Windows 11 dicht zetten voor senioren

Stukje geschiedenis
Mijn vader is recentelijk slachtoffer geworden van HelpdeskFraude (gelukkig goed gekomen). Maar dit wil ik natuurlijk voorkomen. Maar hoe vaak ik ook gezegd heb "De bank belt nooit, dus ophangen en terug bellen" (er zit zelfs een mega grote sticker op zijn laptop), toch is ie erin getrapt... Hij begint vormen van dementie aan te nemen. Nu zeggen veel in mijn omgeving, je moet gewoon de computer afnemen, maar dan kan ie ook niet meer mailen met de familie. Ik heb aan een iPad gedacht (ik ben zelf een Apple-persoon) maar daar kan ik niet remote meekijken als er iets is.

Mijn vraag
Mijn vader kan nog prima met Windows werken omdat hij dat gewend is, ik heb zijn profiel al beperkt tot standaard gebruiker zodat hij niet software kan installeren, maar AnyDesk.exe hoef je niet te installeren dat kan je gewoon uitvoeren.

Nu heb ik met Software Restriction Policies gezien dat je policies aan kan maken, ik denk mooi!
%USERPROFILE%\*\*.exe maar dat beperkt zich maar tot 1 directory, een slimme fraudeur probeerd dan een submapje wat dan wel werkt. en om nou ~100 van die regels aan te maken, steeds een niveau dieper, dat moet beter kunnen.

Kernvraag
Hoe kan ik zijn profiel dicht zetten dat hij alleen gebruik kan/mag maken van geinstalleerde software (door mij), maar alle andere software (.exe, .bat etc) tegenhoudt?

Heb naar AppLocker e.d. zitten kijken, maar ook al vind ik mijzelf nog zo handig, ik heb te weinig kaas gegeten van Windows.

Relevante software en hardware die ik gebruik
Laptop heeft Windows 11 Pro

Wat ik al gevonden of geprobeerd heb
Software Restriction Policies

Vorkie schreef op zaterdag 28 oktober 2023 @ 11:19:
Je kan beter het pad gaan bewandelen dat jij de kritische zaken, waaronder de geldzaken, overneemt van hem - gezien zijn toenemende vormen van dementie is dat een beter idee.

Zo kan er ook niets meer gebeuren als zijn PC wordt overgenomen en heb je geen juridisch gevecht zodra hij echt onbekwaam wordt.

Dat gaan we sowieso doen, maar ik wil toch parallel zijn computer kunnen beveiligen/dicht zetten

The Eagle schreef op zaterdag 28 oktober 2023 @ 11:30:
En qua techniek: dat soort executables even zelf downloaden en dan door de virusscanner (pak fprot ofzo) als verdacht / naar quarantaine laten aanmerken. Dan maakt het niet uit waar ie staat en krijgt ie ook vanzelf een melding als er iets foute boel is.
Als je Ziggo hebt zit dat zelfs bij de Ziggo extras iirc.

Hij heeft nu Norton antivirus, maar in plaats van alles downloaden en als verdacht aanmerken, wil ik het gewoon volledig blokkeren, alle .exe, alleen toestaan wat is geinstalleerd in ProgramFiles.

Wil niet achteraf horen dat er een nieuw soort applicatie is waar ik het bestaan niet van af weet

Yaksa schreef op zaterdag 28 oktober 2023 @ 11:38:
Als velen in jouw omgeving al aangeven dat het niet langer verantwoord is hem met een laptop die in verbinding staat met internet te laten werken waarom verwacht je dan hier een ander, in jouw ogen meer gewenst, antwoord te krijgen?
Ouderdom komt met gebreken, en soms moet je mensen tegen zichzelf beschermen.
Contact met de familie kan ook via bezoek, of via de telefoon.

Het is voor hem nog bekend, een vorm van bezigheid. Bankzaken e.d. mag hij sowieso niet meer zelf doen. Maar zoals ik al zei, ik wil hem niet ontnemen wat hij nog leuk vind om te doen.

En het lijkt mij (maar ik ben niet de expert hierin, anders had ik deze topic niet geopend) dat het niet zo moeilijk moet zijn om voor een profiel alles dicht te zetten. Als dat anders is, dan moet ik inderdaad misschien iets anders verzinnen.

Archie_T schreef op zaterdag 28 oktober 2023 @ 12:58:
Je kan toch prima meekijken op een iPad via FaceTime? Meest eenvoudige oplossing.

Maar ik wil niet alleen mee kijken, ik wil ook kunnen overnemen. iPad is dan iets nieuws voor mijn vader, die gaat dat niet allemaal snappen.

