Ich benötige Hilfe bei einigen Problemen! [ Vorsicht viel Text ]

[te-ha-mo]

Vor knapp zwei Jahren habe ich meinem Schwiegervater einen Mini-PC gekauft und eingerichtet. Danke @Wolverine für den Tipp.
Mein Schwiegervater leidet an Demenz und es wird immer schlimmer.
Trotzdem will er ständig mit dem PC arbeiten und irgendwelche Dinge machen, die er Keinem erklären kann.
Nun verhält es sich so, dass er nach Software sucht, die er seiner Meinung nach braucht und auch installiert.
Dabei versaut er das System regelmäßig mit Share-, Bloat- und Maleware.
Im April habe ich das letzte Mal den Mini-PC gesäubert und wieder flott gemacht.
Meine Frau und ich kontrollieren regelmäßig seine eMail Konten, da er schon öfter auf Fake-Mails hereingefallen ist.

Gestern war meine Frau bei ihm und er war völlig von der Rolle. Der PC zeigt folgendes Bild beim Hoch- und Herunterfahren:

Sie sagte mir, dass das System auch nicht richtig herunterfährt bzw. immer gleich wieder hochfährt. Man ist gezwungen die Steckdosenleiste auszuschalten.
Ein Arbeiten sei nicht möglich. Ich vermute einen Erpresser-Trojaner oder Ähnliches.
Auf Nachfrage hüllt sich mein Schwiegervater in Schweigen bzw. schiebt die Probleme auf sein Smartphone ( das ist eine andere Geschichte).

Das größte Problem ist, dass der Mann in der Vergangenheit lebt und der Meinung ist , dass er alles beherrscht und nur üben muss um es zu verstehen.
Leider ist seine Aufmerksamkeitsspanne keine 5s lang. Somit kann ich ihm auch kein Linux auf das Notebook installieren.
Er besitzt noch ein altes Medion Notebook ( Win 7/ Win 10 Pro), dass er trotz aller Risiken immer noch benutzt.
"Es ist ja nicht mit dem Internet verbunden, obwohl das WLAN Adapter eingeschaltet ist." *wtf*
Zudem haben wir Angst, dass er sich einfach etwas Neues kauft. Denn das ist seine Lösung für Alles, wenn er mit etwas nicht zurecht kommt liegt es immer am Gerät.

Ich bin gesundheitlich nicht in der Lage ständig 60km hin und her zu fahren um den Blödsinn zu entfernen.
Deshalb baut meine Frau am Freitag den Mini-PC ab und bringt ihn zu uns, damit ich vllt. ein paar Daten retten und das System neu aufsetzen kann.

Danach muss ich das System härten bzw. meinen Schwiegervater von einigen Dingen aussperren.
Und hier brauche ich Hilfe.

Der Mini-PC ( Windows 11 Pro) muss normal hochfahren aber:

• am Besten ohne die Anmeldung, trotz meines Adminkontos ( das meine Frau bzw. ich aufrufen können)
• Systemupdates müssen im Hintergrund durchgeführt werden
• er darf keinen Zugriff auf die Systemsteuerung bzw. Einstellungsapp von Win11 haben
( dort verstellt er gerne Dinge und weiß meist nicht was oder ändert täglich das Hintergrundbild sowie die Symbole von Icons: "Das soll potenzielle Hacker verwirren.")
• Zugang zum Internet via Firefox --> ja
• Abrufen von eMails via Thunderbird --> ja
• Hinzufügen von Geräten ( Drucker, Bluetooth Kopfhörer etc.) --> NEIN
• Herunterladen von Dateien etc. --> NEIN
• Installieren von Software --> NEIN
• Dateitransfer von USB Sticks und Festplatten, da bin ich mir noch nicht sicher

Ich benötige dringend Lösungsansätze, weil mir die Ideen ausgehen.
Außerdem habe ich schon lange nicht mehr mit den Gruppenrichtlinien usw. gearbeitet und weiß, dass man dort sehr viel falsch machen kann.

Danke schonmal im Voraus für eure Hilfe! ( gern auch via PM)


PS: Mir ist schon lange nicht mehr zum Lachen zumute.

