Hier zeige ich Euch wie Ihr Windows vor Veränderungen schützen könnt. Dabei gehe ich im speziellen auf Windows 7 und Windows 8.1 ein! Viel Spaß mit der Anleitung und beim ausarbeiten meiner Vorgaben um Windows vor Veränerungen zu schützen!
!!!ACHTUNG wichtige Information zur Bearbeitung der Registry!!!
Eventuell wird Dir in diesem Beitrag ein Bearbeiten der Registry vorgeschlagen.
Wir möchten darauf hinweisen, dass Du vorher ein Backup der Registry machen solltest.
Wie kann ich meine Registry sichern? << blogperle.de-Beitrag!
Als Basis für die Grundeinstellungen verwende ich Salfeld User Control oder KIOSK Enterprise. Alternativ kann auch ein entsprechendes Freewaretool verwendet werden. Diese Beschreibung basiert auf Saalfeld User Control, kann in weiten Teilen aber auch für andere Kiosk-Programme genutzt werden.
Voraussetzung ist eine Windows-Version ab Professional, da die kleineren Versionen den „Editor für lokale Gruppenrichtlinien“ nicht haben.
In meinem Beispiel trägt das Benutzerkonto der Jugendlichen den Namen „Kids“, das Konto mit Administratorenrechten „Admin“. Du solltest Dir das natürlich für Deine Belange selbst anpassen…
Bevor Du das Benutzerkonto der Jugendlichen anpasst empfehle ich alle Verknüpfungen aus der Startleiste dieses Kontos zu entfernen. Auch „Zuletzt geöffnete Programme im Startmenü speichern und anzeigen“ und „Zuletzt geöffnete Elemente im Startmenü und der Taskleiste speichern und anzeigen“ würde ich deaktivieren. Später ist es nicht mehr ohne weiteres möglich und die Jugendlichen können dann mit den Verknüpfungen keinen Unfug anstellen (neu erstellen können sie hinterher je nach gewählter Einstellung nämlich nicht mehr).Lasst uns beginnen, Windows vor Veränderungen zu schützen. ich beginne natürlich ganz von vorne, ich empfehle Euch den Beitrag zunächst ganz durchzulesen, das hat viele Vorteile, weil Folgefehler minimiert werden.
Windows vor Veränderungen schützen – Erste Schritte:
- Zunächst muss neben dem Benutzerkonto mit Admin-Rechten ein zweites Benutzerkonto mit eingeschränkten Rechten (Standardbenutzer) angelegt werden. Dieses Benutzerkonto wird später den Jugendlichen für die Benutzung des PCs zur Verfügung gestellt.
- In der zuvor installierten Kiosk Software (z.B. User Control) können nun für den eingeschränkten Benutzer die entsprechenden Limitierungen je nach Wunsch festgelegt werden. Wichtig ist, dass vor allem für den Internet Explorer, das Startmenü und den Desktop ein Großteil der Funktionen und der Rechtsklick beschränkt werden. Auch das Festlegen des Desktophintergrunds ist sinnvoll. Es sollte auch kein anderer Browser als der Internet Explorer auf dem System installier sein bzw. der Zugriff auf andere installierte Browser für den eingeschränkten Benutzer untersagt werden. Dies geschieht, weil im Browser Proxyeinstellungen gesetzt werden (z.B. für Jugendschutzsoftware) und nur der Internet Explorer so abgesichert werden kann, dass der eingeschränkte Benutzer diese Einstellung nicht mehr ändern kann.
- Nachdem in der Kiosksoftware aller „Grobeinstellungen“ gesetzt wurden geht es jetzt an den Feinschliff. Hier müssen die Benutzerrechte für bestimmte Verzeichnisse angepasst werden, einige Richtlinien für Softwareeinschränkungen gesetzt werden und ein paar Registry-Werte angepasst werden.
Benutzerrechte für bestimmte Verzeichnisse anpassen
Damit der Benutzer am Desktop möglichst keine bleibenden Veränderungen vornehmen kann (Hintergrundbild ändern, Verknüpfungen umbenennen, Verknüpfungen löschen, neue Verknüpfungen erstellen) muss bei seinen eigenen Berechtigungen für seinen Desktop (Pfad: C:\Users\<BENUTZERNAME>\Desktop) das Schreiben verboten werden (Eigenschaften > Sicherheit). Dazu muss er ggf. selbst als Benutzer hinzugefügt werden und anschließend das Schreiben verboten werden.
