Windows SteadyState
Hallo allerseits.
Da ich SteadyState als mächtiges Windows Tool sehe und auch im Einsatz habe, habe ich hier eine Anleitung zu Windows Steady State von Microsoft zusammen gesucht.
Windows Staty State verbindet Windows XP Sicherheitseinstellungen, welche man bisher unter verschiedenen verstreuten Systemsteuerungsoptionen suchen musste .
Windows Staty State erlaubt dem Anwender für jeden eingerichteten Benutzer jede einzelne Ressource (also Programme, Laufwerke, Systemsteuerungsoptionen u.v.m.) einzeln zu frei zu geben oder zu sperren.
Man kann also jedem Benutzer ein Profil anlegen, in dem festgelegt wird welche Programme ausgeführt werden dürfen, welche Laufwerke ihm angezeigt werden, was er am Aussehen und Verhalten des Rechners ändern darf, also alles das, was man aus Firmennetzwerken und Internetcafés kennt.
Selbst eine Art Kindersicherung ist integriert, mit der man nur bestimmte Homepages erlauben oder verbieten kann oder die tägliche Nutzung begrenzen.
Man kann sogar festlegen, das sämtliche Änderungen an der Systemfestplatte automatisch bei einem Neustart zurückgesetzt werden
Der erste Start
Ich habe zu Demonstrationszwecken einfach mal ein Benutzerkonto Namens Internet erstellt, dieses wird (wie alle anderen eingeschränkten Benutzerkonten) gleich beim ersten Start von SteadyState auf der rechten Seite angezeigt. Die Anzeige der "Getting started" Tipps klicken wir einfach mal weg. (dafür gibts ja diesen Tipp
Die Benutzer Einstellungen
Nach einem Klick auf das zu verwaltende Benutzerkonto bekommen wir das Einstellungsfenster für diesen Benutzer angezeigt:
Was genau stellt man hier ein:
1. Hier verhindert man, dass irgendwelche Änderungen die der Benutzer am System verändert (sofern man das nachher erlaubt) beim Herunterfahren übernommen werden.
2. Hier kann man dem Benutzer eine maximale Nutzungsdauer pro Anmeldung einstellen bzw. eine Vorgabe machen nach welcher Zeit ohne Interaktion der Benutzer abgemeldet werden soll (sehr praktisch um seinen Kindern ein Zeitlimit am Computer zu setzen)
3. Hier kann man den Rechner neu starten lassen, wenn der Nutzer abgemeldet wird (und dadurch auch alle Änderungen am System verwerfen)
4. Dies sind die gleichen Einstellungen die man auch in XP unter Benutzerkonten findet:
- Passwort ändern
- Benutzerbild ändern
- Benutzer löschen
Und jetzt kommt wieder ein bisschen Einstellarbeit:
1. Es stehen vier vorgefertigte Sicherheitsstufen zur Verfügung (die sollten eigentlich selbsterklärend sein) man kann aber auch jeden einzelnen Startmenüeintrag erlauben (ohne Haken) oder verbieten (mit Haken) wenn man auf High Restrictions geht sieht der User im Startmenü ausser: Benutzer abmelden und Programme (Autostart, Zubehör, Internet Explorer und Mediaplayer)
GAR NICHTS MEHR!!
Wenn man ein bisschen nach unten scrollt sieht man dann noch den Unterpunkt "General Restrictions" mit dem sich das Verhalten von Windowskomponenten beeinflussen lässt, sodass auf die ausgeblendeten Startmenüeintrage (z.B. Ausführen) auch nicht durch einen direkten Aufruf zugegriffen werden kann. Ausserdem lässt sich hier auch bspw. einstellen, ob Programme die nicht im Windows oder Programme Ordner liegen überhaupt ausgeführt werden dürfen, also keine Passwortcracker oder Schnüffeltools mehr!! (aber hierzu nachher mehr)
Da das genau das ist was ich für mein "Internet" Benutzerkonto haben will, lasse ich das mal so stehen.
2. Hier kann man alle Laufwerke die der Benutzer nicht sehen soll (also auch nichts darauf ändern kann) einstellen.
Unter Feature Restrictions kann man das Verhalten des Internet Explorers und ein paar Details von MS Office einstellen.
