Kiosk Mode

Diese Seite beschreibt Konzepte und Optionen zum Betrieb von stark eingeschränkten Systemen als Kiosk, Digital Signaltafeln etc. Solche Konfigurationen finden Sie nicht nur bei Fahrplananzeigen und Schnellrestaurants, sondern auch in Firmen in Form von Teams Raumsystemen, Konferenzanzeigen, etc.

Beachte dazu auch die Seite Fertigungs-PC

Anwendungsfälle

Wir kennen im öffentlichen Bereich die Plakatwände, teils als Teil von Bushaltestellen, wenige Litfaßsäulen und natürlich die Angebotslisten er Schnellrestaurants. Der Trend ist aber auch hier, dass statt Papierplakaten immer mehr Bildschirme zum Einsatz kommen. Auf Bahnhöfen und Flughäfen dominieren schon länger Bildschirme mit wechselnden Anzeigen und auch im Einzelhandel kommen immer mehr Bildschirme zum Einsatz. Teilweise sind diese Anzeigen sogar interaktiv, d.h. können per Touch-Bedienung gesteuert werden, sei es nun die Informationstafel in der Tourismusinformation o.ä. oder das Bestellportal im Schnellrestaurant mit passendem Kartenleser. In Hotels und Internet-Cafes gibt es "Internet-Computer" die meist einen Zugriff per Browser erlauben, der aber möglichst abgeschottet ist. All diesen Geräten ist aber gemeinsam, dass Sie "anonym" nutzbar sind, d.h. sie müssen sich nicht mit einem Microsoft/Google/Apple-Konto o.ä. anmelden und maximal am Ende per Karte die Bestellung begleichen. Die Anwender "sehen" dabei natürlich nichts vom Betriebssystem im Hintergrund und nur einen stark eingeschränkten Browser oder eine andere Applikation zur Informationsaufbereitung.

  • Digitale Anzeigetafeln
    Das kennen wir von den Anzeigetafeln im Bahnhof aber auch im Eingangsbereich, die Speisekarten/Preislisten bei McDonalds oder Werbetafeln bei Bushaltestellen
    Da ist fast immer ein Standard-PC mit Betriebssystem dahinter, der möglichst automatisch alles startet aber keine weitere größere Interaktion erwartet. Meist startet er einen Browser in einem Kioskmode, welcher eine Webseite anzeigt oder eine spezialisierte Applikation. In der Regel gibt es keine Tastatur oder Maus. In Firmen zeige solche Systeme den Status von Maschinen und Produktionslinien, die Aktivitäten im Callcenter oder für Administratoren der Status der Systemüberwachung an.
  • Allgemeine Surfstationen
    Die zweite Gruppe sind Geräte in Hotels o.ä., bei denen ein reduzierter Browser zumindest die Eingabe von eigenen URLs, die Anmeldung an Webseiten erlaubt und Ausdrucken erlaubt. Manchmal sind auch Download von bestimmten Dateien erlaubt aber nicht der Start weiterer Programme. Der Schutz wird primär durch den Browser in einem besonderen „Kiosk-Mode“ bereitgestellt aber kann durch Einstellungen im Betriebssystem (z.B. Windows AppLocker etc.) ergänzt werden.
    In der Regel gib es einen prominent platzierten „Abmelden“ oder „Beenden“ Button, um alle Browser-Sessions zu löschen. Meist läuft auch der Browser im „Private"-Mode oder Inkognito-Mode“, um erst gar keine Cookies etc. persistent zu speichern oder sich automatische irgendwo anzumelden.
  • Konferenzsysteme, Kassen etc.
    Eine dritte Gruppe sehen wir in Firmen sogar noch häufiger, obwohl sie gerne übersehen wird. So gibt es z.B. auf Windows basierte Konferenzsysteme wie das "Microsoft Surface Hub", welche ein modifiziertes Windows mit einem spezialisierten Teams Client nutzen. Genau genommen gehören aber auch "Teams Telefone" dazu, die als Unterbau ein Android mit "Teams Telefonie Software" in einem "Kiosk-Mode" nutzen. Auch die Anzahl der "Room Display Systeme" nimmt nur, die z.B. außen am Konferenzraum angebracht die nächsten Meetings anzeigen oder eine AdHoc-Reservierung erreichen. Es gibt sogar Point of Sale (PoS) Systeme auf Windows, die vom Hersteller direkt entsprechend mit der Software versehen und gehärtet werden und sie kennen sicher auch die "Bluescreen-Bilder" von Geldautomaten mit Windows.

Sie sehen also, dass nicht nur die bekannten "Displays in Schaufenstern und am Straßenrand als "Kiosk" funktionieren, sondern auch in Firmen es durchaus Einsatzbereich für solche reduzierten Clients gibt. Touch-Monitore und Tablets sind einfach günstig genug, um diese als einfache Anzeige anstatt veralteter Ausdrucke aufzustellen oder Informationen direkt elektronisch anstatt über Papierformulare zu erfassen.

