Laboratorium 2: Funkcje blokady urządzenia
W laboratoriach 1a i 1bsystem operacyjny został zainstalowany na urządzeniu odniesienia i wprowadziliśmy dostosowania w trybie inspekcji. W tym laboratorium opisano kilka sposobów blokowania urządzenia przy użyciu funkcji blokady urządzenia wbudowanych w system Windows. Funkcje blokady urządzenia nie są wymienione w żadnej określonej kolejności. Możesz włączyć wszystkie funkcje, niektóre lub żadnej z funkcji, w zależności od urządzenia, które budujesz.
Notatka
To laboratorium jest opcjonalne. Urządzenie IoT Enterprise można utworzyć bez włączania żadnych funkcji opisanych w tym laboratorium. Jeśli nie implementujesz żadnej z tych funkcji, możesz kontynuować Lab 3.
Aby uzyskać w pełni zautomatyzowane podejście do tych kroków, rozważ użycie platformy wdrażania Windows IoT Enterprise.
Warunki wstępne
Ukończ laboratorium 1a: utwórz podstawowy obraz.
Filtr klawiatury
Filtr klawiatury umożliwia kontrolowanie, które można wykorzystać do eliminowania niepożądanych naciśnięć lub kombinacji klawiszy. Zwykle klient może zmienić działanie urządzenia przy użyciu niektórych kombinacji, takich jak Ctrl+Alt+Delete, Ctrl+Shift+Tab, Alt+F4 itp. Filtr Klawiatura uniemożliwia użytkownikom korzystanie z tych kombinacji, co jest przydatne, jeśli urządzenie jest przeznaczone do dedykowanego celu.
Funkcja Filtr klawiatury działa z klawiaturami fizycznymi, klawiaturą ekranową systemu Windows i klawiaturą dotykową. Filtr klawiatury wykrywa również zmiany dynamicznego układu i kontynuuje prawidłowe blokowanie klawiszy, nawet jeśli lokalizacja blokowanych klawiszy zmienia się na klawiaturze. Przykładem tego scenariusza jest przełączenie z jednego zestawu języków na inny.
Klucze filtru klawiatury są przechowywane w rejestrze w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Włączanie filtru klawiatury
Istnieje kilka metod włączania filtru klawiatury. Udostępniamy instrukcje dla jednej z tych metod. Aby uzyskać więcej informacji, zobacz Filtr klawiatury.
Włącz funkcję Filtr klawiatury, uruchamiając następujące polecenie w wierszu polecenia administracyjnego:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterZostanie wyświetlony monit o ponowne uruchomienie urządzenia odniesienia, wpisz Y, aby ponownie uruchomić urządzenie. Urządzenie jest ponownie uruchamiane w trybie inspekcji.
Po włączeniu filtru klawiatury zobacz Przykłady skryptów programu PowerShell filtru klawiatury, aby dowiedzieć się, jak zablokować kombinacje klawiszy.
W tym laboratorium udostępnimy pokaz blokowania CTRL+ALT+DEL. W administracyjnym oknie polecenia programu PowerShell skopiuj i wklej następujące polecenia.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Uruchom ponownie urządzenie referencyjne, a następnie zauważ, że klawisz CTRL+ALT+DEL jest zablokowana.
Ujednolicony filtr zapisu (UWF)
Ujednolicony filtr zapisu (UWF) pomaga chronić konfigurację urządzenia przez przechwytywanie i przekierowywanie wszelkich zapisów na dysku (instalacje aplikacji, zmiany ustawień, zapisane dane) w wirtualnej nakładce. Ta nakładka zostanie automatycznie usunięta przez ponowne uruchomienie, chyba że zostanie skonfigurowana do zachowania do czasu wyłączenia ujednoliconego filtru zapisu.
Włącz UWF
Włącz funkcję Ujednolicony filtr zapisu, uruchamiając następujące polecenie w wierszu polecenia administracyjnego:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterUruchom ponownie urządzenie referencyjne
Konfigurowanie i włączanie nakładki i ochrony najlepiej wykonać za pomocą skryptów, ale w tym laboratorium konfigurujemy przy użyciu wiersza polecenia
Aby uzyskać więcej informacji na temat Ujednoliconego Filtru Zapisów (UWF), w tym przykładowych skryptów, zobacz Ujednolicony filtr zapisu (UWF).
W wierszu polecenia administracyjnego uruchom następujące polecenia:
uwfmgr volume protect c: uwfmgr filter enableUruchom ponownie urządzenie referencyjne
W wierszu polecenia administracyjnego upewnij się, że platforma UWF jest uruchomiona. Stan filera powinien być WŁĄCZONY:
uwfmgr.exe get-configTeraz wszystkie zapisy są przekierowywane do nakładki pamięci RAM, która jest odrzucana po ponownym uruchomieniu urządzenia odniesienia.
Spróbuj usunąć starszej wersji programu Windows Media Player (aplikacja) opcjonalna funkcja:
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"Widać, że aplikacja zostanie usunięta, ale po ponownym uruchomieniu urządzenia aplikacja wróci.
Aby wyłączyć ujednolicony filtr zapisu, uruchom następujące polecenie, a następnie uruchom ponownie urządzenie.
uwfmgr filter disableUpewnij się, że UWF jest wyłączony. Stan pliku powinien być WYŁĄCZONY:
uwfmgr.exe get-config
Notatka
W przypadku korzystania z ujednoliconego filtru zapisu należy wziąć pod uwagę aktywację produktu systemu operacyjnego. Aktywacja produktu musi odbywać się z wyłączonym filtrem ujednoliconego zapisu. Ponadto podczas klonowania obrazu systemowego na inne urządzenia, przed przechwyceniem obrazu, musi on znajdować się w stanie Sysprep, a filtr musi być wyłączony.
Nieoznaczone buty
Nieoznaczony system startowy pozwala na:
- Ukryj elementy systemu Windows wyświetlane podczas uruchamiania lub wznawiania systemu.
- Ukryj ekran awarii, gdy system Windows napotka błąd, z którego nie można się odzyskać.
Włączanie rozruchu bez nazwy
Włącz funkcję rozruchu bez nazwy, uruchamiając następujące polecenie w wierszu polecenia administracyjnego:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpUruchom ponownie urządzenie referencyjne
Konfiguruj ustawienia trybu rozruchu bez marki w trakcie działania przy użyciu BCDEdit.
Rozruch bez nazwy można dostosować z poziomu wiersza polecenia administracyjnego w następujący sposób:
Wyłącz F8 podczas uruchamiania, aby uniemożliwić dostęp do menu Zaawansowane opcje uruchamiania:
bcdedit.exe -set {globalsettings} advancedoptions falseWyłącz klucz F10 podczas uruchamiania, aby uniemożliwić dostęp do menu Zaawansowane opcje uruchamiania:
bcdedit.exe -set {globalsettings} optionsedit falsePomiń wszystkie elementy interfejsu użytkownika systemu Windows (logo, wskaźnik stanu i komunikat o stanie) podczas uruchamiania:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Uruchom ponownie urządzenie referencyjne i zwróć uwagę, że elementy interfejsu użytkownika systemu Windows są pomijane podczas uruchamiania.
Notatka
Za każdym razem, gdy ponownie skompilujesz informacje BCD, na przykład przy użyciu bcdboot, musisz ponownie uruchomić powyższe polecenia.
Logowanie niestandardowe
Możesz użyć funkcji niestandardowego logowania , aby pominąć elementy interfejsu użytkownika systemu Windows odnoszące się do ekranu powitalnego i ekranu zamykania. Można na przykład pominąć wszystkie elementy interfejsu użytkownika ekranu powitalnego i udostępnić niestandardowy interfejs użytkownika logowania. Możesz również pominąć ekran zablokowanego zamykania (BSDR) i automatycznie zakończyć aplikacje, gdy system operacyjny czeka na zamknięcie aplikacji przed wyłączeniem. Aby uzyskać więcej informacji, zobacz logowanie niestandardowe.
Notatka
Funkcja logowania niestandardowego nie będzie działać na obrazach, które używają pustego lub ewaluacyjnego klucza produktu. Aby zobaczyć zmiany wprowadzone za pomocą poniższych poleceń, należy użyć prawidłowego klucza produktu.
Włącz funkcję logowania niestandardowego, uruchamiając następujące polecenie w wierszu polecenia administracyjnego:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonJeśli zostanie wyświetlony monit o ponowne uruchomienie, wybierz pozycję Nie.
Zmodyfikuj następujące wpisy rejestru. Jeśli zostanie wyświetlony monit o zastąpienie, wybierz pozycję Tak.
- To polecenie ustawia wartość BrandingNeutral w rejestrze, która kontroluje wyświetlanie informacji o znakowaniu podczas logowania.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- To polecenie ustawia wartość HideAutoLogonUI w rejestrze, która kontroluje wyświetlanie interfejsu użytkownika logowania automatycznego.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- To polecenie ustawia wartość HideFirstLogonAnimation w rejestrze, która kontroluje wyświetlanie pierwszej animacji logowania.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- To polecenie ustawia wartość AnimationDisabled w rejestrze, która określa, czy animacja interfejsu użytkownika logowania jest wyłączona.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- To polecenie ustawia wartość NoLockScreen w rejestrze, która określa, czy ekran blokady jest wyświetlany.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- To polecenie ustawia wartość UIVerbosityLevel w rejestrze, która kontroluje poziom szczegółowości interfejsu użytkownika.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Uruchom ponownie urządzenie referencyjne. Nie powinny być już widoczne elementy interfejsu użytkownika systemu Windows odnoszące się do ekranu powitalnego i ekranu zamykania.
Następne kroki
Ukończono włączanie funkcji blokady. Zasady grupy pozwalają na dalsze dostosowywanie doświadczenia użytkownika na urządzeniu. Laboratorium 3 obejmuje sposób konfigurowania ustawień zasad.