thaenhusen
Goto Top

Absichern eines Windows-8.1-pro-Pad für die Fertigung - Charms Bar entferenen

Hallo zusammen.

Wir haben ein Winndows 8.1 Pro Pad besorgt. Es funktioniert alles was wir brauchen und nun geht es daran das Gerät abzusichern, damit es in der Fertigung während Nachschicht nicht verbogen werden kann.

Wir haben via GPO / Anmeldescript / Registry-Einträgen und XML-Vorgaben erreicht, dass fast nichts mehr geht.

- WLAN ist nicht zu ändern
- Desktop ist abgesichert keine rechte Maustaste etc.
- Systemsteuerung ist deaktiviert
- Alle Apps in der Metro-UI sind entfernt
- Suche der Charms Bar ist eingeschränkt aber noch lauffähig

Nun zu meiner Frage:

Ist es möglich die Suche komplett zu sperren? Oder noch besser die Charms Bar zu deinstallieren?

Die Sachen mit der Classic-Shell etc. greifen auch nicht 100%ig...

Schöne Grüße
MK

Content-ID: 263624

Url: https://administrator.de/contentid/263624

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

DerWoWusste
DerWoWusste 16.02.2015 aktualisiert um 17:51:07 Uhr
Goto Top
Hi.

Gegenfrage zunächst: was meinst Du denn könnte man durch die Suche/die Charms erreichen, was würde sich da negativ benutzen lassen?
Und warum wäre ein Nutzer nicht in der Lage, auch ohne Suche/Charms diese Dinge zu tun?
thaenhusen
thaenhusen 16.02.2015 um 20:31:42 Uhr
Goto Top
Moin.

Er kann dort z.B. Netzlaufwerke sehen, die im Explorer über die GPO blockiert sind.
Mehrere Gruppenrichtlinien greifen nicht, wenn man über die Charms Bar Suche geht.

Wir haben schon alles weg bekommen. Nur die Suche nicht.

Schöne Grüße
MK
DerWoWusste
DerWoWusste 16.02.2015 um 20:59:40 Uhr
Goto Top
Meine Frage war, "was würde sich da negativ benutzen lassen und warum wäre er ohne Suche/Charms dazu nicht in der Lage". Bitte beantworte diese, dann können wir Dir vielleicht gar weiterhelfen. Worin besteht das Risiko, ein Netzlaufwerk zu sehen? Gegen was hatten die GPOs geschützt, die nun angeblich nicht greifen?
thaenhusen
thaenhusen 17.02.2015 um 08:33:50 Uhr
Goto Top
Moin.

Der Grundsatz ist Gelegenheit macht Diebe.

Vom Desktop kann man nicht mal den Explorer starten. Da kommt brav die Meldung, dass das durch administrative Vorgaben nicht möglich ist.
Durch die Charms Bar Suche werden diese Vorgaben unterlaufen..

Es geht mir quasi um einen Kioskbetrieb. Also der User kann drei Programme starten und sonst nichts dürfen.

Die User haben in der Nachtschicht nämlich manchmal ganz lustige Ideen.

Schöne Grüße
MK
DerWoWusste
DerWoWusste 17.02.2015 um 08:44:35 Uhr
Goto Top
Mir scheint, Du verstehst einige Funktionen als Schutzfunktionen, welche keine sind. Ich würde Dir gerne mehr dazu sagen, aber Du hast noch keine konkrete, greifbare Antwort auf meine Frage gegeben. Kioskbetrieb ist unter Win8.x eingebaut, jedoch nur für modern Apps - sind Deine Apps modern apps? Ich schätze nein. Für den Fall sichert man das Gerät mit Softwareeinschränkungsrichtlinien ab, die können nicht so einfach unterlaufen werden. https://technet.microsoft.com/en-us/library/hh831534.aspx
thaenhusen
thaenhusen 17.02.2015 um 09:01:34 Uhr
Goto Top
Moin.

Nein Modern-Apps habe ich nicht. Bis Windows 7 war es kein Problem alles über die GPO abzudrehen.
Auch im Desktop-Bereich des Windows 8 ist alles gut.

Ich finde es gut, wenn man keine cmd oder Explorer etc. öffnen kann und das ist trotz GPO unterdrückung auf dem Desktop über die Charms Bar möglich.

Schöne Grüße
MK
DerWoWusste
DerWoWusste 17.02.2015 um 09:25:16 Uhr
Goto Top
"GPO unterdrückung" - welche meinst Du denn nun ? Ein viertes Mal frage ich nicht face-smile . Ich bin sicher, dass die von Dir benutzte GPO auch unter 7 umgangen werden kann. Nenn' sie einfach, dann sag ich Dir, wie. Und nutze lieber die verlinkte Policy.
thaenhusen
thaenhusen 17.02.2015 um 10:40:02 Uhr
Goto Top
Moin.

Da das einige Gruppenrichtlinienobjekt sind nehme ich mal ein Beispiel.

Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer:

Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden -> Aktiviert (es kann nur ein Netzlaufwerk angesprochen werden)
Symboöl "Gesamtes Netzwerk" nicht in "Netzwerkumgebung" anzeigen -> Aktiviert
Optionen "Netzlaufwerk verbinden" und "Netzlaufwerk trennen" entfernen -> Aktiviert
und einige mehr.

Damit kann man z.B.im Editor auch nicht über \\server\Freigabe diese ansprechen.

Schöne Grüße
MK
DerWoWusste
DerWoWusste 17.02.2015 aktualisiert um 10:43:42 Uhr
Goto Top
Dachte ich mir. Lies die Beschreibung der Policy, da steht klipp und klar, wie es umgangen werden kann. Es ist nie als Schutz gedacht gewesen. Beispielsweise kann jeder portable explorer (Total commander) all das dennoch benutzen.
thaenhusen
thaenhusen 17.02.2015 um 11:01:34 Uhr
Goto Top
Moin.

Den muss man aber ersmal auf den Rechner bekommen ohne Explorer, ohne Internet etc.
Das es kein 100% Schutz ist, ist mir klar. Aber es soll auch nicht allzu einfach sein.

Schöne Grüße
MK
DerWoWusste
DerWoWusste 17.02.2015 aktualisiert um 11:05:46 Uhr
Goto Top
Es ist nicht einmal als Schutz gedacht, das ist doch, was ich versuche klar zu machen. Setze Dich also bitte mit den echten Schutzmechanismen auseinander, die zur Verfügung stehen: SRP (mein Link) und NTFS-Rechte - damit erreichst Du was. Die Charms und die Suche können Dir dann egal sein. Man kann sie nicht abstellen, nein.