Lab 2: Gerätesperrfunktionen
In den Labs 1a und 1b haben wir das Betriebssystem auf einem Referenzgerät installiert und Anpassungen im Überwachungsmodus vorgenommen. In diesem Lab werden verschiedene Möglichkeiten beschrieben, wie Sie Ihr Gerät mithilfe der in Windows integrierten Gerätesperrfunktionen sperren. Die Gerätesperrfunktionen werden nicht in einer bestimmten Reihenfolge aufgeführt. Sie können alle Funktionen, einige oder keine der Funktionen aktivieren, je nachdem, welches Gerät Sie verwenden.
Hinweis
Dieses Lab ist optional. Sie können ein IoT Enterprise-Gerät erstellen, ohne eines der in diesem Lab beschriebenen Features zu aktivieren. Wenn Sie keine dieser Funktionen implementieren, können Sie mit Lab 3 fortfahren.
Für einen vollständig automatisierten Ansatz für diese Schritte sollten Sie das Windows IoT Enterprise-Bereitstellungsframework verwenden.
Voraussetzungen
Schließen Sie Lab 1a ab: Erstellen Sie ein einfaches Image.
Tastaturfilter
Der Tastaturfilter aktiviert Steuerelemente, mit denen Sie unerwünschte Eingaben oder Tastenkombinationen unterdrücken können. Normalerweise können Kundinnen und Kunden den Vorgang eines Geräts durch bestimmte Tastenkombinationen wie Strg+Alt+Entf, Strg+Umschalt+Tab, Alt+F4 usw. ändern. Der Tastaturfilter verhindert, dass Benutzende diese Tastenkombinationen verwenden, was hilfreich ist, wenn Ihr Gerät für einen bestimmten Zweck vorgesehen ist.
Die Tastaturfilterfunktion funktioniert mit physischen Tastaturen, der Windows-Bildschirmtastatur und der Bildschirmtastatur. Der Tastaturfilter erkennt auch dynamische Layoutänderungen und unterdrückt weiterhin Tasten korrekt, selbst wenn sich die Position der unterdrückten Tasten auf der Tastatur ändert. Ein Beispiel für dieses Szenario besteht darin, von einer Sprache zu einer anderen zu wechseln.
Tastaturfilterschlüssel werden in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter gespeichert.
Aktivieren Sie den Tastaturfilter
Es gibt mehrere Methoden, um den Tastaturfilter zu aktivieren. Wir stellen Anweisungen für eine dieser Methoden bereit. Weitere Informationen finden Sie unter Tastaturfilter.
Aktivieren Sie die Tastaturfilterfunktion, indem Sie den folgenden Befehl an einer administrativen Eingabeaufforderung ausführen:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterSie erhalten die Aufforderung, das Referenzgerät neu zu starten. Geben Sie zum Neustart Y ein. Das Gerät wird im Überwachungsmodus neu gestartet.
Weitere Informationen zum Blockieren von Tastenkombinationen finden Sie nach Aktivierung des Tastaturfilters unter Tastaturfilter PowerShell-Skriptbeispiele.
In diesem Lab zeigen wir Ihnen, wie Sie die Tastenkombination STRG+ALT+ENTF blockieren können. Kopieren Sie die folgenden Befehle in ein administratives PowerShell-Befehlsfenster und fügen Sie sie dort ein.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Starten Sie das Referenzgerät neu und beachten Sie dann, dass die Tastenkombination STRG+ALT+ENTF gesperrt ist.
Einheitlicher Schreibfilter (UWF)
Einheitlicher Schreibfilter (UWF) hilft, die Konfiguration Ihres Gerätes zu schützen, indem er alle Schreibvorgänge auf das Laufwerk (App-Installationen, Einstellungsänderungen, gespeicherte Daten) in einer virtuellen Überlagerung abfängt und umleitet. Diese Überlagerung wird durch einen Neustart automatisch gelöscht, es sei denn, sie wurde so konfiguriert, dass sie erhalten bleibt, bis der einheitliche Schreibfilter deaktiviert wird.
Aktivieren der UWF
Aktivieren Sie die Einheitlicher Schreibfilter-Funktion, indem Sie den folgenden Befehl an einer administrativen Eingabeaufforderung ausführen:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterStarten Sie das Referenzgerät neu
Die Konfiguration und Aktivierung der Überlagerung und des Schutzes erfolgt am besten über Skripte, aber für dieses Lab konfigurieren wir über die Befehlszeile.
Weitere Informationen zum UWF, einschließlich Beispielskripten, finden Sie unter Einheitliche Schreibfilter (UWF).
Führen Sie an einer administrativen Eingabeaufforderung die folgenden Befehle aus:
uwfmgr volume protect c: uwfmgr filter enableStarten Sie das Referenzgerät neu
Bestätigen Sie an einer administrativen Eingabeaufforderung, dass UWF ausgeführt wird. Filterstatus sollte auf EIN festgelegt sein:
uwfmgr.exe get-configJetzt werden alle Schreibvorgänge an die RAM-Überlagerung umgeleitet, die verworfen wird, wenn das Referenzgerät neu gestartet wird.
Versuchen Sie, Windows Media Player Legacy (App) zu entfernen. Optionale Funktion:
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"Sie können sehen, dass die App entfernt wird, aber wenn Sie das Gerät neu starten, ist die App wieder verfügbar.
