Richtlinien - SiteKiosk Hilfe

Die hier auswählbaren Windows-System-Richtlinien (Policies) dienen dazu, verschiedene Funktionen innerhalb des Windows Betriebssystems oder aber von bestimmten Programmen einzuschränken. Die angewendeten Richtlinien gelten nur für den SiteKiosk Benutzer und werden generell auf diesen durch Ausführen des System Sicherheits-Assistenten angewandt, unabhängig davon ob SiteKiosk gestartet wird.

1. Desktop schützen

Die folgenden Richtlinien beziehen sich auf den Windows Desktop. Beachten Sie, dass beim SiteKiosk Start mit Shellaustausch (z.B. im Autostart-Modus von SiteKiosk) kein Desktop angezeigt wird.

1.1 Arbeitsplatz auf Desktop und im Explorer verstecken
Gemeint ist das Arbeitsplatz-Icon auf dem Desktop und im Windows-Explorer Dateimanager. Die Checkbox ist standardmäßig deaktiviert, da ansonsten die unter Dateisystem freigegebenen Laufwerke nicht für den Benutzer auswählbar/sichtbar sind. Wenn Sie den Zugriff nur auf Eigene Dateien gestatten möchten und nicht auf weitere Laufwerke wie z.B. Diskette, CD-ROM, dann sollten Sie die Checkbox aktivieren.

1.2 Eigene Dateien auf Desktop und im Explorer verstecken
Gemeint ist das Icon mit dem Ordner "Eigene Dateien" auf dem Desktop und im Dateimanager "Explorer". Die Checkbox ist standardmäßig deaktiviert, da ansonsten der evtl. unter Dateisystem freigegebene Ordner "Eigene Dateien" für den Benutzer nicht auswählbar/sichtbar ist.

1.3 Sonstige Icons auf Desktop und im Explorer verstecken
Betrifft alle weiteren Standard-Icons die normalerweise auf dem Desktop bzw. im Windows-Explorer zu sehen sind (z.B. Papierkorb).

1.4 Bildschirm-Anzeigeoptionen ausschalten
Bezieht sich auf die Möglichkeit per Klick mit der rechten Maustaste auf dem Desktop die Option "(Anzeige) Eigenschaften" bzw. "Display Properties" auszuwählen, mit deren Hilfe man z.B. den Bildschirmschoner oder aber die Bildschirmauflösung verändern kann.

1.5 Änderungen beim Beenden verwerfen
Diese Option verhindert, dass evtl. vom Benutzer vorgenommene Änderungen am Desktop Layout (z.B. Position der Icons) gespeichert werden.

1.6 Active Desktop deaktivieren
Diese Einstellung verhindert, dass der Benutzer Einstellungen am sog. Active Desktop verändern kann. Zudem werden einige erweiterte Windows-Funktionen deaktiviert, wie z.B. Web View, Thumbnail Views, Quick Launch Toolbar.

1.7 Sonstige Einschränkungen aktivieren
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Änderungen an der Position des Ordners Eigene Dateien/My Documents.
Änderungen an der Toolbar des Active Desktops.
Desktopbereinigungs-Assistent (DesktopCleanupWizard) wird deaktiviert und kann auch nicht manuell gestartet werden.

2. Startmenü und Taskleiste einschränken

Bezieht sich auf das Startmenü von Windows (NICHT auf das in SiteKiosk sichtbare), welches beim Klick auf START erscheint, und die Windows-Taskleiste, die sich i.d.R. am unteren Fensterrand befindet.

2.1 Änderungen an Einstellungen verhindern
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Verankert die Taskbar und verhindert, dass der Benutzer sie verschiebt.
Verhindert, dass der Benutzer Icons innerhalb des Startmenüs verschiebt.
Entfernt die Menüs "Taskbar" und "Startmenü" aus der Systemsteuerung und aus den Eigenschaften der Taskbar (Rechtsklick auf die Taskbar).
Deaktiviert das Kontextmenü auf der Trayanzeige der Taskbar.
Deaktiviert "Systemsteuerung" und "Drucker und Faxgeräte" im Startmenü und im Explorer.