1. Hier kann man bspw. den Internetzugang ganz sperren (ausser den darunter freigegebenen Homepages) oder die Ausführung von VBA Skripts und Makros in Office verhindern (auch hierzu kommt nachher noch mehr)
2. Hier kann man für den jeweiligen Benutzer eine Startseite eintragen (es kann also für jeden Benutzer eine andere eingestellt werden!)
3. Hier kann man einzelne Internetseiten freigeben, wenn man oben den Internetzugang eingeschränkt hat (auch eine sehr gute Funktion wenn Kinder an den Rechner dürfen)
So und schliesslich noch die letzte Seite der Benutzereinstellungen:
Und was sehen wir da? Es ist tatsächlich möglich jedes einzelne Programm welches auf dem Rechner installiert ist einzeln zu verbieten!
Hier werden standardmässig schon einige gefundene Programme aufgelistet, mit dem Button "Browse" kann aber jegliche auf dem Rechner befindliche Exe-Datei gesperrt werden.
Die allgemeinen Einstellungen
Nun wollen wir uns mal die allgemeinen Einstellungen genauer anschauen:
Auf der Startseite von SteadyState sehen wir in der Mitte drei Einstellungspunkte
1. Set Computer Restrictions
(hier lassen sich allgemeine Regeln angeben)
2. Schedule Software Updates
(hier kann man Windows und Sicherheitsprogrammupdates zulassen und einstellen)
3. Protect the Harddisk
(hier stellt man den Festplattenschutz für die Systempartition ein)
Sehen wir uns die mal genauer an:
Unter 1. finden wir folgendes:
Die ersten 3 Punkte betreffen die "Privatsphäre" des Computers:
Der erste Punkt regelt, ob im Anmeldebildschirm (also der klassischen Benutzeranmeldung) der zuletzt angemeldete Benutzer angezeigt wird. (also kein Erraten mehr von Passwörtern anhand des Benutzernamens)
Der zweite Punkt regelt, ob es Benutzern für die noch kein Ordner unter "Dokumente und Einstellungen" existiert überhaupt gestattet ist sich am Rechner anzumelden (also keine Möglichkeit mehr mit einem ausgeliehenen Laptop über ein bekanntes Domain-Benutzerprofil Zugriff auf den Rechner zu kriegen)
Der dritte Punkt ist dafür da, einzustellen ob Kopien eines Netzwerk-Benutzerprofils auf dem Rechner gespeichert werden sollen (also kein Auslesen der Passwörter oder Kopieren von Dateien aus geliehenen Laptops)
Was kann man im Bereich Security Settings einstellen:
1. Den Administrator Benutzernamen vom Willkommen Bildschirm entfernen. (Anmeldung des Administrators also nur möglich wenn Passwort UND Benutzername bekannt sind, und dann auch nur über zweimaliges Drücken von Strg+Alt+Entf)
2. Die "Herunterfahren" Option vom Willkommenbildschirm entfernen. (Also keine Möglichkeit den Rechner runterzufahren und Neuzustarten ohne sich anzumelden, ausser mit einem Hardwarereset. Man sollte also auch das BIOS sicher einstellen, also booten nur von Festplatte und ein BIOS Passwort vergeben)
3. Die Speicherung von Benutzernamen und Passwörtern im alten LMhash Format verhindern (Also nichts mehr mit unsicher gespeicherten Passwörten die sich mit Ophcrack auslesen lassen)
4. Das Speichern der Windows Live ID Benutzerdaten verhindern. (Die Windows Live ID wird z.B zur Anmeldung am neuen MS Messenger genutzt)
5. Verhindern dass Benutzer auf Laufwerk C: Dateien und Ordner erstellen dürfen (diese Einstellung ist sehr sinnvoll wenn man s.o. die Ausführung von Programmen die nicht auf C: liegen verhindert hat, dann ist es so gut wie nicht mehr möglich von Wechseldatenträgern "importierte" Programme auszuführen, also keine Nutzung von Passwortcrackern möglich, zumindest nicht solange man sie nicht selbst vorher installiert hat )
6. Verhindern dass Office Dokumente im I-Net Explorer geöffnet werden können. (mit den Einschränkungen die unter -> User Settings -> Feature Restrictions -> Microsoft Office Restrictions gemacht werden können verhindert das die "unabsichtliche" Nutzung von VBA Skripts und Makros in Office)
7. Verhindert dass Dateien auf USB Speichermedien geschrieben werden können (also sehr sinnvoll um Datenklau zu verhindern, mit dem Einstellungspunkt: Remove CD and DVD Burning Function unter -> User Settings -> Windows Restrictions -> General Restrictions ist es fast nicht möglich Daten vom Rechner runterzukriegen, ausser evtl. übers Netzwerk)
Der Menüpunkt Scheduled Software Updates
soll es möglich machen auch unter nicht administrativen Benutzerkonten das Windowsupdate und die Antivirenupdates zeitgesteuert zu aktivieren, funktioniert aber erstens nicht korrekt, und erkennt bisher auch nur 4 Antivirenprogramme, die anderen müsste man über selbsterstellte Skripts einbinden. (Also stellen wir hier einfach gar nichts ein, sondern machen Updates lieber als Administrator von Hand.)
Das wichtigste: die Disk Protection
Und jetzt der meiner Meinung nach wichtigste Menüpunkt für "reine" Internetrechner:
Die Disk Protection.
Was bisher nur mit kommerziellen Programmen machbar war ist hier kostenlos integriert.
Die Disk Protection richtet eine Art virtuellen Festplattencache ein (welcher bis zu 40GB gross sein kann) auf dem alles gespeichert wird, was normalerweise direkt auf die Festplatte kommt. Wenn richtig konfiguriert löscht diese Funktion automatisch beim Neustart ALLE Änderungen welche während der letzten Sitzung vorgenommen wurden. Also bei richtigem Einsatz die fast perfekte Waffe gegen Viren, Würmer u. ä., selbst wenn sie auf den Rechner kommen sind sie spätestens beim Neustart weg (habe es selbst schon mit einer absichtlichen Infektion mit einem Virus und einer Spyware ausprobiert).
Natürlich darf man trotzdem nicht auf ein Antiviren und Firewallprogramm verzichten, denn solange der Rechner nicht neugestartet wird sind die Schädlinge trotzdem aktiv !!!!!
Diese Funktion ist auch nicht absolut ("Retain Changes temporarily - Änderungen zeitweise behalten" und "Retain all Changes permanently - Alle Änderungen übernehmen"),
d.h. man kann gewünschte Änderungen (z.B. erwünschte Softwareupdates) beim Herunterfahren auch dauerhaft übernehmen (auch ein Grund nicht auf Sicherheitsprogramme zu verzichten, es könnten sich ja während des Updates auch Schädlinge einschleichen)
So das war so ziemlich das wichtigste denke ich mal.
Hier noch der Link für SteadyState !
Have a nice Day
Da ich SteadyState als mächtiges Windows Tool sehe und auch im Einsatz habe, habe ich hier eine Anleitung zu Windows Steady State von Microsoft zusammen gesucht.
Windows Staty State verbindet Windows XP Sicherheitseinstellungen, welche man bisher unter verschiedenen verstreuten Systemsteuerungsoptionen suchen musste .
Windows Staty State erlaubt dem Anwender für jeden eingerichteten Benutzer jede einzelne Ressource (also Programme, Laufwerke, Systemsteuerungsoptionen u.v.m.) einzeln zu frei zu geben oder zu sperren.
Man kann also jedem Benutzer ein Profil anlegen, in dem festgelegt wird welche Programme ausgeführt werden dürfen, welche Laufwerke ihm angezeigt werden, was er am Aussehen und Verhalten des Rechners ändern darf, also alles das, was man aus Firmennetzwerken und Internetcafés kennt.
Selbst eine Art Kindersicherung ist integriert, mit der man nur bestimmte Homepages erlauben oder verbieten kann oder die tägliche Nutzung begrenzen.
