Windows SteadyState Teil 2

Teil 2

Windows SteadyState Teil 2

 

So, wie versprochen hier der zweite Teil des Workshops zu Windows SteadyState.

Jetzt wollen wir uns mal mit den genauen Optionen der User Settings beschäftigen.
 
Wenn man sich mal die Anzahl der einzelnen Einstellungen in den Windows und den Feature Restrictions anschaut kommt man auf 77 Häkchen, welche man setzen kann (oder eben auch nicht).

Windows SteadyState Logo


Da fällt die Wahl natürlich schwer (vor allem da es das Programm bisher nur auf englisch gibt!)

Was unter User Settings -> Windows Restrictions eingestellt werden kann:

User Settings Internset
Klick öffnet Liste als .pdf

Start Menu Restrictions

  • Prevent right-click in the Start Menu
    Verhindert den Rechtsklick (also den Aufruf des Kontextmenüs) im Startmenü
  • Allow only the Classic Start Menu
    Es wird nur das klassische Startmenü angezeigt
  • Remove the Control Panel, Printer and Network Settings from Start Menu
    Entfernt die Systemsteuerung, die Drucker und die Netzwerkeinstellungen aus dem Startmenü
  • Remove the My Documents icon
    Entfernt den Startmenüpunkt "Eigene Dateien"
  • Remove the My Recent Documents icon
    Entfernt den Startmenüeintrag "Zuletzt verwendete Dokumente"
  • Remove the my Pictures icon
    Entfernt den Startmenüpunkt "Eigene Bilder"
  • Remove the My Music icon
    Entfernt den Startmenüpunkt "Eigene Musik"
  • Remove the Favorites icon
    Entfernt den Startmenüeintrag "Favoriten"
  • Remove the My Network Places icon
    Entfernt den Startmenüeintrag "Netzwerkumgebung"
  • Remove the Frequently used Programs list
    Entfernt die "Liste" der am meisten benutzten Programme (wird normalerweise links im Startmenü angezeigt)
  • Prevent programs in the All Users folder from My Computer
    verhindert die Anzeige der Programme aus All Users im Startmenü (es werden also nur die Programme aus dem aktuellen Benutzerprofil angezeigt)
  • Remove the Control Panel icon
    Entfernt das Systemsteuerungs Icon aus dem Startmenü
  • Remove the Set Program Access and Defaults icon
    Entfernt den Startmenüpunkt "Programzugriff und -standards"
  • Remove the Connections (Connect to) icon
    Entfernt den Startmenüpunkt "Verbinden mit..."
  • Remove the Printers and Faxes icon
    Entfernt den Startmenüpunkt "Drucker und Faxgeräte"
  • Remove the Search icon
    Entfernt den Startmenüpunkt „Suchen...“
  • Remove the Run icon
    Entfernt den Startmenüpunkt „Ausführen“
  • Remove the Shut down button
    Entfernt den „Herunterfahren“ Button aus dem Startmenü
  • Remove the Help and Support icon
    Entfernt den Startmenüpunkt „Hilfe und Support“

