Installation und Ersteinrichtung von Windows SteadyState Teil 1

Teil 1

Installation und Ersteinrichtung von
Windows SteadyState

Für alle, die ihren Rechner mit anderen teilen oder einfach nur ein sicheres System für´s Surfen haben wollen, hier mal eine Anleitung zum kostenlosen Tool Windows Steady State von Microsoft.


Logo




Vor der Installation
Was vor der Installation beachtet werden sollte:

Falls das Shared Computers Toolkit (der Vorgänger von Windows Steady State) installiert ist,
muss dieses zuvor deinstalliert werden.
Die Festplatten (auf jeden Fall aber die Systemplatte) sollten defragmentiert werden.
Ein Systemwiederherstellungspunkt sollte gesetzt werden.
Die zu verwaltenden Benutzer sollten bereits eingerichtet sein.



So, nachdem wir nun die besten Voraussetzungen für ein erfolgreiches Gelingen geschaffen haben, melden wir uns als Administrator am Rechner an, laden das Installationspaket von Microsoft herunter und installieren dieses.

Das Programm gibts hier:

Download details: SteadyState

Und das 66! seitige Handbuch (leider nur in Englisch erhältlich):

Download details: Windows SteadyState Handbook

(Zur Installation ist eine Internetverbindung und eine Validierung des Betriebssystems notwendig, da dieses Programm nur für Benutzer eines Original XP verfügbar ist)



Der erste Start
Ich habe zu Demonstrationszwecken einfach mal ein Benutzerkonto Namens Internet erstellt, dieses wird (wie alle anderen eingeschränkten Benutzerkonten) gleich beim ersten Start von SteadyState auf der rechten Seite angezeigt. Die Anzeige der "Getting started" Tipps klicken wir einfach mal weg. (dafür gibts ja diesen Tipp ;-)



Die Benutzer Einstellungen
Nach einem Klick auf das zu verwaltende Benutzerkonto bekommen wir das Einstellungsfenster für diesen Benutzer angezeigt:



Was genau stellt man hier ein:

  1. Hier verhindert man, dass irgendwelche Änderungen die der Benutzer am System verändert (sofern man das nachher erlaubt) beim Herunterfahren übernommen werden.
  2. Hier kann man dem Benutzer eine maximale Nutzungsdauer pro Anmeldung einstellen bzw. eine Vorgabe machen nach welcher Zeit ohne Interaktion der Benutzer abgemeldet werden soll (sehr praktisch um seinen Kindern ein Zeitlimit am Computer zu setzen)
  3. Hier kann man den Rechner neu starten lassen, wenn der Nutzer abgemeldet wird (und dadurch auch alle Änderungen am System verwerfen)
  4. Dies sind die gleichen Einstellungen die man auch in XP unter Benutzerkonten findet:
    - Passwort ändern
    - Benutzerbild ändern
    - Benutzer löschen


So, nun zur nächsten Seite:

Und jetzt kommt wieder ein bisschen Einstellarbeit:

  1. Es stehen vier vorgefertigte Sicherheitsstufen zur Verfügung (die sollten eigentlich selbsterklärend sein) man kann aber auch jeden einzelnen Startmenüeintrag erlauben (ohne Haken) oder verbieten (mit Haken) wenn man auf High Restrictions geht sieht der User im Startmenü ausser: Benutzer abmelden und Programme (Autostart, Zubehör, Internet Explorer und Mediaplayer)
    GAR NICHTS MEHR!!
    Wenn man ein bisschen nach unten scrollt sieht man dann noch den Unterpunkt "General Restrictions" mit dem sich das Verhalten von Windowskomponenten beeinflussen lässt, sodass auf die ausgeblendeten Startmenüeintrage (z.B. Ausführen) auch nicht durch einen direkten Aufruf zugegriffen werden kann. Ausserdem lässt sich hier auch bspw. einstellen, ob Programme die nicht im Windows oder Programme Ordner liegen überhaupt ausgeführt werden dürfen, also keine Passwortcracker oder Schnüffeltools mehr!! (aber hierzu nachher mehr)
    Da das genau das ist was ich für mein "Internet" Benutzerkonto haben will, lasse ich das mal so stehen.
  2. Hier kann man alle Laufwerke die der Benutzer nicht sehen soll (also auch nichts darauf ändern kann) einstellen.


Und nun zur nächsten Seite:

Unter Feature Restrictions kann man das Verhalten des Internet Explorers und ein paar Details von MS Office einstellen.

  1. Hier kann man bspw. den Internetzugang ganz sperren (ausser den darunter freigegebenen Homepages) oder die Ausführung von VBA Skripts und Makros in Office verhindern (auch hierzu kommt nachher noch mehr)
  2. Hier kann man für den jeweiligen Benutzer eine Startseite eintragen (es kann also für jeden Benutzer eine andere eingestellt werden!)
  3. Hier kann man einzelne Internetseiten freigeben, wenn man oben den Internetzugang eingeschränkt hat (auch eine sehr gute Funktion wenn Kinder an den Rechner dürfen)


So und schliesslich noch die letzte Seite der Benutzereinstellungen:


Und was sehen wir da? Es ist tatsächlich möglich jedes einzelne Programm welches auf dem Rechner installiert ist einzeln zu verbieten!

Hier werden standardmässig schon einige gefundene Programme aufgelistet, mit dem Button "Browse" kann aber jegliche auf dem Rechner befindliche Exe-Datei gesperrt werden.




Die allgemeinen Einstellungen
Nun wollen wir uns mal die allgemeinen Einstellungen genauer anschauen:

Auf der Startseite von SteadyState sehen wir in der Mitte drei Einstellungspunkte

  1. Set Computer Restrictions
    (hier lassen sich allgemeine Regeln angeben)
  2. Schedule Software Updates
    (hier kann man Windows und Sicherheitsprogrammupdates zulassen und einstellen)
  3. Protect the Harddisk
    (hier stellt man den Festplattenschutz für die Systempartition ein)

Sehen wir uns die mal genauer an:

Unter 1. finden wir folgendes:

Die ersten 3 Punkte betreffen die "Privatsphäre" des Computers:

Der erste Punkt regelt, ob im Anmeldebildschirm (also der klassischen Benutzeranmeldung) der zuletzt angemeldete Benutzer angezeigt wird. (also kein Erraten mehr von Passwörtern anhand des Benutzernamens)

Der zweite Punkt regelt, ob es Benutzern für die noch kein Ordner unter "Dokumente und Einstellungen" existiert überhaupt gestattet ist sich am Rechner anzumelden (also keine Möglichkeit mehr mit einem ausgeliehenen Laptop über ein bekanntes Domain-Benutzerprofil Zugriff auf den Rechner zu kriegen)

Der dritte Punkt ist dafür da, einzustellen ob Kopien eines Netzwerk-Benutzerprofils auf dem Rechner gespeichert werden sollen (also kein Auslesen der Passwörter oder Kopieren von Dateien aus geliehenen Laptops)


Was kann man im Bereich Security Settings einstellen:

  1. Den Administrator Benutzernamen vom Willkommen Bildschirm entfernen. (Anmeldung des Administrators also nur möglich wenn Passwort UND Benutzername bekannt sind, und dann auch nur über zweimaliges Drücken von Strg+Alt+Entf)
  2. Die "Herunterfahren" Option vom Willkommenbildschirm entfernen. (Also keine Möglichkeit den Rechner runterzufahren und Neuzustarten ohne sich anzumelden, ausser mit einem Hardwarereset. Man sollte also auch das BIOS sicher einstellen, also booten nur von Festplatte und ein BIOS Passwort vergeben)
  3. Die Speicherung von Benutzernamen und Passwörtern im alten LMhash Format verhindern (Also nichts mehr mit unsicher gespeicherten Passwörten die sich mit Ophcrack auslesen lassen)
  4. Das Speichern der Windows Live ID Benutzerdaten verhindern. (Die Windows Live ID wird z.B zur Anmeldung am neuen MS Messenger genutzt)
  5. Verhindern dass Benutzer auf Laufwerk C: Dateien und Ordner erstellen dürfen (diese Einstellung ist sehr sinnvoll wenn man s.o. die Ausführung von Programmen die nicht auf C: liegen verhindert hat, dann ist es so gut wie nicht mehr möglich von Wechseldatenträgern "importierte" Programme auszuführen, also keine Nutzung von Passwortcrackern möglich, zumindest nicht solange man sie nicht selbst vorher installiert hat ;-) )
  6. Verhindern dass Office Dokumente im I-Net Explorer geöffnet werden können. (mit den Einschränkungen die unter -> User Settings -> Feature Restrictions -> Microsoft Office Restrictions gemacht werden können verhindert das die "unabsichtliche" Nutzung von VBA Skripts und Makros in Office)
  7. Verhindert dass Dateien auf USB Speichermedien geschrieben werden können (also sehr sinnvoll um Datenklau zu verhindern, mit dem Einstellungspunkt: Remove CD and DVD Burning Function unter -> User Settings -> Windows Restrictions -> General Restrictions ist es fast nicht möglich Daten vom Rechner runterzukriegen, ausser evtl. übers Netzwerk)