Vorkie schreef op zaterdag 28 oktober 2023 @ 12:09:
@iMars Maar als hij geen bankzaken kandoen - wat is dan hetgeen wat je probeert te voorkomen

Wat is de impact als ze wel zijn PC besmetten?


Misschien kijken of je met een L7 firewall kan werken - Sophos UTM / Meraki heb je application Control
https://documentation.mer...g_a_Layer_7_Firewall_Rule

https://doc.sophos.com/ns...ide/WebProtAppControl.htm

Zo kan je je eigen verbinding / source IP uitsluiten - maar de rest allemaal blokkeren.

Sophos kan je Remote Access blokkeren.
[Afbeelding]

[Afbeelding]
Dit stel je dan in door óf een proxy in te stellen óf het in te zetten als router.

Leuk voor een nerd als ik, maar ik ga geen appliance daarvoor neerzetten bij mijn vader. Dan is een dicht getimmerde laptop makkelijker (als ik dat voor elkaar krijg )

Raven schreef op zaterdag 28 oktober 2023 @ 17:20:
[...]

Het toverwoord is hier whitelist, zie bijv. https://community.spicewo...ent-cryptolocker-and-more , helpt dat je op weg?

Dit was exact waar ik naar op zoek was
Ik zat daar al te zoeken en te klikken, maar "step 7" was wat ik over het hoofd zag:

Staat nu op Dissallowed so far so good, doet precies wat ik wil.

Ad de Jong schreef op zaterdag 28 oktober 2023 @ 18:34:
De meeste hier willen het niet horen maar om het zoveel mogelijk in de hand te houden heb ik mijn moeder een aantal jaren terug een Chromebook gegeven aangezien alles wat ze doet via de browser gaat.

Natuurlijk nooit 100% waterdicht maar voor mij een verademing.
Voorheen wekelijks met Windows ellende aan de gang met al die &#%%&#$(*(# meldingen en nu nog maar zelden en ze kan alles doen wat ze voorheen ook deed.

Geen idee of het een optie is maar misschien het overwegen waard als je vader ook alleen nog maar wat op internet rond surft.

Waar ik mee zit is dat mijn vader beginnend dementerend is. Alles wat "oude info" is, is ie super rap in en merk je niet dat er wat aan de hand is. Alles wat nieuw(er) is, merk je dat het trager gaat en dat ie moeite heeft.

Ik wilde dus iets wat voor hem bekend terein is. Zat aan een iPad te denken maar wist nu al dat ie dan continu aan de lijn zou hangen met "hoe werkt dit?" "hoe werkt dat?" "waar vind ik ... ?" etc. Datzelfde zou ook met een chromebook gaan (is mijn aanname).

Voor mij is het dan belangrijk dat als er wat is, dat ik dan even makkelijk mee kan kijken. Ik had gehoopt dat Apple daar iets voor zou hebben, maar kon ik niet 1-2-3 vinden, ja FaceTime, maar dan kan ik de controlle niet overnemen. Windows keek ik al langer/vaker mee via quick assist. Ik laat 'm een snelkoppeling openen en een code invullen, daarna is het 1x op toestaan klikken en ik kan meekijken en de controlle overnemen.

Nu is alles dicht en alleen geinstalleerde apps kunnen geopend worden. Komt er een programma bij, dan kan ik dat op afstand regelen, of rij ik een keertje langs.

Raven schreef op zondag 29 oktober 2023 @ 10:01:
[...]

Ik gok omdat korte termijn geheugen het eerste achteruit gaat?

Ja kennelijk, ben geen expert, maar dat is wel wat ik merk. En gelukkig nog maar met vlagen, maar ja, als je het eenmaal constateert, weet je dat het steeds erger zal worden.

downtime schreef op zondag 29 oktober 2023 @ 11:33:
[...]

Je wilt een SRP die het uitvoeren overal blokkeert behalve uitzonderingen die je opgeeft. Voeg de volledige ProgramFiles, ProgramFilesX86 en Windows directory toe als uitzondering en dan kan hij alleen software uitvoeren die de admin onder Program Files heeft geïnstalleerd. Dan moet je alleen nog iets vinden voor userspecifieke installaties onder Userprofile maar gelukkig zijn dat uitzonderingen en vaak is er ook wel een installer beschikbaar die wel onder ProgramFiles installeert.

Ja inderdaad, dat is precies wat @Raven zei,... ik zat in de buurt maar was verkeerd aan het denken. Heb nu inderdaad policy op disallowed en de ProgramFiles en paar andere mappen toegevoegd. Werkt nu precies zoals ik het voor ogen had. Als er in de toekomst iets niet werkt, is het een kwestie van toevoegen