Um den einheitlichen Schreibfilter zu deaktivieren, führen Sie den folgenden Befehl aus und starten Sie das Gerät anschließend neu.
uwfmgr filter disableVergewissern Sie sich, dass UWF deaktiviert ist. Filterstatus sollte auf AUS festgelegt sein:
uwfmgr.exe get-config
Hinweis
Bei Verwendung des einheitlichen Schreibfilters müssen Sie die Produktaktivierung des Betriebssystems berücksichtigen. Die Produktaktivierung muss mit deaktiviertem einheitlichen Schreibfilter erfolgen. Wenn Sie das Image auf andere Geräte klonen, muss sich das Image außerdem in einem Sysprep-Zustand befinden und der Filter muss deaktiviert sein, bevor das Image erfasst wird.
Nicht markierter Start
Der nicht markierte Start ermöglicht Folgendes:
- Unterdrückt Windows-Elemente, die beim Starten oder Fortsetzen von Windows angezeigt werden.
- Unterdrückt den Absturzbildschirm, wenn Windows auf einen Fehler stößt, den es nicht beheben kann.
Aktivieren der Nicht markierter Start
Aktivieren Sie die nicht markierter Startfunktion, indem Sie den folgenden Befehl in einer administrativen Eingabeaufforderung ausführen:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpStarten Sie das Referenzgerät neu
Konfigurieren Sie die Einstellungen für den nicht markierter Start zur Laufzeit mit BCDEdit
Sie können den nicht markierter Start über eine administrative Eingabeaufforderung auf folgende Weise anpassen:
Deaktivieren Sie die F8-Taste während des Starts, um den Zugriff auf das Menü Erweiterte Startoptionen zu verhindern:
bcdedit.exe -set {globalsettings} advancedoptions falseDeaktivieren Sie die F10-Taste während des Starts, um den Zugriff auf das Menü Erweiterte Startoptionen zu verhindern:
bcdedit.exe -set {globalsettings} optionsedit falseAlle Elemente der Windows-Benutzeroberfläche (Logo, Statusanzeige und Statusmeldung) während des Starts unterdrücken:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Starten Sie das Referenzgerät neu, und beachten Sie, dass die Windows-UI-Elemente beim Start unterdrückt werden.
Hinweis
Jedes Mal, wenn Sie die BCD-Informationen neu erstellen, beispielsweise mit bcdboot, müssen Sie die obigen Befehle erneut ausführen.
Benutzerdefinierte Anmeldung
Sie können die Funktion Benutzerdefinierte Anmeldung verwenden, um Elemente der Windows-Benutzeroberfläche zu unterdrücken, die sich auf den Willkommensbildschirm und den Bildschirm zum Herunterfahren beziehen. Sie können beispielsweise alle Elemente der Benutzeroberfläche der Willkommensseite unterdrücken und eine benutzerdefinierte Anmeldebenutzeroberfläche bereitstellen. Darüber hinaus können Sie den Bildschirm des Konfliktlösers für das blockierte Herunterfahren (Blocked Shutdown Resolver, BSDR) unterdrücken und Anwendungen automatisch beenden, während das Betriebssystem wartet, bis Anwendungen vor dem Herunterfahren geschlossen wurden. Weitere Informationen finden Sie unter Benutzerdefinierte Anmeldung.
Hinweis
Die benutzerdefinierte Anmeldefunktion funktioniert nicht bei Bildern, die einen leeren oder einen Evaluierungsproduktschlüssel verwenden. Sie müssen einen gültigen Produktschlüssel verwenden, um die mit den folgenden Befehlen vorgenommenen Änderungen anzuzeigen.
Aktivieren Sie die benutzerdefinierte Anmeldung, indem Sie den folgenden Befehl an einer administrativen Eingabeaufforderung ausführen:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonWenn Sie zum Neustart aufgefordert werden, wählen Sie „Nein“.
Ändern Sie die folgenden Registrierungseinträge. Wenn Sie zum Überschreiben aufgefordert werden, wählen Sie „Ja“.
- Dieser Befehl legt den Wert BrandingNeutral in der Registrierung fest, der die Anzeige von Branding-Informationen bei der Anmeldung steuert.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Dieser Befehl legt den Wert HideAutoLogonUI in der Registrierung fest, der die Anzeige der Benutzeroberfläche für die automatische Anmeldung steuert.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Dieser Befehl legt den Wert HideFirstLogonAnimation in der Registry fest, der die Anzeige der ersten Anmeldeanimation steuert.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Dieser Befehl legt den Wert AnimationDisabled in der Registrierung fest, der steuert, ob die Animation der Benutzeroberfläche bei der Anmeldung deaktiviert ist.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Dieser Befehl legt den Wert NoLockScreen in der Registrierung fest, der steuert, ob der Sperrbildschirm angezeigt wird.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Dieser Befehl legt den Wert UIVerbosityLevel in der Registrierung fest, der den Ausführlichkeitsgrad der Benutzeroberfläche steuert.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Starten Sie das Referenzgerät neu. Sie sollten die Elemente der Windows-Benutzeroberfläche, die sich auf den Begrüßungsbildschirm und den Bildschirm zum Herunterfahren beziehen, nicht mehr sehen.
Nächste Schritte
Sie haben die Aktivierung von Sperrmodusfunktionen abgeschlossen. Sie können Gruppenrichtlinien verwenden, um die Benutzererfahrung Ihres Geräts weiter anzupassen. Lab 3 behandelt die Konfiguration von Richtlinieneinstellungen.