Lab 2: Gerätesperrfunktionen

  • Gilt für:: ✅ Windows 11, ✅ Windows 10

In den Labs 1a und 1b haben wir das Betriebssystem auf einem Referenzgerät installiert und Anpassungen im Überwachungsmodus vorgenommen. In diesem Lab werden verschiedene Möglichkeiten beschrieben, wie Sie Ihr Gerät mithilfe der in Windows integrierten Gerätesperrfunktionen sperren. Die Gerätesperrfunktionen werden nicht in einer bestimmten Reihenfolge aufgeführt. Sie können alle Funktionen, einige oder keine der Funktionen aktivieren, je nachdem, welches Gerät Sie verwenden.

Hinweis

Dieses Lab ist optional. Sie können ein IoT Enterprise-Gerät erstellen, ohne eines der in diesem Lab beschriebenen Features zu aktivieren. Wenn Sie keine dieser Funktionen implementieren, können Sie mit Lab 3 fortfahren.

Für einen vollständig automatisierten Ansatz für diese Schritte sollten Sie das Windows IoT Enterprise-Bereitstellungsframework verwenden.

Voraussetzungen

Schließen Sie Lab 1a ab: Erstellen Sie ein einfaches Image.

Tastaturfilter

Der Tastaturfilter aktiviert Steuerelemente, mit denen Sie unerwünschte Eingaben oder Tastenkombinationen unterdrücken können. Normalerweise können Kundinnen und Kunden den Vorgang eines Geräts durch bestimmte Tastenkombinationen wie Strg+Alt+Entf, Strg+Umschalt+Tab, Alt+F4 usw. ändern. Der Tastaturfilter verhindert, dass Benutzende diese Tastenkombinationen verwenden, was hilfreich ist, wenn Ihr Gerät für einen bestimmten Zweck vorgesehen ist.

Die Tastaturfilterfunktion funktioniert mit physischen Tastaturen, der Windows-Bildschirmtastatur und der Bildschirmtastatur. Der Tastaturfilter erkennt auch dynamische Layoutänderungen und unterdrückt weiterhin Tasten korrekt, selbst wenn sich die Position der unterdrückten Tasten auf der Tastatur ändert. Ein Beispiel für dieses Szenario besteht darin, von einer Sprache zu einer anderen zu wechseln.

Tastaturfilterschlüssel werden in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter gespeichert.

Aktivieren Sie den Tastaturfilter

Es gibt mehrere Methoden, um den Tastaturfilter zu aktivieren. Wir stellen Anweisungen für eine dieser Methoden bereit. Weitere Informationen finden Sie unter Tastaturfilter.

  1. Aktivieren Sie die Tastaturfilterfunktion, indem Sie den folgenden Befehl in einer administrativen Eingabeaufforderung ausführen.

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter

  2. Sie erhalten die Aufforderung, das Referenzgerät neu zu starten. Geben Sie zum Neustart Y ein. Das Gerät wird im Überwachungsmodus neu gestartet.

    Weitere Informationen zum Blockieren von Tastenkombinationen finden Sie nach Aktivierung des Tastaturfilters unter Tastaturfilter PowerShell-Skriptbeispiele.

  3. In diesem Labor werden wir Ihnen eine Demonstration zeigen, wie Sie die Tastenkombination STRG+ALT+ENTF blockieren können. Kopieren Sie die folgenden Befehle in ein administratives PowerShell-Befehlsfenster und fügen Sie sie dort ein.

    $key = "Ctrl+Alt+Del"
$setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"};
$setkey.Id = $key
$setkey.Enabled = 1;
$setkey.Put() | Out-Null;

  4. Starten Sie das Referenzgerät neu und beachten Sie dann, dass die Tastenkombination STRG+ALT+ENTF gesperrt ist.

Einheitlicher Schreibfilter (UWF)

Einheitlicher Schreibfilter (UWF) hilft, die Konfiguration Ihres Gerätes zu schützen, indem er alle Schreibvorgänge auf das Laufwerk (App-Installationen, Einstellungsänderungen, gespeicherte Daten) in einer virtuellen Überlagerung abfängt und umleitet. Diese Überlagerung wird durch einen Neustart automatisch gelöscht, es sei denn, sie wurde so konfiguriert, dass sie erhalten bleibt, bis der einheitliche Schreibfilter deaktiviert wird.

UWF aktivieren

  1. Aktivieren Sie die Unified Write Filter-Funktion, indem Sie den folgenden Befehl in einer administrativen Eingabeaufforderung ausführen:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter

  2. Starten Sie das Referenzgerät neu

  3. Die Konfiguration und Aktivierung der Überlagerung und des Schutzes erfolgt am besten über Skripte, aber für dieses Lab konfigurieren wir über die Befehlszeile.

    Weitere Informationen zum UWF, einschließlich Beispielskripten, finden Sie unter Einheitliche Schreibfilter (UWF).

  4. Führen Sie an einer administrativen Eingabeaufforderung die folgenden Befehle aus:

    uwfmgr volume protect c:
uwfmgr filter enable

  5. Starten Sie das Referenzgerät neu

  6. Bestätigen Sie an einer administrativen Eingabeaufforderung, dass UWF ausgeführt wird. Filterstatus sollte auf EIN festgelegt sein:

    uwfmgr.exe get-config

  7. Jetzt werden alle Schreibvorgänge an das RAM-Overlay umgeleitet, das verworfen wird, wenn das Referenzsystem neu gestartet wird.