General Restrictions

  • Prevent right-click in Windows Explorer
    Verhindert den Aufruf des Kontextmenüs durch Rechtsklick
  • Prevent AutoPlay on CD,DVD and USB drives
    Verhindert den Autostart von CD´s und Wechseldatenträgern
  • Prevent access to Windows Explorer features: Folder Options, Customize Toolbar and the My Documents folder
    Verhindert das auf die Ordneroptionen, den Kontextmenüeintrag (Symbolleiste) Anpassen... und die Eigenen Dateien zugegriffen werden kann
  • Prevent access to the Taskbar
    Verhindert den Zugriff auf die Taskleiste
  • Prevent access to the command prompt
    Verhindert den Zugriff auf die Eingabeaufforderung
  • Prevent access to the registry editor
    Verhindert den Zugriff auf den Registrierungseditor
  • Prevent access to the Task Manager
    Verhindert den Aufruf des Taskmanagers
  • Prevent access to the Microsoft Managment Console utilities
    Verhindert den Zugriff auf die Management Konsole (Ausführen -> mmc) mit der Sicherheits und Computereinstellungen geändert werden können
  • Prevent users from adding or removing Printers
    Verhindert, dass der Benutzer Drucker installieren oder deinstallieren kann
  • Prevent users from locking the computer
    Verhindert dass der angemeldete Benutzer den Computer sperrt
  • Prevent password changes (also requires the Control Panel icon to be removed)
    Verhindert das Ändern des Passwortes (geht nur wenn das Systemsteuerungsicon ausgeblendet ist)
  • Remove CD and DVD burning features
    Entfernt den Zugriff auf die windowsinternen Brennfunktionen
  • Disable keyboard shortcuts that use the Windows Logo Key
    Schaltet Tastenkombinationen mit der Windowstaste ab (z.B. Win+E)
  • Allow only programs in the Program files and Windows folders to run
    Nur Programme die im Windows oder Programme Ordner sind dürfen ausgeführt werden
  • Disable System Tools and other management programs
    Soll verhindern, dass Tuning und Optimierungstools auf Systemeinstellungen zugreifen können
  • Disable Notepad and Wordpad
    Schaltet Notepad und Wordpad aus (dadurch können keine Batchdateien geändert werden)
  • Remove the Recycle Bin icon
    Entfernt den Papierkorb vom Desktop
  • Prevent users from saving files to the desktop
    Verhindert dass Benutzer Dateien auf den Desktop speichern können

So, jetzt die dritte Seite der User Settings

 

Was unter User Settings -> Feature Restrictions eingestellt werden kann:

User Settings
Klick öffnet Liste als .pdf

Internet Explorer Restrictions

  • Prevent Internet access (except Web sites below)
    Verhindert den Zugriff auf das Internet (ausser den unten freigegebenen Seiten)
  • Prevent right-click in Internet Explorer
    Verhindert den Aufruf des Kontextmenüs im Internetexplorer durch Rechtsklick
  • Prevent printing
    Verhindert das Ausdrucken aus dem Internetexplorer
  • Do not allow access to Favorites
    Verhindert den Zugriff auf die Favoriten
  • Disable AutoComplete
    Schaltet AutoVervollständigen ab
  • Empty the Temporary Internet Files folder when Internet Explorer is closed
    Leert den Ordner „Temporary Internet Files“ wenn der Internetexplorer geschlossen wird

Menu Options

  • Remove View Source
    Entfernt den Menüpunkt Quellcode anzeigen
  • Remove Find Files
    Entfernt Bearbeiten -> Auf dieser Seite suchen...
  • Remove Theater Mode
    Verhindert den Vollbildmodus
  • Remove Help Menu
    Entfernt die Hilfe (das ?) aus der Menüleiste
  • Remove Browser Options
    Blendet die Internetoptionen aus
  • Remove Expanded New Menu
    Entfernt den Menüpunkt Datei -> Neu... (es werden alle unter Neu > zu findenden Punkte ausgeblendet)
  • Remove General Tab in Internet Options
    Entfernt die Registerkarte "Allgemein" unter Extras -> Internetoptionen
  • Remove Security Tab in Internet Options
    Entfernt die Registerkarte "Sicherheit" unter Extras -> Internetoptionen
  • Remove Privacy Tab in Internet Options
    Entfernt die Registerkarte "Datenschutz" unter Extras -> Internetoptionen
  • Remove Content Tab in Internet Options
    Entfernt die Registerkarte "Inhalte" unter Extras -> Internetoptionen
  • Remove Programs Tab in Internet Options
    Entfernt die Registerkarte "Programme" unter Extras -> Internetoptionen
  • Remove Advanced Tab in Internet Options
    Entfernt die Registerkarte "Erweitert" unter Extras -> Internetoptionen
  • Remove New Window Menu Option
    Entfernt den Kontextmenüeintrag "In neuem Fenster öffnen"