Man kann sogar festlegen, das sämtliche Änderungen an der Systemfestplatte automatisch bei einem Neustart zurückgesetzt werden
Der erste Start
Ich habe zu Demonstrationszwecken einfach mal ein Benutzerkonto Namens Internet erstellt, dieses wird (wie alle anderen eingeschränkten Benutzerkonten) gleich beim ersten Start von SteadyState auf der rechten Seite angezeigt. Die Anzeige der "Getting started" Tipps klicken wir einfach mal weg. (dafür gibts ja diesen Tipp
Die Benutzer Einstellungen
Nach einem Klick auf das zu verwaltende Benutzerkonto bekommen wir das Einstellungsfenster für diesen Benutzer angezeigt:
Was genau stellt man hier ein:
1. Hier verhindert man, dass irgendwelche Änderungen die der Benutzer am System verändert (sofern man das nachher erlaubt) beim Herunterfahren übernommen werden.
2. Hier kann man dem Benutzer eine maximale Nutzungsdauer pro Anmeldung einstellen bzw. eine Vorgabe machen nach welcher Zeit ohne Interaktion der Benutzer abgemeldet werden soll (sehr praktisch um seinen Kindern ein Zeitlimit am Computer zu setzen)
3. Hier kann man den Rechner neu starten lassen, wenn der Nutzer abgemeldet wird (und dadurch auch alle Änderungen am System verwerfen)
4. Dies sind die gleichen Einstellungen die man auch in XP unter Benutzerkonten findet:
- Passwort ändern
- Benutzerbild ändern
- Benutzer löschen
Und jetzt kommt wieder ein bisschen Einstellarbeit:
1. Es stehen vier vorgefertigte Sicherheitsstufen zur Verfügung (die sollten eigentlich selbsterklärend sein) man kann aber auch jeden einzelnen Startmenüeintrag erlauben (ohne Haken) oder verbieten (mit Haken) wenn man auf High Restrictions geht sieht der User im Startmenü ausser: Benutzer abmelden und Programme (Autostart, Zubehör, Internet Explorer und Mediaplayer)
GAR NICHTS MEHR!!
Wenn man ein bisschen nach unten scrollt sieht man dann noch den Unterpunkt "General Restrictions" mit dem sich das Verhalten von Windowskomponenten beeinflussen lässt, sodass auf die ausgeblendeten Startmenüeintrage (z.B. Ausführen) auch nicht durch einen direkten Aufruf zugegriffen werden kann. Ausserdem lässt sich hier auch bspw. einstellen, ob Programme die nicht im Windows oder Programme Ordner liegen überhaupt ausgeführt werden dürfen, also keine Passwortcracker oder Schnüffeltools mehr!! (aber hierzu nachher mehr)
Da das genau das ist was ich für mein "Internet" Benutzerkonto haben will, lasse ich das mal so stehen.
2. Hier kann man alle Laufwerke die der Benutzer nicht sehen soll (also auch nichts darauf ändern kann) einstellen.
Unter Feature Restrictions kann man das Verhalten des Internet Explorers und ein paar Details von MS Office einstellen.
1. Hier kann man bspw. den Internetzugang ganz sperren (ausser den darunter freigegebenen Homepages) oder die Ausführung von VBA Skripts und Makros in Office verhindern (auch hierzu kommt nachher noch mehr)
2. Hier kann man für den jeweiligen Benutzer eine Startseite eintragen (es kann also für jeden Benutzer eine andere eingestellt werden!)
3. Hier kann man einzelne Internetseiten freigeben, wenn man oben den Internetzugang eingeschränkt hat (auch eine sehr gute Funktion wenn Kinder an den Rechner dürfen)
So und schliesslich noch die letzte Seite der Benutzereinstellungen:
Und was sehen wir da? Es ist tatsächlich möglich jedes einzelne Programm welches auf dem Rechner installiert ist einzeln zu verbieten!
Hier werden standardmässig schon einige gefundene Programme aufgelistet, mit dem Button "Browse" kann aber jegliche auf dem Rechner befindliche Exe-Datei gesperrt werden.
