Labo 2 : Fonctionnalités de verrouillage des appareils
Dans les laboratoires 1a et 1b, nous avons installé le système d’exploitation sur un appareil de référence et effectué des personnalisations en mode audit. Ce labo décrit plusieurs façons de verrouiller votre appareil à l’aide de fonctionnalités de verrouillage d’appareil intégrées à Windows. Les fonctionnalités de verrouillage de l’appareil ne sont pas répertoriées dans un ordre particulier. Vous pouvez activer toutes les fonctionnalités, certaines ou aucune des fonctionnalités, selon l’appareil que vous créez.
Remarque
Ce labo est facultatif. Vous pouvez créer un appareil IoT Enterprise sans activer les fonctionnalités décrites dans ce labo. Si vous n’implémentez aucune de ces fonctionnalités, vous pouvez passer à Lab 3.
Pour une approche entièrement automatisée de ces étapes, envisagez d’utiliser l’infrastructure de déploiement Windows IoT Enterprise.
Prérequis
Terminer lab 1a : Créer une image de base.
Filtre de clavier
Le filtre clavier permet d’utiliser les contrôles que vous pouvez utiliser pour supprimer les combinaisons de touches ou de touches indésirables. Normalement, un client peut modifier l’opération d’un appareil à l’aide de certaines combinaisons de touches telles que Ctrl+Alt+Supprimer, Ctrl+Maj+Tab, Alt+F4, etc. Le filtre clavier empêche les utilisateurs d’utiliser ces combinaisons de touches, ce qui est utile si votre appareil est destiné à un usage dédié.
La fonctionnalité Filtre de clavier fonctionne avec les claviers physiques, le clavier Windows à l’écran et le clavier tactile. Le filtre de clavier détecte également les modifications de disposition dynamique et continue de supprimer correctement les touches même si l’emplacement des touches supprimées change sur le clavier. Un exemple de ce scénario consiste à passer d’un langage défini à un autre.
Les touches de filtre de clavier sont stockées dans le Registre à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Activer le filtre clavier
Il existe plusieurs méthodes permettant d’activer le filtre de clavier, nous fournissons des instructions pour l’une de ces méthodes. Pour plus d’informations, consultez Filtre clavier.
Activez la fonctionnalité filtre clavier en exécutant la commande suivante à partir d’une invite de commandes d’administration :
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterVous êtes invité à redémarrer l’appareil de référence, tapez Y pour redémarrer. L’appareil redémarre en mode audit.
Une fois que vous avez activé le filtre de clavier, consultez les exemples de script PowerShell de filtre clavier pour en savoir plus sur les combinaisons de touches bloquantes.
Pour ce labo, nous allons fournir une démonstration sur le blocage de la touche CTRL+ALT+DEL. Dans une fenêtre de commande PowerShell d’administration, copiez et collez les commandes suivantes.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Redémarrez l’appareil de référence, puis notez que la touche Ctrl+Alt+DEL est bloquée.
Filtre d’écriture unifié (UWF)
Le filtre d’écriture unifié (UWF) permet de protéger la configuration de votre appareil en interceptant et en redirigeant les écritures sur le lecteur (installations d’applications, modifications de paramètres, données enregistrées) dans une superposition virtuelle. Cette superposition est automatiquement supprimée en redémarrant, sauf si elle est configurée pour être conservée jusqu’à ce que le filtre d’écriture unifié soit désactivé.
Activer l’UWF
Activez la fonctionnalité de filtre d’écriture unifiée en exécutant la commande suivante à partir d’une invite de commandes d’administration :
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterRedémarrer l’appareil de référence
La configuration et l’activation de la superposition et de la protection sont optimales par le biais de scripts, mais pour ce labo, nous configurons à l’aide de la ligne de commande
Pour plus d’informations sur L’UWF, y compris les exemples de scripts, consultez Le filtre d’écriture unifié (UWF).
À l’invite de commandes d’administration, exécutez les commandes suivantes :
uwfmgr volume protect c: uwfmgr filter enableRedémarrer l’appareil de référence
À l’invite de commandes administratives, vérifiez que UWF est en cours d’exécution. L’état filer doit être ACTIVÉ :
uwfmgr.exe get-configÀ présent, toutes les écritures sont redirigées vers la superposition ram, qui est ignorée lorsque l’appareil de référence est redémarré.
Essayez de supprimer la fonctionnalité facultative Lecteur Windows Media hérité (Application) :
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"Vous pouvez voir que l’application est supprimée, mais lorsque vous redémarrez l’appareil, l’application est de retour.
