Nie wieder verstellte Geräte mit dem Kioskmodus in Windows 10

Haben Sie das Problem, dass Ihre Mitarbeiter Geräte verstellen ohne dass diese die Berechtigung dafür haben? Dem kann ein Riegel vorgeschoben werden mit einem sogenannten „Kioskmodus“. Bei Windows 10 kann dies mit dem hauseigenen Bordmittel „Universal Write Filter“ (auch „Unified Write Filter“ genannt) geschehen. In diesem Artikel beleuchten wir, was sie dafür benötigen und wie dieser eingerichtet wird.

Funktionen

Der Unified Write Filter sorgt dafür, dass Daten nicht mehr persistent auf dem System gespeichert werden. Alle Schreibzugriffe werden in den Arbeitsspeicher ausgelagert und stehen bis zu einem Neustart des Systems zur Verfügung. Sobald der Rechner neu gestartet wird, verliert er letztendlich sein Gedächtnis und erhält den Zustand wieder, den er seit Aktivieren des Filters hatte.

Sie können die Funktion Unified Write Filter (UWF) auf Ihrem Gerät verwenden, um Ihre physischen Speichermedien zu schützen, einschließlich der meisten standardmäßigen beschreibbaren Speichertypen, die von Microsoft Windows unterstützt werden, z. B. physische Festplatten, Solid-State-Laufwerke, interne USB-Geräte, externe SATA-Geräte usw.

Der Universal Write Filter eignet sich, wenn das Gerät rein als Client aktiv ist und auf das Gerät keine Daten geschrieben werden müssen.

Voraussetzungen

Sie benötigen Windows 10 IoT Enterprise oder Windows 10 Enterprise um diese Funktion nutzen zu können. Nutzern von Windows 10 Professional steht diese Funktion nicht zur Verfügung. Diese können jedoch den Single-App-Kiosk Modus benutzen, mehr dazu weiter unten.

Unter Windows XP Embedded, Windows Embedded Standard 7 gibt es eine ähnliche Funktion, den sogenannten Enhanced Write Filter (weitere Infos unter: https://en.wikipedia.org/wiki/Enhanced_Write_Filter)

Einschränkungen

Nicht alle Dateisysteme werden unterstützt. UWF unterstützt zwar das NTFS-Dateisystem vollständig; während des Gerätestarts können jedoch NTFS-Dateisystem-Journaldateien auf ein geschütztes Volume schreiben, bevor UWF das Volume geladen und mit dem Schutz begonnen hat. Bei FAT-formatierten Volumes ist eine vollständige Sperre auch beim Boot möglich.

UWF unterstützt nicht die Verwendung des schnellen Starts beim Herunterfahren Ihres Geräts. Wenn der schnelle Start aktiviert ist, wird beim Herunterfahren des Geräts das Overlay nicht gelöscht

Sie können UWF nicht zum Schutz externer Wechsellaufwerke, USB-Sticks oder externer Festplatten verwenden.

Einrichtung

UWF ist eine optionale Komponente, die in Windows 10 nicht standardmäßig aktiviert ist. Sie müssen UWF aktivieren, bevor Sie es konfigurieren können.

Wenn Sie UWF das erste mal auf Ihrem Gerät aktivieren macht die Funktion folgende Änderungen auf Ihrem Gerät:

  • Auslagerungsdateien sind deaktiviert.
  • Die Systemwiederherstellung ist deaktiviert.
  • SuperFetch ist deaktiviert.
  • Der Datei-Indizierungsdienst ist deaktiviert.
  • Der Schnellstart ist deaktiviert.
  • Der Defragmentierungsdienst ist deaktiviert.
  • Die BCD-Einstellung bootstatuspolicy ist so eingestellt, dass alle Fehler ignoriert werden.

Aktivierung der Unified Write Filter Funktion

UWF kann über die Windows 10-Benutzeroberfläche (Windows-Features ein- oder ausschalten), über DISM, über Bereitstellungspakete, MDM-Einstellungen, WMI oder PowerShell aktiviert werden.

Das Powershell Kommando hierfür lautet:

Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" -All

 

Bzw.

DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

 

Für die Einrichtung über DISM.

Konfiguration

Wenn Sie das Gerät aktiviert haben und es neu gestartet haben, können Sie mit der Konfiguration beginnen. Sie können entweder das systemeigene Dienstprogramm uwfmgr.exe oder WMI (d. h. PowerShell) verwenden, um den Schutz Ihrer Laufwerke und eine Menge anderer Einstellungen zu konfigurieren. Auf jeden Fall sollten Sie den Filter aktivieren und eines Ihrer Volumes schützen.

Hinweis: Es gibt keine systemeigenen PowerShell Cmdlets zum Konfigurieren von UWF, und die WMI-Methoden in Windows 10 sind nicht sehr gut implementiert (z. B. erfordern Methoden in der „UWF_Volume“-Klasse ohnehin, dass zuerst uwfmgr.exe verwendet wird), daher sollten Sie für die Konfiguration einfach das Dienstprogramm "uwfmgr.exe" verwenden.

