Tipps & Tricks

Öffentlichen Windows-PC vernageln

Auf einem öffentlich aufgestellten PC in einem Museum sollen die Besucher ein interaktives (Windows-)Programm benutzen können, das per Touchscreen bedient wird. Das Programm belegt den ganzen Bildschirm, es soll kein Zugriff auf Windows möglich sein. Selbst ohne Maus oder Tastatur können Besucher aber derzeit mit einem Fingerwisch vom linken Bildschirmrand nach rechts die Task-Ansicht einblenden; ein Wischen vom rechten Bildschirmrand nach links öffnet das Benachrichtigungsfenster. Über beide Wege kann der Museumsbesucher Zugriff auf die Taskleiste und das Startmenü bekommen und allerlei Unfug treiben. Kennen Sie einen Weg, wie man die Wischmöglichkeiten verhindert und die Touch-Funktion ausschließlich aufs Tippen innerhalb des Programms reduziert?

Welches die für Ihren Anwendungsfall passende Lösung ist, hängt vor allem davon ab, um was für ein Programm es sich bei der Anwendung handelt, die die Besucher benutzen sollen: Wenn es eine normale (Win32-)Anwendung ist, sollten Sie zunächst ein gesondertes Benutzerkonto einrichten, unter dem die Anwendung künftig läuft. Mit diesem Konto melden Sie sich einmal normal an, starten das Programm regedit und navigieren in der Registry zum Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Erstellen Sie per Rechtsklick oder über das Bearbeiten-Menü eine neue Zeichenfolge und nennen Sie sie Shell. Als Wert tragen Sie den kompletten Pfad zum Besucherprogramm ein, also zum Beispiel "C:\Program Files\Museum\Steinzeit.exe"; wenn der Pfad wie im Beispiel Leerzeichen enthält, muss er in Anführungszeichen eingeschlossen sein.

Wenn Sie sich nun abmelden und (mit oder ohne Windows-Neustart) unter demselben Konto neu anmelden, sollte sich direkt die Besucheranwendung öffnen, ohne dass zuvor der Explorer startet und einen Desktop lädt. Und ohne Desktop gibt es auch kein Action Center mit Benachrichtigungen und keine Task-Ansicht mehr. Allerdings auch kein Startmenü, über das sich der Rechner herunterfahren oder die Einstellung rückgängig machen ließen. Dafür müssten Sie – auf einer kurzfristig angeschlossenen oder im Normalbetrieb vor den Besuchern versteckten Tastatur – die Tastenkombination Strg+Alt+Entf drücken und aus dem erscheinenden Menü den Befehl „Task-Manager“ wählen. Um dessen Menü anzuzeigen, müssen Sie gegebenenfalls unten auf „Mehr Details“ klicken. Anschließend können Sie per „Datei/Neuen Task ausführen“ nebst der Eingabe explorer einen Desktop starten und kommen so wieder an den Registry-Editor oder die Befehle zum Herunterfahren des Rechners.

Sollte es sich bei der Besucheranwendung um eine UWP-App aus dem Microsoft-Store handeln, öffnen Sie stattdessen die Einstellungen von Windows 10, wechseln auf die Seite „Konten/Familie und andere Benutzer“ und klicken unter „Kiosk einrichten“ auf „Zugewiesener Zugriff“. Ein weiterer Klick auf „Los geht’s“ startet den Kiosk-Assistenten, der als Erstes einen Namen für ein neues Konto wissen will – lassen Sie das Feld leer, heißt es „Kiosk“. Im zweiten Schritt wählen Sie die Kiosk-Anwendung aus (wenn Ihre Besucher-App in der Liste fehlt, handelt es sich um eine normale Anwendung und die oben geschilderte Anleitung gilt). Wie oben müssen Sie sich nur noch unter dem neuen Konto anmelden, um die Besucher-App zu starten. (hos@ct.de)

Unbound vs. Hyperlocal-Root

Seit Ihrem Artikel „Selbstauskunft“ (Namensauflösung inklusive Datenschutz fürs Heimnetz, c’t 12/2017, S. 130) betreibe ich einen eigenen DNS-Server mit Unbound unter Debian. Meine Frage: Welche Vor- oder Nachteile – vor allem in Bezug auf die Sicherheit – hat ein Betrieb von Unbound mit Hyperlocal-Root gegenüber der bestehenden Konfiguration mit DNS over TLS und Quad9 als Forwarder?

Der Hauptunterschied besteht darin, dass man mit DoT und Quad9 einen externen Resolver befragt. Die Anfragen, die Sie an Quad9 schicken, sind zwar per TLS (also technisch) gegen Manipulation und Mitlesen gesichert, nicht aber dagegen, dass der Resolver-Betreiber Ihre Anfragen protokolliert und auswertet. Quad9 sichert zwar zu, das nicht zu tun, in der Praxis lässt sich das aber nur schwer überprüfen, sodass Sie dem Resolver-Betreiber vertrauen müssen. Wenn Sie hingegen Ihren Resolver selbst betreiben (Unbound mit Hyperlocal-Root), dann entfällt dieser Punkt.

