5
Einrichtung eines PC als gesichertes Präsentationsgerät
Diese Anleitung beschreibt die Einrichtung eines PC, der in öffentlich zugänglichen Bereichen steht und beispielsweise nur zur Präsentation eines PowerPoint-Vortrages oder eines interaktiven Programms genutzt werden soll.
1. Einrichtung eines eingeschränkten Benutzerkontos
Um den Zugriff Unbefugter auf sensible Betriebssystembereiche grundsätzlich einzuschränken, muss ein lokaler, eingeschränkter Benutzer eingerichtet werden. Begeben Sie sich hierzu in die Computerverwaltung des PC und legen Sie eine Benutzer an.
Klicken Sie zum Abschluss auf [Erstellen] Beachten Sie, dass der Benutzer dass Kennwort nicht ändern dürfen sollte. Wählen Sie danach den neu erstellten Benutzer mit Doppelklick aus, wechseln Sie auf den Reiter „Mitgliedschaft“ und fügen Sie den neuen Benutzer der Gruppe „Gäste“ hinzu. Löschen Sie danach die Mitgliedschaft in der Gruppe Benutzer und klicken Sie auf [OK].
2. Einrichten des Arbeits-Verzeichnisses für die Script-Dateien
Erstellen Sie auf dem Zielgerät einen neuen Ordner in dem die Script-Dateien abgelegt werden können, bspw. C:\temp\Präsentation und kopieren Sie die Dateien pskill.exe, pslist.exe und sleep.exe in den Ordner. Die ersten beiden Dateien erhalten Sie unter http://technet.microsoft.com/de-de/sysinternals , die sleep.exe ist Bestandteil des Windows 2003 Server Ressource Kit.
3. Vorbereiten des Batch- und VB-Scripts
Erstellen Sie im selben Verzeichnis eine neue Datei mit dem Namen checkprocess.bat. Bearbeiten Sie die Datei indem Sie folgenden Quelltext einfügen:
Erläuterung: Der Abschnitt „check_process“ prüft in einer Schleife alle 5 Sekunden ob ein Prozess namens „slideshow“ gestartet ist. Wenn nein, springt er zum Abschnitt „restart“, wenn ja, wartet er 5 Sekunden und prüft dann erneut.
Da diese Prüfung für den Benutzer unsichtbar sein soll, muss sie via VB-Script unsichtbar gestartet werden. Erstellen Sie hierzu im selben Verzeichnis eine Datei „start.vbs“und bearbeiten Sie diese, indem Sie folgenden Quellcode einfügen:
Ihr Verzeichnis enthält nun diese 5 Dateien:
- pslist.exe
- pskill.exe
- sleep.exe
- checkprocess.bat
- start.vbs
4. Vorbereitung des zu schützenden PC
Damit der Benutzer am PC nicht über den Taskmanager neue Tasks starten oder laufende beenden kann, muss dieser Zugriff eingeschränkt werden. Geben Sie dem eingeschränkten User für diese Tätigkeiten zunächst temporär Administratorenrechte und melden Sie sich danach mit diesem Benutzer am PC an. Rufen Sie nun die lokale Gruppenrichtlinie über „gpedit.msc“ auf. Navigieren Sie zum Bereich „Benutzerkonfiguration --> Administrative Vorlagen --> System --> Strg+Alt+Entf-Optionen“. Aktivieren Sie hier nun alle vier Einstellungen, damit der Benutzer weder den Taskmanager aufrufen, den Computer sperren, das Kennwort ändern oder sich abmelden kann.
Als Ergebnis kann der Benutzer nach drücken von Strg+Alt+Entf nur noch den Computer herunterfahren.
Machen Sie als nächstes einen Screenshot des leeren Desktops und speichern Sie diesen als Background.bmp im Ordner „C:\temp\Präsentation“ ab. Wählen Sie nun dieses Bild als Bildschirmhintergrund aus. Hierdurch wird dem Benutzer später bei beendeter Windows-Shell vorgegaukelt, er könne nichts anklicken.
Legen Sie nun noch eine Verknüpfung zur Datei „start.vbs“ in den Ordner „Autostart“.
5. PC für automatischen Start konfigurieren
Dass ein Benutzer den PC herunterfährt, um nach Neustart an den Anmeldedialog zu kommen, sollte ebenfalls unterbunden werden. Hierzu wird einfach der anzumeldende Benutzer (in unserem Fall „Demo“) automatisch angemeldet.
