Mit den Zugriffsoptionen können Sie systemkritische Tastatureingaben und Fenster und Dialoge abfangen, evtl. vorhanden CD Laufwerke sperren und verschiedene browserrelevante Zugriffseinstellungen vornehmen.
Hinweis:
Wird die für SiteCaster optimierte Konfigurationsansicht verwendet, ist nur der Abschnitt mit den Sicherheitseinstellungen zu sehen.
1.1 Arbeitsstation sperren, wenn ein Wechseldatenträger angeschlossen wird
Sofern die Anschlüsse Ihrer Rechner für die Benutzer erreichbar sind, besteht die Möglichkeit, dass diese Wechseldatenträger (z.B.
USB-Sticks, ZIP-Drives) anschliessen. Hierdurch entsteht ein Sicherheitsrisiko, da Benutzer auf den Wechseldatenträgern evtl. vorhandene Tools und Programme ausführen können.
Wenn diese Funktion aktiviert ist, wird die Arbeitsstation gesperrt und ein entsprechender Dialog angezeigt, sobald ein Wechseldatenträger am Computer angeschlossen ist oder angeschlossen wird. Ausgenommen sind Diskettenlaufwerke.
Hinweis:
Die vollwertige Funktion steht unter Windows 8 und höher nur zur Verfügung, wenn das Shell Replacement verwendet wird.
1.4 Systemkritische Tastenkombinationen abfangen
Die bekannteste Tastenkombination, die mit dieser Funktion abgefangen werden kann ist STRG-ALT-ENF. Aber auch andere Tastaturkombinationen sind bei dem Einsatz einer normalen Tastatur nicht sehr sinnvoll auf einem öffentlich zugänglichen Computersystem. SiteKiosk blockt standardmäßig bereits die kritischsten Kombinationen. Wahlweise können Sie bestimmte Kombinationen selbst hinzufügen oder geblockte Kombinationen erlauben.
Nach der Installation muss das System einmal neugestartet worden sein, damit SiteKiosk Tastatureingaben überwachen kann.
Hinweis:
Stellen Sie sicher, dass die von Ihnen für das Beenden von SiteKiosk gewählte Tastaturkombination nicht zu den hier geblockten Kombinationen gehört.
Sollte das Abfangen von systemkritischen Tastatureingaben wie z.B. STRG-ALT-ENF nicht funktionieren, dann liegt der Grund hierfür vermutlich an der angeschlossenen USB-Tastatur. Ist diese nicht Microsoft-kompatibel, dann werden die Tasten nicht abgefangen. Bitte verwenden Sie eine MS-kompatible USB-Tastatur oder eine normale PS2-Tastatur.
Die Konfiguration erlaubt es vier zusätzliche eigene Kombinationen zu definieren, die von SiteKiosk abgefangen werden sollen. Durch das manuelle Editieren der Konfigurationsdatei können allerdings beliebig viele Kombinationen hinzugefügt werden. Die Konfigurationsdatei kann mit einem Editor, z.B. Notepad, geöffnet werden. Ein Standardeintrag zum Blocken einer Tastenkombination sieht folgendermaßen aus:
<custom enabled="false" scancode_0="0" scancode_1="0" scancode_2="0" scancode_3="0" />
enabled kennzeichnet, ob diese Kombination geblockt (true) oder erlaubt (false) wird. Kombinationen, die nicht angegeben werden, sind erlaubt (mit Ausnahme der Tastenkombinationen die SiteKiosk standardmäßig blockt).
scancode_0 bis scancode_3 sind die Scancode-Werte der einzelnen Tasten der Kombination, der 1. Modifikator (ALT, STRG usw.), der 2. Modifikator, der 3. Modifikator und die Ziel-Taste. Ein Wert von 0 bedeutet die Taste wird in einer Tastenkombination nicht verwendet. Es gibt im Internet zahlreiche Seiten mit Tabellen, die die Scancodes für die einzelnen Tasten auflisten (Ausgangspunkt z.B. http://en.wikipedia.org/wiki/Scancode). Bitte beachten Sie, dass diese Tabellen in der Regel Hex-Werte enthalten, diese müssen für die Verwendung in der Konfiguration von SiteKiosk in Dezimalwerte umgewandelt werden.
1.5 Systemkritische Fenster & Dialoge abfangen
SiteKiosk kann neben systemkritischen Tastaturkombinationen auch Fenster & Dialoge abfangen, die ein SiteKiosk Benutzer nicht zu sehen bekommen soll. Die umfangreichen Einstellungsmöglichkeiten werden
hier beschrieben.
