實驗室 2：裝置鎖定功能

• 適用於:

  ✅ Windows 11, ✅ Windows 10

在實驗室 1a 和 1b 中，我們已將 OS 安裝到參考裝置，並在稽核模式中進行自定義。 此實驗室說明使用 Windows 內建的裝置鎖定功能來鎖定裝置的數種方式。 裝置鎖定功能不會以任何特定順序列出。 視您要建置的裝置而定，您可以啟用所有功能，部分或沒有任何功能。

注意

此實驗室是選擇性的。 您可以建置IoT企業版裝置，而不需要啟用此實驗室中所述的任何功能。 如果您未實作上述任何功能，您可以繼續執行 實驗室 3。

如需這些步驟的完整自動化方法，請考慮使用 Windows IoT 企業版部署架構。

必要條件

完成實驗室 1a：建立基本映像。

鍵盤篩選

鍵盤 篩選器 可讓您用來隱藏不想要按鍵或按鍵組合的控制件。 一般而言，客戶可以使用 Ctrl+Alt+Delete、Ctrl+Shift+Tab、Alt+F4 等特定按鍵組合來改變裝置的作業。鍵盤篩選可防止使用者使用這些按鍵組合，如果您的裝置是專用的用途，這會很有説明。

鍵盤篩選功能適用於實體鍵盤、Windows 螢幕小鍵盤和觸控式鍵盤。 鍵盤篩選也會偵測動態配置變更，即使隱藏按鍵的位置在鍵盤上變更，仍會繼續正確隱藏按鍵。 此案例的範例是從一種語言集合切換到另一種語言。

鍵盤篩選鍵會儲存在登錄中，位於 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter。

啟用鍵盤篩選

有數種方法可啟用鍵盤篩選，我們提供其中一個方法的指示。 如需詳細資訊，請參閱 鍵盤篩選。

1. 從系統管理命令提示字元執行下列命令，以啟用鍵盤篩選功能：

   Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter
   

2. 系統會提示您重新啟動參考裝置，請輸入 Y 重新啟動。 裝置會重新啟動為稽核模式。

   啟用鍵盤篩選后，請參閱 鍵盤篩選PowerShell腳本範例 ，以了解封鎖按鍵組合。

3. 在此實驗室中，我們將提供封鎖 CTRL+ALT+DEL 鍵的示範。 在系統管理 PowerShell 命令視窗中，複製並貼上下列命令。

   $key = "Ctrl+Alt+Del"
   $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"};
   $setkey.Id = $key
   $setkey.Enabled = 1;
   $setkey.Put() | Out-Null;
   

4. 重新啟動參照裝置，然後記下 CTRL+ALT+DEL 機碼遭到封鎖。

整合寫入篩選器 （UWF）

整合寫入篩選器 （UWF） 可攔截並重新導向虛擬重疊中任何寫入磁碟驅動器（應用程式安裝、設定變更、儲存的數據），以協助保護您的裝置設定。 除非設定為保留，否則除非已設定為停用整合寫入篩選器，否則會自動刪除此重疊。

啟用UWF

1. 從系統管理命令提示字元執行下列命令，以啟用整合寫入篩選器功能：

   Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter
   

2. 重新啟動參考裝置

3. 設定及啟用重疊和保護是透過腳本進行的最佳作業，但在此實驗室中，我們會使用命令行進行設定

   如需 UWF 的詳細資訊，包括範例腳本，請參閱 整合寫入篩選器 （UWF） 。

4. 在系統管理命令提示字元中，執行下列命令：

   uwfmgr volume protect c:
   uwfmgr filter enable
   

5. 重新啟動參考裝置

6. 在系統管理命令提示字元中，確認 UWF 正在執行。 Filer 狀態 應為 ON：

   uwfmgr.exe get-config
   

7. 現在，所有寫入都會重新導向至 RAM 重疊，當參考裝置重新啟動時會捨棄此重疊。

8. 請嘗試移除 Windows Media Player 舊版 （應用程式） 選用功能：

   Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"
   

