Lab 2: Functies voor apparaatvergrendeling
In labs 1a en 1bhebben we het besturingssysteem geïnstalleerd op een referentieapparaat en aanpassingen aangebracht in de controlemodus. In dit lab worden verschillende manieren beschreven om uw apparaat te vergrendelen met behulp van apparaatvergrendelingsfuncties die zijn ingebouwd in Windows. De vergrendelingsfuncties van het apparaat worden niet in een bepaalde volgorde vermeld. U kunt alle functies, sommige of geen van de functies inschakelen, afhankelijk van het apparaat dat u bouwt.
Notitie
Dit lab is optioneel. U kunt een IoT Enterprise-apparaat bouwen zonder dat u een van de functies inschakelt die in dit lab worden beschreven. Als u geen van deze functies implementeert, kunt u Lab 3blijven gebruiken.
Voor een volledig geautomatiseerde benadering van deze stappen kunt u overwegen het Windows IoT Enterprise-implementatieframework te gebruiken.
Voorwaarden
Voltooi Lab 1a: Maak een basisimage.
Toetsenbordfilter
Het toetsenbordfilter stelt bedieningselementen beschikbaar die u kunt gebruiken om ongewenste toetsen of toetsencombinaties te onderdrukken. Normaal gesproken kan een klant de werking van een apparaat wijzigen met behulp van bepaalde toetsencombinaties zoals Ctrl+Alt+Delete, Ctrl+Shift+Tab, Alt+F4, enzovoort. Het toetsenbordfilter voorkomt dat gebruikers deze toetsencombinaties gebruiken, wat handig is als uw apparaat is bedoeld voor een speciaal doel.
De functie Toetsenbordfilter werkt met fysieke toetsenborden, het schermtoetsenbord van Windows en het schermtoetsenbord. Het toetsenbordfilter detecteert ook dynamische indelingswijzigingen en blijft toetsen correct onderdrukken, zelfs als de locatie van de onderdrukte toetsen op het toetsenbord verandert. Een voorbeeld van dit scenario is het overschakelen van de ene taal naar de andere taal.
Toetsenbordfiltertoetsen worden opgeslagen in het register op HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Het toetsenbordfilter inschakelen
Er zijn verschillende methoden om het toetsenbordfilter in te schakelen. We geven instructies voor een van deze methoden. Zie Toetsenbordfiltervoor meer informatie.
Schakel de functie Toetsenbordfilter in door de volgende opdracht uit te voeren vanaf een beheeropdrachtprompt:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterU wordt gevraagd het referentieapparaat opnieuw op te starten. Typ Y- om opnieuw op te starten. Het apparaat wordt opnieuw opgestart in de controlemodus.
Nadat u het toetsenbordfilter hebt ingeschakeld, raadpleegt u PowerShell-scriptvoorbeelden voor toetsenbordfilters voor meer informatie over het blokkeren van toetsencombinaties.
Voor dit lab geven we een demo over het blokkeren van de Ctrl+Alt+DEL-toets. Kopieer en plak de volgende opdrachten in een PowerShell-opdrachtvenster met beheerdersrechten.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Start het referentieapparaat opnieuw op en noteer dat de Ctrl+Alt+DEL-toets is geblokkeerd.
Unified Write Filter (UWF)
Unified Write Filter (UWF) helpt om de configuratie van uw apparaat te beschermen door schrijfbewerkingen naar de schijf (zoals app-installaties, wijzigingen in instellingen, opgeslagen data) te onderscheppen en om te leiden naar een virtuele overlay. Deze overlay wordt automatisch verwijderd door opnieuw op te starten, tenzij deze is geconfigureerd om te worden bewaard totdat het geïntegreerde schrijffilter is uitgeschakeld.
De UWF inschakelen
Schakel de functie Unified Write Filter in door de volgende opdracht uit te voeren vanaf een beheeropdrachtprompt:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterHet referentieapparaat opnieuw opstarten
Het configureren en inschakelen van de overlay en beveiliging wordt het beste gedaan via scripting, maar voor dit experiment configureren we gebruikmakend van de opdrachtregel.
Zie UWF-(Unified Write Filter) voor meer informatie over de UWF, inclusief voorbeeldscripts.
Voer bij een beheeropdrachtprompt de volgende opdrachten uit:
uwfmgr volume protect c: uwfmgr filter enableHet referentieapparaat opnieuw opstarten
Controleer bij een beheeropdrachtprompt of UWF wordt uitgevoerd. Filerstatus moet AANzijn.
uwfmgr.exe get-configNu worden alle schrijfbewerkingen omgeleid naar de RAM-overlay, die wordt verwijderd wanneer het referentieapparaat opnieuw wordt opgestart.
Probeer Windows Media Player Legacy (App) als optionele functie te verwijderen:
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"U kunt zien dat de app wordt verwijderd, maar wanneer u het apparaat opnieuw opstart, is de app weer terug.
Als u het Unified Write Filter wilt uitschakelen, voert u de volgende opdracht uit en start u het apparaat opnieuw op.
uwfmgr filter disableControleer of UWF is uitgeschakeld. Filer-status moet UITzijn:
uwfmgr.exe get-config
Notitie
Wanneer u het Unified Write Filter gebruikt, moet u rekening houden met de productactivering van het besturingssysteem. Productactivering moet worden uitgevoerd met de Unified Write Filter uitgeschakeld. Bij het klonen van de installatiekopie naar andere apparaten moet de installatiekopie ook een Sysprep-status hebben en moet het filter zijn uitgeschakeld voordat de installatiekopie wordt vastgelegd.
Merkloze laars
niet-merkloze opstart kunt u het volgende doen:
- Windows-elementen onderdrukken die worden weergegeven wanneer Windows wordt gestart of hervat.
- Onderdrukt het crashscherm wanneer Windows een fout tegenkomt waaruit het niet kan herstellen.
Niet gemerkte opstart inschakelen
Schakel de niet-merkloze opstartfunctie in door de volgende opdracht uit te voeren in een beheeropdrachtprompt:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpHet referentieapparaat opnieuw opstarten
Niet-merkloze opstartinstellingen tijdens runtime configureren met BCDEdit
U kunt het opstarten zonder merk aanpassen vanaf een beheeropdrachtprompt op de volgende manieren:
Schakel de F8-toets uit tijdens het opstarten om toegang tot het menu Geavanceerde opstartopties te voorkomen:
bcdedit.exe -set {globalsettings} advancedoptions falseSchakel de F10-sleutel uit tijdens het opstarten om toegang tot het menu Geavanceerde opstartopties te voorkomen:
bcdedit.exe -set {globalsettings} optionsedit falseOnderdrukt alle Elementen van de Gebruikersinterface van Windows (logo, statusindicator en statusbericht) tijdens het opstarten:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Start het referentieapparaat opnieuw op en u ziet dat de Windows UI-elementen worden onderdrukt tijdens het opstarten.
Notitie
Wanneer u de BCD-gegevens opnieuw opbouwt, bijvoorbeeld met bcdboot, moet u de bovenstaande opdrachten opnieuw uitvoeren.
Aangepast inloggen
U kunt de Custom Logon-functie gebruiken voor het verbergen van Windows-gebruikersinterface-elementen die betrekking hebben op het welkomstscherm en het afsluitscherm. U kunt bijvoorbeeld alle elementen van de gebruikersinterface van het welkomstscherm onderdrukken en een aangepaste aanmeldingsgebruikersinterface opgeven. U kunt ook het Blocked Shutdown Resolver (BSDR)-scherm onderdrukken en toepassingen automatisch beëindigen terwijl het besturingssysteem wacht tot de toepassingen zijn afgesloten voordat het zichzelf afsluit. Voor meer informatie, zie Aangepaste aanmelding.
Notitie
Aangepaste aanmeldingsfunctie werkt niet voor afbeeldingen die een lege of evaluatieproductcode gebruiken. U moet een geldige productcode gebruiken om de wijzigingen te zien die zijn aangebracht met de onderstaande opdrachten.
Schakel de functie Aangepaste aanmelding in door de volgende opdracht uit te voeren op een beheeropdrachtprompt:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonAls u wordt gevraagd om opnieuw op te starten, kiest u Nee.
Wijzig de volgende registervermeldingen. Als u wordt gevraagd om te overschrijven, kiest u Ja.
- Met deze opdracht stelt u de BrandingNeutral--waarde in het register in, waarmee de weergave van huisstijlgegevens tijdens de aanmelding wordt bepaald.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Met deze opdracht stelt u de HideAutoLogonUI waarde in het register in, waarmee de weergave van de gebruikersinterface voor automatisch aanmelden wordt bepaald.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Met deze opdracht stelt u de waarde HideFirstLogonAnimation in het register in, waarmee de weergave van de eerste aanmeldingsanimatie wordt bepaald.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Met deze opdracht stelt u de waarde AnimationDisabled in het register in, waarmee wordt bepaald of de aanmeldings-UI-animatie is uitgeschakeld.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Met deze opdracht stelt u de waarde NoLockScreen in het register in, waarmee wordt bepaald of het vergrendelingsscherm wordt weergegeven.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Met deze opdracht stelt u de UIVerbosityLevel waarde in het register in, waarmee het uitgebreidheidsniveau van de gebruikersinterface wordt bepaald.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Start het referentieapparaat opnieuw op. U ziet niet langer de Windows UI-elementen die betrekking hebben op het welkomstscherm en het afsluitscherm.
Volgende stappen
U hebt het inschakelen van de vergrendelingsfuncties voltooid. U kunt groepsbeleid gebruiken om de gebruikerservaring van uw apparaat verder aan te passen. Lab 3 behandelt het configureren van beleidsinstellingen.