Das gleiche muss für den gesamten Benutzer “öffentlich” gemacht werden (Pfad: C:\Users\Öffentlich)
Damit ist sichergestellt, dass er auf den eigenen Desktop keine neuen Verknüpfungen erstellen kann bzw. dort auch keine Dateien speichern kann. Die Schreibsperre im öffentlichen Konto benötigen wir später um sicherzustellen, dass keine Software von externen Quellen (z.B. USB Sticks) ausgeführt werden kann. Dazu kommen wir bei den Softwareeinschränkungen.
Variante 1 Richtlinien für Softwareeinschränkungen setzen (für ALLE Benutzer einschl. Admins)
Diese Einschränkungen dienen in unserem Fall vor allem einem Ziel: Zu verhindern, dass Software von externen Quellen ausgeführt werden kann. Damit könnte der Jugendliche den Jugendschutz umgehen (z.B. mit Chrome portable) oder auch Fremdsoftware bzw. Schadsoftware starten.
Um dieses Ziel zu erreichen müssen sämtliche Laufwerke (inkl. CD-Laufwerk) für das Ausführen von Programmen gesperrt werden. Eine Ausnahme bildet die C-Partition, da hier ja “reguläre” Programme startbar sein müssen. Das geschieht folgendermaßen:
Start > Bei Suchen “gpedit.msc” eingeben und „Enter“ drücken. Es öffnet sich der „Editor für lokale Gruppenrichtlinien“. Hier gehen wir in der linken Hälfte auf Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für Softwareeinschränkung. Wir klicken nun bei „Richtlinien für Softwareeinschränkungen“ auf die rechte Maustaste und wählen „Neue Richtlinien für Softwareeinstellungen erstellen“ aus. Nun sieht es folgendermaßen aus:
Unter „Zusätzliche Regeln“ auf der Rechten Seite sind schon zwei Regeln mit „nicht eingeschränkt“ definiert
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% und
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Unter der 64-Bit Version von Windows muss noch folgende Regel mit „nicht eingeschränkt“ definiert werden:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
Dazu klickt man mit der rechten Maustaste links auf „Zusätzliche Regeln“ wählt „neue Pfadregel“ aus und gibt den obigen Pfad ein. Wichtig: bei Sicherheitsstufe „nicht eingeschränkt“ wählen!
Zusätzlich müssen auf die gleiche Art noch folgende vier Pfade freigegeben (Sicherheitsstufe: nicht eingeschränkt) werden:
- C:\ProgramData\Microsoft\Windows\Start Menu
- C:\Users\Public
- C:\Users\Admin
- C:\Windows
Nun können alle installierten Programme ausgeführt werden.
Jetzt geht es mit den Sperregeln weiter. Das ist im Grunde einfach. Es muss für jeden Laufwerksbuchstaben (A – Z inkl. C) eine Sperregel wie oben beschrieben definiert werden. Der Unterschied hier ist die Sicherheitsstufe: „nicht erlaubt“. Der Laufwerksbuchstabe für das DVD-Laufwerk kann ausgelassen werden, da sonst von dort keine direkte Installation möglich ist. Er sollte dann aber in der Kiosk-Software für das Benutzerkonto der Jugendlichen ausgeblendet werden.
Das sieht am Ende so aus:
Wer auf Nummer sicher gehen will kann auch noch für alle fünf Netzwerkzonen-Bereiche eine entsprechende Sperregel (nicht erlaubt) anlegen.
Unter „Anwendungssteuerungsrichtlinien“ könnten jetzt noch gezielt Programme die auf dem PC installiert sind für den Benutzer verboten werden. Darauf habe ich verzichtet, da das auch mit Salfeld User Control möglich ist.