Toolbar Options (blendet u.a. Einträge in der Symbol- und der Menüleiste aus)

  • Search
    Suchen
  • Folders
    Ordner
  • Edit
    Bearbeiten
  • Discussions
    Diskussion
  • Encoding
    Codierung
  • Size
    Größe
  • Full Screen
    Vollbild
  • Media
    Medien Symbolleiste
  • Print
    Drucken
  • History
    Verlauf
  • Tools
    Extras
  • Third Party Extension Buttons
    Entfernt die Buttons von Zusatzprogrammen (z.B. Flashget

Microsoft Office Restrictions

  • Prevent use of Visual Basic for Applications (VBA) in Office 2007/2003/XP
    Verhindert die Ausführung von VisualBasic Skripten in Office Dokumenten
  • Disable macro shortcut keys
    Sperrt die Erstellung und Nutzung von Tastenkombinationen für Makros
  • Disable Macro menu items in the Tools menus
    Blendet den gesamten Menüpunkt "Makros" im Menü Extras aus
  • Disable Add-ins menu items in the Tools menus
    Blendet den Menüpunkt "Vorlagen und Add-ins" im Menü Extras aus
  • Disable the Web toolbar in Office programs
    Blendet die Web-Toolbar in Office aus
  • Disable the Detect and Repair command in the Help menu
    Blendet den Menüpunkt "erkennen und Reparieren" im Hilfemenü aus
  • Prevent changes to Clip Organizer contents in Office 2007/2003/XP
    Verhindert dass Inhalte der Zwischenablage geändert werden können.

So nachdem wir nun die Einstellungen der User Settings genauer kennen, kommt jetzt noch was für die Fortgeschrittenen:

 

Möglichkeiten für fortgeschrittene Administratore


Warum genau Microsoft das so betitelt hat weiss ich nicht genau, vielleicht weil es nur geht wenn man ein Netzwerk hat?
Was kann SteadyState noch:


Es kann die eingerichteten Benutzerprofile mit den XP Benutzerprofilen "verbinden" und auf einen Server "lagern".
Also ähnlich der zentralen Benutzerverwaltung eines Domänen-Netzwerks dem einzelnen Benutzer auf jedem Rechner des Netzwerks die gleichen Desktopeinstellungen und Sicherheitsrichtlinien auf allen Rechner zur Verfügung stellen.

 
Fangen wir mal mit dem einfachsten an:

Einstellungen und Dateien eines Benutzers auf einem zentralen Rechner (oder einem Wechseldatenträger) speichern.

Warum das sinnvoll ist:
Wenn man die Disk Protection einsetzt werden ja standardmässig alle Änderungen auf der Festplatte beim Herunterfahren verworfen. Dadurch würden auch immer alle Dateien, welche der Benutzer unter "Eigene Dateien" speichert, automatisch mit entsorgt (seeehr ungünstig wenn man grade stundenlang an einem Workshop schreibt ).

 


Also müssen wir als erstes mal die Disk Protection vorübergehend deaktivieren, für den entsprechenden User alle Restrictions abschalten und den Rechner neu starten.

 


Dann mit einem Rechtsklick auf "Eigene Dateien" die Eigenschaften aufrufen, und den Ordner auf das gewünschte Laufwerk verlegen (ja, das geht so einfach, da muss man nicht in der Registry rumsuchen , allerdings gilt das immer nur für das gerade aktive Benutzerkonto)

 
Am einfachsten wäre eine andere Partition der Festplatte, es geht aber auch jeder beliebige Wechseldatenträger oder Netzlaufwerke.

