11
Absichern eines Windows-8.1-pro-Pad für die Fertigung - Charms Bar entferenen
Hallo zusammen.
Wir haben ein Winndows 8.1 Pro Pad besorgt. Es funktioniert alles was wir brauchen und nun geht es daran das Gerät abzusichern, damit es in der Fertigung während Nachschicht nicht verbogen werden kann.
Wir haben via GPO / Anmeldescript / Registry-Einträgen und XML-Vorgaben erreicht, dass fast nichts mehr geht.
- WLAN ist nicht zu ändern
- Desktop ist abgesichert keine rechte Maustaste etc.
- Systemsteuerung ist deaktiviert
- Alle Apps in der Metro-UI sind entfernt
- Suche der Charms Bar ist eingeschränkt aber noch lauffähig
Nun zu meiner Frage:
Ist es möglich die Suche komplett zu sperren? Oder noch besser die Charms Bar zu deinstallieren?
Die Sachen mit der Classic-Shell etc. greifen auch nicht 100%ig...
Schöne Grüße
MK
Wir haben ein Winndows 8.1 Pro Pad besorgt. Es funktioniert alles was wir brauchen und nun geht es daran das Gerät abzusichern, damit es in der Fertigung während Nachschicht nicht verbogen werden kann.
Wir haben via GPO / Anmeldescript / Registry-Einträgen und XML-Vorgaben erreicht, dass fast nichts mehr geht.
- WLAN ist nicht zu ändern
- Desktop ist abgesichert keine rechte Maustaste etc.
- Systemsteuerung ist deaktiviert
- Alle Apps in der Metro-UI sind entfernt
- Suche der Charms Bar ist eingeschränkt aber noch lauffähig
Nun zu meiner Frage:
Ist es möglich die Suche komplett zu sperren? Oder noch besser die Charms Bar zu deinstallieren?
Die Sachen mit der Classic-Shell etc. greifen auch nicht 100%ig...
Schöne Grüße
MK
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263624
Url: https://administrator.de/contentid/263624
Printed on: April 16, 2024 at 05:04 o'clock
11 Comments
Latest comment
Hi.
Gegenfrage zunächst: was meinst Du denn könnte man durch die Suche/die Charms erreichen, was würde sich da negativ benutzen lassen?
Und warum wäre ein Nutzer nicht in der Lage, auch ohne Suche/Charms diese Dinge zu tun?
Gegenfrage zunächst: was meinst Du denn könnte man durch die Suche/die Charms erreichen, was würde sich da negativ benutzen lassen?
Und warum wäre ein Nutzer nicht in der Lage, auch ohne Suche/Charms diese Dinge zu tun?
Moin.
Er kann dort z.B. Netzlaufwerke sehen, die im Explorer über die GPO blockiert sind.
Mehrere Gruppenrichtlinien greifen nicht, wenn man über die Charms Bar Suche geht.
Wir haben schon alles weg bekommen. Nur die Suche nicht.
Schöne Grüße
MK
Er kann dort z.B. Netzlaufwerke sehen, die im Explorer über die GPO blockiert sind.
Mehrere Gruppenrichtlinien greifen nicht, wenn man über die Charms Bar Suche geht.
Wir haben schon alles weg bekommen. Nur die Suche nicht.
Schöne Grüße
MK
Meine Frage war, "was würde sich da negativ benutzen lassen und warum wäre er ohne Suche/Charms dazu nicht in der Lage". Bitte beantworte diese, dann können wir Dir vielleicht gar weiterhelfen. Worin besteht das Risiko, ein Netzlaufwerk zu sehen? Gegen was hatten die GPOs geschützt, die nun angeblich nicht greifen?
Moin.
Der Grundsatz ist Gelegenheit macht Diebe.
Vom Desktop kann man nicht mal den Explorer starten. Da kommt brav die Meldung, dass das durch administrative Vorgaben nicht möglich ist.
Durch die Charms Bar Suche werden diese Vorgaben unterlaufen..
Es geht mir quasi um einen Kioskbetrieb. Also der User kann drei Programme starten und sonst nichts dürfen.
Die User haben in der Nachtschicht nämlich manchmal ganz lustige Ideen.
Schöne Grüße
MK
Der Grundsatz ist Gelegenheit macht Diebe.
Vom Desktop kann man nicht mal den Explorer starten. Da kommt brav die Meldung, dass das durch administrative Vorgaben nicht möglich ist.
Durch die Charms Bar Suche werden diese Vorgaben unterlaufen..