Besonderheiten Kiosk

Wenn Sie nun über den Einsatz von Kiosk-Systemen nachdenken, dann sollten Sie sich an die Anforderungen und Risiken erinnern:

  • Autostart
    Nach einer Stromabschaltung, einem Neustart, einem Umzug oder sonstigen Unterbrechungen muss das System alleine starten und die Funktion aufnehmen. Sind sie sicher, dass ihr PC ohne Tastatur auch bootet und nicht auf ein "Press F1 to continue" wartet? Bootet er alleine das Betriebssystem und meldet sich dann automatisch an und was passiert, wenn die Anmeldung nicht funktioniert oder er keine IP-Adresse bekommt?
  • Survivability
    Aber auch wenn das System gestartet ist und erst einmal funktioniert, kann auch im laufenden Betrieb einige kaputt gehen, z.B. die regelmäßig abgerufene und angezeigte Webseite ist kurz nicht erreichbar (Serverwartung, keine Netzwerkverbindung). Der Browser macht per JavaScript oder HTTP-EQUIV einen Reload und bekommt einen "no Connection". Damit ist auch die Seite zum Refresh nicht mehr aktiv. Auch "Watchdog"-Hardware ist durchaus eine Option, welche von der Software immer wieder angetriggert wird und wenn die Meldung ausbleibt, dann trennt das Gerät kurz die Stromversorgung oder führt einen Reset aus.
  • Security
    Wollen Sie wirklich, dass z.B. ein Windows Client in einem öffentlichen Bereich sich als "Domain User" mit Credentials automatisch anmeldet? Da ist vielleicht ein lokaler User für das restliche Gesamtsystem die bessere Wahl. Vielleicht muss das Gerät gar nicht mal in der Domain sein und damit niemand das Kabel zweckentfremdet, sollten solche Geräte am besten in einem eigenen VLAN sein und der Zugriff auf die Server mit den anzuzeigenden Informationen durch Firewalls restriktiv gehalten werden.
  • Management
    Dennoch müssen Sie die System ja im täglichen Betrieb verwalten, mit Updates versorgen und ggfls. fernsteuern. Oft ist es schon durch den Standort oder das Gehäuse quasi unmöglich, lokal eine Tastatur/Maus anzuschließen..

Einige der Anforderungen muss die Hardware abdecken. Ein anderer Teil hängt vom eingesetzten Betriebssystem ab. Das muss nicht Windows sein, denn auch andere Systeme, z.B. Linux auf Raspberry oder AndroidTV-Sticks können gute Zuspieler für einen HDMI-Bildschirm sein. Zuletzt müssen Sie sich noch mit der Software auseinandersetzen, die letztlich die Inhalte bereitstellt. Reicht einfacher Browser oder doch eine echte "App", die auch steuerbar ist?

Die Plattform: Hardware und OS

Ich trenne die eigentliche Hardware und das Betriebssystem nicht auf, denn mal abgesehen von Windows und Linux, die quasi auf jeder x86-Plattform funktionieren, sind bei anderen Zuspielern meist Hardware und Software ein Bundle. Die meisten Administratoren und Leser der MSXFAQ haben natürlich eine Affinität zu Microsoft Windows und denken bei solchen "Displays" direkt an einen günstigen Monitor, der von einem Windows PC gespeist wird. Für eine reine Anzeige muss dies auch kein High-End Gerät sein und es hat sogar Vorteile, wenn es ein passendes Gerät mit wenig Energiebedarf und entsprechend wenig Abwärme ist. Vielleicht lässt es sich sogar direkt über die VESA-Befestigung hinter dem Monitor befestigen.

Technisch könne Sie Windows Pro/Enterprise/Education/IoT, aber nicht Home in einen "KIOSK-Mode" versetzen. Dabei meldet sich der PC nach dem Start von Windows automatisch an und startet das vordefinierte Programm als Ersatz für die klassische Shell. Das ist in vielen Fällen einfach ein Browser mit einer hinterlegten URL. Wenn Sie so ein Gerät mit Tastatur betreiben, dann müssen sie auch CTRL-ALT-DEL, CTRL-SHIFT-ESC, Windows-Tasten und andere besondere Tastenkombinationen und Wischgesten blockieren, mit denen ein versierter Nutzer das System überlisten könnte.

Zudem sollten Sie gewährleisten, z.B. dass das System nach einem Stromausfall automatisch wieder eingeschaltet wird und auch ohne Tastatur startet. Interessant wären auch Funktionen das Gerät zeitgesteuert aus- und einzuschalten. Als Schutz sollte die Festplatte verschlüsselt sein und auch der Netzwerkzugang auf die absolut notwendigen Zugriffe beschränkt werden.

Knifflig wird es bei der Entscheidung, ob das System z.B. Mitglied in einer Domain sein soll. Sie könnten es dann über das Netzwerk verwalten aber der Computer als als "Computerkonto" natürlich auch einige Berechtigungen (Mitglied der Gruppe DomainComputer) und benötigt Netzwerkverbindungen zum Domaincontroller. Das ist sicher keine gute Idee für ein produktiven AD. Wenn Sie natürlich sehr viele dieser Kiosk-Systeme haben, könnte ein eigener Forest nur für diese Geräte denkbar sein oder Sie verwalten diese Geräte ohne Domainmitgliedschaft z.B. über Intune und AzureAD-Join.

