Kioskmodus Windows 10 gebruiken: pc beveiligen voor bezoekers

De Kioskmodus van Windows 10 gebruiken kan handig zijn: daarmee stel je de pc zo in dat andere gebruikers alleen een specifieke app kunnen starten en verder niets. Dat komt bijvoorbeeld van pas bij een demo-pc in een showroom of om je privé-pc te beveiligen tegen ongewenst gebruik.

In sommige gevallen is het handig om een Windows-pc zodanig te configureren dat iedereen die voor een bepaald doel kan gebruiken, maar je Windows-systeem daarbij niet kapot kan maken. Wijzigingen aan programma’s, instellingen en het besturingssysteem wil je voorkomen.

Een praktijkvoorbeeld is bijvoorbeeld een internet-pc in een biblio­theek, maar het kan ook handig zijn om bij een (bedrijfs)feest een pc zodanig in te stellen dat die door iedereen gebruikt kan worden, maar alleen om er muziek mee af te spelen.

Een praktische tool hiervoor zit in Windows 10 in de edities Pro, Enterprise en Education, namelijk via het aanmaken van een kioskgebruikersaccount. Wanneer je je daarmee aanmeldt, wordt auto­matisch een door de beheerder van tevoren gedefinieerde app uitgevoerd – maar dat moet wel een moderne app zijn, dat wil zeggen een tegel-app die standaard in Windows 10 zit of een app die vanuit de Microsoft Store geïnstalleerd is.

De meest voorkomende keuze is waarschijnlijk de browser Edge. Daarbij gaat het tot nu toe om de conventionele Edge, die ­standaard in Windows 10 zit. De nieuwe Edge-browser op basis van Chromium werkt op dit moment niet met de kiosk­modus. Tijdens het installeren daarvan wordt de oude Edge verborgen, dus als je Chromium Edge al gebruikt, moet je die verwijderen of de Side-by-Side-­modus voor Edge inschakelen. Dat geeft je toegang tot beide versies.

Het instellen van de kioskmodus is relatief snel gedaan. Bedenk eerst welke app de kioskgebruikers moeten gebruiken en installeer die indien nodig via de Store. Klik daarna bij de Instellingen op het tabblad ‘Accounts / Gezin en andere gebruikers’ onder ‘een Kiosk instellen’ op ‘Toegewezen toegang’ en daarna op ‘Aan de slag’. Voeg een (kiosk)gebruikersnaam toe of klik op Volgende om automatisch de naam ‘Kiosk’ te gebruiken. Selecteer dan de gewenste app.

Als je daar Microsoft Edge kiest, wordt je bij het volgende dialoogvenster gevraagd of je de kiosk ‘Als digitaal teken of interactief beeldscherm’ wilt instellen of ‘Als openbare browser’. Het verschil: in de modus ‘Als digitaal teken of interactief beeldscherm’ zijn niet alle navigatie-elementen toegankelijk en zijn ook geen tabbladen beschikbaar. Daarom is het in die modus niet mogelijk om eenvoudigweg naar een willekeurige webpagina te gaan. Omdat het moge­lijk is om op gelinkte pagina’s te klikken, maar je van daaruit niet terug kunt komen door het ontbreken van navigatie-elementen, wordt die modus uitsluitend aanbevolen voor websites die helemaal niet interactief zijn (voor bijvoorbeeld het afspelen van ­video’s of presentaties in een doorlopende lus), of die speciaal ontworpen zijn voor openbaar gebruik (voor bijvoorbeeld klanteninformatieterminals in openbare gebouwen of winkels).

Dat is ook waar de term ‘digitaal teken’ vandaan komt – een verkeerde vertaling van de Engelse term ‘digital signage’, die verwijst naar publiek zichtbare displays of bedien­bare terminals van welke aard dan ook.

In de modus ‘Als openbare browser’ krijg je een Edge-venster in de InPrivate-Mode te zien, waar de adresbalk, de navigatieknoppen en de tabbladen normaal functioneren. Daarbij is het scala aan functies ook in dit geval erg beperkt: de enige opties in het browsermenu zijn zoomen, printen, voorlezen en zoeken. Downloads zijn ook mogelijk, maar die kunnen niet worden uitgevoerd of geopend met andere apps, dus het nut ervan is zeer beperkt. In de rechterbovenhoek van het scherm vind je ook een knop met ‘Sessie beëindigen’, die de hele browser­geschiedenis opschoont, Edge sluit en de browser opnieuw opstart.

Bij beide Edge-bedieningsmodi moet je ook de startpagina instellen en eventueel een tijd van inactiviteit waarna de huidige sessie automatisch wordt beëindigd, de hele geschiedenis wordt verwijderd en een nieuwe sessie wordt gestart.