 

[Klenkogi]

Hallo,

ich bin Sysadmin und kenne mich mit dem Absichern (Härten) von Systemen über GPOs aus und kann dir einen Serviervorschlag anbieten:

Spoiler: GPO-Lösung

Also erstmal ist es wichtig, dass das Konto deines Vaters keine Administratorenrechte hat. Damit federst du so ziemlich alles ab was den Computer nachhaltig schaden könnte.
Nächster Schritt wäre dann ein Autologin einrichten über das Autologon-Tool von M$: https://learn.microsoft.com/de-de/sysinternals/downloads/autologon
Über GPOs können wir den Zugriff auf die Systemsteuerung und Einstellungen blockieren:
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung

• Zugriff auf Systemsteuerung und PC-Einstellungen verweigern = Aktiviert

Softwareinstallationen können über folgenden Wert eingestellt werden:
Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Installer

• Windows Installer deaktivieren = Aktiviert

Darüber hinaus können wir einstellen, dass nur Programme aus C:\Program Files und C:\Windows ausführbar sind. Das ist das Minimum, ggf. kannst du mehr Orte hinzufügen, das geht über:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Softwareeinschränkungsrichtlinien

• Neue Richtlinie erstellen, nur C:\Program Files und C:\Windows zulassen

Deine USB-Anforderung können wir ebenfalls abfangen:
Computerkonfiguration > Administrative Vorlagen > System > Wechseldatenträgerzugriff

• Alle Wechseldatenträgerklassen: Zugriff verweigern = Aktiviert

und
Computerkonfiguration > Administrative Vorlagen > System > Geräteinstallation > Einschränkungen

• Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind = Aktiviert

Im Firefox kann man den Download-Ordner sperren und Schreibrechte auf zb. Desktop & Downloads entziehen. Damit kann dein Vater keine zufälligen Programme herunterladen und ausführen.

Sollte dir das zu komplex sein würde ich eine Softwarelösung vorschlagen die den Computer quasi in einem gewünschten Zustand "einfriert" und bei jedem Neustart automatisch wiederherstellt. Daten können logischerweise auf diese Weise nicht gespeichert werden. Daher braucht es eine Cloud-Lösung oder Laufwerke um Datenbestände permanent zu speichern. Für Email und Co. sollte das kein problem sein, weil diese eh auf dem mailserver liegen.

Nachteil sind natürlich Updates, wobei beide Lösungen einen Update-Modus haben in denen sie "aufgetaut" werden, Updates machen können und dann wieder "eingefroren" werden. Alternativ musst du vielleicht einmal im Monat selber die Wartung übernehmen.

Spoiler: Softwarelösung

Reboot Restore RX (kostenlos)
https://www.heise.de/download/product/reboot-restore-rx

Deep Freeze Standard (~50€)
https://www.faronics.com/de/products/deep-freeze/standard
Ist eher eine Profianwendung für Unternehmen

Prinzipiell schlage ich vor gut und gerne Backups zu machen. Dafür gibt es Tools wie Macrium Reflect Free oder Veeam. Mit diesen kannst du den Zustand der Maschine sichern und bei bedarf wiederherstellen. Das solltest du unbedingt sowieso machen, sofern sich auf dem Computer wichtige Daten befinden.

Abgesehen davon würde ich Linux jetzt nicht einfach ausklammern. Linux wäre wohl ein sehr geschickter Ansatz. Keine Malware-proble,e. kein Windows Store, keine Exe-installer. Paketquellen sind nur mit Adminrechten konfigurierbar, Benutzeroberfläche extrem anpassbar. Linux Mint Cinnamon wäre da die Ideale Plattform da extrem Windows-nah und intuitiv. Alles was ich oben erwähnt habe geht auch hier.

Ich hoffe ich kann dir damit helfen, melde dich einfach wenn du detailiertere Hilfe bei der technischen Umsetzung benötigst.

