Bei Kinder- bzw. Jugendschutzprogrammen ist es eine sehr wichtige Funktion: Das Starten einzelner Programme verhindern oder nur bestimmte Programme zulassen und alle anderen blockieren. Das lässt sich händisch jedoch auch ohne eingekaufte Zusatzsoftware in wenigen Minuten einrichten:

Mit der Registry nur bestimmte Programme zulassen

Sucht in der Registry nach dem Schlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

Ihr erstellt nun einen Schlüssel „Explorer“ unter „Policies“ und einen DWORD-Wert „RestrictRun“ mit Wert „1“. In „Explorer“ erstellt ihr dann noch einen neuen Schlüssel „RestrictRun“ und könnt hier nun beliebig viele Zeichenfolgen erstellen. Jede Zeichenfolge steht für ein erlaubtes Programm. Alle Programme, die hier jetzt nicht gelistet sind, dürfen auch nicht mehr gestartet werden*. 
Der Name der Zeichenfolge ist eine fortlaufende Nummerierung und als Wert wird der Dateiname des Programms gesetzt. Die Änderungen werden beim Ab- und wieder Anmelden bzw. Neustart für den Nutzer aktiv. 

Einstellungen unter HKEY_CURRENT_USER gelten nur für den gerade angemeldeten Nutzer. Daher muss der Vorgang für jeden Nutzer, der eingeschränkt werden soll, innerhalb dessen Anmeldung gemacht werden. Oder ein Admin setzt die Einstellungen via HKEY_USERS, mehr dazu im letzten Abschnitt. 

Zum Testen empfehle ich, regedit.exe mit einzutragen. Somit könnt ihr auch in dem eingeschränkten Benutzer die Einstellungen noch via regedit.exe anpassen. Für den finalen Einsatz sollte regedit.exe unbedingt nicht erlaubt sein (also nicht auf der Liste stehen), weil der Nutzer sonst die Einstellung aushebeln könnte.

*RestrictRun blockiert nur Programmstarts über den Nutzerkontext des eingeschränkten Nutzers. Heißt: Systemkomponenten, Dienste oder Programme, die über einen anderen Nutzerkontext geladen werden, wie die CMD oder der Taskmanager, werden nicht blockiert. Das ist ganz gut, damit Treiber, Sicherheitsprogramme und andere kritische Windows-Komponenten weiterhin funktionieren. Prüft vorher das eingeschränkte Konto auf die gewünschten Einschränkungen.

Woher bekomme ich die Dateinamen meiner Programme?

Das ist relativ einfach, zwei Wege kurz beschrieben:

  1. Rechtsklick auf jede Verknüpfung, beispielsweise auf dem Desktop oder im Startmenü -> Eigenschaften und dort steht am Ende von „Ziel“ die ausführende Datei.
  2. Während das Programm geöffnet ist im Tastkmanager Rechtsklick darauf -> Eigenschaften und dann steht der Dateiname neben dem Programmicon. Eventuell müsst ihr den Programmlistenpunkt aufklappen und die Dateinamen der Unterpunkte somit auslesen, sollten es mehrere sein.

Via Registry bestimmte Programme blockieren

Das Blockieren einzelner Programme funktioniert nun fast genauso. In „Explorer“ wird nun ein Schlüssel und ein DWORD-Wert namens „DisallowRun“ erstellt. Im Schlüssel dient wieder eine Liste von Zeichenfolgen für die Aufzählung von Programmen bzw. deren ausführbaren Dateien. Die in der Liste eingetragenen Programme dürfen nicht mehr gestartet werden, alle anderen sind noch erlaubt.

  1. regedit.exe, SystemSettings.exe, SystemPropertiesAdvanced.exe, mmc.exe und weitere Systemtools solltet ihr vielleicht sperren. Vor allem, wenn ihr dem eingeschränkten Nutzer zutraut, euren Schutz umgehen zu wollen.
  2. Die Einstellungen setzt ihr beim ersten Login noch über die regedit.exe, ab dem zweiten Login werden Änderungen dann aber via Adminkonto gesetzt, da ja regedit.exe nicht mehr zugelassen sein sollte. Siehe letztes Kapitel.

Administration der Einstellungen außerhalb des eingeschränkten Nutzers

Ist ein Nutzer erst einmal eingeschränkt, wird die Administration schwierig. Wenn nur bestimmte Programme zugelassen sind, regedit.exe jedoch nicht, lässt sich nicht so einfach etwas ändern.
Hier empfiehlt es sich, die Einstellungen vor dem Login dieses Nutzers durch einen anderen Nutzer (mit Administrationsrechten) anzupassen.

