Sdílet prostřednictvím

Cvičení 2: Funkce uzamčení zařízení

  • Článek
  • Platí pro:
    ✅ Windows 11, ✅ Windows 10

V testovacích prostředích 1a a 1bjsme operační systém nainstalovali do referenčního zařízení a provedli přizpůsobení v režimu auditu. Tato laboratoř popisuje několik způsobů, jak zamknout vaše zařízení pomocí funkcí zamykání zařízení, které jsou zabudované ve Windows. Funkce uzamčení zařízení nejsou uvedené v žádném konkrétním pořadí. V závislosti na zařízení, které vytváříte, můžete povolit všechny funkce, některé nebo žádné z nich.

Poznámka

Tato laboratoř je volitelná. Můžete vytvořit zařízení IoT Enterprise bez povolení některé z funkcí popsaných v tomto cvičení. Pokud žádnou z těchto funkcí neimplementujete, můžete přejít k Lab 3.

U plně automatizovaného přístupu k těmto krokům zvažte použití architektury nasazení Windows IoT Enterprise.

Požadavky

Dokončete laborku 1a: Vytvořte základní obraz.

Filtr klávesnice

Filtr klávesnice umožňuje ovládací prvky, které můžete použít k potlačení nežádoucích stisknutí kláves nebo kombinací kláves. Zákazník může za normálních okolností změnit provoz zařízení pomocí určitých kombinací kláves, jako jsou Ctrl+Alt+Delete, Ctrl+Shift+Tab, Alt+F4 atd. Filtr klávesnice brání uživatelům v používání těchto kombinací kláves, což je užitečné, pokud je vaše zařízení určené k vyhrazenému účelu.

Funkce Filtr klávesnice funguje s fyzickými klávesnicemi, klávesnicí na obrazovce ve Windows a dotykovou klávesnicí. Filtr klávesnice také rozpozná změny dynamického rozložení a pokračuje v potlačení kláves správně i v případě, že se umístění potlačené klávesy změní na klávesnici. Příkladem tohoto scénáře je přepnutí z jednoho jazyka nastaveného na jiný.

Klávesy filtru klávesnice jsou uloženy v registru v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.

Povolení filtru klávesnice

Existuje několik metod, jak povolit filtr klávesnice, poskytujeme pokyny pro jednu z těchto metod. Další informace najdete v tématu filtru klávesnice .

  1. Povolte funkci Filtr klávesnice spuštěním následujícího příkazu z příkazového řádku pro správu:

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter

  2. Zobrazí se výzva k restartování referenčního zařízení, zadejte Y k restartování. Zařízení se restartuje do režimu auditu.

    Jakmile povolíte filtr klávesnice, přečtěte si ukázky skriptů PowerShellu pro filtrování klávesnice, abyste se dozvěděli, jak blokovat kombinace kláves.

  3. V tomto cvičení poskytneme ukázku blokování kláves CTRL+ALT+DEL. V příkazovém okně PowerShellu pro správu zkopírujte a vložte následující příkazy.

    $key = "Ctrl+Alt+Del"
$setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"};
$setkey.Id = $key
$setkey.Enabled = 1;
$setkey.Put() | Out-Null;

  4. Restartujte referenční zařízení a poznamenejte si, že je blokovaná klávesa CTRL+ALT+DEL.

Sjednocený filtr zápisu (UWF)

Sjednocený filtr zápisu (UWF) pomáhá chránit konfiguraci vašeho zařízení tím, že zachycuje a přesměrovává všechny zápisy na jednotku (instalace aplikací, změny nastavení, uložená data) ve virtuálním překrytí. Toto překrytí se automaticky odstraní restartováním, pokud není nakonfigurováno, aby se zachoval, dokud není zakázaný sjednocený filtr zápisu.

Povolení UWF

  1. Povolte funkci Sjednocený filtr zápisu spuštěním následujícího příkazu z příkazového řádku pro správu:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter

  2. Restartujte referenční zařízení.

  3. Konfigurace a povolení překrytí a ochrany se nejlépe provádí prostřednictvím skriptování, ale pro toto cvičení konfigurujeme pomocí příkazového řádku.

    Další informace o UWF, včetně ukázkových skriptů, naleznete v tématu Sjednocený filtr zápisu (UWF).