Pour désactiver le filtre d’écriture unifié, exécutez la commande suivante, puis redémarrez l’appareil.
uwfmgr filter disableVérifiez que UWF est désactivé. L’état filer doit être DÉSACTIVÉ :
uwfmgr.exe get-config
Remarque
Lorsque vous utilisez le filtre d’écriture unifié, vous devez prendre en compte l’activation du produit du système d’exploitation. L’activation du produit doit être effectuée avec le filtre d’écriture unifié désactivé. En outre, lors du clonage de l’image sur d’autres appareils, l’image doit être dans un état Sysprep et le filtre désactivé avant de capturer l’image.
Démarrage sans marque
Le démarrage sans marque vous permet de :
- Supprimez les éléments Windows qui s’affichent lorsque Windows démarre ou reprend.
- Supprimez l’écran d’incident lorsque Windows rencontre une erreur qui ne peut pas être récupérée.
Activer le démarrage sans marque
Activez la fonctionnalité de démarrage sans marque en exécutant la commande suivante dans une invite de commandes d’administration :
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpRedémarrer l’appareil de référence
Configurer les paramètres de démarrage sans marque lors de l’exécution à l’aide de BCDEdit
Vous pouvez personnaliser le démarrage sans marque à partir d’une invite de commandes administratives de la manière suivante :
Désactivez la touche F8 pendant le démarrage pour empêcher l’accès au menu Options de démarrage avancées :
bcdedit.exe -set {globalsettings} advancedoptions falseDésactivez la touche F10 au démarrage pour empêcher l’accès au menu Options de démarrage avancées :
bcdedit.exe -set {globalsettings} optionsedit falseSupprimez tous les éléments de l’interface utilisateur Windows (logo, indicateur d’état et message d’état) au démarrage :
bcdedit.exe -set {globalsettings} bootuxdisabled on
Redémarrez l’appareil de référence et notez que les éléments de l’interface utilisateur Windows sont supprimés au démarrage.
Remarque
Chaque fois que vous régénérez les informations BCD, par exemple en utilisant bcdboot, vous devrez réexécuter les commandes ci-dessus.
Connexion personnalisée
Vous pouvez utiliser la fonctionnalité d’ouverture de session personnalisée pour supprimer les éléments d’interface utilisateur Windows liés à l’écran d’accueil et à l’écran d’arrêt. Par exemple, vous pouvez supprimer l’ensemble des éléments de l’UI de l’écran de démarrage afin de fournir une UI d’ouverture de session personnalisée. Vous pouvez également supprimer l’écran de résolution de l’arrêt bloqué et automatiquement arrêter les applications pendant que le système d’exploitation attend la fermeture des applications avant un arrêt. Pour plus d’informations, consultez Ouverture de session personnalisée.
Remarque
La fonctionnalité d’ouverture de session personnalisée ne fonctionnera pas sur les images qui utilisent une clé de produit vide ou d’évaluation. Vous devez utiliser une clé de produit valide pour voir les modifications apportées avec les commandes ci-dessous.
Activez la fonctionnalité d’ouverture de session personnalisée en exécutant la commande suivante à l’invite de commandes d’administration :
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonSi vous êtes invité à redémarrer, choisissez Non.
Modifiez les entrées de Registre suivantes. Si vous êtes invité à remplacer, choisissez Oui.
- Cette commande définit la valeur BrandingNeutral dans le Registre, qui contrôle l’affichage des informations de personnalisation pendant l’ouverture de session.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Cette commande définit la valeur HideAutoLogonUI dans le Registre, qui contrôle l’affichage de l’interface utilisateur de connexion automatique.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Cette commande définit la valeur HideFirstLogonAnimation dans le Registre, qui contrôle l’affichage de la première animation d’ouverture de session.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Cette commande définit la valeur AnimationDisabled dans le Registre, qui contrôle si l’animation de l’interface utilisateur de connexion est désactivée.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Cette commande définit la valeur NoLockScreen dans le Registre, qui contrôle si l’écran de verrouillage est affiché.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Cette commande définit la valeur UIVerbosityLevel dans le Registre, qui contrôle le niveau de détail de l’interface utilisateur.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Redémarrez l’appareil de référence. Vous ne devez plus voir les éléments de l’interface utilisateur Windows liés à l’écran d’accueil et à l’écran d’arrêt.
Étapes suivantes
Vous avez terminé l’activation des fonctionnalités de verrouillage. Vous pouvez utiliser des stratégies de groupe pour personnaliser davantage l’expérience utilisateur de votre appareil. Lab 3 explique comment configurer les paramètres de stratégie.