Die benutzerspezifischen Inhalte des HKEY_CURRENT_USER können auch über einen anderen Nutzer via HKEY_USERS/[SID] eingesehen und geändert werden. Die SID des gewünschten Nutzers kann über die CMD ausgelesen werden:

REM// aktuell angemeldeter Nutzer:
C:\Users\Hannes>wmic useraccount where name='%username%' get sid
REM// SID
REM// S-1-5-21-3483483838-1959189235-3432330904-1001

REM// beliebiger Nutzername
C:\Users\Hannes>wmic useraccount where name='Hannes' get sid
REM// SID
REM// S-1-5-21-3483483838-1959189235-3432330904-1001

Mit dieser SID könnt ihr dann aus jedem Adminaccount heraus die Registry und den RestrictRun / DisallowRun Eintrag des Nutzers anpassen. Einfach die gewünschten Programme eintragen, als Nutzer anmelden, diese nutzen. So lassen sich die Einstellungen übrigens auch in Masse aus einem Account heraus einstellen und der Prozess auch einfach per Skript automatisieren und auf beliebig viele Nutzer ausrollen.

windows-restrictrun-start-whitelist-einrichten-sid-hkey-users
Über die CMD die SID eines Nutzers auslesen und seine Registry anpassen

Ich habe leider im Sommer diesen Jahres mein Handy im See versenkt. Nein, es war kein Produkttest eines wasserfesten Telefons – „huch“, weg und futsch. Doof gelaufen. Aber dafür hat man ja schließlich Cloud-Backups, richtig? Nur doof wenn nicht… Ich habe dank Google automatisch schon viele Daten in der Cloud – Systemeinstellungen, Kontakte, WLAN-Logins, den ganzen Kleinkram eben. Aber Fotos, Videos und Whatsapp Medien habe ich aus Speicherplatzmangel und Privatsphärebedenken nicht in die Cloud gehoben. Nun ist alles weg und ich ärgere mich. Zeit für eine Lösung!

luckycloud-sicherer-deutscher-cloud-speicher-im-test-imgix-404361-unsplash

Cloud Services made in Germany

Warum also nicht ein Cloudanbieter, aus Deutschland, datenschutzrechtlich sicher und verschlüsselt, mit flexiblen Kosten, ohne Abstrichen bei den Features? Volltreffer!
luckycloud ist ein junges Berliner Unternehmen und bietet deutsche und sichere Cloud-Dienstleistungen an: Aktuell handelt es sich um sicheren Speicherplatz, E-Mails und Kollaborationstools. Außerdem bietet luckycloud schon eigenes Webhosting an (noch nicht offiziell, schreibt eine Mail bei Interesse) und arbeitet gerade an einem Kalender und einer Kontaktsynchronisation. Im Vergleich zu anderen Anbietern hat luckycloud jedoch ein Fokus auf Datenschutz und Sicherheit. Mehr dazu später. Grundsätzliches Interesse? Aktuelle Angebote ermöglichen noch bis Mitte September einen Rabatt.

Weiterlesen

Cerberus auf Xiaomi Geräten

Cerberus (Play Store) ist seit jeher mein Favorit unter den Anti-Diebstahl-Apps! Damals war es noch ein Einmalkauf der App, mittlerweile kostet die App leider einen jährlichen Abo-Preis, der aber für den Nutzen und den Funktionsumfang mehr als gerecht ist.

Cerberus Anti-Diebstahl
Cerberus Anti-Diebstahl
Entwickler: LSDroid
Preis: Kostenlos+

Durch den Smartphone-Herstellerwechsel vom HTC zum fernöstlichen Xiaomi, musste der optimale Betriebszustand von Cerberus durch verschiedenste Systemeinstellungen erst wiederhergestellt werden.
Diese Einstellungen unter Xiaomi based Android 6 + MIUI Global/Stable 8.2 – mit Android 7 und MIUI 9.6 funktioniert Cerberus aber auch noch einwandfrei, wenn die unten stehenden Einstellungen übernommen wurden:

Xiaomi Einstellungen für Cerberus optimieren

Einstellungen -> [Sektion System & Gerät] Benachrichtigungen & Statusleiste -> App Benachrichtigungen -> Cerberus -> Priorität „aktivieren“
Einstellungen -> [Sektion System & Gerät] Akku & Leistung -> Energie -> App-Energiesparmodus -> Cerberus -> Keine Beschränkungen und dann weiter unten Ortungsdienste Zulassen
Einstellungen -> [App-Einstellungen] Zugriffssteuerung -> Autostart -> Cerberus „aktivieren“
Einstellungen -> [App-Einstellungen] Zugriffssteuerung -> Weitere Berechtigungen -> Cerberus -> Alles aktivieren

Systemweite Einstellungen optimieren

Diese Einstellungen betreffen nicht nur Cerberus, sondern wirken sich systemweit aus. Ich rate dazu, diese Einstellungen erst zu ändern, wenn die anderen Einstellungen nicht den gewünschten Effekt erzielt haben.
Einstellungen -> [Sektion System & Gerät] Akku & Leistung -> Akkuverbrauch verwalten -> [Energiesparmodus] Aus
Einstellungen -> [Sektion System & Gerät] Zusätzliche Einstellungen -> Entwickleroptionen -> (weit unten) Speicheroptimierung -> Aus

Blockierende Apps deaktivieren oder Cerberus freischalten

Ich habe gerade bemerkt, dass mein Cerberus sich nicht mehr verbinden kann. Ursache war die App von Adguard, die bei mir Werbung blockt, dafür aber alle Verbindungen über einen gesonderten Gateway schicken muss. Dort können unter Umständen Pakete geblockt werden, wie beispielsweise die von Cerberus. Definiert also Cerberus als Ausnahme in Apps die Werbung blocken, Internettraffic kontrollieren oder andere Sicherheitsapps, um die volle Funktion zu gewährleisten. So funktionierte es dann direkt auch wieder bei mir.

Und fertig!

Nach einem Neustart sollte Cerberus nun ausreichend im System verankert sein. Prüft noch einmal die Cerberus In-App-Einstellungen und dann sollte das Gerät jederzeit über das Webinterface erreichbar sein:
cerberus-xiaomi-redmi-note-webinterface-online-connected

Noch einen Hinweis zu SMS-Commands, falls das gestohlene Smartphone ohne Internet, aber mit Mobilfunk läuft. Die Formatierung des Textes hat mich anfangs gut verwirrt. Das Format ist:
[SMS-Code (in der App eingestellt)] [Dein Cerberus-Accountpasswort] [Befehl] [Optionen]
Beispiel:
inappcerberus mycerbpassword alarm Testalarm

Ebenso wie die Websteuerung werden dann auch die SMS-Commands auf dem Xiaomi erfolgreich ausgeführt.

android-standard-tipps-sicherheitIch habe heute einer Cousine in meiner Familie geholfen, auf ihr Android Telefon mit kaputtem Display zuzugreifen und Daten zu sichern. Es gibt ein paar grundlegende Android Tipps, an sich wichtige Basic-Learnings, die ich euch mitgeben möchte, die den Prozess heute von 4 Stunden auf 20 Minuten gekürzt hätten:

1.) Aktiviert in eurem Android Gerät den USB-Debugging-Modus: Lest dazu die Schritte auf http://bit.ly/2i4XSXW unter der Überschrift „Entwickleroptionen ab Android 4.2 freischalten“. Dieser Modus ermöglicht wichtige Zugriffswege von außen mit Programmen, wenn die Nutzung des Geräts selbst eingeschränkt ist.

2.) Installiert keine Apps aus anderen Stores als dem offiziellen Google Play Store oder Amazon App Store. Der Store APKmirror ist mit Vorsicht zu betrachten. Und hinterfragt über soziale Netzwerke oder Messenger geschickte Links – wurde dieser Link erwartet und sieht er „normal“ aus? Notfalls nachfragen.

3.) Apps können auch über den PC vollautomatisch auf das Handy installiert werden, über https://play.google.com/store/apps

4.) Ich empfehle die präventive Installation einer Anti-Diebstahl-App, die beim Verlust Zugriff von Außen sowie etliche weitere Funktionen anbietet. Empfehlung: https://www.cerberusapp.com/

5.) Apps der folgenden Kategorien mit Vorsicht verwenden: Battery-Saver, Disk-Cleaner, App-Killer, RAM-Manager. Android selbst verwaltet sein System sehr gut und Apps dieser Art stören dieses Ökosystem mehr als dass es hilft. Manche Funktionen können sinnvoll sein, meistens sind die Apps aber nur Werbeschleudern.

6.) Erstellt halbwegs regelmäßig Backups außerhalb des Handys oder nutzt Cloud-Backup-Features, sodass ihr möglichst wenig Daten verliert, sollte gar kein Zugriff mehr auf das Telefon oder den Datenspeicher mehr möglich sein. Der Prozess eines brauchbaren Backups kann u.U. etwas aufwändiger sein – lasst euch ggf. helfen.

