Dela via

Labb 2: Funktioner för enhetslåsning

  • Artikel
  • Gäller för:
    ✅ Windows 11, ✅ Windows 10

I labb 1a och 1binstallerade vi operativsystemet på en referensenhet och gjorde anpassningar i granskningsläge. Det här labbet beskriver flera sätt att låsa enheten med hjälp av funktioner för enhetslåsning som är inbyggda i Windows. Funktionerna för enhetslåsning visas inte i någon särskild ordning. Du kan aktivera alla funktioner, vissa eller inga av funktionerna, beroende på vilken enhet du skapar.

Notera

Det här labbet är valfritt. Du kan skapa en IoT Enterprise-enhet utan att aktivera någon av de funktioner som beskrivs i den här labbuppgiften. Om du inte implementerar någon av dessa funktioner kan du fortsätta Lab 3.

Om du vill ha en helt automatiserad metod för dessa steg bör du överväga att använda Windows IoT Enterprise-distributionsramverket.

Förutsättningar

Slutför labbuppgift 1a: Skapa en grundläggande avbildning.

Tangentbordsfilter

tangentbordsfilter aktiverar kontroller som du kan använda för att förhindra oönskade tangenttryckningar eller tangentkombinationer. Normalt kan en kund ändra driften av en enhet med hjälp av vissa tangentkombinationer som Ctrl+Alt+Delete, Ctrl+Skift+Tab, Alt+F4 osv. Tangentbordsfiltret hindrar användare från att använda dessa tangentkombinationer, vilket är användbart om enheten är avsedd för ett dedikerat syfte.

Funktionen Tangentbordsfilter fungerar med fysiska tangentbord, Windows-tangentbordet på skärmen och pektangentbordet. Tangentbordsfiltret identifierar också dynamiska layoutändringar och fortsätter att ignorera nycklar korrekt även om platsen för de undertryckta tangenterna ändras på tangentbordet. Ett exempel på det här scenariot är att växla från ett språk inställt till ett annat.

Tangentbordsfilternycklar lagras i registret på HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.

Aktivera tangentbordsfiltret

Det finns flera metoder för att aktivera tangentbordsfiltret. Vi tillhandahåller instruktioner för någon av dessa metoder. Mer information finns i tangentbordsfilter.

  1. Aktivera funktionen Tangentbordsfilter genom att köra följande kommando från en administrativ kommandotolk:

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter

  2. Du uppmanas att starta om referensenheten, skriva Y för omstart. Enheten startas om i granskningsläge.

    När du aktiverar tangentbordsfiltret kan du läsa PowerShell-skriptexempel för tangentbordsfilter för att lära dig mer om att blockera tangentkombinationer.

  3. För den här labbuppgiften ska vi tillhandahålla en demo om hur du blockerar CTRL+ALT+DEL-nyckeln. I ett administrativt PowerShell-kommandofönster kopierar och klistrar du in följande kommandon.

    $key = "Ctrl+Alt+Del"
$setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"};
$setkey.Id = $key
$setkey.Enabled = 1;
$setkey.Put() | Out-Null;

  4. Starta om referensenheten och notera sedan att CTRL+ALT+DEL-nyckeln är blockerad.

Enhetligt skrivfilter (UWF)

UWF(Unified Write Filter) hjälper till att skydda enhetens konfiguration genom att fånga upp och omdirigera skrivningar till enheten (appinstallationer, inställningsändringar, sparade data) i ett virtuellt överlägg. Det här överlägget tas bort automatiskt genom omstart om det inte är konfigurerat att behållas tills det enhetliga skrivfiltret har inaktiverats.

Aktivera UWF

  1. Aktivera funktionen Enhetligt skrivfilter genom att köra följande kommando från en administrativ kommandotolk:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter

  2. Starta om referensenheten

  3. Det är bäst att konfigurera och aktivera överlägg och skydd via skript, men för det här labbet konfigurerar vi med hjälp av kommandoraden

    Mer information om UWF, inklusive exempelskript, finns i UWF(Unified Write Filter).