Zur automatischen Anmeldung würde ich immer einen lokalen Benutzer verwenden. Allerdings müssen die Zugriffe auf die Informationsquellen dann anonym möglich sein oder sie müssen auf dem Gerät doch irgendwie wieder Anmeldedaten hinterlegen. Sollten sie einfach Daten aus dem Internet beziehen, dann stört eine Proxy-Authentifizierung aber ihre Firewall sollte den Zugriff auf die erforderlichen URLs beschränken.

Sie müssen aber nicht zwingend einen Windows Client verwenden. Einen "Kiosk"-Mode gibt z.B. auch bei IOS (Apple IPad, geführter Zugriff) und Android in Form des "Einzel-App-Modus". Auch ein Raspberry mit Rasbian kann heute problemlos er HDMI große Monitore ansteuern, Webseiten anzeigen oder Apps starten

Letztlich geht es immer darum, dass das eigentliche Betriebssystem, welches für Anzeige, Netzwerkverbindung und den Start der Software etc. zuständig ist, nicht überlistet oder übernommen werden kann und nur die Funktionen ausführt, die erforderlich und erlaubt sind.

Kiosk-Betrieb der Applikation

Wenn wir die Hardware bereitgestellt und das Betriebssystem abgesichert haben, müssen wir immer noch entscheiden, wie die gewünschten Informationen angezeigt und ggfls. gesteuert werden können. Microsoft erlaubt mit dem Windows Kiosk Mode den Start einer Universal Windows Plattform App (UWP) oder den Microsoft Edge-Browser. Wenn Sie keine kommerzielle App installieren oder erst entwickeln wollen, dann wird es wohl ein Browser werden den Sie ebenfalls in zwei Arten Starten können.

  • Kiosk (kiosk experience)
    Der Edge ist als Vollbild, öffnet eine übergeben URL aber versteckt alle anderen Schaltflächen oder beschränkt die Funktion für "Öffentliches Surfen". Wird der Edge oder die UWP-App beendet, dann startet sie sich automatische wieder. Wird der PC abgemeldet, meldet er sich nach ca. 20 Sek (Default) wieder mit dem hinterlegten Benutzer an.
  • Eingeschränkte Benutzererfahrung (restricted user experience)
    Diese Funktion ist für Arbeitsplätze sinnvoll, die nur bestimmte Programme nutzen dürfen. Sie sehen eine angepasste Taskleiste und Startmenü und Applocker kontrolliert, welche Anwendungen nutzbar sind. So können Sie Schülerarbeitsplätze, Produktionsumgebungen zuverlässiger betreiben.

Für Digital Signage, also digitale Anzeigetafel kommt natürlich nur der strenge Kiosk-Mode in Frage, welcher eine "Kiosk"-Version des Edge-Browsers oder eine andere UWP-Applikation startet. Bei allen Varianten ist zu beachten, dass in der Regel keine „Automatische Anmeldung“ in einem Browser erfolgt, da der Kiosk-Mode den „Unkognito-Mode“ aktiviert.

Die eigentliche Funktion eines "Kiosk-Browsers" kennen auch Chrome, Firefox u.a. aber sind über den Windows Kiosk-Funktion Assistenten nicht nutzbar. Wenn Sie aber den "Kiosk"-Assistenten nicht nutzen und stattdessen die Konfiguration manuell (Regedit) vornehmen, können Sie jegliches Programm als Shell-Ersatz starten. Allerdings muss dann natürlich die Software "safe" gegen ausbrechen sein. Google Chrome erlaubt z.B. eine automatische Anmeldung, wenn er über den „Enterprise support“ verwaltet wird.

Es ist am einfachsten, wenn die Inhalte, die vom Schild angezeigt werden sollen, „anonym“ erreichbar sind und der Zugriffsschutz z.B. über die IP-Adresse des Signalgeräts (z.B. separates VLAN) beschränkt wird. Eine Anmeldung, z.B. per Makro, Browsersteuerung (z.B. über Selenium https://www.selenium.dev/documentation/overview/ ist ebenfalls möglich.

Der Browser ist aber einfach nur ein Browser und niemand „drückt“ hier ein „F5“ um einen Seitenrefresh zu starten. Auch das ist eine Aufgabe der angezeigten Webseite, z.B. über ein „http-Equiv“-Eintrag im Header um die Seite selbst zu refreshen oder bei „modernen Apps“ über JavaScript den Refresh zu starten.  Denkbar ist natürlich auch, das man auf dem PC lokal eine HTML-Datei anlegt, die den eigentliche Content per „IFRAME“ einbindet und damit lokal den Refresh einstellt.

Man muss aber immer dran denken, dass es einfach nur ein „Browser“ ist. und wenn die Webseite mit den Informationen nicht erreichbar ist, wird er einen Fehler anzeigen. Das finden wir ja auch immer wieder bei den öffentlichen „Digital Signage Systemen“. , das ein leerer Browser sichtbar ist oder der komplette PC in einem „Bluescreen“ steckt. Insofern ist zu überlegen, inwieweit es z.B. „Watchdog-Systeme“ sinnvoll sind, die immer wieder „resetttet“ werden und wenn der Reset ausbleibt, wird das System neu gestartet. Wenn ein einfacher Browser nicht „robust“ genug ist, dann könnte nein Blick auf 3rd-Party Tools interessant sein, die statt des Browsers gestartet werden und dann den HTML-Content o.ä. selbst anzeigen und auf Fehler flexibler reagieren können.

