Windows10 Home härten - Öffnen- Speichern Dialog auf WINDIR verbieten

sonarc
Goto Top
Hallo zusammen,
für eine private Bildungseinrichtung habe ich gerade Surface Go2 Tablets auf dem Schreibtisch, die mit Windows10 Home Edition einen gehärteten Kiosk-Modus bekommen sollen.

Die Winlogon-Shell für den unpriviligierten User wurde angepasst und "Software 1" funktioniert soweit, dass man nicht ohne weiteres "ausbrechen" kann.
Docking-Ports, WiFi und Bluetooth sind BIOS-Seitig deaktiviert und für USB teste ich gerade die Software "DriveLock", da ich diesen nicht abschalten kann, da über freigegebene

Nun soll auf den Kisten noch eine weitere Software ausgeführt werden, die aber mit einem normalen Öffnen- und Speicherndialog daherkommt.
Über diesen kann ich ins Windows-Verzeichnis navigieren und die Explorer.exe starten womit ich dann einen vollwertigen Desktop erhalte.

Hat von Euch einer Ideen, wie ich es unterbinden kann, dass die Teilnehmer über ein ungefiltertes Dialogfenster Fremdprogramme starten können?
Auch wenn "Software 2" eher ein Nieschenprodukt ist und soviel kostet wie ein Mittelklassewagen, brauche ich wohl nicht auf deren Unterstützung hoffen.

Vorab schonmal besten Dank und viele Grüße

Content-Key: 666394

Url: https://administrator.de/contentid/666394

Ausgedruckt am: 16.05.2022 um 19:05 Uhr

Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 04.05.2021 um 23:11:38 Uhr
Goto Top
also in der Home Edition bist du fast komplett aufgeschmissen.
Die Pro Edition kann immerhin Domänenmitglied werden, und in der Domäne gibts administrative Vorlangen, die lokale Laufwerke verbergen. Der Datei-Speichern Dialog ist davon aber unabhängig, der ruft eine Instanz des Explorers auf, und der zeigt halt an, was er lt GPO anzeigen darf.
Home darf/kann aber einer Domäne nicht beitreten, aber da GPOs meist über Registry keys wirken bleibt zu hoffen, daß der Registrykey in DIESEM Artikel https://www.windowscentral.com/how-hide-entire-drive-prying-eyes-windows ...
auch in Windows 10 Home existiert.

Es gibt übrigens noch einen Hack... damit customized man das Windows Kontextmenü selbst und dann würde z.B. "Dateipfad öffnen" nicht mehr auftauchen.

Nicht alle Apps sind dazu kompatibel... aber in deinem Fall scheint der Zweck das Mittel wohl zu heiligen.

https://technastic.com/remove-items-context-menu-windows-10/

Und noch einen Tip - ich hab früher selber in Berufsschulen IT Service gemacht... die hatten im wesentlichen zwei Konzepte:
1.) Platten werden regelmäßig mit einem Image überschrieben
2.) Rechner durchlaufen regelmäßig ein WDS Workflow... Rechner plattmachen, Windows neu installieren, fertig. Ist zwar etwas aufwendiger vorzubereiten, aber hinterher per PXE Boot einfachst zu realisieren. In aktuellen Windows 10 Ständen muß man keine Treiber einbinden... was früher bei Windows 7 bzw. Server 2008R2 noch "pain in the ass" war
Mitglied: SonArc
SonArc 05.05.2021 um 15:40:32 Uhr
Goto Top
Hallo GrueneSosseMitSpeck,
vielen Dank für Deinen tollen Kommentar.

Leider komme ich heute nicht mehr zu dem Thema, werde mir Deine Punkte und Links aber vermutlich morgen definitiv genauer anschauen.
Dass ich die Kiste mit der Home-Edition nicht ganz dicht bekomme, davon gehe ich aus und habe mir das OS leider auch nicht aussuchen dürfen.
Ich hab nur die Aufgabe, das ausbrechen so ungemütlich wie möglich zu machen.

Das Thema Deployment steht auch noch an, da die Schule mehrere Standorte in ganz Deutschland hat und sie das ganze nach Möglichkeit vor Ort mit einem "gewhitelisteten" USB Stick selbst updaten und reparieren wollen. - Eine Client/Server-Infrastruktur zu den Tablets ist wohl für kommendes Jahr angedacht aber noch nicht entschieden.

Ich stehe stehe gerade auch noch mit den Softwarehersteller in Kontakt, da das "DriveLock" über die Hardware-ID und die Schulungssoftware mit einem virtuellen "Codemeter Dongle-Container" lizenziert werden möchten.


Nochmals besten Dank für die Antwort und ich werde berichten, wie es weitergeht.