2.2 Dokumente ausblenden
Der Ordner "Dokumente" wird im Startmenü und Explorer ausgeblendet.

2.3 Programme ausblenden
Der Ordner "Programme" wird im Startmenü ausgeblendet.

2.4 Oft genutzte Programme ausblenden
Die zuletzt und oft verwendeten Programme werden nicht mehr im Startmenü angezeigt.

2.5 Ausführen ausblenden
Blendet den Ausführen-Button im Startmenü aus.

2.6 Suchen ausblenden
Blendet den Suchen-Button im Startmenü aus.

2.7 Hilfe ausblenden
Blendet den Hilfe-Button im Startmenü aus.

2.8 Nur eigene Startmenüeinträge anzeigen
Blendet im Startmenü alle Einträge unter "Programme" aus, die nicht benutzerspezifisch sind. Der eingeschränkte Benutzer kann nur noch auf seine eigenen Programme zugreifen.

2.9 Benutzerdefinierte Werkzeugleisten ausblenden
Diese Einschränkung entfernt die verschiedenen Toolbars (z.B. Quick Launch, Tray, etc.) von der Taskleiste. Benutzer können diese nicht wieder aktivieren.

2.10 Abmelden ausblenden
Blendet den Abmelden-Button im Startmenü aus. Standardmäßig ist diese Option deaktiviert, damit Erstbenutzer von SiteKiosk sich problemlos wieder abmelden können. Wenn gewünscht können Sie diese Option aber wieder aktivieren, da sich Administratoren auch noch über den Beenden-Dialog innerhalb von SiteKiosk (nach der SiteKiosk-Passwort-Eingabe) abmelden können.

2.11 Herunterfahren ausblenden
Blendet den Herunterfahren-Button im Startmenü aus. Administratoren können diese Funktion ebenfalls über den Beenden-Dialog innerhalb von SiteKiosk aufrufen.

2.12 Sonstige Einschränkungen aktivieren
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Entfernt die Liste der festgesetzten Programme aus dem Startmenü.
Internet und E-Mail werden aus dem Startmenü entfernt.
Benutzername wird im Startmenü von Windows nicht mehr angezeigt.
Deaktiviert die Uhr in der Windows-Taskleiste.
Entfernt den Verweis zu Windows-Update.
Löscht die Liste mit den zuletzt bearbeiteten Dokumenten, wenn Windows verlassen wird. Die Dokumente selbst werden durch diese Option nicht gelöscht.
Deaktiviert die "Benutzernachverfolgung". Benutzervorgänge, wie Programme, Pfade oder Dokumente, die Benutzer verwenden, werden nicht mehr von Windows nachverfolgt.
Entfernt die Option "Persönlich angepasste Menüs verwenden"
Verknüpfungen zu teilweise installierten Programmen, ( z.B. Programme, die vom Systemadministrator mit Hilfe des Windows Installers zugewiesen werden, und die die Benutzer erst bei der ersten Verwendung vollständig installieren und konfigurieren können) werden im Startmenü grau (deaktiviert) dargestellt.
Deaktiviert die Option "Interaktive Symbole ausblenden".
Deaktiviert "Popups" innerhalb des Startmenüs.

3. Windows-Explorer

Die folgenden Richtlinien beziehen sich auf das Programm Windows-Explorer (früher Dateimanager). Wenn Sie die Programmdatei Explorer.exe als externe Applikation unter SiteKiosk für die Benutzer freigeben möchten, empfehlen wir Ihnen, die nachfolgenden Einschränkungen beizubehalten.

3.1 Änderung von Einstellungen verhindern
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Deaktiviert die Ordner-Optionen.
Verhindert, dass Benutzer zusätzliche Netzwerkverbindungen aufbauen können.
Deaktiviert die rechte Maustaste innerhalb des Explorers.
Deaktiviert die Funktion "Freigabe und Sicherheit".
Verhindert, dass Benutzer an den Hardware-Einstellungen Veränderungen vornehmen können, z.B. andere Treiber für das CD/DVD-ROM-Laufwerk installieren.
Entfernt den Reiter "Distributed File System". Dies verhindert, dass DFS-Shares gesehen und geändert werden können.
Verhindert, dass Benutzer die Darstellung von Fenstern und Menüs verändern können.

