Der öffentliche PC

Windows narrensicher konfigurieren

Praxis & Tipps | Praxis

Einmal vorbeugen statt ständig neu installieren: Sichern Sie Windows oder Linux so ab, dass weder beratungsresistente Benutzer noch raubeinige Randalierer bleibenden Schaden anrichten können. Erstaunlich weit kommt man dabei mit Bordmitteln.

Wenn man schon jemand anderen an den eigenen PC lässt, soll er wenigstens keinen Unfug damit anstellen können. Um das zu erreichen gibt es zwei Ansätze: Entweder verwirft man all seine Änderungen am Ende der Sitzung oder man sorgt dafür, dass er gar nicht erst etwas kaputt machen kann. Welcher der beiden Ansätze der richtige ist, hängt vom jeweiligen Szenario ab: Bei einem Schulungs-PC dürfte es in vielen Fällen sinnvoller sein, alle Änderungen beim nächsten Neustart zu verwerfen, weil dem Schüler so die Option offensteht, zumindest bis dahin relativ frei mit dem System hantieren und so den Umgang damit lernen zu können. Geht es hingegen beispielsweise um einen Party-PC, den Rechner eines Angestellten oder einen öffentlichen PC, wird es sinnvoller sein, von vornherein zu verhindern, dass er für andere Zwecke als gedacht missbraucht wird.

Wir stellen verschiedene Lösungen vor: Dieser Artikel zeigt, wie Sie Windows so weit verrammeln, dass ein Unbefugter wirklich nur genau das machen darf, was Sie erlaubt haben. Die nachfolgenden Artikel zeigen Alternativen für Linux und Windows.

Die Mechanismen, die dafür notwendig sind, damit ein Benutzer mit Windows nur noch genau das machen kann, was er darf, stecken fast alle von Haus aus in Windows drin. Wir demonstrieren sie an einem Beispiel: einem Party-PC. Unsere Anforderung: Ein Familien-PC, der normalerweise zum Arbeiten und Spielen dient, soll ausnahmsweise während einer Party für die Musik sorgen. Die Gäste sollen selbst Songs aus der Familiensammlung in die Playlist aufnehmen können und solche Playlists auch speichern dürfen, aber keinesfalls Songs löschen. Zudem dürfen sie im Internet surfen, etwa um mehr über den gerade gespielten Song herauszufinden oder um nachzuschauen, wann der letzte Bus fährt. Mehr soll ihnen jedoch nicht erlaubt sein: Weder das Starten anderer Programme, noch das Öffnen der persönlichen Dateien der Familie noch das Ändern der Windows-Konfiguration.

Die Umsetzung: Es wird ein spezielles Benutzerkonto für die Party-Gäste erstellt. Über dessen Startmenü und dessen Desktop lassen sich keine anderen Programme als ein Browser und ein Media Player starten, und jeden Versuch, etwas anderes zu starten, quittiert Windows mit einer Fehlermeldung. Im Explorer sollen weder System- noch Datenpartitionen noch USB-Sticks oder optische Laufwerke zu sehen sein, sondern nur zwei spezielle Laufwerke: Das eine enthält ausschließlich die Musik, auf die das Party-Konto nur lesend zugreifen darf (um das Demolieren von MP3-Tags oder gar das Löschen ganzer Songs zu verhindern), das andere ist leer und steht als Speicher zur Verfügung etwa für selbst erstellte Playlists. Klingt im ersten Moment komplex, ist es aber gar nicht (und keine Panik, dafür müssen Sie Ihre Festplatte nicht neu partitionieren, das klappt viel eleganter).

Was dieser Artikel vorstellt, gilt für alle Windows-Vista- und Windows-7-Versionen von Business/Professional über Enterprise bis Ultimate. Bei den anderen Windows-Versionen und Varianten gibt es Einschränkungen, weil ein wichtiges Hilfsmittel fehlt: Der Gruppenrichtlinienditor. Wer Windows 7 Home oder Starter benutzt, kann ihn aber von Hand ins System frickeln.

Unter XP und Vista Home klappt das nicht, doch hier gibt es eine Alternative: Microsofts Programm „SteadyState“ (das früher „Shared Computer Toolkit“ hieß). Damit lassen sich XP und Vista (aber nicht Windows 7) bequem in einen „Kiosk-Modus“ versetzen, ähnlich wie es die Artikel in diesem Heft beschreiben. Microsoft hatte bereits im letzten Jahr angekündigt, das Download-Angebot zum 31. Dezember 2010 einzustellen, doch bis Redaktionsschluss wurde die Drohung noch nicht umgesetzt – möglicherweise, weil die Reaktionen auf die Ankündigung in Microsofts Foren heftig ausfielen. Wer das Programm noch rechtzeitig heruntergeladen hat, findet in [1] eine ausführliche Anleitung. (axv)

Den vollständigen Artikel finden Sie in c't 3/2011.

Der narrensichere PC

Artikel zum Thema "Der narrensichere PC" finden Sie in c't 3/2011:

  • Windows narrensicher konfigurieren - Seite 114
  • Manipulationssicheres Linux-Benutzerkonto - Seite 122
  • Wegwerf-Windows mit VirtualBox - Seite 126

Kommentare

Infos zum Artikel

Kapitel
  1. Windows abgeschottet
23Kommentare
Kommentare lesen (23 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige

Anzeige

Anzeige