  4. Na příkazovém řádku pro správu spusťte následující příkazy:

    uwfmgr volume protect c:
uwfmgr filter enable

  5. Restartujte referenční zařízení.

  6. Na příkazovém řádku pro správu ověřte, že je spuštěný nástroj UWF. Stav souboru by měl být ZAPNUTO:

    uwfmgr.exe get-config

  7. Všechny zápisy se teď přesměrují do překrytí paměti RAM, což se po restartování referenčního zařízení zahodí.

  8. Zkuste odebrat starší verzi Windows Media Playeru (aplikace) volitelnou funkci:

    Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"

  9. Uvidíte, že se aplikace odebere, ale když zařízení restartujete, aplikace se vrátí.

  10. Pokud chcete zakázat sjednocený filtr zápisu, spusťte následující příkaz a restartujte zařízení.

    uwfmgr filter disable

  11. Ověřte, že je UWF deaktivovaný. Stav Fileru by měl být VYPNUTO:

    uwfmgr.exe get-config

Poznámka

Při použití sjednoceného filtru zápisu musíte vzít v úvahu aktivaci produktu operačního systému. Aktivace produktu musí být provedena se zakázaným jednotným filtrem zápisu. Také při klonování image do jiných zařízení musí být image ve stavu Sysprep a filtr je před zachycením image zakázaný.

Neznačková bota

Nepojmenovaný spouštěč vám umožňuje:

  • Potlačit prvky Systému Windows, které se zobrazí při spuštění nebo obnovení Systému Windows
  • Potlačit obrazovku s chybovým ukončením, když windows narazí na chybu, ze které se nemůže zotavit.

Povolení neznamenaného spuštění

  1. Spuštěním následujícího příkazu v příkazovém řádku pro správu povolte funkci Neznamenané spuštění:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown
Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExp

  2. Restartujte referenční zařízení.

Konfigurace nastavení neoznačeného spuštění za běhu pomocí BCDEdit

Neznačkované spouštění můžete přizpůsobit z příkazového řádku s oprávněními správce následujícími způsoby:

  1. Zakažte při spuštění klávesu F8, abyste zabránili přístupu k nabídce Upřesnit možnosti spuštění:

    bcdedit.exe -set {globalsettings} advancedoptions false

  2. Zakažte klávesu F10 během spuštění, abyste zabránili přístupu k nabídce Upřesnit možnosti spuštění:

    bcdedit.exe -set {globalsettings} optionsedit false

  3. Potlačit všechny prvky uživatelského rozhraní Windows (logo, indikátor stavu a stavové zprávy) během spouštění:

    bcdedit.exe -set {globalsettings} bootuxdisabled on

Restartujte referenční zařízení a všimněte si, že prvky uživatelského rozhraní systému Windows jsou během spouštění potlačeny.

Poznámka

Kdykoli znovu sestavíte informace BCD, například pomocí bcdboot, budete muset znovu spustit výše uvedené příkazy.

Vlastní přihlášení

Pomocí funkce vlastního přihlášení můžete potlačit prvky uživatelského rozhraní systému Windows, které souvisejí s uvítací obrazovkou a obrazovkou vypnutí systému. Můžete například potlačit všechny prvky uživatelského rozhraní úvodní obrazovky a zadat vlastní přihlašovací uživatelské rozhraní. Můžete také potlačit obrazovku Blocked Shutdown Resolver (BSDR) a automaticky ukončit aplikace, zatímco operační systém čeká na zavření aplikací před vypnutím. Další informace naleznete v tématu Vlastní přihlášení.

Poznámka

Funkce vlastního přihlášení nebude fungovat na obrázcích, které používají prázdný nebo zkušební kód Product Key. K zobrazení změn provedených pomocí následujících příkazů musíte použít platný kód Product Key.

  1. Funkci Vlastní přihlášení povolte spuštěním následujícího příkazu na příkazovém řádku pro správu:

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon

  2. Pokud se zobrazí výzva k restartování, zvolte Ne.

  3. Upravte následující položky registru. Pokud se zobrazí výzva k přepsání, zvolte Ano.

    • Tento příkaz nastaví hodnotu BrandingNeutral v registru, která řídí zobrazení informací o značce během přihlášení.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1
    • Tento příkaz nastaví hodnotu HideAutoLogonUI v registru, která řídí zobrazení uživatelského rozhraní automatického přihlášení.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1
    • Tento příkaz nastaví hodnotu HideFirstLogonAnimation v registru, která řídí zobrazení první přihlašovací animace.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1
    • Tento příkaz nastaví hodnotu AnimationDisabled v registru, která určuje, jestli je animace přihlašovacího uživatelského rozhraní zakázaná.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1
    • Tento příkaz nastaví hodnotu NoLockScreen v registru, která určuje, zda je zobrazena zamykací obrazovka.
    Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1
    • Tento příkaz nastaví hodnotu UIVerbosityLevel v registru, která řídí úroveň podrobností uživatelského rozhraní.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1

  4. Restartujte referenční zařízení. Už byste neměli vidět prvky uživatelského rozhraní Systému Windows, které souvisejí s úvodní obrazovkou a obrazovkou vypnutí.

Další kroky

Dokončili jste povolení funkcí uzamčení. Zásady skupiny můžete použít k dalšímu přizpůsobení uživatelského prostředí zařízení. Cvičení 3 popisuje, jak nakonfigurovat nastavení zásad.

Přejít do laboratoře 3