 
Nach dem Verschieben der Benutzerkonten (leider muss man sich dazu mit jedem Benutzerkonto einmal anmelden) schaltet man die Disk Protection wieder ein, setzt die Restrictions wieder auf die gewünschten Einstellungen, und voilá: Wir haben einen (oder mehrere) gesicherte Benutzer, die trotz Disk Protection Dateien und Systemeinstellungen (sofern wir das erlaubt haben) speichern können.

Einen Administrator erstellen, der eigentlich keiner ist

Na das hört sich doch unsinnig an oder?
Ist aber mit SteadyState machbar, aber wozu?

 
Das ist relativ einfach erklärt: Wie oft passiert es einem, dass man mit seinem normalen Benutzerkonto an die Grenze kommt, und Programme mit "Ausführen als..." starten muss, oder manchmal sogar den Benutzer wechseln muss um eine bestimmte Anwendung oder z.B ein Browserspiel starten zu können. Oder LAN und Online Games lassen sich nicht zocken wenn man nicht als Admin angemeldet ist (ist bei mir z.B. mit Battlefield1942 so).

 
Hat man sich da nicht schonmal gewünscht man hätte einen "administrativen Normal-Benutzer"?
Das machen wir jetzt mit SteadyState!!


Als erstes wieder wie oben die Disk Protection kurzzeitig deaktivieren.
Dann als Administrator am Rechner anmelden und mit der Benutzerkontensteuerung von XP einen neuen Administrator erstellen. (z.B. "Spieleaccount")


Wenn man nun in SteadyState den Benutzer auswählt, kann man alles das was er nicht können soll einfach abstellen, und hat dann einen Administrator der eben nicht alles kann.


Als nächstes schaltet man die Disk Protection wieder ein und voilá: Wir haben einen Administrator, bei dem es egal ist was während der Rechnernutzung passiert, beim Neustart ist alles wieder weg!!

 

Was in dieser Anleitung nicht drin ist!

Ein paar der Möglichkeiten von SteadyState werde ich hier nicht erklären, weil sie im Normalfall nur in Firmennetzwerken vorkommen.

 
Es ist z.B. möglich Benutzerkonten einer Domäne mit SteadyState zusätzlich zu schützen, damit durch Ausstöpseln des Netzwerkkabels die Gruppenrichtlinien nicht "ausgehebelt" werden können.

 


Es ist ebenfalls möglich, Domänebenutzerkonten auf einzelnen Rechnern mit zusätzlichen Einschränkungen zu versehen.

 


Und man kann auch in SteadyState erstellte Benutzereinschränkungen in ein Active Directory Netzwerk "übertragen".

 
Da aber solche Netzwerke im Hausgebrauch selten zu finden sind (und wenn doch der "Hausherr" auch Ahnung davon hat, sonst hätte er so ein Netzwerk nicht) denke ich würde das den Rahmen doch ein bisschen sprengen  .

 


So, das wars. Viel Spass beim Ausprobieren und etwas sicherer machen!!
(Und immer dran denken, 100% Sicherheit bringt kein Programm, sondern nur sinnvolle Nutzung)

 
Ein grosses Dankeschön geht übrigends an den Moderatorkollegen Funkenzupfer, der mir bei dem Auffinden einiger Menüpunkte geholfen hat .

 

Installation und Ersteinrichtung von Windows SteadyState Teil 1

kommentar lesen

Transparenz: In diesem Artikel sind moeglicherweise Partnerlinks enthalten. Diese fuehren direkt zum Anbieter. Kommt darueber ein Einkauf zustande, erhalten wir eine Provision. Mehrkosten entstehen dadurch fuer euch nicht! Diese Links helfen uns den Betrieb von win-tipps-tweaks.de zu refinanzieren.

___________________________________________________
Dieser Tipp stammt von www.win-tipps-tweaks.de
© Copyright Michael Hille

Warnung:
Die unkorrekte Verwendung des Registrierungseditors oder der Tipps kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Eingriffe in die Registrierungsdateien und die Anwendung der Tipps erfolgen auf eigenes Risiko.