Verstellte Geräte? Der Kioskmodus unter Windows 10 schafft Abhilfe!

Neueste Beiträge

WEROCK präsentiert das Rocktab U210 Pro: Kompaktes Rugged Tablet mit beeindruckender Leistung und umfangreicher Funktionalität

WEROCK präsentiert die neue Rocktool-Serie: Mobile Arbeitsstationen für Industrie & Logistik

WEROCK präsentiert erweiterte Konfigurationen für Rockbook X500 Rugged Laptop Serie

Bildschirmbefestigungen in der Industrie: Die richtige Montagelösung finden

WEROCK präsentiert neuen Industrie Panel PC Rocksmart RSC612

Quartalsbericht Klima Q3/2023

November 19, 2021
Windows Tipps

Immer wieder kommt es vor, dass die Belegschaft technische Geräte, wie Tablet & Co., ausversehen oder gar bewusst verstellt oder Apps ohne Rücksprache installiert. Windows 10 liefert eine hausinterne Lösungsfunktion – den „Kioskmodus“. Offiziell genannt der Universal Write Filter bzw. Unified Write Filter. In diesem Artikel erklären wir Ihnen wie er eingesetzt und verwendet wird.

Funktionen

Mit dem Universal Write Filter werden Daten nicht mehr permanent auf dem System gespeichert. Gleichzeitig werden sämtliche Schreibzugriffe in den Arbeitsspeicher ausgelagert und sind bis zu einem Neustart des Systems verfügbar. Bei Neustart setzt sich das System in den Zustand zurück, welches es seit Aktivieren des Filters hatte.

Schützen Sie auch die physischen Speichermedien Ihrer Geräte mit der Universal Write Filter Funktion. Davon eingeschlossen sind auch die meisten beschreibbaren Speichertypen, die von Microsoft Windows unterstützt werden. Dies können sein: physische Festplatten, Solid-State-Laufwerke, interne USB-Geräte, externe SATA-Geräte, usw. Der „Kioskmodus“ eignet sich nur für Geräte, die rein als Client genutzt und auf denen keine Daten geschrieben werden. Dies kennt man z. Bsp. von öffentlichen Terminals in Museen oder Banken.

Voraussetzungen

Windows 10 IoT Enterprise oder Windows 10 Enterprise.
Nutzern von Windows 10 Professional steht der Single-App-Kiosk Modus zur Verfügung (nähere Erläuterung weiter unten)
Nutzern von Windows XP Embedded und Windows Embedded Standard 7 steht der sogenannte Enhanced Write Filter zur Verfügung. Mehr dazu unter https://en.wikipedia.org/wiki/Enhanced_Write_Filter

Einschränkungen

Da nicht alle Dateisysteme unterstützt werden, kann es zu Einschränkungen kommen. NTFS-Dateisysteme werden zwar vollständig unterstützt, während eines Gerätestarts können jedoch NTFS-Dateisystem-Journaldateien auf ein geschütztes Volume schreiben, bevor UWF das Volume geladen und mit dem Schutz begonnen hat.

Bei FAT-formatierten Volumes ist eine vollständige Sperre auch beim Boot möglich.

UWF unterstützt nicht die Verwendung des schnellen Starts, da hierbei beim Herunterfahren des Geräts das Overlay nicht gelöscht wird.

Zusätzlich kann UWF nicht zum Schutz von externen Wechsellaufwerken, USB-Sticks oder externen Festplatten verwendet werden.

Einrichtung

UWF ist eine optionale Komponente, die bei Windows 10 zunächst aktiviert werden muss. Bei Aktivierung finden folgende Änderungen statt:

Deaktivierung der Auslagerungsdateien
Deaktivierung der Systemwiederherstellung
Deaktivierung des SuperFetch
Deaktivierung des Datei-Indizierungsdienstes
Deaktivierung des Schnellstarts
Deaktivierung des Defragmentierungsdiensts
Ignorieren der Fehler bei BCD.Einstellung bootstatuspolicy

1.) Aktivierung der UWF Funktion: Sie können den UWF über die Windows 10-Benutzeroberfläche (Windows-Features ein- oder ausschalten), DISM, Bereitstellungspakete, MDM-Einstellungen, WMI oder PowerShell aktivieren

PowerShell Kommando: Enable-WindowsOptionalFeature -Online -FeatureName „Client-UnifiedWriteFilter“ -All

– Einrichtung über DISM: DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

2.) Konfiguration: Nach Aktivierung und Neustart des Gerätes können Sie mit der Konfiguration entweder mit dem systemeigenen Dienstprogramm uwfmgr.exe oder WMI (PowerShell) beginnen. Hinweis: Da es keine systemeigene PowerShell Cmdlets zum Konfigurieren von UWF gibt, ist es einfacher das Dienstprogramm „uwfmgr.exe“ zu verwenden, denn die WMI-Methoden sind nicht sehr gut in Windows 10 implementiert.