Windows Kiosk einrichten

Dieser Abschnitt beschreibt die einfache Konfiguration auf einem einzelnen Windows Computer. Wenn sie mehrere Kiosk-Systeme betreiben, dann sollten Sie über ein Management z.B. mit Intune nachdenken, da hier weitere Einstellungen möglich sind.
Siehe z.B. "Windows 10/11 und neuere Geräteeinstellungen zur Ausführung als Kiosk in Intune " (https://learn.microsoft.com/de-de/mem/intune/configuration/kiosk-settings-windows)

Früher haben wir noch mit REGEDIT und "AutoAdminLogon" gearbeitet aber mittlerweile gibt es einen schönen Assistenten, den Sie über das Startmenü über die Suche nach "Kiosk" oder in den Einstellungen starten können.

Windows schlägt den Namen "Kiosk" vor. Der Punkt "Vorhandenes Konto auswählen" gibt es nur, wenn es neben dem Administrator ein weiteres "normales lokales Konto" gibt. Sie können mit dem Assistenten keinen "Domain User" als Kiosk-Nutzer verwenden. Wenn Sie "AutoAdminLogon" manuell konfigurieren, dann geht dies schon. Das ist aber nicht ratsam:

For kiosks devices located in public-facing environments, configure as a kiosk account a user account with the least privileges, such as a local, standard user account.
https://learn.microsoft.com/en-us/windows/configuration/assigned-access/recommendations#kiosk-user-account

Im Hintergrund legt der Assistent dann einen lokalen Benutzer OHNE KENNWORT an. Allerdings ist "Kiosk" nur der Displayname. Der Anmeldename kann davon abweichend sein.

Eine automatische Anmeldung ohne Kennwort wird von Windows nicht unterstützt, so dass Sie hier gleich ein Kennwort setzen und auch Änderungen und Ablauf vorgeben sollten.

Denken Sie auch daran, dass Sie sich zumindest einmal als dieser Benutzer "normal" anmelden, damit die üblichen Windows "Willkommen"-Assistenten durchgelaufen sind.

Im nächsten Schritt wählen Sie die Applikation aus. In meinem Fall einfach den Edge-Browser, da ich sonst keine WPF-Applikation habe.

Wenn Sie eine andere Applikation als Kiosk-App nutzen wollen, dann muss diese vorab im Kontext des Kiosk-Benutzer installiert werden. Hier ist natürlich der Raum für 3rd Party-Lösungen, die nicht den Edge nutzen sondern eigene WPF-Programme mitbringen. Es reicht nicht, wenn eine App über den Microsoft App Store installiert werden kann.

In meinem Beispiel konfiguriere ich den Kiosk-Client nur zur Anzeige einer Webseite und hinterlege die MSXFAQ.

Danach ist die Konfiguration schon fast abgeschlossen.

Melden Sie sich dann am PC ab und mit dem Kiosk-Benutzer an, um die generelle Funktion zu prüfen und damit der "Last Login User" auch schon der Kiosk-User ist. Damit ist zwar der Microsoft Assistent durch und hat ein "AutoAdminLogon" für den Benutzer samt der benutzerdefinierten Shell konfiguriert, aber für einen Kiosk-PC sollte Sie schon noch ein paar weitere Dinge überprüfen:

  • Bildschirmschoner/Zwangsabmeldung
    Stellen Sie sicher, dass ihr Kiosk-Gerät nicht aufgrund von Untätigkeit einen Bildschirmschoner startet oder sich gar abmeldet. Dann kann auch die Kiosk-App nicht mehr weiter laufen
  • Energieeinstellungen
    Auch diverse Energiesparoptionen sollten auf den Dauerbetrieb angepasst werden. Meist muss kein "High Performance"-Profil genutzt werden und theoretisch könnten Sie das System vielleicht in der Nacht herunterfahren oder zumindest den Monitor abschalten.
  • Monitor und Einbrennen
    Je nach Monitor kann es erforderlich sein, dass dieser (speziell OLED) nicht per Stromversorgung abgeschaltet wird. Auch sollten Sie die Anzeige vielleiht immer mal etwas anpassen, um Einbrenneffekte zu reduzieren.
  • Recovery/Watchdog
    Es kann immer mal passieren, dass das System "hängt". Das können auch statische Entladungen, Unterspannung oder Softwarefehler sein. Stellen Sie ihr System so ein, dass es nach einem Neustart nicht auf Bestätigungen wartet.
  • Windows Update/Management/Steuerung/Monitoring
    Auch wenn das System vielleicht weder in ihrer Domain noch in ihrem Haus-LAN hängt, ist es ein Computer, der verwaltet werden sollte.

Die Liste ist sicher nicht vollständig.