9. 您可以看到應用程式已移除，但當您重新啟動裝置時，應用程式會返回。

10. 若要停用整合寫入篩選器，請執行下列命令，然後重新啟動裝置。

    uwfmgr filter disable
    

11. 確認 UWF 已停用。 Filer 狀態 應該是 OFF：

    uwfmgr.exe get-config
    

注意

使用整合寫入篩選器時，您必須考慮作業系統產品啟用。 產品啟用必須透過停用統一寫入篩選器來完成。 此外，將映像複製到其他裝置時，映像必須處於 Sysprep 狀態，並在擷取映射之前停用篩選。

未命名的開機

未命名的開機 可讓您：

• 隱藏 Windows 啟動或繼續時出現的 Windows 元素。
• 當 Windows 遇到無法復原的錯誤時，隱藏當機畫面。

啟用未品牌開機

1. 在系統管理命令提示字元中執行下列命令，以啟用未命名的開機功能：

   Dism /online /enable-feature /featureName:Client-DeviceLockdown
   Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExp
   

2. 重新啟動參考裝置

使用 BCDEdit 在運行時間設定未命名的開機設定

您可以透過下列方式，從系統管理命令提示字元自定義未命名的開機：

1. 在啟動期間停用 F8 鍵，以防止存取 [進階啟動選項] 功能表：

   bcdedit.exe -set {globalsettings} advancedoptions false
   

2. 在啟動期間停用 F10 鍵，以防止存取 [進階啟動選項] 選單：

   bcdedit.exe -set {globalsettings} optionsedit false
   

3. 在啟動期間隱藏所有 Windows UI 元素（標誌、狀態指示器和狀態訊息）：

   bcdedit.exe -set {globalsettings} bootuxdisabled on
   

重新啟動參考裝置，並注意到啟動期間會隱藏 Windows UI 元素。

注意

每當重建 BCD 資訊，例如使用 bcdboot 時，您必須重新執行上述命令。

自訂登入

您可以使用 [自定義登入 ] 功能來隱藏與歡迎畫面和關機畫面相關的 Windows UI 元素。 例如，您可以隱藏歡迎畫面 UI 的所有元素，並提供自定義登入 UI。 您也可以隱藏封鎖的關機解析程式 （BSDR） 畫面，並在 OS 等候應用程式在關機前關閉時自動結束應用程式。 如需詳細資訊，請參閱 自定義登入。

注意

自定義登入功能不適用於使用空白或評估產品密鑰的影像。 您必須使用有效的產品金鑰來查看使用下列命令所做的變更。

1. 在系統管理命令提示字元中執行下列命令，以啟用自定義登入功能：

   Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon
   

2. 如果系統提示您重新啟動，請選擇 [否]。

3. 修改下列登錄專案。 如果系統提示您覆寫，請選擇 [是]。

   • 此命令會在 登錄中設定 BrandingNeutral 值，以控制登入期間商標信息的顯示。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1
   

   • 此命令會在 登錄中設定HideAutoLogonUI 值，以控制自動登入使用者介面的顯示。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1
   

   • 此命令會在 登錄中設定HideFirstLogonAnimation 值，以控制第一個登入動畫的顯示。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1
   

   • 此命令會在 登錄中設定 AnimationDisabled 值，以控制是否停用登入 UI 動畫。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1
   

   • 此命令會在 登錄中設定 NoLockScreen 值，以控制是否顯示鎖定畫面。

   Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1
   

   • 此命令會在 登錄中設定 UIVerbosityLevel 值，以控制使用者介面的詳細資訊層級。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1
   

4. 重新啟動參考裝置。 您不應該再看到與歡迎畫面和關機畫面相關的 Windows UI 元素。

下一步

您已完成啟用鎖定功能。 您可以使用組策略進一步自訂裝置的用戶體驗。 實驗室 3 涵蓋如何設定原則設定。

移至實驗室 3