Laboratorio 2: Características de bloqueo de dispositivos
En los laboratorios 1a y 1b, instalamos el sistema operativo en un dispositivo de referencia y realizamos personalizaciones en modo auditoría. En este laboratorio se describen varias maneras de bloquear el dispositivo mediante características de bloqueo de dispositivos integradas en Windows. Las características de bloqueo de dispositivos no aparecen en ningún orden determinado. Puedes habilitar todas las características, algunas o ninguna de las características, en función del dispositivo que estés compilando.
Nota:
Este laboratorio es opcional. Puedes crear un dispositivo IoT Enterprise sin habilitar ninguna de las características descritas en este laboratorio. Si no implementas ninguna de estas características, puedes continuar con el Laboratorio 3.
Para obtener un enfoque totalmente automatizado de estos pasos, considera la posibilidad de usar el marco de implementación de Windows IoT Enterprise.
Requisitos previos
Completa el Laboratorio 1a: crear una imagen básica.
Filtro del teclado
El Filtro de teclado habilita controles que puedes usar para suprimir las pulsaciones o combinaciones de teclas no deseadas. Normalmente, un cliente puede modificar la operación de un dispositivo mediante determinadas combinaciones de teclas, como Ctrl+Alt+Eliminar, Ctrl+Mayús+Tab, Alt+F4, etc. El Filtro de teclado impide que los usuarios usen estas combinaciones de teclas, lo que resulta útil si el dispositivo está pensado para un propósito dedicado.
La característica Filtro de teclado funciona con teclados físicos, el teclado en pantalla de Windows y el teclado táctil. El Filtro de teclado también detecta cambios de diseño dinámico y continúa suprimiendo las teclas correctamente incluso si la ubicación de las teclas suprimidas cambia en el teclado. Un ejemplo de este escenario es cambiar de un idioma establecido a otro.
Las teclas de Filtro de teclado se almacenan en el registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Habilitación del Filtro de teclado
Hay varios métodos para habilitar el Filtro de teclado, se proporcionan instrucciones para uno de esos métodos. Para obtener más información, consulta Filtro de teclado.
Habilita la característica Filtro de teclado al ejecutar el siguiente comando desde un símbolo del sistema administrativo:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterSe te pedirá que reinicies el dispositivo de referencia, escribe Y para reiniciar. El dispositivo se reinicia en modo auditoría.
Una vez que habilites el Filtro de teclado, consulta Ejemplos de scripts de PowerShell de Filtro de teclado para obtener información sobre cómo bloquear combinaciones de teclas.
Para este laboratorio, vamos a proporcionar una demostración sobre cómo bloquear la tecla CTRL+ALT+SUPR. En una ventana de comandos de PowerShell administrativa, copia y pega los siguientes comandos.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Reinicia el dispositivo de referencia y anota que la tecla CTRL+ALT+SUPR está bloqueada.
Filtro de escritura unificado (UWF)
El Filtro de escritura unificado (UWF) ayuda a proteger la configuración de tu dispositivo al interceptar y redirigir las escrituras a la unidad (instalaciones de aplicaciones, cambios de configuración, datos guardados) a una superposición virtual. Esta superposición se elimina automáticamente al reiniciar a menos que se configure para conservarse hasta que se deshabilite el filtro de escritura unificado.
Habilitación de UWF
Habilita la característica Filtro de escritura unificado mediante la ejecución del comando siguiente desde un símbolo del sistema administrativo:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterReinicio del dispositivo de referencia
La configuración y habilitación de la superposición y la protección se realizan mejor a través del scripting, pero para este laboratorio se configura mediante la línea de comandos
Para obtener más información sobre UWF, incluyendo los scripts de ejemplo, consulta Filtro de escritura unificado (UWF).
En un símbolo del sistema administrativo, ejecuta los siguientes comandos:
uwfmgr volume protect c: uwfmgr filter enableReinicio del dispositivo de referencia
En un símbolo del sistema administrativo, confirma que UWF se está ejecutando. El Estado del archivador debe ser ON:
uwfmgr.exe get-configAhora todas las escrituras se redirigen a la superposición de RAM, que se descarta cuando se reinicia el dispositivo de referencia.
Prueba a quitar la característica opcional Reproductor multimedia heredado de Windows (Aplicación):
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"Puedes ver que la aplicación se ha quitado, pero al reiniciar el dispositivo, la aplicación vuelve a estar.