Öffnen Sie hierzu die Windows-Registry indem Sie „regedit“ ausführen.
Navigieren Sie nun zum Abschnitt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon
Passen Sie nun folgende Werte an:
DefaultUsername = Der Benutzername DEMO
DefaultPassword = Das Passwort des Benutzers (dieser Wert muss als Zeichenfolge neu angelegt werden)
AutoAdminLogon = 1
Melden Sie sich nun mit einem lokalen Administratorenkonto an und entfernen Sie den Benutzer „Demo“ wieder aus der Gruppe der Administratoren. Starten Sie danach den Rechner neu.
Und das war's auch schon!
1. Einrichtung eines eingeschränkten Benutzerkontos
Um den Zugriff Unbefugter auf sensible Betriebssystembereiche grundsätzlich einzuschränken, muss ein lokaler, eingeschränkter Benutzer eingerichtet werden. Begeben Sie sich hierzu in die Computerverwaltung des PC und legen Sie eine Benutzer an.
Klicken Sie zum Abschluss auf [Erstellen] Beachten Sie, dass der Benutzer dass Kennwort nicht ändern dürfen sollte. Wählen Sie danach den neu erstellten Benutzer mit Doppelklick aus, wechseln Sie auf den Reiter „Mitgliedschaft“ und fügen Sie den neuen Benutzer der Gruppe „Gäste“ hinzu. Löschen Sie danach die Mitgliedschaft in der Gruppe Benutzer und klicken Sie auf [OK].
2. Einrichten des Arbeits-Verzeichnisses für die Script-Dateien
Erstellen Sie auf dem Zielgerät einen neuen Ordner in dem die Script-Dateien abgelegt werden können, bspw. C:\temp\Präsentation und kopieren Sie die Dateien pskill.exe, pslist.exe und sleep.exe in den Ordner. Die ersten beiden Dateien erhalten Sie unter http://technet.microsoft.com/de-de/sysinternals , die sleep.exe ist Bestandteil des Windows 2003 Server Ressource Kit.
3. Vorbereiten des Batch- und VB-Scripts
Erstellen Sie im selben Verzeichnis eine neue Datei mit dem Namen checkprocess.bat. Bearbeiten Sie die Datei indem Sie folgenden Quelltext einfügen:
:check_process
pslist.exe slideshow >nul || goto restart
sleep 5
goto check_process
:restart
pskill explorer.exe
start c:\temp\cd\slideshow.exe
goto check_process
Da diese Prüfung für den Benutzer unsichtbar sein soll, muss sie via VB-Script unsichtbar gestartet werden. Erstellen Sie hierzu im selben Verzeichnis eine Datei „start.vbs“und bearbeiten Sie diese, indem Sie folgenden Quellcode einfügen:
WScript.CreateObject( "WScript.Shell" ).Run CHECKPROCESS.bat",0,0
Ihr Verzeichnis enthält nun diese 5 Dateien:
- pslist.exe
- pskill.exe
- sleep.exe
- checkprocess.bat
- start.vbs
4. Vorbereitung des zu schützenden PC
Damit der Benutzer am PC nicht über den Taskmanager neue Tasks starten oder laufende beenden kann, muss dieser Zugriff eingeschränkt werden. Geben Sie dem eingeschränkten User für diese Tätigkeiten zunächst temporär Administratorenrechte und melden Sie sich danach mit diesem Benutzer am PC an. Rufen Sie nun die lokale Gruppenrichtlinie über „gpedit.msc“ auf. Navigieren Sie zum Bereich „Benutzerkonfiguration --> Administrative Vorlagen --> System --> Strg+Alt+Entf-Optionen“. Aktivieren Sie hier nun alle vier Einstellungen, damit der Benutzer weder den Taskmanager aufrufen, den Computer sperren, das Kennwort ändern oder sich abmelden kann.
Als Ergebnis kann der Benutzer nach drücken von Strg+Alt+Entf nur noch den Computer herunterfahren.
Machen Sie als nächstes einen Screenshot des leeren Desktops und speichern Sie diesen als Background.bmp im Ordner „C:\temp\Präsentation“ ab. Wählen Sie nun dieses Bild als Bildschirmhintergrund aus. Hierdurch wird dem Benutzer später bei beendeter Windows-Shell vorgegaukelt, er könne nichts anklicken.