  4. Kör följande kommandon i en administrativ kommandotolk:

    uwfmgr volume protect c:
uwfmgr filter enable

  5. Starta om referensenheten

  6. Bekräfta att UWF körs i en administrativ kommandotolk. Filer-läge ska vara :

    uwfmgr.exe get-config

  7. Nu omdirigeras alla skrivningar till RAM-överlägget, som tas bort när referensenheten startas om.

  8. Prova att ta bort äldre Windows Media Player- valfri funktion:

    Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"

  9. Du kan se att appen tas bort, men när du startar om enheten är appen tillbaka.

  10. Om du vill inaktivera enhetligt skrivfilter kör du följande kommando och startar sedan om enheten.

    uwfmgr filter disable

  11. Bekräfta att UWF är inaktiverat. Filer-tillstånd bör vara OFF:

    uwfmgr.exe get-config

Notera

När du använder det enhetliga skrivfiltret måste du ta hänsyn till produktaktiveringen för operativsystem. Produktaktivering måste göras med Unified Write Filter avaktiverat. När du klonar avbildningen till andra enheter måste avbildningen dessutom vara i ett Sysprep-tillstånd och filtret inaktiveras innan bilden avbildas.

Obrandad stövel

omärkt boot gör att du kan:

  • Ignorera Windows-element som visas när Windows startar eller återupptas.
  • Ignorera kraschskärmen när Windows stöter på ett fel som inte kan återställas från.

Aktivera omärkt start av dator

  1. Aktivera startfunktionen Ej märkt genom att köra följande kommando i en administrativ kommandotolk:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown
Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExp

  2. Starta om referensenheten

Konfigurera inställningar för obranderad uppstart under körning med BCDEdit.

Du kan anpassa omärkt start från en administrativ kommandotolk på följande sätt:

  1. Inaktivera F8-nyckeln under start för att förhindra åtkomst till menyn Avancerade startalternativ:

    bcdedit.exe -set {globalsettings} advancedoptions false

  2. Inaktivera F10-nyckeln under starten för att förhindra åtkomst till menyn Avancerade startalternativ:

    bcdedit.exe -set {globalsettings} optionsedit false

  3. Undertryck alla Windows-gränssnittselement (logotyp, statusindikator och statusmeddelande) under starten:

    bcdedit.exe -set {globalsettings} bootuxdisabled on

Starta om referensenheten och observera att Windows-användargränssnittselementen ignoreras under starten.

Notera

När du återskapar BCD-informationen, till exempel med bcdboot, måste du köra kommandona ovan igen.

Anpassad inloggning

Du kan använda funktionen anpassad inloggning för att dölja Windows-gränssnittselement som är relaterade till välkomst- och avstängningsskärmen. Du kan till exempel utelämna alla element i välkomstskärmens användargränssnitt och ange ett anpassat användargränssnitt för inloggning. Du kan också ignorera BSDR-skärmen (Blocked Shutdown Resolver) och automatiskt avsluta program medan operativsystemet väntar på att programmen ska stängas före en avstängning. Mer information finns i Anpassad Inloggning.

Notera

Funktionen anpassad inloggning fungerar inte på bilder som använder en tom produktnyckel eller utvärderingsproduktnyckel. Du måste använda en giltig produktnyckel för att se de ändringar som gjorts med kommandona nedan.

  1. Aktivera funktionen Anpassad inloggning genom att köra följande kommando i en administrativ kommandotolk:

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon

  2. Om du uppmanas att starta om väljer du Nej.

  3. Ändra följande registerposter. Om du uppmanas att skriva över väljer du Ja.

    • Det här kommandot anger värdet BrandingNeutral i registret, som styr visningen av varumärkesinformation under inloggningen.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1
    • Det här kommandot anger värdet HideAutoLogonUI i registret, som styr visningen av användargränssnittet för automatisk inloggning.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1
    • Det här kommandot anger värdet HideFirstLogonAnimation i registret, som styr visningen av den första inloggningsanimeringen.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1
    • Det här kommandot anger värdet AnimationDisabled i registret, som styr om animeringen för inloggningsgränssnittet är inaktiverad.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1
    • Det här kommandot anger värdet NoLockScreen i registret, som styr om låsskärmen visas.
    Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1
    • Det här kommandot anger värdet UIVerbosityLevel i registret, som styr användargränssnittets verbositetsnivå.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1

  4. Starta om referensenheten. Du bör inte längre se de Windows-gränssnittselement som är relaterade till välkomstskärmen och avstängningsskärmen.

Nästa steg

Du har slutfört aktiveringen av funktioner för nedlåsning. Du kan använda grupprinciper för att ytterligare anpassa enhetens användarupplevelse. Labbuppgift 3 beskriver hur du konfigurerar principinställningar.

Gå till labb 3