7.) Viele Apps ermöglichen das Speichern von Daten auf der SD-Karte statt auf dem internen Speicher des Telefons – Kamera-Apps, Musik-Apps, einfach mal in den Einstellungen gucken. Auch bieten einige Apps Cloud-Backups an, z.B. Whatsapp oder Galerie-Apps. Im Falle eines kaputten Telefons kann beides Datenverlust vermeiden.

8.) Arbeitet mit modernen Apps/Diensten, die ihre Daten automatisch in der Cloud ablegen. Praktisch alle Google Dienste – Google Mail, Kalender, Kontakte, Notizen, Music, alles empfehlenswerte Dienste. Datenschutzbedenken? Nicht doch: https://it-stack.de/31/12/2016/googles-6-schritt-privatsphaere-check/ – danach speichert Google nicht mehr als jeder andere Anbieter auch, macht euch keine falschen Hoffnungen.

Offtopic) Whatsapp kann auch sehr einfach und komfortabel auf dem PC benutzt werden: https://web.whatsapp.com (es gibt tatsächlich noch Leute, die das nicht wussten 😉

google-datenschutz-privatsphaere-check

Privatsphäre trotz Google?

Google sammelt viele Daten und „gefährdet“ damit eure Privatsphäre. Klar, das weiß mittlerweile jeder. Wer damit nicht so einverstanden ist, kann jedoch in einem recht übersichtlich gestalteten Prozess die Datensammelwut kontrollieren und reduzieren. Mit dem Google Privatsphärecheck könnt ihr in 6 Schritten die Informationssammlung unterschiedlicher Dienste und Bereiche von Google anpassen. Ich gebe mit den Screenshots nur kurze Eindrücke, die meisten Punkte sind selbsterklärend und müssen einfach durchgeklickt werden. Ausnahme Schritt 6, Werbung, da gibt es mehr zu beachten. Oftmals sind auch Beschreibungen und Hilfeartikel zu den Optionen verfügbar – es lohnt sich, hier reinzuschauen.
Weiterlesen

Das Windows-Feature „User Account Control“ (UAC), im deutschen Windows auch Benutzerkontensteuerung genannt, ist seit Windows Vista verbaut und sorgt für sichereres Rechtehandling beim Ausführen von Programmen. Im Hintergrund steckt außerdem ein Sandboxing-Prinzip, wodurch unterschiedliche Programme in unterschiedlichen Nutzer- und Rechtekontexten auf einem Desktop vereint zusammen arbeiten können.
Das Bild zeigt den Dialog der UAC beim Starten eines Programms mit Adminrechten
Die Benutzerkontensteuerung kann auf eine von vier unterschiedliche Stufen gestellt werden; eine davon entspricht der Deaktivierung, die anderen drei realisieren unterschiedliche Sicherheitsstufen.

Das Bild zeigt die Einstellungen der Benutzerkonstensteuerung (UAC)Im (vertrauensvollen) Unternehmenseinsatz ist eine auf Stufe 1 gestellte UAC sinnvoll, damit administrative Aufgaben auch direkt aus der Anmeldung eines eingeschränkten Nutzers per Eingabe von Admin-Daten möglich ist. Diese lässt sich beispielsweise mit Batch und Registry konfigurieren und im Windows AD verteilen, hier der Code:

@echo off & Color 9f & setlocal

set wd=\\server\Deployment\Sonstiges\activate-uac
set log=%wd%\activate-uac-log.txt
set uacconfig=99

REM Clientfilter: nur die Computer aus der allowedPCs.txt dürfen installieren
::for /f %%f in (%wd%\allowedPCs.txt) do if "%computername%"=="%%f" goto check
::goto end

REM Clientfilter: die Computer aus der deniedPCs.txt dürfen nicht installieren
for /f %%f in (%wd%\deniedPCs.txt) do if "%computername%"=="%%f" goto end

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 1 /f
set uacconfig=%errorlevel%
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 5 /f
set uacconfig=%uacconfig%%errorlevel%
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorUser /t REG_DWORD /d 3 /f
set uacconfig=%uacconfig%%errorlevel%
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v PromptOnSecureDesktop /t REG_DWORD /d 0 /f
set uacconfig=%uacconfig%%errorlevel%

echo %date% %time:~0,8% - %computername% hat UAC Settings übernommen: %uacconfig% >> %log%

:end
endlocal

Die unterschiedlichen Werte der einzelnen Registry-Eigenschaften könnt ihr hier übersichtlich nachlesen. Es gibt noch weitere Punkte der UAC, die über die Registry gesteuert werden können.
PS: Das Konzept hinter der UAC ist äußerst komplex und es macht u.U. Spaß, sich als fortgeschrittener Windows-Nutzer darin einzulesen.

via, via