Het maakt niet uit welke app in de kioskmodus draait, het kioskaccount is altijd een zeer beperkt gebruikersaccount dat bijvoorbeeld geen andere vensters kan openen. Dat betekent dat het klikken op hyper­links in een app zoals VLC of de weer-app wordt genegeerd, toetsencombinaties zoals Windows+Pause, Windows+Print en Windows+L niets doen en de toegang wordt geblokkeerd tot het startmenu, de taakbalk en andere elementen van de gebruikersinterface.

Je kunt via Edge wel een Windows-bestands­dialoogvenster openen (bijvoorbeeld via Google Image Search of VirusTotal), maar je kunt daar niets mee doen behalve toegang krijgen tot de downloads van het kioskaccount. Zelfs de mappen van het standaard­profiel Openbaar zijn vergrendeld.

Vanuit andere apps met toegang tot het bestandssysteem (zoals de VLC-speler uit de Store), kun je een Openen-dialoog gebruiken om alle mappen en bestanden op schijf C te bekijken die een standaardgebruiker ook kan zien – het kioskgebruikersaccount is lid van de groep Gebruikers. Het is echter niet mogelijk om die bestanden te verwijderen, te her­noemen of te starten. Alleen op verwisselbare media, in het Kiosk-gebruikersprofiel en in het Openbaar-­profiel kun je bestanden en mappen verwijderen, her­noemen en nieuwe aanmaken. Maar verder dan dat kun je nauwelijks komen. Je kunt op die plekken bijvoorbeeld wel een nieuw tekstbestand aanmaken, maar het niet bewerken. Knippen en kopiëren werkt, maar plakken niet. Als je een map wilt openen waarvoor de rechten van het kioskaccount niet voldoende zijn (bijvoorbeeld Documenten of Afbeeldingen van andere gebruikers), crasht het bestandsdialoog­venster in plaats van een UAC-venster te tonen.

Bij dieper graven ontdekten we dat bij VLC processen kunnen worden gestart via de bestand-openen-­dialogen, zoals batchbestanden of console­commando’s die eenvoudigweg op de adresregel worden ingevoerd. Programma’s die op die manier gestart worden, worden niet weergegeven, maar draaien wel op de achtergrond. Je kunt dat vanuit het Administrator-account volgen met het Taakbeheer. In extreme gevallen kunnen aanvallers erin slagen om niet-systeemschijven te formatteren. Vanuit de Microsoft-Edge-dialoogvensters is het ons niet gelukt om dergelijke trucs uit te voeren.

Microsoft heeft de kiosk-opties in detail gedocumenteerd in een Docs-artikel en geeft ook in detail aan welke groepsbeleidsregels ingeschakeld zijn bij de toegewezen toegang. Voor administrators zijn er daarnaast tips voor het configureren van een kioskmodus die het mogelijk maakt om meerdere apps te gebruiken.

Voor de kioskmodus kunnen nu net muziekstreaming-apps zoals Deezer, Spotify of Tidal niet geselecteerd worden – waarom dat is, is ons compleet onduidelijk. Het instellen van een streamingclient op de pc voor tijdens een feest kan echter nog steeds zolang de provider een webplayer aanbiedt. De kioskapplicatie is dan gewoon Edge en de startpagina is in het geval van Spotify dan ‘open.spotify.com’. In dat geval moet je de bedieningsmodus van de kiosk instellen op ‘Als digitaal teken of interactief beeldscherm’, zodat er geen knop is om de sessie te beëindigen. Anders zouden feestgangers daar per ongeluk op kunnen klikken en zo de bestaande login ongedaan maken.

Als je een lokale muziekspeler gebruikt, zoals de Groove-app van Windows 10 of de VLC-speler uit de Store, moet je ervoor zorgen dat het kioskaccount toegang heeft tot de mediabestanden. Als die in de muziekmap van een normale gebruikersaccount staan, zal dat niet werken omdat de kiosk daar geen toegangsrechten voor heeft. De eenvoudigste oplossing is om de gewenste muziekbestanden eenvoudigweg op een usb-stick te zetten en die aan te sluiten, maar het is ook mogelijk om de muziek te kopiëren naar de map ‘C:UsersPublicMusic’.

Als je de kioskmodus wilt beëindigen, zal de toetsencombinatie Ctrl+Alt+Del de aanmeldingspagina oproepen. Van daaruit kun je inloggen op andere ­accounts en de computer afsluiten of herstarten.

Wat zelfs een kioskmodus niet kan voorkomen, is dat gebruikers een opstartbare usb-stick aansluiten en de pc opnieuw opstarten om bij het systeem te kunnen. Om dat te voorkomen, moet je ook het BIOS van de computer beveiligen met twee instellingen: ten eerste, bij de opstartconfiguratie alle schijven uitschakelen behalve de interne harde schijf en ten tweede, de toegang tot het BIOS beveiligen met een wachtwoord.

(Jan Schüßler en Noud van Kruysbergen, c’t magazine)

Blijf op de hoogte van de nieuwste informatie en tips! Schrijf je in voor de nieuwsbrief: