Лаборатория 2. Функции блокировки устройств
В лабораториях 1a и 1b мы установили ОПЕРАЦИОННую систему на эталонное устройство и сделали настройки в режиме аудита. В этой лаборатории описано несколько способов блокировки устройства с помощью функций блокировки устройств, встроенных в Windows. Функции блокировки устройств не перечислены в определенном порядке. Вы можете включить все функции, некоторые или ни один из компонентов, в зависимости от устройства, которое вы создаете.
Примечание.
Эта лаборатория является необязательной. Вы можете создать устройство IoT Enterprise без включения каких-либо функций, описанных в этой лаборатории. Если вы не реализуете какие-либо из этих функций, вы можете продолжить работу с лабораторией 3.
Для полностью автоматизированного подхода к этим шагам рекомендуется использовать платформу развертывания Windows IoT Enterprise.
Необходимые компоненты
Завершение лаборатории 1a. Создание базового образа.
Фильтр клавиатуры
Фильтр клавиатуры включает элементы управления, которые можно использовать для подавления нежелательных нажатий клавиш или сочетаний клавиш. Как правило, клиент может изменить операцию устройства с помощью определенных сочетаний клавиш, таких как CTRL+ALT+DELETE, CTRL+SHIFT+TAB, ALT+F4 и т. д. Фильтр клавиатуры запрещает пользователям использовать эти сочетания клавиш, что полезно, если устройство предназначено для выделенной цели.
Функция фильтра клавиатуры работает с физическими клавиатурами, клавиатурой Windows на экране и сенсорной клавиатурой. Фильтр клавиатуры также обнаруживает динамические изменения макета и продолжает подавлять клавиши правильно, даже если расположение отключаемых клавиш изменяется на клавиатуре. Примером этого сценария является переключение с одного языка на другой.
Клавиши фильтра клавиатуры хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Включение фильтра клавиатуры
Существует несколько способов включения фильтра клавиатуры, мы предоставляем инструкции для одного из этих методов. Дополнительные сведения см. в разделе "Фильтр клавиатуры".
Включите функцию фильтра клавиатуры, выполнив следующую команду из командной строки администрирования:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterВам будет предложено перезапустить эталонное устройство, введите Y для перезагрузки. Устройство перезагружается в режим аудита.
После включения фильтра клавиатуры см . примеры скриптов PowerShell для фильтрации клавиатуры, чтобы узнать о сочетаниях клавиш блокировки.
Для этой лаборатории мы предоставим демонстрацию блокировки клавиш CTRL+ALT+DEL. В командном окне PowerShell с правами администратора скопируйте и вставьте следующие команды.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Перезапустите эталонное устройство, а затем обратите внимание, что клавиша CTRL+ALT+DEL заблокирована.
Унифицированный фильтр записи (UWF)
Унифицированный фильтр записи (UWF) помогает защитить конфигурацию устройства, перехватив и перенаправив все записи на диск (установки приложений, изменения параметров, сохраненные данные) в виртуальной наложении. Это наложение автоматически удаляется путем перезагрузки, если не настроено сохранение, пока не будет отключен фильтр единой записи.
Включение UWF
Включите функцию унифицированного фильтра записи, выполнив следующую команду из административной командной строки:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterПерезапустите эталонное устройство
Настройка и включение наложения и защиты лучше всего выполняется с помощью скриптов, но для этой лаборатории мы настраиваем с помощью командной строки
Дополнительные сведения о UWF, включая примеры сценариев, см. в разделе Унифицированный фильтр записи (UWF).
В командной строке администрирования выполните следующие команды:
uwfmgr volume protect c: uwfmgr filter enableПерезапустите эталонное устройство
В командной строке администрирования убедитесь, что UWF запущен. Состояние filer должно иметь значениеON:
uwfmgr.exe get-configТеперь все записи перенаправляются на наложение ОЗУ, которое удаляется при перезагрузке эталонного устройства.
Попробуйте удалить функцию Медиаплеер Windows устаревшей версии (приложение):
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"Вы увидите, что приложение удаляется, но при перезапуске устройства приложение возвращается.
Чтобы отключить единый фильтр записи, выполните следующую команду и перезагрузите устройство.
uwfmgr filter disableУбедитесь, что UWF отключен. Состояние filer должно иметь значениеOFF:
uwfmgr.exe get-config
Примечание.
При использовании фильтра единой записи необходимо учитывать активацию продукта операционной системы. Активация продукта должна выполняться с отключенным фильтром единой записи. Кроме того, при клонирование образа на другие устройства, образ должен находиться в состоянии Sysprep и фильтр отключен перед записью образа.
Небрендированная загрузка
Небрендированная загрузка позволяет:
- Подавляйте элементы Windows, которые отображаются при запуске или возобновлении работы Windows.
- Подавляйте экран сбоя, когда Windows обнаруживает ошибку, из-за которой она не может восстановиться.
Включение небрендированного загрузчика
Включите функцию загрузки unbranded, выполнив следующую команду в командной строке администрирования:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpПерезапустите эталонное устройство
Настройка параметров загрузки unbranded во время выполнения с помощью BCDEdit
Вы можете настроить небрендированную загрузку из командной строки администрирования следующим образом:
Отключите клавишу F8 во время запуска, чтобы предотвратить доступ к меню "Дополнительные параметры запуска":
bcdedit.exe -set {globalsettings} advancedoptions falseОтключите клавишу F10 во время запуска, чтобы запретить доступ к меню "Дополнительные параметры запуска":
bcdedit.exe -set {globalsettings} optionsedit falseПодавляя все элементы пользовательского интерфейса Windows (логотип, индикатор состояния и сообщение о состоянии) во время запуска:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Перезапустите эталонное устройство и обратите внимание, что элементы пользовательского интерфейса Windows подавляются во время запуска.
Примечание.
В любой момент, когда вы перестроите сведения BCD, например с помощью bcdboot, вам придется повторно выполнить приведенные выше команды.
Настраиваемый вход в систему
Вы можете использовать функцию пользовательского входа для подавления элементов пользовательского интерфейса Windows, относящихся к экрану приветствия и экрану завершения работы. Например, можно отключить все элементы пользовательского интерфейса приветствия и предоставить пользовательский интерфейс входа. Вы также можете отключить экран "Разрешить заблокированное завершение работы" (BSDR) и автоматически завершить приложения, пока ОС ожидает закрытия приложений перед завершением работы. Дополнительные сведения см. в разделе "Пользовательский вход".
Примечание.
Пользовательская функция входа не будет работать на изображениях, использующих пустой или ознакомительный ключ продукта. Чтобы просмотреть изменения, внесенные с помощью приведенных ниже команд, необходимо использовать допустимый ключ продукта.
Включите функцию пользовательского входа, выполнив следующую команду в командной строке администрирования:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonЕсли появится запрос на перезапуск, нажмите кнопку "Нет".
Измените следующие записи реестра. Если появится запрос на перезапись, нажмите кнопку "Да".
- Эта команда задает значение BrandingNeutral в реестре, которое управляет отображением сведений о фирменной символике во время входа.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Эта команда задает значение HideAutoLogonUI в реестре, которое управляет отображением пользовательского интерфейса автоматического входа.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Эта команда задает значение HideFirstLogonAnimation в реестре, которое управляет отображением первой анимации входа.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Эта команда задает значение AnimationDisabled в реестре, которое определяет, отключена ли анимация пользовательского интерфейса входа.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Эта команда задает значение NoLockScreen в реестре, которое определяет, отображается ли экран блокировки.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Эта команда задает значение UIVerbosityLevel в реестре, которое управляет уровнем детализации пользовательского интерфейса.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Перезапустите эталонное устройство. Элементы пользовательского интерфейса Windows, относящиеся к экрану приветствия и экрану завершения работы, больше не должны отображаться.
Следующие шаги
Вы завершили включение функций блокировки. Групповые политики можно использовать для дальнейшей настройки пользовательского интерфейса устройства. Лаборатория 3 описывает настройку параметров политики.