3.) Updates: Das UWF-System ermöglicht Ihnen auch Dateien, Ordner und Registrierungsschlüssel vom Schreibfilter auszuschließen. Wenn Sie beispielsweise vermeiden möchten, dass Windows Defender bei jedem Start alle Virensignaturen neu herunterlädt, können Sie folgende Ausschlüsse hinzufügen:

uwfmgr file add-exclusion “C:\Program Files\Windows Defender”
uwfmgr file add-exclusion “C:\Windows\WindowsUpdate.log”
uwfmgr file add-exclusion “C:\Windows\Temp\MpCmdRun.log”
uwfmgr file add-exclusion “C:\ProgramData\Microsoft\Windows Defender”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender”

4.) WLAN und LAN Netzwerke: Für den korrekten Betrieb des Geräts in WLAN bzw. LAN-Netzwerken sind weitere Ausnahmen notwendig:

Ausnahmen für WLAN-Netzwerke:

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy“
uwfmgr file add-exclusion “C:\Windows\wlansvc\Policies”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc”
uwfmgr file add-exclusion “C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{<Interface GUID>}\{<Profile GUID>}.xml”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc”

Ausnahmen für LAN-Netzwerke:

uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy”
uwfmgr file add-exclusion “C:\Windows\dot2svc\Policies”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc”
uwfmgr file add-exclusion “C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{<Interface GUID>}\{<Profile GUID>}.xml”
uwfmgr registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc”

5.) Aktivierung des UWF: Für die Aktivierung des Überlagerungsfilters sowie zum anschließenden Schutz des Laufwerks C sind folgende Befehle notwenig:

uwfmgr filter enable
uwfmgr volume protect c:
Dann starten Sie die Maschine neu. Von nun an wird alles, was während einer Benutzersitzung auf die Festplatte geschrieben wird, beim Neustart des Rechners verworfen.

6.) Windows- und Programm-Updates trotz UWF:

Selbstverständlich ist es eine Herausforderung, dass alle Änderungen beim Neustarten verworfen werden und somit die Wartung der Geräte beispielsweise das Installieren von Anwendungen für Sie schwieriger wird. Deswegen müssen Sie die Befehle des UWF-Wartungsmodus verwenden. Dabei können Sie den UWF-Wartungsmodus zum Anwenden von Windows-Updates, Updates von Antischadsoftware-Signatur Dateien und benutzerdefinierter Software oder Software Updates von Drittanbietern verwenden.

Für das Updaten der Maschine, bringen Sie diese in einen Wartungsmodus, wofür wieder das Dienstprogramm uwfmgr.exe verwendet wird. Führen Sie dafür folgende Befehle durch und starten Sie dann das Gerät neu:

uwfmgr servicing enable
shutdown /r /t 0
Nachdem Sie Ihre Änderungen vorgenommen haben, um den Wartungsmodus wieder zu deaktivieren, führen Sie den folgenden Befehl aus und starten die Maschine neu:
uwfmgr servicing disable
Sollte es mit dem Wartungsmodus zu Problemen kommen ist es ebenfalls möglich den Filter vollständig zu deaktivieren:
exe filter disable

Weitere Infos finden Sie unter https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/uwf-apply-windows-updates

7.) Kioskmodus mit einer App: Sie können den Kioskmodus aktivieren mit Hilfe der Windows Benutzerkontensteuerung UAC. Dabei wird ein Single-App-Kiosk verwendet, die die zugewiesene Zugriffsfunktion hat und eine einzelne APP oberhalb des Lockscreens ausführt. Wenn sich das Kiosk-Konto anmeldet, wird die APP automatisch gestartet und die Person, die den Kiosk gerade verwendet, kann auf dem Gerät außerhalb der Kiosk App nichts verändern. Dies ist besonders geeignet für öffentliche Selfservice Geräte, wie zum Beispiel Bankautomaten, Zeiterfassungsterminals, Kassen usw. Der Single-App-Kiosk steht unter Windows 10 Professional, Windows 10 IoT Enterprise und Windows 10 Enterprise zur Verfügung. Weiter Informationen zur Einrichtung finden Sie hier: https://docs.microsoft.com/de-de/windows/configuration/kiosk-single-app

8.) Problembehandlungen bei UWF: Ereignisse, Fehler und Meldungen im Zusammenhang mit Überlagerungsverbrauch, Konfigurationsänderungen und Wartung werden im Windows-Ereignisprotokoll angezeigt. Weiter Informationen bezüglich des Ereignisprotokolls und der Problembehandlung finden Sie hier: vereinheitlichte Schreib Filter (Unified Write Filter, UWF)

Wenn das System aufgrund der fehlerhaften Arbeit des Filters nicht startet, können Sie den Filter deaktivieren, indem Sie von der Installations-CD booten und die Registrierung im Offline-Modus bearbeiten:

Der Filterstart kann in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol deaktiviert werden, indem der Wert des Startparameters auf 4 geändert wird.
Löschen Sie den String uwfvol in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters