Wiedererlangung der Kontrolle über einen mit dem FrontFace Lockdown Tool vollständig abgesicherten PC
Das FrontFace Lockdown Tool bietet speziell für Kiosk-Anwendungen zahlreiche Sicherheitsoptionen zum Schutz des PCs (STRG+ALT+ENF sperren, Task-Manager sperren, Benutzer-definierte Shell, etc.). Manche dieser Einstellungen oder bestimmte Kombinationen können dazu führen, dass der PC zwar vor unerlaubter Manipulation geschützt ist, gleichzeitig sperren Sie sich aber mit diesen Einstellungen selber als Administrator aus und können nachträglich die Konfiguration des PCs nicht mehr ändern oder rückgängig machen.
Diese Anleitung beschreibt, wie Sie vorgehen müssen, damit Sie auch nach der Anwendung der Sicherheitseinstellungen durch das FrontFace Lockdown Tool auf den PC als Administrator zugreifen können oder die vorgenommenen Änderungen rückgängig machen können.
Falls Sie die Funktion "Automatischer Login ohne Passwort" gewählt haben, können Sie beim Start von Windows die UMSCHALT-Taste gedrückt halten. Dies verhindert das automatische Anmelden und Sie können sich ganz normal mit einem anderen (nicht abgesicherten) Benutzerkonto anmelden und von dort aus das Lockdown Tool starten, um z.B. Schutzeinstellungen wieder zurückzunehmen.
Bevor Sie die Konfiguration des PCs mit dem FrontFace Lockdown Tool ändern, sollten Sie auf jeden Fall einen Systemwiederherstellungspunkt erstellen (dies können Sie auch direkt im Dialog zum Anwenden der Einstellungen durch das FrontFace Lockdown Tool mitauswählen), damit Sie notfalls später den PC wieder komplett auf den aktuellen Zustand zurückversetzen können.
Weiterhin sollten Sie einen bootfähigen Wiederherstellungsdatenträger (auf einem USB-Stick) erstellen, damit Sie Reparaturoptionen von Windows starten können. Alternativ kann auch ein Systemdatenträger ("Windows CD/DVD") verwendet werden.
Um die mit dem FrontFace Lockdown Tool vorgenommene Konfiguration wieder rückgängig machen zu können, müssen Sie das FrontFace Lockdown Tool wieder starten und dort die entsprechenden Einstellungen deaktivieren und dann die neue Konfiguration wieder anwenden. Die eigentliche Herausforderung besteht jedoch darin, einen Weg zu finden, das FrontFace Lockdown Tool wieder zu starten, nachdem Sie den PC komplett abgesichert haben. Falls Sie keine Möglichkeit mehr sehen, das FrontFace Lockdown Tool zu starten, gehen Sie wie folgt vor:
- Legen/stecken Sie den Wiederherstellungsdatenträger ein und ändern Sie ggf. im BIOS des PCs (beim Start, je nach BIOS, F2 oder ENTF. drücken) die Bootreihenfolge, damit von dem Wiederherstellungsdatenträger gebootet wird.
- Wenn das Bootmenü von Windows erscheint, wählen Sie die Option "Eingabeaufforderung" (i.d.R. im Untermenü "Problemlösung > Erweiterte Optionen > Eingabeaufforderung" zu finden).
- In der Kommandozeile geben Sie folgendes ein:
bcdedit /enum
Sie sehen dann eine Übersicht aller installierten Windows-Versionen auf Ihrem PC. Ermitteln Sie den "Identifier" der betroffenen Windows-Installation. I.d.R. heißt diese {default} oder {current}.
Geben Sie nun die folgenden zwei Zeile ein, um beim nächsten Boot den Start der Kommandozeile zu erzwingen:
bcdedit /set "{default}" safeboot minimal
bcdedit /set "{default}" safebootalternateshell yes
(Ersetzen Sie ggf. default gegen den Namen der betroffenen Windows-Installation!) - Entfernen Sie jetzt den Wiederherstellungsdatenträger und starten Sie nun den PC neu, indem Sie Folgendes eingeben:
shutdown /r - Nachdem der PC neu gestartet wurde, sollte ein Fenster mit der Kommandozeile erscheinen. Legen Sie jetzt einen Datenträger mit dem FrontFace Lockdown Tool ein und starten Sie dieses von der Kommandozeile aus. Falls Sie das FrontFace Lockdown Tool auf dem PC installiert haben, können Sie es auch direkt starten.
- Im FrontFace Lockdown Tool machen Sie nun die Änderungen rückgängig, die einen Zugriff auf den PC blockiert haben und wenden Sie die neue Konfiguration dann an. Achten Sie darauf, dass Sie wenn Sie gefragt werden, ob Sie den PC neu starten möchten, auf jeden Fall auf NEIN klicken.
- Gehen Sie nun in das Menü "Systeminformation" des FrontFace Lockdown Tool und klicken Sie auf das Link "Kommandozeile (CMD.EXE)". Geben Sie dann in der Kommandozeile folgendes ein, um die in Schritt 3 geänderte Boot-Konfiguration wieder rückgängig zu machen:
bcdedit /deletevalue "{default}" safeboot
bcdedit /deletevalue "{default}" safebootalternateshell - Starten Sie dann den PC durch Klick auf "Neustart" im FrontFace Lockdown Tool neu.
- Danach können Sie wieder auf den PC normal zugreifen und anschließend ggf. den PC wieder mit dem FrontFace Lockdown Tool erneut absichern.
- Sollte das hier beschriebene Verfahren fehlschlagen oder es Probleme geben, können Sie in den Reparaturoptionen des Wiederherstellungsdatenträgers auch die Option wählen, einen früheren Stand des PCs mit der Systemwiederherstellung wiederherzustellen. Vor dem Anwenden der Konfiguration durch das FrontFace Lockdown Tool wurde ein solcher Wiederherstellungspunkt erzeugt, der auch mit der Bezeichnung "FrontFace Lockdown Tool" gekennzeichnet ist. Bei dieser Methode gehen aber auch alle Änderungen (z.B. Installation von Programmen) verloren, die Sie NACH Anwenden der Konfiguration durch das FrontFace Lockdown Tool vorgenommen haben, da das komplette PC-System auf den vorherigen Stand zurückgesetzt wird.