2.1 Java & VB Scripts ausführen
Wählen Sie, ob Scriptsprachen ausgeführt werden sollen. Es ist sinnvoll diese Option einzuschalten, da sonst zahlreiche Webseiten nicht in vollem Umfang funktionieren.
2.2 Java Applets ausführen
Java Applets sind eigenständige Programme. Auf Internetseiten werden oftmals JAVA-Spiele und JAVA-Chats angeboten. Auch diese Option kann im Normalfall aktiviert bleiben. SiteKiosk führt nur Applets aus, die auf dem Rechner vorher im Internet Explorer installiert/erlaubt worden sind.
Um Probleme mit der Darstellung von Java-Applets auf Webseiten zu verhindern, sollten Sie immer die aktuellste Java Runtime Environment einsetzen. Die aktuellste Version finden sie unter http://www.java.com/. Vor der Installation der aktuellen JAVA Version sollten Sie alten Versionen deinstallieren, um eventuelle Überschneidungen zu vermeiden und zusätzlich den Cache des Internet Explorer manuell löschen (Achtung: diese Einstellung ist benutzerabhängig und sollte auf jeden Fall auch mit dem Benutzer, unter dem SiteKiosk laufen soll, durchgeführt werden).
Beachten Sie bitte, dass es zu Problemen führen kann, die Microsoft Java VM (Virtual Machine) und die aktuelle Java Runtime von Sun installiert zu haben. Die Microsoft VM ist vor allem bei älteren Windows Versionen (inkl. früher XP Versionen) zu finden. Sie können z.B. im Internet Explorer unter
Extras -> Internetoptionen -> Erweitert an einen eigenen Abschnitt für die Microsoft VM erkennen, ob diese installiert ist. Da die Microsoft Java VM nicht so ohne weiteres über die Systemsteuerung deinstalliert werden kann, hat Microsoft dafür ein kleines Tool zur Verfügung gestellt (Verwendung auf eigene Gefahr). Den Download gibt es z.B. hier:
https://www.sitekiosk.com/download/tools/uninstall_msjavavm.exe.
2.3 Keine Script Fehlermeldungen
Diese Option sollte eingeschaltet bleiben, damit Scriptfehler auf Seiten ignoriert werden. Es erscheint keine Dialogbox. Evtl. auftretende Scriptfehler werden jedoch in den
Logfiles angezeigt.
2.4 Windows Eingabehilfen deaktivieren
Speziell für behinderte Menschen gibt es unter der Windows Systemsteuerung den Punkt Eingabehilfen. Diese Funktion ist jedoch nicht unproblematisch, wenn Sie bei einem Internet-Terminal verwandt wird. Sie können gerne einmal selber testen, ob diese Funktionen auf Ihrem Rechner verfügbar sind: Drücken Sie einfach die Tastenkombi Alt-Links, Shift-Links und DRUCK. Falls sich nun die Anzeige Ihres Desktop verändert, können Sie mit Hilfe der gleichen Tastenkombination die Einstellungen wieder rückgängig machen.
Damit Benutzer auf Ihrem Terminal nicht ähnliche Funktionen aufrufen können, sollten Sie die Option eingeschaltet lassen.
2.5 Neue ActiveX Controls laden
Diese Option bietet die Möglichkeit, das Laden von neuen und noch nicht auf dem Rechner installierten ActiveX Controls zu unterbinden.
Vorsicht:
Schalten Sie diese Option nicht ein, da sonst automatisch Viren und Hackertools auf dem Rechner installiert werden könnten.
Sollte Ihre Webseite ein ActiveX-Control verwenden, dann laden Sie die Webseite zunächst im normalen Internet Explorer, damit das Control auf dem Rechner installiert werden kann. Danach läuft es auch innerhalb von SiteKiosk. Eventuell müssen Sie beim Downloaden des ActiveX-Controls einen Haken bei der Option ..immer vertrauen setzen, damit es nicht nur einmal ausgeführt wird.
2.6 Unsichere ActiveX Controls erlauben
Diese Einstellung bezieht sich auf einige spezielle ActiveX Controls, die auf einem Kiosk-System als unsicher betrachtet werden können und von SiteKiosk in der Datei
UnsafeActiveXCtrls.xml im Unterverzeichnis XML verwaltet werden.
Die Option hat nichts mit den entsprechenden IE Einstellungen zum Verhalten bei unsicheren ActiveX Controls zu tun, an diese benutzerabhängigen Einstellungen hält sich auch SiteKiosk sofern ein Control nicht in diese spezielle Kategorie fällt.
Die mit dieser Einstellung abgedeckten Controls werden auf verschiedenen bekannten Webseiten verwendet (u.a. auf den Webmailseiten von T-Online), die oft besucht werden und sind daher standardmäßig erlaubt. Möchten Sie den größtmöglichen Schutz erreichen sollten Sie diese Option deaktivieren.