Legen Sie nun noch eine Verknüpfung zur Datei „start.vbs“ in den Ordner „Autostart“.
5. PC für automatischen Start konfigurieren
Dass ein Benutzer den PC herunterfährt, um nach Neustart an den Anmeldedialog zu kommen, sollte ebenfalls unterbunden werden. Hierzu wird einfach der anzumeldende Benutzer (in unserem Fall „Demo“) automatisch angemeldet.
Öffnen Sie hierzu die Windows-Registry indem Sie „regedit“ ausführen.
Navigieren Sie nun zum Abschnitt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon
Passen Sie nun folgende Werte an:
DefaultUsername = Der Benutzername DEMO
DefaultPassword = Das Passwort des Benutzers (dieser Wert muss als Zeichenfolge neu angelegt werden)
AutoAdminLogon = 1
Melden Sie sich nun mit einem lokalen Administratorenkonto an und entfernen Sie den Benutzer „Demo“ wieder aus der Gruppe der Administratoren. Starten Sie danach den Rechner neu.
Und das war's auch schon!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115088
Url: https://administrator.de/contentid/115088
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
nur als Tip:
MIt SteadyState von Microsoft kann man ähnliches erreichen, ist jedoch flexibler.
Der Trick mit dem Desktophintergrund ist gut. Damit kann man Kollegen hervorragend ärgern
http://www.microsoft.com/windows/products/winfamily/sharedaccess/defaul ...
Ansonsten aber eine schön aufgebaute und gut beschriebene Anleitung!
nur als Tip:
MIt SteadyState von Microsoft kann man ähnliches erreichen, ist jedoch flexibler.
Der Trick mit dem Desktophintergrund ist gut. Damit kann man Kollegen hervorragend ärgern
http://www.microsoft.com/windows/products/winfamily/sharedaccess/defaul ...
Ansonsten aber eine schön aufgebaute und gut beschriebene Anleitung!
Sehr nette kleine Anleitung !
Mir fehlt allerdings noch der Regeintrag : ForceAutoLogon
Man kann das Autologon allerdings auch damit temporär deaktivieren das man die Shift-Taste während des Logon festhält ...
Lobiwan
Mir fehlt allerdings noch der Regeintrag : ForceAutoLogon
Man kann das Autologon allerdings auch damit temporär deaktivieren das man die Shift-Taste während des Logon festhält ...
Lobiwan
Hallo Larz,
hab so was schon länger im Kopf und danke für die Anleitung.
Funktioniert wohl auch unter Win-XP-Pro . . .
Wo bekomm ich dann die "sleep.exe" her ?
Und doofe Frage, wie komme ich dann selbst, nach Beedigung der Präsentation, wieder in den PC ?
Lg tomcat
hab so was schon länger im Kopf und danke für die Anleitung.
Funktioniert wohl auch unter Win-XP-Pro . . .
Wo bekomm ich dann die "sleep.exe" her ?
Und doofe Frage, wie komme ich dann selbst, nach Beedigung der Präsentation, wieder in den PC ?
Lg tomcat
Hi Tomcat,
die sleep.exe findet man ganz einfach im Netz. Es gibt verschiedenste Versionen von verschiedensten Autoren.
Wichtig ist einfach, dass die exe eine Verzögerung mit x Sekunden "verursacht".
Selber wieder an den PC kommst Du mit [shift] während bzw. vor der automatischen Anmeldung oder Start im abgesicherten Modus. Du kannst aber auch einfach (wenn der PC in einem Netz ist) über die versteckte Freigabe die Batch aus dem Autostart rauskopieren, und dann den PC neu starten (mit Power-Köpfchen)
Gruß
Larz
die sleep.exe findet man ganz einfach im Netz. Es gibt verschiedenste Versionen von verschiedensten Autoren.
Wichtig ist einfach, dass die exe eine Verzögerung mit x Sekunden "verursacht".
Selber wieder an den PC kommst Du mit [shift] während bzw. vor der automatischen Anmeldung oder Start im abgesicherten Modus. Du kannst aber auch einfach (wenn der PC in einem Netz ist) über die versteckte Freigabe die Batch aus dem Autostart rauskopieren, und dann den PC neu starten (mit Power-Köpfchen)
Gruß
Larz
Nette Anleitung, ist soweit ganz okay.