Hintergründe: AutoAdminLogon

Ein Windows Client startet zwar Hintergrunddienste aber auf der sichtbaren Oberfläche ist ohne Anmeldung der Sperrbildschirm aktiv, welcher offiziell keine anderen Programme erlaubt. Daher muss sich an dem System immer erst jemand anmelden. Die Einrichtung dieser Anmeldung übernimmt der Assistent gleich mit, wie ich mit Procmon mitschneiden konnte:

Mit Regedit können Sie die entsprechende Einstellungen sehen:

Diese Funktion gibt es so schon seit mindestens Windows NT 4.0 in quasi unveränderter Form und ist eigentlich unsicher. Dies dokumentiert Microsoft auch sehr deutlich.

this feature may be a security risk. If you set a computer for autologon, anyone who can physically obtain access to the computer can gain access to all the computer's contents, including any networks it is connected to. Additionally, when autologon is turned on, the password is stored in the registry in plain text. The specific registry key that stores this value can be remotely read by the Authenticated Users group. This setting is recommended only for cases in which the computer is physically secured and steps have been taken to make sure that untrusted users cannot remotely access the registry.
Quelle: https://learn.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/turn-on-automatic-logon

Auf der Seite steht noch ein wichtiger Hinweis:

If no DefaultPassword string is specified, Windows automatically changes the value of the AutoAdminLogon key from 1 (true) to 0 (false), disabling the AutoAdminLogon feature.
Quelle: https://learn.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/turn-on-automatic-logon

Dieser Wert wurde bei mir nicht durch den Assistenten gesetzt.

Hintergrund: KioskApp

Mit Sysinternals Procmon konnte ich noch weitere Einstellungen sehen, die durch den Kiosk-Assistent gesetzt wurden. Hier fallen z.B. die Schlüssel zu "AssignedAccessConfiguration" auf, über die der Zugriff auf Programme für den Kiosk-Benutzer weiter eingeschränkt wird:

Es wird ein Profil angelegt, welches dann dem Benutzer zugewiesen wird. im Profil ist auch der Aufruf des Edge-Browsers zu sehen:

Der Edge-Browser wird hier im "Vollscreen" gestartet, öffnet meine Webseite und startet sich nach 5 Min ohne Tastatureingabe neu. Das macht er übrigens immer, auch wenn nach dem Neustart niemand etwas gemacht hat. Alle 5 Minuten wird der Browser neu gestartet und die Seite neu aufgebaut. Das ist natürlich ein relativ harter "Refresh", der aber doch dafür sorgt, dass ein Ausfall des Netzwerks oder des Servers mit einer entsprechenden Fehlerseite im Browser genauso wieder "geheilt" wird.

Bildschirmschoner als Kiosk?

Natürlich wollte ich auch mal schauen, ob ich mich überhaupt per AutoAdminLogon o.ä. anmelden kann. Früher konnte man einen "Bildschirmschoner" für das System einrichten, welcher vor der eigentlichen Anmeldung schon gelaufen ist. Das ist immer noch möglich, indem Sie per REGEDIT als Administrator beim Benutzer ".DEFAULT" die Einträge hinterlegen und eine passende EXE z.B. nach C:\windows\system32 ablegen.

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"SCRNSAVE.EXE"="kiosksaver.scr"
"ScreenSaveTimeOut"=dword:00000005
"ScreenSaveActive"=dword:00000001
"ScreenSaverIsSecure"=dword:00000001

Nach dem Import wird nach ca. 5 Sekunden das angegebene Programm gestartet. Sie können natürlich die Standard Screensaver nutzen, zu denen aber kein Edge-Browser o.ä. zählt. Dazu müssen Sie sich dann selbst einen Screensaver entwickeln oder eine Software kaufen. Unter Windows XP gab es eine SlideShow (ssmypics.scr), die Sie für Bilder nutzen konnten.

Meines Wissens läuft der Screensaver in einem eigenen Windows Bereich und hat keinen Zugriff auf Systemressourcen oder User-Session und kann wohl auch keine Eingaben annehmen. Jegliche Eingabe würde dann wieder den Screensaver beenden und das Anmeldefenster anzeigen.

Edge im Kiosk Mode

Die wenigsten Administratoren oder Firmen werden eine eigene App schreiben oder nutzen und daher im Kiosk-Mode vermutlich auf den Edge setzen. Der Browser ist Bestandteil von Windows, wird entsprechend aktualisiert und unterstützt Parameter per Kommandozeile. Der "Kiosk-Assistent" macht dies schon alleine aber wer manuell etwas entsprechend ausführen möchte, kann dies auch wie folgt tun: (Zeilenumbrüche zur Lesbarkeit)

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe 
  --kiosk www.msxfaq.de 
  --edge-kiosk-type=public-browsing 
  --kiosk-idle-timeout-minutes=1 
  --no-first-run

Zum Vergleich: So wird Edge normalerweise gestartet.

"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory=Default

Wenn Sie den Parameter "kiosk-idle-timeout-minutes" nutzen, dann beendet sich der Edge aber startet nicht automatisch neu. Es obliegt dem Programm, welches den Edge gestartet hat, diesen wieder zu starten. DAs können Sie natürlich nutzen, wenn Sie z.B. per PowerShell den Prozess starten und per Schleife immer wieder starten.

start-process `
   -wait `
   -FilePath "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" `
   -ArgumentList "--kiosk www.msxfaq.de --edge-kiosk-type=public-browsing --kiosk-idle-timeout-minutes=1 --no-first-run"

Das ist aber nur bedingt sicher, denn Tastenkombinationen wie "ALT-TAB" etc. sind nicht gesperrt und im schlimmsten Fall kann jemand eine Tastatur anschließen und ihr Skript beenden. Es ist daher keine gute Idee, eine PowerShell als "Shell Start"-Programm zu hinterlegen.