Der Menüpunkt Scheduled Software Updates


soll es möglich machen auch unter nicht administrativen Benutzerkonten das Windowsupdate und die Antivirenupdates zeitgesteuert zu aktivieren, funktioniert aber erstens nicht korrekt, und erkennt bisher auch nur 4 Antivirenprogramme, die anderen müsste man über selbsterstellte Skripts einbinden. (Also stellen wir hier einfach gar nichts ein, sondern machen Updates lieber als Administrator von Hand.)




Das wichtigste: die Disk Protection
Und jetzt der meiner Meinung nach wichtigste Menüpunkt für "reine" Internetrechner:
Die Disk Protection.

Was bisher nur mit kommerziellen Programmen machbar war ist hier kostenlos integriert.
Die Disk Protection richtet eine Art virtuellen Festplattencache ein (welcher bis zu 40GB gross sein kann) auf dem alles gespeichert wird, was normalerweise direkt auf die Festplatte kommt. Wenn richtig konfiguriert löscht diese Funktion automatisch beim Neustart ALLE Änderungen welche während der letzten Sitzung vorgenommen wurden. Also bei richtigem Einsatz die fast perfekte Waffe gegen Viren, Würmer u. ä., selbst wenn sie auf den Rechner kommen sind sie spätestens beim Neustart weg (habe es selbst schon mit einer absichtlichen Infektion mit einem Virus und einer Spyware ausprobiert).

Natürlich darf man trotzdem nicht auf ein Antiviren und Firewallprogramm verzichten, denn solange der Rechner nicht neugestartet wird sind die Schädlinge trotzdem aktiv !!!!!


Diese Funktion ist auch nicht absolut ("Retain Changes temporarily - Änderungen zeitweise behalten" und "Retain all Changes permanently - Alle Änderungen übernehmen"),
d.h. man kann gewünschte Änderungen (z.B. erwünschte Softwareupdates) beim Herunterfahren auch dauerhaft übernehmen (auch ein Grund nicht auf Sicherheitsprogramme zu verzichten, es könnten sich ja während des Updates auch Schädlinge einschleichen)





Die Hilfe und Online Features
Und was haben wir auf der Startseite ganz links?

Die Registrierung, welche man ganz oben findet, scheint noch nicht zu funktionieren,setzt aber sowieso eine Windows Live ID voraus.

Darunter findet man Hilfe und FAQ´s zu Steady State, teilweise nur online verfügbar.

Ganz unten gibt es noch LiveOneCare, eine Art benutzerabhängiger Kinderschutz, welcher aber auch nur online verfügbar ist.

Die beiden Punkte Registrierung und Parental Controls werde ich evtl. in einem zusätzlichen Tipp behandeln, wenn sie denn irgendwann mal richtig funktionieren.
(derzeit bekommt man teilweise noch 404 Error Meldungen, also nicht verfügbare HP Seiten)



So, das war´s erstmal mit dem Überblick und den ersten Einstellungen,
Wenn man alle Einstellungen auf höchste Einschränkungen (High Restrictions) einstellt, hat man ein Benutzerkonto fürs Internet, mit dem (fast) nichts mehr schiefgehen kann.

Eine genau Liste der einzelnen Einstellungen unter User Settings gibt´s im zweiten Tipp!

Windows SteadyState Teil 2


komentarschreiben.png

komentarlesen.png
_____________________________________________________
Dieser Tipp stammt von www.win-tipps-tweaks.de
© Copyright Michael Hille/Chainon Kittisonthirak

Warnung:
Die unkorrekte Verwendung des Registrierungseditors oder der Tipps kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des
Betriebssystems erforderlich machen.
Eingriffe in die Registrierungsdateien und die Anwendung der Tipps erfolgen auf eigenes Risiko.

 

wintt-Forum

forum 200x200 ori

Umfragen

umfrage2.png
Was für ein Antivirenprogramm
benutzt ihr?

button-waehlen
Von welchem Hersteller ist dein Router?
button-waehlen
Welches Tablet ist das richtige für Euch das Surface, iPad oder Nexus?
button-waehlen