Para deshabilitar el filtro de escritura unificada, ejecuta el siguiente comando y reinicia el dispositivo.
uwfmgr filter disableConfirma que UWF está deshabilitado. El Estado del archivador debe ser OFF:
uwfmgr.exe get-config
Nota:
Al usar el filtro de escritura unificada, debe tener en cuenta la activación del producto del sistema operativo. La activación del producto debe realizarse con el filtro de escritura unificada deshabilitado. Además, al clonar la imagen en otros dispositivos, la imagen debe estar en estado Sysprep y el filtro debe estar deshabilitado antes de capturar la imagen.
Arranque sin marca
El arranque sin marca te permite:
- Suprimir los elementos de Windows que aparecen cuando Windows se inicia o reanuda.
- Suprimir la pantalla de bloqueo cuando Windows encuentre un error de que no se pueda recuperar.
Habilitación del arranque sin marca
Habilita la característica de arranque sin marca ejecutando el siguiente comando en un símbolo del sistema administrativo:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpReinicio del dispositivo de referencia
Configuración de las opciones de arranque sin marca en tiempo de ejecución mediante BCDEdit
Puedes personalizar el arranque sin marca desde un símbolo del sistema administrativo de las maneras siguientes:
Deshabilita la tecla F8 durante el arranque para impedir el acceso al menú Opciones avanzadas de arranque:
bcdedit.exe -set {globalsettings} advancedoptions falseDeshabilita la tecla F10 durante el arranque para impedir el acceso al menú Opciones avanzadas de arranque:
bcdedit.exe -set {globalsettings} optionsedit falseSuprime todos los elementos de la interfaz de usuario de Windows (logotipo, indicador de estado y mensaje de estado) durante el inicio:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Reinicia el dispositivo de referencia y observa que los elementos de la interfaz de usuario de Windows se suprimen durante el arranque.
Nota:
Cada vez que recompiles la información de BCD, por ejemplo, con bcdboot, tendrás que volver a ejecutar los comandos anteriores.
inicio de sesión personalizado
Puedes usar la característica Inicio de sesión personalizado para suprimir elementos de la interfaz de usuario de Windows que se relacionan con la pantalla de bienvenida y la pantalla de apagado. Por ejemplo, puedes suprimir todos los elementos de la interfaz de usuario de la pantalla de bienvenida y proporcionar una interfaz de usuario de inicio de sesión personalizada. También puedes suprimir la pantalla Resolución de apagado bloqueado (BSDR) y finalizar las aplicaciones automáticamente, mientras el sistema operativo espera a que se cierren las aplicaciones antes de un apagado. Para obtener más información, consulta Configuraciones regionales personalizadas.
Nota:
La característica Inicio de sesión personalizado no funcionará en imágenes que usen una clave de producto en blanco o de evaluación. Debes usar una clave de producto válida para ver los cambios realizados con los siguientes comandos.
Habilita la característica Inicio de sesión personalizado ejecutando el siguiente comando en un símbolo del sistema administrativo:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonSi se te pide reiniciar, elige No.
Modifica las siguientes entrada del registro. Si se te pide sobrescribir, elige Sí.
- Este comando establece el valor BrandingNeutral en el registro, que controla la presentación de la información de personalización de marca durante el inicio de sesión.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Este comando establece el valor HideAutoLogonUI en el registro, que controla la presentación de la interfaz de usuario de inicio de sesión automático.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Este comando establece el valor HideFirstLogonAnimation en el registro, que controla la presentación de la primera animación de inicio de sesión.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Este comando establece el valor AnimationDisabled en el registro, que controla si la animación de interfaz de usuario de inicio de sesión está deshabilitada.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Este comando establece el valor NoLockScreen del registro, que controla si se muestra la pantalla de bloqueo.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Este comando establece el valor UIVerbosityLevel en el registro, que controla el nivel de detalle de la interfaz de usuario.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Reinicia el dispositivo de referencia. Ya no deberías ver los elementos de la interfaz de usuario de Windows relacionados con la pantalla de bienvenida y la pantalla de apagado.
Pasos siguientes
Has completado la habilitación de las características de bloqueo. Puedes usar directivas de grupo para personalizar aún más la experiencia del usuario del dispositivo. En el Laboratorio 3 se explica cómo configurar la configuración de directivas.