derwowusste
Mar 01, 2016
view5207
view11
0
Goto Top

Wie beim Setup von Windows 10 Shift-F10 sperren?

GermansolvedQuestionWindows 10Microsoft
Moin.

https://support.microsoft.com/en-us/kb/929839 beschreibt für Windows Vista, wie man beim Windows-Setup die Möglichkeit, eine Shell zu erhalten (Shift-F10), sperren kann.
Diese Anleitung funktioniert nur teilweise auf Windows 10, die erste Setupphase sperrt Shift-F10, die 2. mit der Prozentanzeige im Kreis lässt Shift F10 jedoch zu.

Hat jemand eine Idee?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 297782

Url: https://administrator.de/contentid/297782

Printed on: April 26, 2024 at 20:04 o'clock

11 Comments
Latest comment
Goto Top
Member: departure69
departure69 Mar 01, 2016 at 10:29:33 (UTC)
Goto Top
Hallo.

Eine technische Idee dazu hab' ich nicht, wohl aber eine organisatorische.

Vermutlich willst Du verhindern, daß einfache User während des Setups sich mittels Shift-F10 eine Shell in den Vordergrund zaubern.

Ich verhindere das so, daß die User während des Windows-Setups bzw. der Aktualisierung auf W10 schlichtweg nichts am Rechner verloren haben bzw. dabei nicht zusehen (dürfen):

- Rechner abbauen, Setup bzw. Aktualisierung anderswo (in Deiner IT-Werkstatt) durchführen (in großen Umgebungen / bei vielen Rechnern vermutl. nicht möglich)
- VGA-/DVI-/HDMI-Kabel währenddessen entfernen
- dem User das Bedienen des PC währenddessen unter Androhung von Schlägen verbieten (nicht ganz ernst gemeint, sagen bzw. darum bitten kann man aber schon, finde ich)


Vielleicht fällt noch jemand anderem etwas dazu ein.


Viele Grüße

von

departure69
Member: DerWoWusste
DerWoWusste Mar 01, 2016 at 10:34:52 (UTC)
Goto Top
Hi.

Ich verhindere das so, daß die User während des Windows-Setups bzw. der Aktualisierung auf W10 schlichtweg nichts am Rechner verloren haben
Na, da wäre ich jetzt nicht drauf gekommen... face-wink
Wenn man aber ein riesiges Upgrade-Rollout hat, hunderte von PCs, glaubst Du, Du bekommst wirklich alle Büros dicht? Es wäre schon schön, das technisch und nicht organisatorisch zu lösen.
Member: Kuemmel
Kuemmel Mar 01, 2016 at 10:47:00 (UTC)
Goto Top
Zitat von @DerWoWusste:

Hi.

Ich verhindere das so, daß die User während des Windows-Setups bzw. der Aktualisierung auf W10 schlichtweg nichts am Rechner verloren haben
Na, da wäre ich jetzt nicht drauf gekommen... face-wink
Wenn man aber ein riesiges Upgrade-Rollout hat, hunderte von PCs, glaubst Du, Du bekommst wirklich alle Büros dicht? Es wäre schon schön, das technisch und nicht organisatorisch zu lösen.
Dann musst du halt mal Sonntags in die Firma! face-wink

Gruß
Kümmel
Mitglied: 127132
127132 Mar 01, 2016 at 10:48:19 (UTC)
Goto Top
Deaktivieren weiß ich nicht.
Was passiert denn, wenn du die Installation mit /quiet startest?
setup /auto upgrade /quiet
https://msdn.microsoft.com/en-us/library/windows/hardware/dn938368%28v=v ...
Member: agowa338
agowa338 Mar 01, 2016 updated at 11:06:07 (UTC)
Goto Top
Was du noch versuchen könntest, ist folgenden Registry key vor dem Upgrade setzen:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /t REG_SZ /d "msg * Diese Funktion wurde deaktiviert! "

Das blockiert die komplette cmd, könnte also unschöne Nebenwirkungen haben.
Alternativ könnte man hierüber aber einen "Filter installieren", welcher den Aufruf "cmd.exe" verhindert aber "cmd.exe /C test.bat" nicht...

Als pseudo code also so etwas:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /t REG_SZ /d "cmd.exe /C C:\Windows\filterCMD.bat "

C:\Windows\filterCMD.bat
@echo off
if %* == "cmd.exe" (  
  start msg * "Der Zugriff auf cmd.exe ist zurzeit untersagt! Wenden sie sich an ihre IT-Abteilung"  
) else (
  start %*
)
Member: Cthluhu
Cthluhu Mar 01, 2016 at 11:03:54 (UTC)
Goto Top
Hi,

Ich kenn mich nicht so gut mit dem Setup aus, aber wäre es möglich für die dauer des Setups den Keyboard-Treiber oder generell alle HID-Treiber zu sperren?

mfg

Cthluhu
Member: agowa338
agowa338 Mar 01, 2016 at 11:07:00 (UTC)
Goto Top
Eher nicht, wahrscheinlich wird windows den Treiber einfach neu installieren, könnte ich mir vorstellen.
Member: DerWoWusste
DerWoWusste Mar 01, 2016 updated at 11:56:17 (UTC)
Goto Top
@127132
Was passiert denn, wenn du die Installation mit /quiet startest?
Hat keinen Effekt.
@agowa338
Die Registry wird da nicht berücksichtigt.
Member: agowa338
agowa338 Mar 01, 2016 at 12:00:37 (UTC)
Goto Top
Ok, dann das image anpassen und die Filterung als compilierte exe mit dem Namen cmd.exe ^^
Mitglied: 127132
127132 Mar 01, 2016 at 13:00:21 (UTC)
Goto Top
Ok, dann das image anpassen und die Filterung als compilierte exe mit dem Namen cmd.exe ^^
Naja, es geht ja wohl um das Anpassen des Images
Unter Vista wars ja disablecmdrequest.tag nur funktioniert der was ich gelesen hab eben unter Win 10 nicht mehr.

Verändert das ADK nur die Einstellungen der Installation oder die Installation selber auch?
https://msdn.microsoft.com/de-de/windows/hardware/dn913721.aspx?f=255&am ...
Member: DerWoWusste
DerWoWusste Mar 01, 2016 at 15:18:10 (UTC)
Goto Top
Ich glaub', das ist eh vergebens. Da Setup Bitlocker für die Zeit des Setups deaktiviert, hat ein Angreifer im selben Raum eh freie Hand, er braucht keinen Key für offline-Maipulation vorzuweisen face-plain
Also "sei's drum", dann wird eben wirklich zu jedem Versionssprung einmal Sonntagsarbeit fällig.
GermansolvedQuestionWindows 10Microsoft