Die allgemeinen Einstellungen
Nun wollen wir uns mal die allgemeinen Einstellungen genauer anschauen:
Auf der Startseite von SteadyState sehen wir in der Mitte drei Einstellungspunkte
1. Set Computer Restrictions
(hier lassen sich allgemeine Regeln angeben)
2. Schedule Software Updates
(hier kann man Windows und Sicherheitsprogrammupdates zulassen und einstellen)
3. Protect the Harddisk
(hier stellt man den Festplattenschutz für die Systempartition ein)
Sehen wir uns die mal genauer an:
Unter 1. finden wir folgendes:
Die ersten 3 Punkte betreffen die "Privatsphäre" des Computers:
Der erste Punkt regelt, ob im Anmeldebildschirm (also der klassischen Benutzeranmeldung) der zuletzt angemeldete Benutzer angezeigt wird. (also kein Erraten mehr von Passwörtern anhand des Benutzernamens)
Der zweite Punkt regelt, ob es Benutzern für die noch kein Ordner unter "Dokumente und Einstellungen" existiert überhaupt gestattet ist sich am Rechner anzumelden (also keine Möglichkeit mehr mit einem ausgeliehenen Laptop über ein bekanntes Domain-Benutzerprofil Zugriff auf den Rechner zu kriegen)
Der dritte Punkt ist dafür da, einzustellen ob Kopien eines Netzwerk-Benutzerprofils auf dem Rechner gespeichert werden sollen (also kein Auslesen der Passwörter oder Kopieren von Dateien aus geliehenen Laptops)
Was kann man im Bereich Security Settings einstellen:
1. Den Administrator Benutzernamen vom Willkommen Bildschirm entfernen. (Anmeldung des Administrators also nur möglich wenn Passwort UND Benutzername bekannt sind, und dann auch nur über zweimaliges Drücken von Strg+Alt+Entf)
2. Die "Herunterfahren" Option vom Willkommenbildschirm entfernen. (Also keine Möglichkeit den Rechner runterzufahren und Neuzustarten ohne sich anzumelden, ausser mit einem Hardwarereset. Man sollte also auch das BIOS sicher einstellen, also booten nur von Festplatte und ein BIOS Passwort vergeben)
3. Die Speicherung von Benutzernamen und Passwörtern im alten LMhash Format verhindern (Also nichts mehr mit unsicher gespeicherten Passwörten die sich mit Ophcrack auslesen lassen)
4. Das Speichern der Windows Live ID Benutzerdaten verhindern. (Die Windows Live ID wird z.B zur Anmeldung am neuen MS Messenger genutzt)
5. Verhindern dass Benutzer auf Laufwerk C: Dateien und Ordner erstellen dürfen (diese Einstellung ist sehr sinnvoll wenn man s.o. die Ausführung von Programmen die nicht auf C: liegen verhindert hat, dann ist es so gut wie nicht mehr möglich von Wechseldatenträgern "importierte" Programme auszuführen, also keine Nutzung von Passwortcrackern möglich, zumindest nicht solange man sie nicht selbst vorher installiert hat )
6. Verhindern dass Office Dokumente im I-Net Explorer geöffnet werden können. (mit den Einschränkungen die unter -> User Settings -> Feature Restrictions -> Microsoft Office Restrictions gemacht werden können verhindert das die "unabsichtliche" Nutzung von VBA Skripts und Makros in Office)
7. Verhindert dass Dateien auf USB Speichermedien geschrieben werden können (also sehr sinnvoll um Datenklau zu verhindern, mit dem Einstellungspunkt: Remove CD and DVD Burning Function unter -> User Settings -> Windows Restrictions -> General Restrictions ist es fast nicht möglich Daten vom Rechner runterzukriegen, ausser evtl. übers Netzwerk)
Der Menüpunkt Scheduled Software Updates
soll es möglich machen auch unter nicht administrativen Benutzerkonten das Windowsupdate und die Antivirenupdates zeitgesteuert zu aktivieren, funktioniert aber erstens nicht korrekt, und erkennt bisher auch nur 4 Antivirenprogramme, die anderen müsste man über selbsterstellte Skripts einbinden. (Also stellen wir hier einfach gar nichts ein, sondern machen Updates lieber als Administrator von Hand.)
Das wichtigste: die Disk Protection
Und jetzt der meiner Meinung nach wichtigste Menüpunkt für "reine" Internetrechner:
Die Disk Protection.
Was bisher nur mit kommerziellen Programmen machbar war ist hier kostenlos integriert.
Die Disk Protection richtet eine Art virtuellen Festplattencache ein (welcher bis zu 40GB gross sein kann) auf dem alles gespeichert wird, was normalerweise direkt auf die Festplatte kommt. Wenn richtig konfiguriert löscht diese Funktion automatisch beim Neustart ALLE Änderungen welche während der letzten Sitzung vorgenommen wurden. Also bei richtigem Einsatz die fast perfekte Waffe gegen Viren, Würmer u. ä., selbst wenn sie auf den Rechner kommen sind sie spätestens beim Neustart weg (habe es selbst schon mit einer absichtlichen Infektion mit einem Virus und einer Spyware ausprobiert).
Natürlich darf man trotzdem nicht auf ein Antiviren und Firewallprogramm verzichten, denn solange der Rechner nicht neugestartet wird sind die Schädlinge trotzdem aktiv !!!!!
Diese Funktion ist auch nicht absolut ("Retain Changes temporarily - Änderungen zeitweise behalten" und "Retain all Changes permanently - Alle Änderungen übernehmen"),
d.h. man kann gewünschte Änderungen (z.B. erwünschte Softwareupdates) beim Herunterfahren auch dauerhaft übernehmen (auch ein Grund nicht auf Sicherheitsprogramme zu verzichten, es könnten sich ja während des Updates auch Schädlinge einschleichen)
So das war so ziemlich das wichtigste denke ich mal.
Hier noch der Link für SteadyState !
Have a nice Day
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 121115
Url: https://administrator.de/contentid/121115
Ausgedruckt am: 15.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
Nice (+)
Vielleicht noch ein paar Bilder als Auflockerung ?
Bei so langen Texten bekomme ich immer Sekundenschlaf
Generell könnte man die Formatierung überarbeiten.
Aber ich WILL nicht meckern.
Danke für deine Arbeit !
Vielleicht noch ein paar Bilder als Auflockerung ?
Bei so langen Texten bekomme ich immer Sekundenschlaf
Generell könnte man die Formatierung überarbeiten.
Aber ich WILL nicht meckern.
Danke für deine Arbeit !
Hallo,
da ich vorhabe Steady State an zwei Schulen statt der Kaiserkarte einzusetzen, bräuchte ich noch ein wenig Hilfe (vielleicht bis morgen?), wie ich Steady State in einer Domäne einsetzen kann.
Das Handbuch habe ich mir schon angeschaut. Leider ist mein Englisch nicht so der Bringer (muss ich unbedingt dran arbeiten) und so ist mir der perfekte Einsatz in der Domäne nicht ganz klar.
Da ich die speziellen Einschränkungen unter den lokalen Konten kenne, würde ich diese gern auch in der Domäne einsetzen. Leider kann ich die Konten unter "SS" nur lokal einrichten. Oder sehe ich das falsch?
Konkret: Wie kann ich unter "SS" ein Konto anlegen, so das es domänenfähig ist (das ich mich darunter in der Domäne anmelden kann) und die speziellen Einschränkungen des Progamms nutzen.
Für jegliche Unterstützung wäre ich sehr dankbar!
Gruß
J.S.
da ich vorhabe Steady State an zwei Schulen statt der Kaiserkarte einzusetzen, bräuchte ich noch ein wenig Hilfe (vielleicht bis morgen?), wie ich Steady State in einer Domäne einsetzen kann.
Das Handbuch habe ich mir schon angeschaut. Leider ist mein Englisch nicht so der Bringer (muss ich unbedingt dran arbeiten) und so ist mir der perfekte Einsatz in der Domäne nicht ganz klar.
Da ich die speziellen Einschränkungen unter den lokalen Konten kenne, würde ich diese gern auch in der Domäne einsetzen. Leider kann ich die Konten unter "SS" nur lokal einrichten. Oder sehe ich das falsch?
Konkret: Wie kann ich unter "SS" ein Konto anlegen, so das es domänenfähig ist (das ich mich darunter in der Domäne anmelden kann) und die speziellen Einschränkungen des Progamms nutzen.
Für jegliche Unterstützung wäre ich sehr dankbar!
Gruß
J.S.
Das Handbuch zu Stady State findet Ihr hier:
http://www.microsoft.com/downloads/details.aspx?FamilyID=F829BB8B-C7A9- ...
Gruß
Andreas
http://www.microsoft.com/downloads/details.aspx?FamilyID=F829BB8B-C7A9- ...
Gruß
Andreas