vervolgens gepland en approved runnen rond tijden dat ze er geen last van hadden.. Nu kun je niet eens specificeren wanneer een failed update request een retry doet waardoor het altijd de gebruiker nu stoort,

Ik ken beheerders die op beveiliging policies na niet eens meer de moeite nemen om group policies aan te maken omdat M$ van de ene op de andere release zonder aankonding besluit iets ongedaan te maken. Maar ik ken ook beheerders die dit als oorlogs verklaring zien en heel W10 hebben gesloopt en alle policies er middels hacks in hebben gekregen en nooit meer Windows updater gebruiken maar alle kb's los installeren of runnen vanuit een non M$ deployment service.

Hoe dan ook als een bedrijf begint met vertellen dat ze geluisterd hebben naar de community feedback kun je 9 van 10 keer van uit gaan dat ze er niks gedaan mee hebben en hun eigen visie je de strot door duwen ook al levert het braakneigingen op bij de gebruikers.
22-01-2022, 01:28 door Anoniem
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?
Omdat een policy geen software is, maar een regel die je hebt afgesproken om uit te voeren als een situatie zich voordoet. Zoiets kun je op een bepaalde manier configureren, bijvoorbeeld nieuwe updates alleen maar automatisch downloaden en nog niet installeren, of wel installeren maar alleen op vooraf bepaalde machines.
22-01-2022, 07:46 door Anoniem
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?
Bang dat hetv dan helemaal niet meer werkt. Oude techniek: IF IT RUNS DON'T TOUCH IT
22-01-2022, 09:52 door [Account Verwijderd]
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?

Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.
22-01-2022, 10:22 door Anoniem
Door Toje Fos:
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?

Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.
Deze policies zijn nutteloos voor Windows 10/11 maar nog wel nodig voor Windows XP/7/8. Als Microsoft ze via een update zou verwijderen valt het update proces van heel veel organisaties om.
22-01-2022, 14:51 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?

Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.
Deze policies zijn nutteloos voor Windows 10/11 maar nog wel nodig voor Windows XP/7/8. Als Microsoft ze via een update zou verwijderen valt het update proces van heel veel organisaties om.
Daarom is het ook zeer onverstandig om van Microsoft producten verschillende versies en ook talen te hebben draaien. Oftewel een monocultuur is het makkelijkst maar ook het gevaarlijkst.
23-01-2022, 09:00 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?

Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.
Deze policies zijn nutteloos voor Windows 10/11 maar nog wel nodig voor Windows XP/7/8. Als Microsoft ze via een update zou verwijderen valt het update proces van heel veel organisaties om.
Daarom is het ook zeer onverstandig om van Microsoft producten verschillende versies en ook talen te hebben draaien. Oftewel een monocultuur is het makkelijkst maar ook het gevaarlijkst.

Vendorlock-in zelfs binnen versie en taal? Dan is het nog veel erger dan ik al vreesde!
23-01-2022, 11:20 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?

Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.
Deze policies zijn nutteloos voor Windows 10/11 maar nog wel nodig voor Windows XP/7/8. Als Microsoft ze via een update zou verwijderen valt het update proces van heel veel organisaties om.

Jemig wat een reacties op dit forum...
Deze is dan nog het meest ontopic...

Policies zijn niet meer dan instellingen die uiteindelijk op een werkplek/server een registry plaatst, that's it...
Op dit moment heb je ADMX templates voor meerdere operating systemen, bv. apart voor Windows 10 en 11.
Wanneer je een ADMX in zou laden van Windows 11, daar policies mist voor Windows 7,8 of 10, dan valt er echt niets om.
Je ziet de policies alleen niet meer in Group Policy Management console, maar als je in het verleden iets hebt ingesteld worden deze alsnog gebruikt.

Als voorbeeld:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/windows-10-or-windows-11-gpo-admx-which-one-to-use-for-your/ba-p/3063322

Het is maar een advies wat hier wordt neer gepost.
23-01-2022, 17:03 door Anoniem
Dat men dat doet in windows11 - akkoord - maar als je midden in windows10 zo'n belangrijke details wijzigt - dan ben je echt niet goed bezig!
24-01-2022, 09:04 door Anoniem
Door Anoniem: Dat men dat doet in windows11 - akkoord - maar als je midden in windows10 zo'n belangrijke details wijzigt - dan ben je echt niet goed bezig!
Wanneer je over aan het gaan bent van de ene naar de andere versie, zul je proberen om de verbeteringen uit het nieuwe systeem ook in het oude te krijgen. Verder is het logisch, omdat je dan de policies al goed kunt hebben, voor je naar die nieuwe omgeving gaat.
24-01-2022, 13:08 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Daardoor bevat de verzameling van policies voor Windows-updates meerdere policies die niet meer werken
Waarom worden niet werkende windowsdingen er er dan niet uitgehaald?

Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.
Deze policies zijn nutteloos voor Windows 10/11 maar nog wel nodig voor Windows XP/7/8. Als Microsoft ze via een update zou verwijderen valt het update proces van heel veel organisaties om.
Daarom is het ook zeer onverstandig om van Microsoft producten verschillende versies en ook talen te hebben draaien. Oftewel een monocultuur is het makkelijkst maar ook het gevaarlijkst.

Vendorlock-in zelfs binnen versie en taal? Dan is het nog veel erger dan ik al vreesde!
Ja het is heel erg. Ik heb eens door gebruik van een Engelse versie van een MS tool heel (in een NL omgeving) AD corrupt gemaakt
25-01-2022, 10:31 door Joep Lunaar
Door Anoniem:
Omdat een policy geen software is, maar een regel die je hebt afgesproken om uit te voeren als een situatie zich voordoet. Zoiets kun je op een bepaalde manier configureren, bijvoorbeeld nieuwe updates alleen maar automatisch downloaden en nog niet installeren, of wel installeren maar alleen op vooraf bepaalde machines.

Dat is waar, maar ...

Veel configuratie ligt ook hard-coded in vast in de programmatuur, veelal als defaults - hoe beter de defaults zijn gekozen des te minder zal de gebruiker genoodzaakt zijn daar een andere waarde overheen in te stellen. Het vinden van goede defaults vergt veel inspanning, ook omdat als het heuristische waarden zijn wat vaak het geval is, redelijke defaults testen testen testen betekent. Daarbij, voor declaratieve systemen (non-procedureel) is configuratie de functionaliteit.
Kortom: de scheiding tussen code en configuratie is minder hard dan je zou denken.

Voor MS Windows kun je stellen dat er meer te configureren valt dan zinnig doenlijk is (i.p.v. dat de ontwikkelaar een verstandige waarde codeert) én dat veel wat je zou kunnen configureren hard gecodeerd blijkt. Ik heb het gevoel dat de meeste Linux distributies die complexe balans beter weten te vinden.
25-01-2022, 10:36 door Joep Lunaar
Door [Account Verwijderd]: Spaghetticodebouwwerk. Een kenmerk van spaghetticode is dat alles maar dan ook echt alles op de meest ondoorzichtige wijzen aan elkaar hangt. Dan kan je er niet zomaar iets uithalen want dan maak je iets anders kapot en je weet meestal niet wat dat is en waar het is.

Als je ooit de MFC class library hebt gebruikt en bestudeerd - heel veel programmatuur W32 is daarop gebouwd - dan begrijp je waartoe dat leidt: niet onderhoudbare bagger. De maatschappij betaalt daar nog steeds een hoge prijs voor.
25-01-2022, 10:43 door Joep Lunaar
Door Anoniem: Deze policies zijn nutteloos voor Windows 10/11 maar nog wel nodig voor Windows XP/7/8. Als Microsoft ze via een update zou verwijderen valt het update proces van heel veel organisaties om.

Een update voor een bepaalde versie van MS Windows raakt toch niet andere (major) versies ?
Aangenomen dat updates versie-specifiek zijn, zou wijziging van een (default) policy middels een update andere versies onverlet laten.
25-01-2022, 10:54 door Joep Lunaar
Door Anoniem: ... Wanneer je over aan het gaan bent van de ene naar de andere versie, zul je proberen om de verbeteringen uit het nieuwe systeem ook in het oude te krijgen. Verder is het logisch, omdat je dan de policies al goed kunt hebben, voor je naar die nieuwe omgeving gaat.

Klinkt redelijk, maar is toch niet zo simpel. In een release zijn verschillende (versies van) componenten in samenhang afgestemd en daarop getest (extreem voorbeeld: een nieuwe versie van een runtime lib met een andere ABI gaan gebruiken geeft grote problemen) en verandering van policies kunnen ook de samenhang raken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.