3.2 Automatische Wiedergabe für Laufwerke deaktivieren
Deaktiviert die automatische Wiedergabe für alle Laufwerke. Dies soll vor allem verhindern, das Programme auf von Benutzern mitgebrachten CDs, DVDs oder USB-Sticks automatisch ausgeführt werden.

3.3 Dateien sofort löschen (nicht in den Papierkorb verschieben)
Dateien werden beim Löschen nicht in den Papierkorb verschoben, sondern sofort gelöscht. Eine Wiederherstellung der gelöschten Dateien ist nicht möglich.

3.4 Eingebaute CD/DVD-Brennfunktion von Windows deaktivieren
Deaktiviert die in Windows eingebaute Brennfunktion für den eingeschränkten SiteKiosk Benutzer.

3.5 Sonstige Einschränkungen aktivieren
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Entfernt die Liste der oft genutzten Programme und den Zurück-Button aus Dialogboxen.
Entfernt den Menüpunkt "Datei" innerhalb des Explorers.
Entfernt den Suchen-Button innerhalb des Explorers.
Deaktiviert den Listenpunkt "Netzwerkumgebung" innerhalb des Explorers.
Deaktiviert den "Willkommen-Bildschirm" der normalerweise beim (ersten) Benutzer-Login angezeigt wird.

4. Druckernutzung einschränken

Die nachfolgenden Optionen dienen dem Schutz der Druckeinstellungen.

4.1 Hinzufügen & Löschen von Druckern verbieten.
Verhindert, dass Benutzer Drucker hinzufügen oder löschen können.

4.2 Druckereinstellungen deaktivieren
Verhindert die Anzeige der Dialogbox mit Druckereinstellungen, z.B. Printer-Sharing, Ports usw.

4.3 Drucken verbieten
Verhindert, dass Benutzer Dokumente drucken können. Sofern Sie das Drucken innerhalb von SiteKiosk erlauben möchten, darf diese Option nicht aktiviert sein.

5. System-Einstellungen schützen

Diese Richtlinien sollen die System-Einstellungen vor unbefugten Änderungen schützen.

5.1 Systemsteuerung deaktivieren
Entfernt den Punkt "Systemsteuerung" aus dem Startmenü von Windows.

5.2 Internet-Optionen deaktivieren
Verhindert, dass der Benutzer Zugang zu den Internet-Optionen innerhalb des Internet-Explorers erhält.

5.3 Software-Deinstallation verhindern
Verbietet grundsätzlich die Deinstallation von installierten Programmen. Hierzu werden folgende Einschränkungen aktiviert:

Das Symbol "Software" in der Systemsteuerung und der Menüeintrag "Software" im Menü werden deaktiviert.
Die Schaltfläche "Programme ändern oder entfernen" aus der Leiste "Programme hinzufügen/entfernen" wird deaktiviert.
Die Schaltfläche "Neue Programme hinzufügen" aus der Softwareleiste wird entfernt.
Die Schaltfläche "Windows-Komponenten hinzufügen/entfernen" unter Software wird deaktiviert.
Die Option "Ein Programm von CD oder Diskette hinzufügen" von der Seite "Neue Programme hinzufügen" unter Software wird deaktiviert.
Die Option "Programme von Microsoft hinzufügen" aus dem Abschnitt "Neue Programme hinzufügen" wird deaktiviert.
Die auf der Seite "Programme ändern oder entfernen ausblenden" aufgeführten Programme können einen Hyperlink "Supportinformationen" enthalten. Dieser Link wird entfernt.

6. System-Werkzeuge abschalten

Schaltet aus Sicherheitsgründen diverse System-Werkzeuge ab.

6.1 Taskmanager deaktivieren
Verhindert, dass der Task-Manager gestartet werden kann.

6.2 Windows-Registry-Werkzeuge deaktivieren
Verhindert, dass der eingeschränkte Benutzer "REGEDIT.EXE" oder "REGEDT32.EXE" ausführt.

6.3 Microsoft Management Console (MMC) deaktivieren
Verhindert, dass die "Microsoft Management Console" (mmc.exe) gestartet werden kann.