Firefox im Kiosk

Da Einschränkungen des "Private Mode" im Edge-Browser, der keine automatische Anmeldung erlaubt, für einen internen Einsatz in der Firma nicht optimal sind, abe ich mir auch mal den KioskMode bei Firefox angeschaut und auf einem PC mit einem Domain User folgendes gestartet:

"C:\Program Files\Mozilla Firefox\firefox.exe" -kiosk 
https:\\netatwork.sharepoint.com

Beim ersten Start kam noch die Dialogbox zur Eingabe des UPN bzw. die Auswahl eines Benutzers aber schon beim zweiten Stadt konnte Firefox ohne weitere Benutzerinteraktion direkt die Webseite anzeigen.

Ich muss das nun natürlich mal mit etwas Abstand nachholen, ob die Speicherung der Anmeldung "persistent" ist.

Die Funktion ist natürlich nur zu gebrauchen, wenn ich Firefox als alternative Shell unter Windows automatisch starte. Wie "sicher" der Firefox in dem Mode ist, wäre auch noch zu prüfen. ALT-TAB war zum Wechsel zu einer anderen App möglich und auch ein "F12" (Debugger Tools) wurde nicht verhindert. Mit CTRL-P konnte ich drucken und mit CTRL-O nicht nur beliebige andere URLs sondern auch das lokale Dateisystem öffnen und z.B. "CMD.EXE" ausführen.

So ist Firefox natürlich keine Alternative zu einem Kiosk-Mode des Edge-Browsers.

Lokale Default-Seite

Wenn Sie einen Edge als Kiosk-App mit einer Webseite starten, dann kann es ja passieren, dass die Webseite temporär nicht erreichbar ist. Der Edge im Kiosk-Mode hat die Funktion, nach der eingestellten Zeit ohne Bedienung die Seite erneut anzufordern.

Sie können aber den Edge natürlich auch auf eine lokale Seite verweisen, die Sie vorbereitet haben.

Eine HTML-Seite ist schon lange nicht mehr auf statische Inhalte beschränkt. Sie könnten hier auch eine HTML-Seite bauen, die z.B. andere Seiten per IFrame einbinden, per JavaScript Inhalte über Rest-APIs nachladen und in eine eigene Seite anzeigen und dabei auch bei Verbindungsproblemen flexibler reagieren.

Allerdings bedeutet dies einen gewissen Aufwand in der Entwicklung und bei vielen Geräten kommt dann wieder das Thema der "Verteilung" und Aktualisierung hoch. Sie können über den Weg natürlich auch einen "Offline-Betrieb" ganz ohne Netzwerk realisieren, wenn der Browser nur lokale Dateien nutzt. Updates könnten Sie dann z.B. per USB-Stick einspielen.

Kiosk Schutz

Mein Windows Client fährt hoch, meldet sich an und startet den Edge-Browser mit einer Webseite. Solange es keinerlei Eingabemöglichkeit gibt, ist das ist System eigentlich "sicher". Dennoch hat mich interessiert, was ich mit dem "Kiosk-Browser" alles machen kann.

Also habe ich mit Tastatur und Maus ein paar Tests gemacht:

  • Externe Links
    Wenn es auf der Webseite Links zu externen Seiten gibt, dann kann ich diesen folgen und damit das eigene Angebot verlassen und komme ohne Back-Button auch nicht mehr selbst zurück. Sie sollten also sicherstellen, dass die Seite keine externe Links enthält. Wenn ich aber die konfigurierte Wartezeit keine Eingabe mehr mache, springt der Browser wieder auf die eingestellte Startseite.
  • Datei Öffnen (CTRL-O)
    Ich kann über den Hotkey zwar den "Öffnen"-Dialog starten aber keinen anderen Pfad nutzen oder Programme starten.
  • Druckern (CTRL-P)
    Ich kann über diesen Weg sogar Seiten drucken, wenn auf dem Client ein Drucker eingerichtet ist.
  • CTRL-ALT-DEL
    Nutzbar zur Abmeldung und Kontowechsel aber ich kann z.B. keinen Taskmanager starten.
  • Download
    Ich kann auch Dateien herunterladen, wenn ich über den Browser eine entsprechende URL erreiche und sogar versuchen zu öffnen. Es passiert bei meinem Tests aber nichts.
  • Hotkey gesperrt
    Ich habe nicht alle Kurztasten versucht aber CTRL-J (Adressleiste), CTRL-N (Neues Fenster), CTRL-C/V (Cut, Paste) funktioniert nicht.

Ich möchte zwar meine Hand nichts ins Feuer legen, dass die Umgebung "dicht" ist, aber das funktioniert natürlich alles nur, wenn ich auch eine Tastatur an das Kiosk angebunden bekomme. Ein mechanischer Schutz und Alarmierung ist immer ratsam. Wenn ich einige Zeit nicht mehr mit dem System interagiere, dann kommt folgende Meldung:

Interessanterweise ist diese Meldung auch aktiv, wenn ich gar nichts gemacht habe.