 

[Wolverine]

Moin

hat sich erledigt

Wenn Linux weiterhin für dich keine Option ist, musste mit dem was Klengoki für Windows vorgeschlagen hat umsetzen. Alleine ein normales Benutzerkonto unter Windows bootet ohne gefragt zu werden, wenn man sich vom Administrator Konto abgemeldet hat. Ich habe das bei meiner Tante eingestellt, die muss das Passwort nicht wissen. Bei jedem Start wird das normale Benutzerkonto genommen, weil das ja zuletzt benutzt wurde. Das ist bei Windows ganz praktisch.

Für alle die Mitlesen, jeder sollte anstatt mit dem Administrator Konto mit Passwort unter Windows besser nur mit einem lokalen Benutzerkonto angemeldet sein. Es gibt kaum Nachteile, Vorteil ist, das für jede Installation ein Passwort benötigt wird, das heißt es kann im Hintergrund nichts arbeiten, wenn man dem ganzen nicht die Erlaubnis gegeben hat. Man kann sich jeder Zeit umloggen, wenn man die Benutzerrechte umstellen möchte und für die jenigen die sich eh kaum für die Software und Möglichkeiten interessieren, ist es ja nichts negatives, sondern im Gegenteil ein weiterer Schutz.

Wird auch immer von viele Webseiten empfohlen, weil wenn Ihr einen Virus, Malware auf dem System mit Admin-Rechten habt, hat die Software ja alle Rechte und kann euch so richtig den Tag verderben.

 

[Klenkogi]

Ein Aspekt fällt mir da noch ein um deinen Vater bzw. euch im gesamten Netzwerk zu schützen. Den DNS-Server am Router umstellen. Damit werden Internetabrafen auf Phishing- und Malwareseiten unterbunden. Zumindest die bekanntesten.

Ein guter DNS Server wäre Quad9.
Wie das geht ist abhängig von deinem Router:

Spoiler: Fritzbox

• Logge dich in die FritzBox ein unter fritz.box.
• Aktiviere die erweiterte Ansicht unten links.
• Gehe zu Internet > Zugangsdaten > DNS-Server.
• Wähle „Andere DNSv4-Server verwenden“.
• Trage für Quad9 folgende IPs ein:
  Bevorzugter DNS-Server: 9.9.9.9
  Alternativer DNS-Server: 149.112.112.112
• Falls IPv6 aktiv ist, trage dort ein:
  Bevorzugter DNSv6-Server: 2620:fe::fe
  Alternativer DNSv6-Server: 2620:fe::9
• Klicke auf Übernehmen.

Spoiler: Speedport

Speedport Router elauben keine manuelle DNS-Einstellungen. Daher muss man das am Gerät selber machen. In dem Fall Windof:

• Einstellungen > Netzwerk & Internet > Ethernet
• DNS-Serverzuweisung > Bearbeiten
• Umstellen von "automatisch" zu "Manuell"
• Folgende DNS-Serveradressen eintragen:
  • Bevorzugter DNS-Server: 9.9.9.9
    Alternativer DNS-Server: 149.112.112.112
    

 

[poiu]

Hi, Wolverine hat mich her geholt, bin auch Admin.
Ich kann beiden Lösungen zustimmen, aber wäre der leichte weg nicht ein normales win11 User Konto mit Kindersicherung. Damit geht doch auch sehr sehr viel und deutlich Anwender freundlicher.

Nicht das ich die anderen Lösungen schlecht finde aber ist mir etwas "mit Kanonen auf Spatzen schießen". Es hängt vom TE ab wie weit er gehen will, waren sehr saubere Lösungen

Sonst wünsche ich dir viel Kraft mit deinem Vater kann ich nachvollziehen.

 

[te-ha-mo]

Vor Sonnabend werde ich nicht dazu kommen, mir das Problem gemauer anzuschauen.

@Klenkogi : Die GPO-Lösung gefällt mir ganz gut, die behalte ich im Hinterkopf.

Die DNS Server habe ich schon vor zwei Jahren geändert. Trotzdem schafft er es immer wieder Schadsoftware herunterzuladen und das im Irrglauben etwas Tolles gemacht zu haben.
Backups werden nicht benötigt, da alle wichtigen Daten auf einer externen Festplatte sind, die bei uns ist bzw. haben wir noch einen dicken Ordner mit vielen wichtigen Dokumenten.
Auch die Bankkonten werden von uns überwacht, da meine Frau eine Vollmacht besitzt und vollen Zugriff hat.