6.4 Kommandozeilen-Interpreter (command.com)
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Zulassen
Die Komanndozeile ist erlaubt.
Batch-Dateien zulassen
Es können vom Explorer aus .bat und .cmd Dateien geöffnet werden. Die Kommando-Konsole kann jedoch nicht manuell geöffnet werden.
Immer deaktivieren
Verbietet die Kommando-Konsole, d.h. es können auch keine .bat und .cmd Dateien über den Explorer gestartet werden.

6.5 Task-Scheduler einschränken
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Versteckt alle vorhandenen Scheduler-Tasks in der Ansicht.
Deaktiviert im Task-Scheduler den Menüpunkt "Erweitert".
Verbietet das Hinzufügen und Löschen von Tasks.

7. DFÜ & Netzwerk (betrifft nicht den Betrieb von SiteKiosk)

Die folgenden Richtlinien beziehen sich auf Datenfernübertragung (Einwählen) und Netzwerk. Die Einschränkungen gelten nicht für SiteKiosk, da das Programm die DFÜ-Einwahl (sofern erforderlich) komplett selber regelt.

7.1 Manuellen DFÜ-Verbindungsaufbau verhindern
Verhindert den manuellen Verbindungsaufbau durch den Benutzer.

7.2 Manipulation der DFÜ-Einstellungen verhindern
Deaktiviert den "Einstellungen"-Button für Dialup-Verbindungen, sowohl im Status-Dialog als auch im Kontext-Menü der Dialup-Verbindungen selbst.

7.3 Manipulation der Netzwerk-Einstellungen verhindern
Deaktiviert den "Einstellungen"-Button für Netzwerk-Verbindungen, sowohl im Netzwerk-Status-Dialog als auch im Kontext-Menü der Netzwerk-Verbindungen selbst.

7.4 Status von Netzwerkverbindungen nicht anzeigen
Verhindert die Anzeige des Status-Dialogs der Netwerkverbindungen.

7.5 Offline-Dateien nicht verwenden
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Die Registerkarte im Explorer unter "Extras -> Ordneroptionen -> Offlinedateien" wird deaktiviert.
Menüeintrag "Einstellungen" aus dem Kontextmenü der Offlinedateien wird entfernt.
Schaltfläche "Dateien anzeigen" wird deaktiviert.
Schaltfläche "Einstellungen" im Dialogfeld "Offlinedateistatus" wird deaktiviert.
Option "Offline verfügbar machen" wird im Menü "Datei" und in allen Kontextmenüs in Windows Explorer deaktiviert.
Option "Erinnerungen aktivieren" und dazugehörige Symbole in der Registerkarte "Offlinedateien" werden deaktiviert.

7.6 Sonstige Einschränkungen aktivieren
Folgende Einschränkungen können hiermit aktiviert/deaktiviert werden:

Verhindert das Hinzufügen und Entfernen von Netzwerkkomponenten.
Unter Eigenschaften von Netzwerkkomponenten wird der "Erweitert"-Reiter entfernt.
Änderungen an den Protokoll-Einstellungen werden verhindert.
Der Internet-Verbindungsassistent wird deaktiviert.

8. Sonstige Anwendungen

Eine Sammlung von Richtlinien zur Absicherung einiger gebräuchlicher Windows Anwendungen.

8.1 Windows Mediaplayer einschränken
Versteckt folgende Karten im Optionen-Menü des Mediaplayers: Privacy, Security, Network, File Types.

8.2 Windows-Installer einschränken
Standardmäßig hat der MSI-Installer besondere Benutzerrechte, die den Zugriff auf die Registrieung und Festplatte erlauben. Diese Option sorgt dafür, dass der MSI-Installer lediglich die gleichen Rechte hat, wie sein Benutzer.

8.3 Internet Explorer einschränken
Diese Option schränkt den Internet-Explorer soweit wie möglich ein:

Der Menüpunkt Extras -> Internetoptionen ist deaktiviert.
Verhindert das Speichern und Öffnen von Dateien.
Rechte Maustaste innerhalb des IE wird deaktiviert.