Hoe voorkom je dat gebruikers de proxy-instellingen in Windows wijzigen?
Het beheren van proxy-instellingen in Windows kan lastig zijn. Soms lukt het gebruikers om hun proxy-configuratie aan te passen, zelfs nadat een beheerder deze via GPO heeft ingesteld. Dat is frustrerend, want je wilt natuurlijk dat die proxy’s goed beveiligd blijven, vooral als je ze gebruikt voor beveiliging of netwerkbeheer. Deze handleiding beschrijft een aantal manieren om de instellingen echt goed te beveiligen – via Groepsbeleid of aanpassingen in het register – zodat gebruikers niet zomaar naar believen wijzigingen kunnen aanbrengen. Houd er wel rekening mee dat gebruikers met lokale beheerdersrechten deze instellingen nog steeds kunnen wijzigen, maar voor de meeste gewone gebruikers zouden deze methoden voldoende moeten zijn.
Hoe blokkeer je wijzigingen in proxy-instellingen met Groepsbeleid?
Proxyvergrendeling afdwingen met behulp van GPO
Als gebruikers hun proxy-instellingen wijzigen via Instellingen onder Netwerk en internet > Proxy ( ms-settings:network-proxy), is dat een duidelijk teken dat u strenger moet optreden. Door het juiste GPO-beleid toe te passen, wordt de mogelijkheid om deze opties te wijzigen uitgeschakeld en verschijnt de melding ” Sommige van deze instellingen zijn verborgen of worden beheerd door uw organisatie ” op hun proxy-pagina – wat behoorlijk bevredigend is.- Open de Group Policy Management Console door gpmc.msc in het venster Uitvoeren of PowerShell te typen.- Zoek het GPO dat is gekoppeld aan uw gebruikers of computers en klik er met de rechtermuisknop op om het te bewerken.- Navigeer naar Gebruikersconfiguratie > Administratieve sjablonen > Windows-onderdelen > Internet Explorer.(Ja, het beleid voor Internet Explorer is van invloed op alle browsers die Windows-proxy-instellingen gebruiken, zoals Chrome of Edge.) – Zoek Voorkomen dat proxy-instellingen worden gewijzigd en stel dit in op Ingeschakeld. In sommige configuraties hebt u mogelijk hetzelfde beleid nodig onder Computerconfiguratie als u een systeemwijde vergrendeling wilt. Nadat het beleid is toegepast en vernieuwd (u kunt dit forceren via gpupdate /forcede opdrachtprompt), worden de proxy-opties grijs en kunnen ze niet meer worden gewijzigd. Op de meeste computers treedt dit vrij snel in werking, maar soms helpt een herstart of een handmatige beleidsupdate. Houd er rekening mee dat dit over het algemeen effectief is voor gewone gebruikers zonder beheerdersrechten. Gebruikers met beheerdersrechten kunnen nog steeds rechtstreeks registerinstellingen wijzigen.
Proxy-instellingen verbergen op de instellingenpagina
Voor een meer verfijnde vergrendeling, zoals het verbergen van het proxypaneel in de Instellingen, is er een beleid genaamd Zichtbaarheid instellingenpagina onder Configuratiescherm > Administratieve sjablonen > Configuratiescherm. Geef hiervoor de volgende instelling op: Hide:Network-Proxy Om dit correct te doen, moet u mogelijk uw Administratieve sjablonen (ADMX/ADML-bestanden) bijwerken als deze optie niet wordt weergegeven. Zodra dit is geconfigureerd, verdwijnt het tabblad Proxy in de Instellingen-app, zodat gebruikers er zelfs niet meer bij kunnen.
Proxy-instellingen vergrendelen via registeraanpassingen
Als GPO niet voldoende is of als je een snelle oplossing nodig hebt, werkt het bewerken van het register ook. Je kunt dit doen via Groepsbeleidvoorkeuren: – Ga naar Gebruikersconfiguratie > Voorkeuren > Windows-instellingen > Register en maak een nieuw registeritem aan: – Hive: HKEY_CURRENT_USER – Sleutelpad: SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel – Waardenaam: Proxy – Waardetype: REG_DWORD – Waardegegevens: 1 Deze instelling schakelt de proxy-opties voor de gebruiker uit, waardoor ze grijs worden weergegeven. Om te voorkomen dat je per ongeluk beheerders buitensluit, kun je Item-Level Targeting instellen en specifieke groepen, zoals je beheerdersgroep, van deze beperking uitsluiten. En ja, zelfs als je deze opties vergrendelt, kunnen gebruikers met lokale beheerdersrechten nog steeds toegang krijgen tot hun register en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings rechtstreeks aanpassen. Het is een kat-en-muisspel. Maar voor iedereen zonder beheerdersrechten zou dit redelijk goed moeten werken.
Aanvullende tips om in gedachten te houden
– Houd er rekening mee dat sommige van deze instellingen in Windows 10 en 11 mogelijk bijgewerkte ADMX-sjablonen vereisen, met name voor nieuwere beleidsregels.- Wees u er ook van bewust dat groepsfiltering en itemgerichte targeting u meer controle geven, zodat vergrendelingen niet te breed zijn en legitieme beheerders indien nodig worden geblokkeerd.- Maak bij het aanpassen van het register altijd eerst een back-up van de instellingen of test ze op een testmachine. Registeraanpassingen kunnen zich namelijk onverwacht gedragen als ze niet correct worden uitgevoerd.
Samenvatting
- Gebruik GPO om Voorkom dat proxy-instellingen worden gewijzigd in te schakelen onder gebruikers- of computerconfiguraties om normale gebruikers te blokkeren.
- Verberg proxy-opties in de Instellingen-app met het beleid Zichtbaarheid van de instellingenpagina.
- Voor snelle oplossingen kunt u het register aanpassen om de gebruikersinterface voor proxy-instellingen voor specifieke gebruikers uit te schakelen via Groepsbeleidvoorkeuren.
- Houd er rekening mee dat lokale beheerders deze beperkingen kunnen omzeilen door hun registers te bewerken.
Samenvatting
Het beveiligen van proxy-instellingen is geen hogere wiskunde, maar wel een beetje omslachtig. Het toepassen van GPO-beleid is de meest betrouwbare methode in beheerde omgevingen, terwijl aanpassingen in het register snelle oplossingen bieden. Houd er wel rekening mee dat iemand met beheerdersrechten altijd wel een manier vindt om de beveiliging te omzeilen. Toch zouden deze aanpassingen voor doorsnee gebruikers voldoende moeten zijn om proxy-configuraties intact te houden. Hopelijk helpt dit om het netwerk iets beter onder controle te houden – in ieder geval totdat Windows het nog moeilijker maakt om de beveiliging te vergrendelen.