@poiu : Hallo und Willkommen.
Ich habe mich mit dem Thema Kindersicherung in Win11 noch nicht auseinandergesetzt, da ich keine habe. *fg*
Gern würde ich mehr dazu erfahren.

Und zum Thema Linux:
Nein, es ist keine Lösung.
Wie ich schon erwähnte leidet mein Schwiegervater unter Demenz.
Alles Neue stresst ihn und er lernt auch nichts dazu, obwohl er es will.
Es geht einfach nicht mehr und das akzeptiert er nicht. Er sitzt manchmal Nächtelang vor dem Mini-PC, starrt einfach auf den Monitor und behauptet etwas ganz Wichtiges zu erledigen. ( Aussage meiner Schwiegermutter)

Im Thunderbird habe ich schon mehrere Filter eingerichtet, die viele Phishing-Adressen blockieren. Die kleinste Änderung macht die Filter wieder hinfällig. Früher habe ich mit Headern gearbeitet aber allzuoft verwenden diese Leute jetzt zertifizierte Mailserver und ich sperre damit auch die Guten aus.
Er ist Kunde bei der Telekom und da kann ich in seinem Account keine Spamfilter etc. anlegen, nur die Mails melden.
Für einen erweiterten Schutz möchte die Telekom Geld.

Wir müssen eine Möglichkeit finden, die ihm ermöglicht ins Internet zu gelangen, gelegentlich ein Video anzuschauen ( YT etc.) und seine eMails abzurufen. Zudem muss meine Frau ihm noch das alte Notebook und noch ältere Tablet abnehmen.
Es soll ihm einfach nicht mehr möglich sein irgendetwas herunterzuladen und zu installieren.

Einmal im Monat kann ich dann zur Systempflege und evtl. Updates hinfahren. ( Hin- und Rückfahrt 120km mit der DB)

 

[poiu]

Danke

Ich muss sagen das ich mich auch noch nicht mit der Kindersicherung beschäftigt hab also nie selbst eingerichtet, gleicher Grund.

Ich hab aber gesehen was Kindersicherung auf Telefonen ermöglicht, da Trackst nicht nur alles sondern kannst zb auch bestimmen wie viel Zeit auf welchen App verbracht wirst.

Aber zurück zu Windows, ich denke das es in deinem Fall wahrscheinlich der beste Kompromiss ist auf Aufwand und Ergebnis.

Und gute Tutorials dazu muss es unzählige geben.

Sorry das ich dir da keine nennen kann aber die müsste ich selbst googlen

Grüße

 

[te-ha-mo]

Nach gestriger Rücksprache mit meiner Frau, haben wir uns dafür entschieden, dass wir den Mini-PC mit Win11 neu aufsetzen und meinem Schwiegervater ein eingeschränktes Benutzerkonto einrichten werden.
Uns Beiden fällt es schwer, ihn so stark einzuschränken aber ganz ehrlich: "Der Mann macht nur noch Blödsinn und schuld sind immer die Anderen."
Meine Frau sagte ihm, dass er mal aufräumen könnte ( Bilder und Dokumente waren zum Teil 3-4x als Kopie vorhanden).
Also hat er komplette Ordner gelöscht und dann behauptet wir hätten das von ihm verlangt.
Das ist aber typisch für Menschen mit Demenz.

Seine alten Geräte nehmen wir ihm auch ab.
Nachdem ich heute alle meine live-Systeme aktuallisiert habe, werde ich am Wochenende seine verseuchten Geräte überprüfen und hoffentlich bereinigen können.
Danach erfolgt die Datensicherung, insofern noch etwas vorhanden ist und das erneute Aufspielen der Betriebssysteme.
Ich freue mich schon auf die Installation aller Intel-Treiber.
Das alte Notebook bekommt LM, sein altes Medion Tablet wird genullt und geht dann in die Verwertung.