Updates

Das UWF-System ermöglicht es Ihnen auch, Dateien, Ordner und Registrierungsschlüssel vom Schreibfilter auszuschließen. Wenn Sie beispielsweise vermeiden möchten, dass Windows Defender bei jedem Start alle Virensignaturen neu herunterlädt, können Sie die folgenden Ausschlüsse hinzufügen:

uwfmgr file add-exclusion “C:\Program Files\Windows Defender”
uwfmgr file add-exclusion “C:\Windows\WindowsUpdate.log”
uwfmgr file add-exclusion “C:\Windows\Temp\MpCmdRun.log”
uwfmgr file add-exclusion “C:\ProgramData\Microsoft\Windows Defender”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender”

WLAN und LAN Netzwerke

 

Für den korrekten Betrieb des Geräts in von LAN bzw. WLAN-Netzwerken sind weitere Ausnahmen notwendig:

Ausnahmen für WLAN-Netzwerke

uwfmgr registry add-exclusion HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy

uwfmgr file add-exclusion “C:\Windows\wlansvc\Policies”

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc”

uwfmgr file add-exclusion “C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{<Interface GUID>}\{<Profile GUID>}.xml”

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc”

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc”

Ausnahmen für LAN-Netzwerke

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy”

uwfmgr file add-exclusion “C:\Windows\dot2svc\Policies”

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc”

uwfmgr file add-exclusion “C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{<Interface GUID>}\{<Profile GUID>}.xml”

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc”

Aktivierung des UWF

Hier sind die Befehle, die zum Aktivieren des Überlagerungsfilters und zum anschließenden Schutz des Laufwerks C: erforderlich sind.

uwfmgr filter enable

uwfmgr volume protect c:

Dann starten Sie die Maschine neu. Von nun an wird alles, was während einer Benutzersitzung auf die Festplatte geschrieben wird, beim Neustart des Rechners verworfen.

Windows und Programm-Updates trotz UWF

Selbstverständlich ist es eine Herausforderung, dass alle Änderungen bei jedem Neustart verworfen werden, was die Wartung der Maschine etwas schwierig macht. Beispielsweise das Installieren von Anwendungen oder Windows Updates.

Wenn ein Gerät mit UWF geschützt ist, müssen Sie die Befehle des UWF-Wartungsmodus verwenden, um das Gerät zu bedienen und Updates auf ein Abbild anzuwenden. Sie können den UWF-Wartungsmodus zum Anwenden von Windows-Updates, Updates von Antischadsoftware-Signatur Dateien und benutzerdefinierter Software oder Software Updates von Drittanbietern verwenden.

Um Updates auf der Maschine durchzuführen, bringen Sie die Maschine in einen Wartungsmodus. Auch hier wird das Dienstprogramm uwfmgr.exe verwendet.

Um eine Maschine in den Wartungsmodus zu versetzen, führen Sie den folgenden Befehl aus und starten die Maschine dann neu:

uwfmgr servicing enable

shutdown /r /t 0

Nachdem Sie Ihre Änderungen vorgenommen haben, um den Wartungsmodus wieder zu deaktivieren, führen Sie den folgenden Befehl aus und starten die Maschine neu:

uwfmgr servicing disable

Sollte es mit dem Wartungsmodus zu Problemen kommen ist es ebenfalls möglich den Filter vollständig zu deaktivieren:

uwfmgr.exe filter disable

Weitere Infos finden Sie unter https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/uwf-apply-windows-updates

Kiosk Modus mit nur einer App

Über die Windows Benutzerkontensteuerung UAC kann ein Kioskmodus aktiviert werden. Ein Single-App-Kiosk verwendet die zugewiesene Zugriffsfunktion, um eine einzelne APP oberhalb des Lockscreens auszuführen.  Wenn sich das Kiosk-Konto anmeldet, wird die APP automatisch gestartet. Die Person, die den Kiosk verwendet, kann auf dem Gerät außerhalb der Kiosk-App nichts tun.

Dies eignet sich ideal für öffentliche Terminals wie Selfservice Geräte, Bankautomaten, Zeiterfassungsterminals, Kassen, etc.

Der Single-App-Kiosk steht unter Windows 10 Professional, Windows 10 IoT Enterprise und Windows 10 Enterprise zur Verfügung.

Eine Anleitung zur Einrichtung hat Microsoft unter https://docs.microsoft.com/de-de/windows/configuration/kiosk-single-app bereitgestellt.

Problembehandlung bei UWF

UWF verwendet das Windows-Ereignisprotokoll zum Protokollieren von Ereignissen, Fehlern und Meldungen im Zusammenhang mit Überlagerungs Verbrauch, Konfigurationsänderungen und Wartung.

Weitere Informationen zum Auffinden von Ereignisprotokoll Informationen für die Problembehandlung bei Unified Write Filter (UWF) finden Sie unter Problembehandlung für vereinheitlichte Schreib Filter (Unified Write Filter, UWF).

System bootet nicht?

Wenn das System aufgrund der fehlerhaften Arbeit des Filters nicht startet, können Sie den Filter deaktivieren, indem Sie von der Installations-CD booten und die Registrierung im Offline-Modus bearbeiten:

  • Der Filterstart kann in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol deaktiviert werden, indem der Wert des Startparameters auf 4 geändert wird.
  • Löschen Sie den String uwfvol in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters

Weitere Ressourcen

Weitere hilfreiche Kommandos
uwfmgr.exe get-config
uwfmgr.exe overlay get-consumption
uwfmgr.exe overlay get-availablespace

Auf MSDN finden Sie zahlreiche weitere Informationen über den Unified Write Filter (UWF) und andere Windows 10-Anpassungen und Gerätesperrfunktionen:

Customizations for enterprise desktop

http://msdn.microsoft.com/en-us/windows/hardware/commercialize/customize/enterprise/enterprise-custom-portal

Unified Write Filter (UWF) feature

http://msdn.microsoft.com/en-us/windows/hardware/commercialize/customize/enterprise/unified-write-filter

PowerShell examples for the UWF filter

http://msdn.microsoft.com/en-us/windows/hardware/commercialize/customize/enterprise/uwf-filter

Supporting Applications with Unified Write Filter

https://blogs.msdn.microsoft.com/windows-embedded/2012/10/05/supporting-applications-with-unified-write-filter/