Es geht mir quasi um einen Kioskbetrieb. Also der User kann drei Programme starten und sonst nichts dürfen.
Die User haben in der Nachtschicht nämlich manchmal ganz lustige Ideen.
Schöne Grüße
MK
Mir scheint, Du verstehst einige Funktionen als Schutzfunktionen, welche keine sind. Ich würde Dir gerne mehr dazu sagen, aber Du hast noch keine konkrete, greifbare Antwort auf meine Frage gegeben. Kioskbetrieb ist unter Win8.x eingebaut, jedoch nur für modern Apps - sind Deine Apps modern apps? Ich schätze nein. Für den Fall sichert man das Gerät mit Softwareeinschränkungsrichtlinien ab, die können nicht so einfach unterlaufen werden. https://technet.microsoft.com/en-us/library/hh831534.aspx
Moin.
Nein Modern-Apps habe ich nicht. Bis Windows 7 war es kein Problem alles über die GPO abzudrehen.
Auch im Desktop-Bereich des Windows 8 ist alles gut.
Ich finde es gut, wenn man keine cmd oder Explorer etc. öffnen kann und das ist trotz GPO unterdrückung auf dem Desktop über die Charms Bar möglich.
Schöne Grüße
MK
Nein Modern-Apps habe ich nicht. Bis Windows 7 war es kein Problem alles über die GPO abzudrehen.
Auch im Desktop-Bereich des Windows 8 ist alles gut.
Ich finde es gut, wenn man keine cmd oder Explorer etc. öffnen kann und das ist trotz GPO unterdrückung auf dem Desktop über die Charms Bar möglich.
Schöne Grüße
MK
"GPO unterdrückung" - welche meinst Du denn nun ? Ein viertes Mal frage ich nicht 
. Ich bin sicher, dass die von Dir benutzte GPO auch unter 7 umgangen werden kann. Nenn' sie einfach, dann sag ich Dir, wie. Und nutze lieber die verlinkte Policy.
. Ich bin sicher, dass die von Dir benutzte GPO auch unter 7 umgangen werden kann. Nenn' sie einfach, dann sag ich Dir, wie. Und nutze lieber die verlinkte Policy.
Moin.
Da das einige Gruppenrichtlinienobjekt sind nehme ich mal ein Beispiel.
Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer:
Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden -> Aktiviert (es kann nur ein Netzlaufwerk angesprochen werden)
Symboöl "Gesamtes Netzwerk" nicht in "Netzwerkumgebung" anzeigen -> Aktiviert
Optionen "Netzlaufwerk verbinden" und "Netzlaufwerk trennen" entfernen -> Aktiviert
und einige mehr.
Damit kann man z.B.im Editor auch nicht über \\server\Freigabe diese ansprechen.
Schöne Grüße
MK
Da das einige Gruppenrichtlinienobjekt sind nehme ich mal ein Beispiel.
Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer:
Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden -> Aktiviert (es kann nur ein Netzlaufwerk angesprochen werden)
Symboöl "Gesamtes Netzwerk" nicht in "Netzwerkumgebung" anzeigen -> Aktiviert
Optionen "Netzlaufwerk verbinden" und "Netzlaufwerk trennen" entfernen -> Aktiviert
und einige mehr.
Damit kann man z.B.im Editor auch nicht über \\server\Freigabe diese ansprechen.
Schöne Grüße
MK
Dachte ich mir. Lies die Beschreibung der Policy, da steht klipp und klar, wie es umgangen werden kann. Es ist nie als Schutz gedacht gewesen. Beispielsweise kann jeder portable explorer (Total commander) all das dennoch benutzen.
Moin.
Den muss man aber ersmal auf den Rechner bekommen ohne Explorer, ohne Internet etc.
Das es kein 100% Schutz ist, ist mir klar. Aber es soll auch nicht allzu einfach sein.
Schöne Grüße
MK
Den muss man aber ersmal auf den Rechner bekommen ohne Explorer, ohne Internet etc.
Das es kein 100% Schutz ist, ist mir klar. Aber es soll auch nicht allzu einfach sein.
Schöne Grüße
MK
Es ist nicht einmal als Schutz gedacht, das ist doch, was ich versuche klar zu machen. Setze Dich also bitte mit den echten Schutzmechanismen auseinander, die zur Verfügung stehen: SRP (mein Link) und NTFS-Rechte - damit erreichst Du was. Die Charms und die Suche können Dir dann egal sein. Man kann sie nicht abstellen, nein.
1