Sein Smartphone soll er behalten, da macht er nichts anderes als täglich What's App zu löschen und wieder zu installieren um zu sehen, ob er Nachrichten bekommen hat.

Danke erstmal an alle Beteiligten und ich werde weiter berichten.

 

[Wolverine]

Ich habe auf dem alten Tablet von meiner Tante LM installiert und der Touchscreen und co funktioniert auch direkt, als wenn das Tablet für LM gemacht wäre. Das würde ich einfach mal ausprobieren. Linux Mint installieren geht ja schnell, bzw. durch das booten vom USB-Stick kannste das ja auch vorher testen, weil das sollte dann ja auch schon vollumfänglich erkannt werden.

Windows 11 bringt in der Regel alle Treiber für Intel mit und zieht sonst diverse Chipsatztreiber. Extra Treiber gibts für Windows 11 in der Regel nicht. Kann sein das du lediglich die Intel ME zusätzlich installieren musst, alles andere sollte funktionieren und wird dir sonst auch im Geräte Manager angezeigt.

 

[te-ha-mo]

Windows 11 bringt in der Regel alle Treiber für Intel mit und zieht sonst diverse Chipsatztreiber. Extra Treiber gibts für Windows 11 in der Regel nicht.

Das letzte Mal musste ich alle Intel Treiber ( Alder Lake Chipsatz, DCH, DAL, GNA, HDBus, HECI, HID, Intel ME etc.) manuell über den Gerätemanager installieren. Dabei passierte es oft, dass mir in Windows 11 ein Riegel vorgeschoben wurde und ich über das Terminal bzw. Powershell die Treiber eintragen musste. *pain in the ass*

Ich stresse mich jetzt aber noch nicht und meine Frau sagte, dass ich diese Wochenende noch nicht anfangen brauche. Es ist nur fraglich, ob ich die Finger ruhig halten kann. *g*

 

[te-ha-mo]

Ich konnte die Finger nicht still halten und habe alle Scanner, die mir zur Verfügung standen über den Mini-PC gejagt.
Ergebnis: Keine Schadsoftware bis auf einige Adware gefunden.

Trotzdem läuft das System nicht rund und fährt nicht richtig runter.
Eine App, die ich nicht finden kann, blockiert das Herunterfahren.

Zudem hatte er Software installiert, die er nicht wieder richtig deinstalliert hat. Unzählige Fragmente von Shareware sowie irgendwelchen Suiten ( Systemoptimizer usw.), von denen ich noch nie etwas gehört habe, befinden sich im Systemordner und es sind keine Uninstaller dafür vorhanden.
Ich fand soeben zwei Programme, die ZIP Dateien entpacken können/sollen.

Meine Frau soll später Bilder, Fotos und Dokumente sichten und Wichtiges sichern.
Ich habe gerade keine Lust mehr mich durch Ordner zu wälzen.

 

[poiu]

Ja das mit den Treibern, kann ich bestätigen , ist leider seit 10 und besonders 11 Rückschritt. Irgendwie sind es auch ältere Systeme, wo alles nach installiert werden muss.

Über PowersHell nachinstallieren ist aber hart

 

[te-ha-mo]

Über PowersHell nachinstallieren ist aber hart

Es ist mir erspart geblieben. Tatsächlich waren nach der Neuinstallation von Win11 24H2 ( direkt vom Geekom Support) alle Treiber installiert.
Zu dem gab es ein automatisches Treiberpaket auf der Geekom Support-Website.

Jetzt hänge ich mal wieder beim Windows-Update fest, seit 30min geht nichts mehr.
Aber das kenne ich schon.

Bevor ich aber angefangen hatte, habe ich die verbaute Wodposit WPBSNM8-512GTP gegen eine Patriot P300 512GB getauscht.
Ich traue diesen chinesischen Eigenmarken nicht.

Das Feintuning erfolgt in den nächsten Tagen.
Dann noch eine Korrektur zum Notebook: Ich habe fälschlicher Weise behauptet, es wäre ein Medion Notebook.
Da lag ich falsch, es ist ein ASUS X53T.
Leider kann ich noch nicht daran arbeiten, denn meine Frau hat vergessen das Netzteil mitzubringen.