Der zweite und nicht unwesentliche Unterschied besteht darin, dass ein externer Resolver-Betreiber selbst für den Betrieb seines Resolvers verantwortlich ist. Wenn etwas schiefgeht, repariert er es in der Regel auch selbst. Wenn man einen DoT-Client wie Stubby verwendet, kann man diesen so konfigurieren, dass er mehr als einen Resolver befragt. Das verbessert zumindest die Ausfallsicherheit des DNS-Dienstes. Je nach Befragungsprofil kann das sogar den Privatsphärenschutz verbessern: Stubby kann ja seine Anfragen an mehrere Resolver streuen, sodass keiner davon ein komplettes Abbild Ihrer Bewegungen im Netz mitbekommt.

Wenn Sie Unbound mit einer eigenen Hyperlocal-Root betreiben, liegt auch die Administrationsarbeit inklusive der Caching-Optimierungen komplett bei Ihnen und die Ausfallsicherheit ist mit einem einzigen Resolver natürlich geringer. Aber Sie könnten ja auch mehr als eine Unbound-Instanz betreiben – alles eine Frage des Aufwands. (dz@ct.de)

Reihenfolge beim Blättern in Bildern

Ich sammle in einem Ordner auf der Festplatte Fotos aus verschiedenen Kameras und sortiere die Liste im Explorer üblicherweise nach Aufnahmedatum. Doppelklicke ich auf ein Foto, um es in voller Größe zu betrachten, öffnet sich die Windows-Fotoanzeige – so weit, so gut. Wenn ich aber jetzt mit den Tasten Bild-auf oder Bild-ab zum vorherigen oder nächsten Foto wechseln will, springt die Fotoanzeige scheinbar willkürlich von Bild zu Bild, ich kann die Reihenfolge jedenfalls nicht nachvollziehen. Was kann ich tun, um der Fotoanzeige eine sinnvolle Reihenfolge beim Blättern beizubringen?

Leider nicht viel: Die Fotoanzeige von Windows 10 sortiert die Bilder offenbar nicht, sondern zeigt sie beim Blättern einfach in der Reihenfolge an, in der sie auf dem Datenträger gelandet sind – das entspricht im Zweifelsfall weder dem im Explorer angezeigten Datum noch dem Änderungsdatum und schon gar nicht dem im Bild selbst gespeicherten Aufnahmedatum.

Wenn Sie auf die Anzeigereihenfolge Wert legen, sollten Sie sich vielleicht einen alternativen Bildbetrachter zulegen und Windows so konfigurieren, dass sich JPG-Dateien bei einem Doppelklick in diesem öffnen. Zu den beliebtesten Programmen dieser Kategorie gehören IrfanView und XnView (Download via ct.de/ynjc). Bei beiden lässt sich konfigurieren, in welcher Reihenfolge sie durch Ordner blättern. (hos@ct.de)

Alternative Bildbetrachter: ct.de/ynjc

PC als Access-Point

Kann man eigentlich einen WLAN-fähigen Rechner, der über ein LAN mit dem Router verbunden ist, als Access-Point für den Router betreiben? Das würde mir die Anschaffung eines Repeaters ersparen.

Im Prinzip ja. Im Microsoft-Store gibt es dafür sogar mehr oder weniger einfache Lösungen wie MyPublicWifi, Connectify, Virtual Wi-Fi oder WiFi HotSpot (Soft AP).

Beim Betrieb solcher Apps müssen Sie aber einige Nachteile in Kauf nehmen. So spielen sie Mesh-mäßig nicht mit dem restlichen WLAN-System zusammen. Dadurch wandern zentrale Änderungen etwa des Passworts nicht automatisch weiter und das Gastnetz ist nicht verfügbar. Auch fehlen den Apps typischerweise Funktionen zur Unterstützung des Client-Roamings (IEEE 802.11k, 11v).

Ein dauerlaufender PC braucht wesentlich mehr elektrische Energie als ein Repeater oder Access-Point. Zudem funken übliche WLAN-Module in PCs nur in einem Frequenzband (2,4 oder 5 GHz, auf 5 GHz meistens mangels DFS auch nur im Kanalblock 36 bis 48). Für den Dauerbetrieb ist ein separates Gerät unserer Erfahrung nach stets sinnvoller als ein umfunktionierter PC. (ea@ct.de)

WhatsApp-Konto löschen

Ich lehne die neuen Nutzungsbedingungen von WhatsApp ab und möchte mein Konto löschen. Inzwischen erscheint beim Aufruf der iOS-App aber ein vorgeschalteter Dialog zur Zustimmung, ohne den man nicht mehr in die App kommt. Ein Löschen aus der App heraus ist damit ohne Zustimmung nicht mehr möglich. Auf eine Anfrage an WhatsApp mit der Bitte, mein Konto zu löschen, bekam ich als Antwort nur einen Textbaustein mit dem Hinweis, dass ich mein Konto in der App selbst löschen kann.