Assigned Access in kiosk mode prevents Windows apps from launching other apps
https://learn.microsoft.com/en-us/windows/configuration/assigned-access/recommendations#choose-an-app-for-a-kiosk-experience

Kiosk mit Authentifizierung

In Firmenumgebungen liegen die wirklich interessanten Informationen natürlich nicht auf einer anonym erreichbaren Webseite sondern erfordern eine Authentifizierung. Genau das ist aber mit dem klassischen Kiosk-Mode nicht möglich, denn zum einen nutzen sie ja einen "lokalen User" zur Anmeldung an Windows und der Browser arbeitet im "Inkognito"-Mode, so dass keine "integrierte Authentifizierung" genutzt wird. Aus Sicherheitsgründen ist das natürlich ratsam, da so auf dem Kiosk-Client keine sensiblen Zugangsdaten liegen, mit denen ein Angreifer dann "Domain User" oder "AzureAD-User" wäre. Für ein "öffentliches" Display ist dies natürlich wünschenswert.

Firmen stellen aber manchmal andere Anforderungen. Was machen Sie, wenn ihre Firma z.B. ,in SharePoint Online eine richtig schöne "Portalstartseite" mit News, Veranstaltungen, Wetterbericht, Verkehrslage, Aktienkurs etc. erstellt hat, aber diese nur für "authentifizierte Benutzer" erreichbar ist. SharePoint Online erlaubt keine anonymen Zugriffe mehr.

Hier ein paar Überlegungen. Die Anmeldekonfiguration des Betriebssystems auf dem Digital Signage System habe ich hier nicht thematisiert. Klassische Windows Clients können "Standalone", "AD-Joined" oder "EntraID"-Joined sein, was sich auf die Verwaltbarkeit und Sicherheit ebenso auswirkt, wie die Anmeldung auf dem Windows Client (Lokaler User, DomainUser, EntraID-User).

Bei allen folgenden Beschreibungen müssen Sie betrachten, wo die bis zu drei Komponenten stehen können, d.h. im LAN oder in der Cloud.

Variante Beschreibung

1

Webserver mit anonymen "Kiosk"-Bereich

Im einfachsten Fall stellt der Webserver schon eine passende "Kiosk"-Seite bereit, die anonym aufgerufen werden kann, sich selbst aktualisiert und z.B. den Zugriff über die Source-IP steuert. Diese Funktion ist optimal, wenn das Display aber auch der Service im LAN sind und private IP-Adressen genutzt werden. Diese Konfiguration ist ungeeignet, wenn ihr Display quasi in einem öffentlichen Bereich (Messe, Konferenz o.ä.) steht und über das Internet eine Cloud-Lösung.

2

Staging und Publish

Wenn die Informationen nur als authentifizierter Benutzer möglich ist aber eine Teilmenge anonym erreichbar sein muss, dann könnte ein "Publish"-Prozess der ausgewählten Informationen auf einen zweiten Webserver möglich sein, der dann den anonymen Zugriff von den Displays erlaubt. Auch hier kann die Source-IP des Displays als Kriterium genutzt werden. Ein "Hacking" der echten Daten ist kaum möglich.

Übrigens: So betreibe ich die MSXFAQ. Ich verwalte alles "lokal" und lade die statischen generierten Seiten auf einen einfachen Webseite beim Provider regelmäßig per SFTP hoch.

3

Middleware mit Anmeldung

Wenn wir keine Anmeldedaten auf dem Display haben wollen, dann könnte ein Proxy in der Mitte die anonymen Anfragen des Clients annehmen, um die erforderliche Anmeldeinformation anreichern und damit auf das Backend zugreifen. Das komplette Layout etc. wäre weiter auf dem Backend, z.B. SharePoint Online für authentifizierte Benutzer am Standardarbeitsplatz erreichbar und die Middleware nutzt z.B. eine Microsoft 365 F1-Lizenz, um sich anzumelden und ausgewählte Inhalte an die Displays auszuliefern.

Ich kenne aktuell keine Software, die dies schon macht. Hinweise werden gerne angenommen.

4

Edge mit Anmeldung

Wenn Sie auf dem Windows Client nicht als lokaler User sondern als DomainUser oder EntraID-User angemeldete sind, dann könnten Sie auch den Browser "regulär" starten und eine automatische Anmeldung am Backend erlauben. Bei SharePoint-Online wäre das dann ein F1-Benutzer, dessen Zugangsdaten allerdings auf dem Display-System liegen und Conditional-Access sich auf "CompliantDevice" und "IP-Adresse" abstützt. Es bleibt natürlich ein Restrisiko und die Aufbereitung der Inhalte muss dann natürlich das Backend alleine machen.

5

App mit Auth

Indem Fall meldet sich wieder ein "lokaler Anwender" auf dem Windows an und hat damit erst einmal keinen Zugriffsrechte. Statt des Edge wird aber z.B. eine App installiert, die sich am Backend anmeldet und dazu die Anmeldedaten "irgendwie" bekommt, z.B. per Peering mit einer Management Plattform. Diese könnte dann einen Browser starten und die Anmeldedaten quasi "eintippen". Über sie "Sicherheit" lässt sich streiten.

6

App zur Anzeige

Ganz ohne Browser können Sie natürlich auch eine App schreiben, die gleich die ganze Wiedergabe macht und sich z.B. im Rahmen eines "Peerings" mit einem Backend verbindet und die Informationen aufbereitet. Knifflig ist solch eine Lösung mit lokalen Quelle, die nicht aus der Cloud erreicbar sind.