Mit den nun durchgeführten Maßnahmen haben wir (in Kombination mit der Kiosk-Software) folgendes erreicht:
- Der Benutzer kann am Desktop und am Startmenu keine Veränderungen vornehmen
- Der Benutzer kann keine Software die nicht auf dem Rechner installiert ist starten, da sämtliche Pfade außer den Explizit freigegeben für das Ausführen von Programmen gesperrt sind. Auf die freigegebenen Pfade hat der Benutzer wiederum keine Schreibberechtigung, also kann er auch keine Programme von externen Datenträgern dort hin kopieren um sie so zu starten
- Der Benutzer kann aber trotzdem Dateien von externen Datenträgern auf den Rechner bearbeiten und speichern (z.B. Bewerbungsunterlagen), da sich die Einschränkung nur auf das Ausführen von Programmen beziehen
Dies war eine Möglichkeit aus meiner Anleitung Windows vor Veränderungen schützen. Die zweite folgt sogleich :)
Übrigens: Diese Einschränkungen wirken sich auch auf den Admin-Account aus. Ich empfehle deshalb Variante 2, wie folgt (hier ein klassisches Beispiel, dass man sich den Text ZUERST einmal durchlesen sollte, bevor man gleich anfängt zu arbeiten xD):
Variante 2: Richtlinien für Softwareeinschränkungen setzen (nur für EINEN ausgewählten Benutzer)
Auch bei der Variante 2 in meiner Anleitung Windows vor Veränderungen schützen, geht es darum zu verhindern, dass Software von externen Quellen ausgeführt (oder installiert) werden kann. Damit könnte der Jugendliche den Jugendschutz umgehen (z.B. mit Chrome portable) oder auch Fremdsoftware bzw. Schadsoftware starten. Allerdings wirken sich diese Anpassungen nur auf einen bestimmten Benutzer aus, wodurch z.B. der Admin keinerlei Einschränkungen erleidet! Persönliche Meinung: Aus diesem Grund ist Variante 2 vorzuziehen.
Um dieses Ziel zu erreichen müssen wieder sämtliche Laufwerke (inkl. CD-Laufwerk) für das Ausführen von Programmen gesperrt werden. Eine Ausnahme bildet die C-Partition, da hier ja „reguläre“ Programme startbar sein müssen. Das geschieht folgendermaßen:
Start > Bei Suchen „mmc“ eingeben und „Enter“ drücken. Es öffnet sich die „Microsoft Management Console“. Hier muss nun über den Menüpunkt Datei > “Snap-In hinzufügen/entfernen“ der Punkt „Gruppenrichtlininien-Editor“ hinzugefügt werden.
In diesem folgenden Fenster das sich geöffnet hat nun auf „Durchsuchen“ klicken:
… und den gewünschten Benutzer auswählen:
Das ganze jetzt mit „OK“, „Fertigstellen“ und noch einmal „OK“ bestätigen. Jetzt sieht es fast aus wie in Variante 1:
Die weitere Vorgehensweise ist auch identisch mit Variante 1, daher verwende ich die Screenshots von oben.
Wir gehen in der linken Hälfte auf Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für Softwareeinschränkung. Wir klicken nun bei „Richtlinien für Softwareeinschränkungen“ auf die rechte Maustaste und wählen „Neue Richtlinien für Softwareeinstellungen erstellen“ aus. Nun sieht es folgendermaßen aus:
Unter „Zusätzliche Regeln“ auf der rechten Seite sind schon zwei Regeln mit „nicht eingeschränkt“ definiert:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
und
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Unter der 64-Bit Version von Windows muss noch folgende Regel mit „nicht eingeschränkt“ definiert werden:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
Dazu klickt man mit der rechten Maustaste links auf „Zusätzliche Regeln“ wählt „neue Pfadregel“ aus und gibt den obigen Pfad ein. Wichtig: bei Sicherheitsstufe „nicht eingeschränkt“ wählen!
Zusätzlich müssen auf die gleiche Art noch folgende vier Pfade freigegeben (Sicherheitsstufe: nicht eingeschränkt) werden:
- C:\ProgramData\Microsoft\Windows\Start Menu
- C:\Users\Public
- C:\Users\Admin
- C:\Windows
Nun können alle installierten Programme ausgeführt werden.
Jetzt geht es mit den Sperregeln weiter. Das ist im Grunde einfach. Es muss für jeden Laufwerksbuchstaben (A – Z inkl. C) eine Sperregel wie oben beschrieben definiert werden. Der Unterschied hier ist die Sicherheitsstufe: „nicht erlaubt“. Das sieht am Ende so aus:
Wer auf Nummer sicher gehen will kann auch noch für alle fünf Netzwerkzonen Bereiche eine ensprechende Sperregel (nicht erlaubt) anlegen.
Zusätzlich empfehle ich noch folgende Einstellungen vorzunehmen um Veränderungen noch weiter zu minimieren:
Mit den oben durchgeführten Maßnahmen haben wir (in Kombination mit der Kiosk-Software) folgendes erreicht:
- Der Benutzer kann am Desktop und am Startmenu keine Veränderungen vornehmen
- Der Benutzer kann keine Software die nicht auf dem Rechner installiert ist starten, da sämtliche Pfade außer den Explizit freigegeben für das Ausführen von Programmen gesperrt sind. Auf die freigegebenen Pfade hat der Benutzer wiederum keine Schreibberechtigung, also kann er auch keine Programme von externen Datenträgern dort hin kopieren um sie so zu starten
- Der Benutzer kann aber trotzdem Dateien von externen Datenträgern auf den Rechner bearbeiten und speichern (z.B. Bewerbungsunterlagen), da sich die Einschränkung nur auf das Ausführen von Programmen beziehen
Nun müssen noch ein paar Registry-Werte angepasst werden, um bestimmte Funktionen des Internet Explorers und die Proxyeinstellung abzusichern. Diese Anpassung erfolgt unter dem Konto mit Administratorenrechten.
Hierzu gehen wir folgendermaßen vor:
- Start > Bei Suchen „regedit“ eingeben und „Enter“ drücken
- Das Verzeichnis „HKEY_USER“ wählen und unter „Datei“ den Punkt „Struktur laden“ wählen
Nun wählt man unter C:\Benutzer\Kids die Datei NTUSER.DAT, bestätigt die Auswahl und gibt an der Aufforderung einen beliebigen Namen (z.B. Kids) ein - Jetzt erscheint beim Aufklappen von „HKEY_USER“ die eingebundene Struktur „Kids“. Hier müssen nun folgende Schlüssel in den entsprechenden Verzeichnissen eingetragen bzw. angepasst werden:
- Um die Internet Explorer: Befehlsleiste auszublenden >>
Pfad: Software\Polices\Microsoft\Internet Explorer\CommandBar
Neuen DWORD-Wert (32Bit) erstellen: CommandBarEnabled, Wert: 0 - Um die Internet Explorer-Menüleiste auszublenden >>
Pfad: Software\Policies\Microsoft\Internet Explorer\Main
Neuen DWORD-Wert (32Bit) erstellen: AlwaysShowMenus, Wert: 0 - Setzen der Proxy-Einstellungen (falls gewünscht) >>
Pfad: Software\Microsoft\Windows\CurrentVersion\Internet Settings >>
(Neuer) DWORD-Wert (32Bit): MigrateProxy, Wert: 1
(Neuer) DWORD-Wert (32Bit): ProxyEnable, Wert: 1
(Neuer) DWORD-Wert (32Bit): ProxyHttp1.1, Wert: 0
(Neue) Zeichenfolge: ProxyServer, Wert: Name und Port des Proxyservers (z.B. https://ProxyServername:80)
(Neue) Zeichenfolge: ProxyOverride, Wert: <local>
- Um die Internet Explorer: Befehlsleiste auszublenden >>
Jetzt wieder auf „Kids“ unter „HKEY_USER“ klicken und unter Datei den Punkt „Struktur entfernen“ wählen. Die Abfrage mit „Ja“ beantworten.
Damit sollte alles konfiguriert sein. Am besten den Rechner neu starten und sehen ob alles wie gewünscht funktioniert. Wenn nicht, bitte noch mal alle Einstellungen prüfen. Sollte dies aber passen, haben wir die Anleitung Windows vor Veränderungen schützen schon fast durch :)
Will man noch zusätzlich den Zugriff auf das Netzwerk, den Papierkorb und die Favoriten über den Arbeitsplatz sperren muss folgendes in der Registry vorgenommen werden (einiges kann auch mit dem Tool „Windows 7 Navigation Pane Customizer“ erledigt werden). Diese Änderungen gelten für alle Benutzer:
Wenn du ein 32 Bit System hast, brauchst du nur in folgenden Bereichen Änderungen vornehmen:
HKEY_Local_Machine\Software\Classes\CLSID\
oder
HKEY_CLASSES_ROOT\CLSID
Bei Windows 7 x64 muss man zusätzlich folgende Registryzweige bearbeiten (Ist für 32 Bit Programme die im Wow64Bit Modus laufen, damit diese Elemente z.B. aus dem Öffnen bzw. Speichern Dialog der verschiedenen Anwendungen ausgeblendet werden). Hier weitere Infos zu dem Thema direkt von Microsoft: https://support.microsoft.com/kb/896459.
Die Anleitung Windows vor Veränderungen schützen ist nun fast durch. Ihr habt es gleich geschafft. Aber ein bisschen in der Registry müssen wir noch arbeiten. Ich weise nochmals daraufhin, und wie am Anfang meiner Anleitung bereits erwähnt: Sichert Euch lieber einmal zu oft Eure Registry, als einmal zu wenig :)
Man kann die Änderungen unter folgenden Registryzweigen vornehmen:
HKEY_Local_Machine\Software\Wow6432Node\Classes\CLSID\ oder
HKEY_CLASSES_ROOT\CLSID\Wow6432Node\Classes\CLSID
Ein und Ausblenden der Favoriten:
HKEY_Local_Machine\Software\Classes\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder oder
HKEY_CLASSES_ROOT\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder
Doppelklicke Attributes und ändere den Wert von a0900100 (ein) in a9400100 (aus).
Bei Windows 7 64 Bit müssen zusätzlich die Änderung analog im Registryzweig Wow6432Node vorgenommen werden:
HKEY_Local_Machine\Software\Wow6432Node\Classes\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder oder
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder
Doppelklicke Attributes und ändere den Wert von a0900100 (ein) in a9400100 (aus).
Ein und Ausblenden der Bibliotheken:
HKEY_Local_Machine\Software\Classes\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder oder
HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder
Doppelklicke Attributes und ändere den Wert von b080010d (ein) in b090010d (aus).
Bei Windows 7 64 Bit müssen zusätzlich die Änderung analog im Registryzweig Wow6432Node vorgenommen werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder oder
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder
Doppelklicke Attributes und ändere den Wert von b080010d (ein) in b090010d (aus).
Ein und Ausblenden des Benutzers:
HKEY_Local_Machine\Software\Classes\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder oder
HKEY_CLASSES_ROOT\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder
Doppelklicke Attributes und ändere den Wert von f084012d (ein) in f094012d (aus).
Bei Windows 7 64 Bit müssen zusätzlich die Änderung analog im Registryzweig Wow6432Node vorgenommen werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder oder
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder
Doppelklicke Attributes und ändere den Wert von f084012d (ein) in f094012d (aus).
Ein und Ausblenden der Heimnetzgruppe:
HKEY_Local_Machine\Software\Classes\{B4FB3F98-C1EA-428d-A78A-D1F5659CBA93}\ShellFolder oder
HKEY_CLASSES_ROOT\CLSID\{B4FB3F98-C1EA-428d-A78A-D1F5659CBA93}\ShellFolder
Doppelklicke Attributes und ändere den Wert von b084010c (ein) in b094010c (aus).
Bei Windows 7 64 Bit müssen zusätzlich die Änderung analog im Registryzweig Wow6432Node vorgenommen werden:
HKEY_Local_Machine\Software\Wow6432Node\Classes\CLSID\{B4FB3F98-C1EA-428d-A78A-D1F5659CBA93}\ShellFolder oder
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{B4FB3F98-C1EA-428d-A78A-D1F5659CBA93}\ShellFolder
Doppelklicke Attributes und ändere den Wert von b084010c (ein) in b094010c (aus).
Ein und Ausblenden des Netzwerks:
HKEY_Local_Machine\Software\Classes\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder oder
HKEY_CLASSES_ROOT\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder
Doppelklicke Attributes und ändere den Wert von b0040064 (ein) in b0940064 (aus).
Bei Windows 7 x64 noch zusätzlich bei folgendem Schlüssel:
HKEY_Local_Machine\Software\Wow6432Node\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder oder
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder
Doppelklicke Attributes und ändere den Wert von b0040064 (ein) in b0940064 (aus)
Ich hoffe du kommst mit meiner Anleitung Windows vor Veränderungen schützen klar. Es ist viel, aber dafür genau und der PC ist zum ersten Mal richtig sicher :)
Die Lorbeeren in für die Anleitung Windows vor Veränderungen schützen gehen an meinen Freund und IT-Kollegen Matthias Netsch. Sämtliche Texte und Grafiken für Euch um zu verstehen wie man Anleitung Windows vor Veränderungen schützen kann, sind von ihm gemacht worden. Mit seiner freundlichen Erlaubnis darf ich den hervorragend gestalteten und mit sehr viel Mühe und Liebe zum Detail erstellten Artikel bei mir bloggen. Vielen Dank Matthias!