An sich sollte man die aktualisierten Nutzungsbedingungen auch ablehnen können und damit den Account löschen, ohne den Bedingungen zustimmen zu müssen. Bei einem Redaktions-iPhone funktioniert das auch: Das Pop-up lässt sich per Kreuzchen schließen (und kommt dann irgendwann wieder).

Sie sind allerdings nicht der erste Leser, bei dem das offenbar nicht klappt. Eine Rückfrage bei WhatsApp ergab, dass es „eine kleine Anzahl an Nutzern“ gebe, die eine Weile inaktiv gewesen seien und daher ein WhatsApp-Update – das offenbar den Dialog abwählbar macht – nicht erhalten hätten. WhatsApp empfiehlt, dass davon betroffene Nutzer sich an support@whatsapp.com wenden, um das Problem zu lösen.

Prinzipiell haben Sie noch zwei weitere Optionen. Zum einen können Sie versuchen, eine Löschung über die Datenschutzkontakte bei WhatsApp zu veranlassen. Laut WhatsApps Datenschutzrichtlinie (Links zu den genannten Dokumenten unter ct.de/ynjc) erreichen Sie den Datenschutzbeauftragten unter DPO-inquiries@support.whatsapp.com. Speziell für den Widerspruch der (weiteren) Datenverarbeitung ist laut Datenschutz-FAQ die Adresse Objection.eu@support.whatsapp.com zuständig.

Am besten richten Sie Ihr Anliegen an beide Adressen, falls Sie diesen Weg beschreiten wollen. WhatsApp verlangt allerdings, dass Sie eine ganze Latte an Informationen beilegen (siehe „Wie kann ich Widerspruch einlegen?“ in den FAQ).

Die andere Möglichkeit ist, dass Sie WhatsApp deinstallieren und einfach warten. WhatsApp behauptet, dass inaktive Accounts nach 120 Tagen „normalerweise“ gelöscht werden. Das wäre wohl der geringste Aufwand für Sie, allerdings bekommen Sie so keine Bestätigung, dass die Daten tatsächlich weg sind. (syt@ct.de)

WhatsApp-Dokumente: ct.de/ynjc

Rechner wacht von selbst auf

Wenn ich meinen Rechner herunterfahre, schaltet er sich nach unbestimmter Zeit, manchmal nach Minuten, manchmal nach Stunden von selbst wieder an. Ich habe den Verdacht, dass meine Fritzbox 7490 mit diesem Phänomen zu tun hat, denn wenn ich das Netzwerkkabel abziehe, ist dauerhaft Ruhe. Im BIOS-Setup ist Wake-on-LAN (WoL) eingeschaltet und das soll möglichst auch so bleiben. In der Fritzbox ist unter „Heimnetz/Netzwerk“ die Option „Diesen Computer automatisch starten, sobald aus dem Internet darauf zugegriffen wird“ für den betroffenen PC ausgeschaltet. Was kann ich noch tun?

Schauen Sie mal, auf welchen Wake-on-LAN-Modus die Schnittstelle des PCs konfiguriert ist. Manche Betriebssysteme haben eine Voreinstellung, bei der auch Broadcast-Pakete einen Wake-on-LAN auslösen. Eventuell gibt es in den erweiterten Einstellungen des LAN-Ports eine Wahlmöglichkeit. Dort stellen Sie dann „Nur Magic Packet“ oder ähnlich ein, siehe Beispiel im Screenshot.

Broadcasts gehen ständig durchs Netz, wenn auch nur ein Gerät mit (W)LAN-Schnittstelle aktiv ist, beispielsweise beim Einschalten zur IPv4-Adressabfrage und zur Kollisionserkennung per DHCP. Daran ist nichts ungewöhnlich oder besorgniserregend. (ea@ct.de)

BIOS-Einstellungen für „optimalen PC“

2012 habe ich den „optimalen PC“ nach Ihrer Anleitung gebaut und bis vor wenigen Tagen hat er prima funktioniert. Dann war aber die Knopfzelle am Motherboard leer. Deshalb hat das BIOS alle Einstellungen verloren und es gibt bei jedem Start Probleme. Nach dem Tausch der Batterie möchte ich nun die Einstellungen wieder so setzen, wie sie damals auf der Projektseite dokumentiert waren. Leider ist die Seite mit den BIOS-Einstellungen nicht mehr erreichbar. Deshalb meine Bitte: Sind die BIOS-Einstellungen für das Motherboard Asus P8Z77-M in Ihrem Archiv noch auffindbar und könnten Sie mir diese zukommen lassen?

Sie haben recht, die Webseite gibt die BIOS-Einstellungen tatsächlich nicht mehr her. Zusammen mit unserem technischen Assistenten Denis Fröhlich habe ich unser Archiv durchstöbert und dort konnten wir die Einstellungen finden. Sie entnehmen sie der untenstehenden Tabelle. (csp@ct.de)