Dieser Weg gibt es mehrfach als kommerzielle Lösungen, bei denen die App auf einen Raspberry/Android/Windows/IOS o.ä. installiert wird und mit einem Backend des Anbieters in der Cloud kommuniziert.

Vom Aspekt der Sicherheit würde ich ein Kiosk-System immer als 100% nicht vertrauenswürdig und unsicher ansehen. Damit verbietet sich die Aufnahme in die Domain, die Nutzung von Domain-Konten und ein authentifizierter Zugriff auf Daten zur Anzeige.

Digital Signage Software

Für die ein oder andere Option gibt es entsprechende kommerzielle Programme. Eine Empfehlung für das ein oder andere Programm kann ich hier aber nicht aussprechen. Die meisten Programme nutzen einen Cloud-Server zur Verwaltung der Inhalte und eine spezielle Player-App für die Anzeige auf dem Display, welches über den Server verwaltet wird. Die Preise bewegen sich meist zwischen 10-20€/Bildschirm. Einige erwarten, dass die den Content und das Layout auf deren Plattform verwalten. Einige können Daten aus Clouddiensten, z.B. OneDrive, Google Drive etc. wiedergeben und sogar offline cachen. Für den Zugriff auf eigen Daten wäre ist natürlich ein authentifizierter Zugriff auf Webseiten, RSS-Feeds o.ä. interessant. Die Anmeldung an Microsoft 365 mittls OAUTH und App-Consent stellt oft noch eine große Hürde dar.

Es hat den Anscheinend, dass alle Open Source entweder eingeschlafen oder kommerzialisiert wurden.

Früher habe ich in Schulen oft gesehen, dass das Sekretariat einfach eine PowerPoint-Datei als Slideshow genutzt hat und der Kiosk-PC hat diese Datei einfach immer wieder aktualisiert nachgeladen. Das können Sie im PowerPoint-Viewer einstellen. Damit musste sie dann auf dem "Digital Display" einfach die PPT/PPTX-Datei tauschen oder direkt vom gleichen Server laden. Sie sollten dazu natürlich die PPTX-Datei mit automatischen Seitenwechseln etc entsprechend vorbereiten, ehe Sie auf dem PC dann die Ansicht im Kiosk-Mode konfigurieren:

Leider kann man eine PPTX nicht mehr als selbstablaufende Webseite "veröffentlichen", es sei denn man legt sie auf OneDrive

Natürlich finden Sie auch auf Amazon und Co jede Menge "Mediaplayer", die nicht nur Inhalte von SD-Karten, USB-Sticks spielen sondern mit entsprechenden Apps ebenfalls Inhalte von entsprechenden Portalen und Webseiten beziehen können. Auch hier gilt allerdings immer wieder zu prüfen, wie z.B. eine Anmeldung an SharePoint Online oder anderen Quellen möglich ist.

Bewertung

Der Windows Kiosk-Mode sichert das Betriebssystem derart ab, dass ohne Anmeldung durch einen Anwender nach dem Start nur genau eine Applikation gestartet wird, die dann hoffentlich so "dicht" ist, dass kein Ausbruch möglich ist. Hierbei helfen natürlich die Windows Schutzfunktionen wie Applocker und AssignedAccess. Wenn die gestartete App der Edge-Browser ebenfalls im Kiosk-Mode ist, dann wird recht zuverlässig immer wieder die gleiche Webseite angezeigt und nach einiger Zeit Inaktivität auch wieder zurückgesetzt wird. So lassen sich recht zuverlässig "digitale Schilder" als auch interaktive Kiosk-Lösungen bis zur "Surfstation" bereitstellen.

Sobald eine Tastatur/Maus angeschlossen ist, sollten Sie etwas mehr Aufwand zum Schutz betreiben, damit niemand über Hotkeys o.ä. die "Sandbox" verlässt und das System übernimmt, zum Missbrauch verwendet oder korrumpiert um nachfolgende Nutzer zu schaden.

Der Kiosk-Mode kann aber auch im Firmenumfeld zur Absicherung von bestimmten Arbeitsstationen gute Dienste leisten, z.B. wenn Anwender gar keinen "Windows Zugriff" benötigen sondern sich allein im Browser anmelden und nach z.B. 5 Min wieder zwangsabgemeldet werden können. Nach einer entsprechenden Risikoabschätzung könnten Sie sogar den Kiosk-Mode mit einem DomainUser verwenden und die Kiosk-Applikationen mit automatischer Authentifizierung nutzen. Mit dem Edge-Browser und der reinen Nutzung von Microsoft 365 Diensten, z.B. über die F1-Lizenzen, könnten sie sie eine Lösung aufbauen. Es ist natürlich immer ein Risiko, wenn jeder einen PC einschalten und dann als authentifizierter Benutzer auf Daten der Firma arbeiten kann.

Der Kiosk-Mode ist aber ein Baustein in der Bereitstellung von Diensten für anonyme Teilnehme auf digitalen Schildern, auf Kiosk-Stationen oder speziellen Arbeitsumgebungen. Als Administrator können Sie damit die Sicherheit erhöhen, da solche beschränken Systeme weniger Angriffsflächen bieten und weniger Aufwand bedeuten. Denken Sie aber über ein Management, z.B. per Intune nach.

Weitere Links