Wenn die Aktivierung eines unsicheren Active-X Controls von SiteKiosk verhindert wird, erscheint in den
Logdateien ein Notification-Log-Eintrag.
Um ggf. einzelne Controls aus dieser speziellen Behandlung auszuklammern, können Sie die Datei
UnsafeActiveXCtrls.xml im XML Unterverzeichnis von SiteKiosk editieren und dort Control-CLSIDs entfernen bzw. neue einfügen, um zusätzliche Controls permanent zu blocken.
Diese Änderungen geschehen auf eigene Gefahr und sind im Normalfall nicht notwendig, um SiteKiosk zu betreiben.
Zum Beispiel verhindert der folgende Eintrag die Anzeige des VBScript Printercontrols:
| <control clsid='8856F961-340A-11D0-A96B-00C04FD705A2'/> |
| < !-- WebBrowser --> |
2.7 PDF Toolbar anzeigen
Standardmäßig zeigt SiteKiosk PDF Dokumente ohne Toolbar an. Nutzen Sie diese Option, um die Toolbar anzeigen zu lassen.
Beachten Sie bitte, dass diese Funktion mindestens Acrobat Reader 10 benötigt.
2.8 Starte SiteKiosk mit niedrigeren Privilegien
Unter Vista/Win7/Win8 ist diese Option automatisch aktiviert und daher nicht sichtbar, um Vista/Win7/Win8-Richtlinien zu erfüllen. Diese Option ist unter Vista/Win7 allerdings sichtbar, wenn UAC (User Access Control) deaktiviert wurde. Hinweis: Unter Windows 8 kann
UAC nicht komplett deaktiviert werden.
Die Aktivierung schränkt die Benutzerrechte des SiteKiosk-Prozesses ein, um die Sicherheit des Terminals zu erhöhen. Dies bezieht sich nicht auf den bereits eingeschränkten SiteKiosk Benutzer, vielmehr betrifft dies andere Windows-Benutzer, wenn unter diesen ein SiteKiosk-Prozess gestartet wird.
Beachten Sie, dass dies dem Benutzer nicht generell Rechte entzieht, sondern nur dem unter Windows für SiteKiosk gestarteten Prozess und anderen Prozessen, die von diesem gestartet werden. Zum Beispiel bedeutet dies, dass sogar ein Administrator sich bei Programmen, die explizit Administratorrechte anfordern, nochmals mit Benutzername und Passwort ausweisen muß, z.B. beim Start der SiteKiosk Konfiguration aus dem Escape-Menü heraus.
2.9 IE Inhaltsratgeber
SiteKiosk übernimmt zum großen Teil die Einstellungen des Internet Explorers. Diese Schaltfläche ruft einen Einstellungsdialog zum Thema Datensicherheit/Inhalte/Verbindung etc. des IE auf. Die IE Hilfe erklärt Ihnen mehr zu den jeweiligen Einstellungen.
Beachten Sie, dass die meisten der Einstellungen benutzerabhängig sind und dementsprechend im IE
unter dem Benutzer mit dem SiteKiosk ausgeführt werden soll, explizit gesetzt werden sollten, falls überhaupt eine Änderung notwendig ist.
3. URLs mit SiteKiosk Object Model Erlaubnis
Aus Sicherheitsgründen funktioniert das sehr leistungsfähige
SiteKiosk Object Model nur in den hier definierten Pfaden/URLs.
Dies stellt sicher, dass das SiteKiosk Object Model nicht einfach von Dritten missbraucht werden kann. Ein Hacker kann also nicht einfach über eine selbsterstellte und im Web abgelegte HTML-Seite SiteKiosk Scriptfunktionen ausführen.
Wenn Sie nun z.B. Webseiten, die Script-Elemente des SiteKiosk Models enthalten, im Internet ablegen und innerhalb von SiteKiosk verwenden möchten, dann müssen Sie die Pfade/URL´s hier angeben, da sonst eine Fehlermeldung mit dem Hinweis "
Unauthorized Function Call" erscheint.
Bei lokalen HTML-Seiten (file://) können Sie alternativ auch
%SiteKioskPath% als Variabel für Ihr SiteKiosk-Installationsverzeichnis (statt z.B. c:/program files/sitekiosk) angeben.
4. Hinweise und Tipps
- Schalten Sie die Option "Neue ActiveX-Controls laden" nur ein, wenn Sie diese zwingend für Ihr Projekt benötigen. Im Normalfall gibt es keinen Grund, diese Option zu aktivieren.
Siehe auch
Nach oben