  8. Versuchen Sie, Windows Media Player Legacy (App) zu entfernen. Optionale Funktion:

    Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"

  9. Sie können sehen, dass die App entfernt wird, aber wenn Sie das Gerät neu starten, ist die App wieder verfügbar.

  10. Um den einheitlichen Schreibfilter zu deaktivieren, führen Sie den folgenden Befehl aus und starten Sie das Gerät anschließend neu.

    uwfmgr filter disable

  11. Vergewissern Sie sich, dass UWF deaktiviert ist. Filterstatus sollte auf AUS festgelegt sein:

    uwfmgr.exe get-config

Hinweis

Bei Verwendung des einheitlichen Schreibfilters müssen Sie die Produktaktivierung des Betriebssystems berücksichtigen. Die Produktaktivierung muss mit deaktiviertem einheitlichen Schreibfilter erfolgen. Wenn Sie das Image auf andere Geräte klonen, muss sich das Image außerdem in einem Sysprep-Zustand befinden und der Filter muss deaktiviert sein, bevor das Image erfasst wird.

Unmarkierter Boot

Unbranded Boot ermöglicht Folgendes:

  • Unterdrückt Windows-Elemente, die beim Starten oder Fortsetzen von Windows angezeigt werden.
  • Unterdrückt den Absturzbildschirm, wenn Windows auf einen Fehler stößt, den es nicht beheben kann.

Aktivieren von Unbrandierter Boot

  1. Aktivieren Sie die unmarkierte Startfunktion, indem Sie den untenstehenden Befehl in einer administrativen Eingabeaufforderung ausführen:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown
Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExp

  2. Starten Sie das Referenzgerät neu

Konfigurieren Sie die Unbranded Boot-Einstellungen während der Laufzeit mit BCDEdit.

Sie können den Unbranded Boot-Vorgang aus einer administrativen Eingabeaufforderung heraus auf folgende Methoden anpassen:

  1. Deaktivieren Sie die F8-Taste während des Starts, um den Zugriff auf das Menü Erweiterte Startoptionen zu verhindern:

    bcdedit.exe -set {globalsettings} advancedoptions false

  2. Deaktivieren Sie die F10-Taste während des Starts, um den Zugriff auf das Menü Erweiterte Startoptionen zu verhindern:

    bcdedit.exe -set {globalsettings} optionsedit false

  3. Alle Elemente der Windows-Benutzeroberfläche (Logo, Statusanzeige und Statusmeldung) während des Starts unterdrücken:

    bcdedit.exe -set {globalsettings} bootuxdisabled on

Starten Sie das Referenzgerät neu, und beachten Sie, dass die Windows-UI-Elemente beim Start unterdrückt werden.

Hinweis

Jedes Mal, wenn Sie die BCD-Informationen neu erstellen, beispielsweise mit bcdboot, müssen Sie die obigen Befehle erneut ausführen.

Benutzerdefinierte Anmeldung

Sie können die Funktion Benutzerdefinierte Anmeldung verwenden, um Elemente der Windows-Benutzeroberfläche zu unterdrücken, die sich auf den Willkommensbildschirm und den Bildschirm zum Herunterfahren beziehen. Sie können beispielsweise alle Elemente der Benutzeroberfläche der Willkommensseite unterdrücken und eine benutzerdefinierte Anmeldebenutzeroberfläche bereitstellen. Darüber hinaus können Sie den Bildschirm des Konfliktlösers für das blockierte Herunterfahren (Blocked Shutdown Resolver, BSDR) unterdrücken und Anwendungen automatisch beenden, während das Betriebssystem darauf wartet, dass Anwendungen vor dem Herunterfahren geschlossen werden. Weitere Informationen finden Sie unter Benutzerdefinierte Anmeldung.

Hinweis

Die benutzerdefinierte Anmelde-Funktion funktioniert nicht bei Bildern, die einen leeren oder Evaluierungs-Produktschlüssel verwenden. Sie müssen einen gültigen Produktschlüssel verwenden, um die mit den folgenden Befehlen vorgenommenen Änderungen anzuzeigen.

  1. Aktivieren Sie die Benutzerdefinierte Anmeldung, indem Sie den folgenden Befehl an einer administrativen Kommandozeile ausführen.

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon

  2. Wenn Sie zum Neustart aufgefordert werden, wählen Sie „Nein“.

  3. Ändern Sie die folgenden Registrierungseinträge. Wenn Sie zum Überschreiben aufgefordert werden, wählen Sie „Ja“.

    • Dieser Befehl legt den Wert BrandingNeutral in der Registrierung fest, der die Anzeige von Branding-Informationen bei der Anmeldung steuert.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1
    • Dieser Befehl legt den Wert HideAutoLogonUI in der Registrierung fest, der die Anzeige der Benutzeroberfläche für die automatische Anmeldung steuert.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1
    • Dieser Befehl legt den Wert HideFirstLogonAnimation in der Registry fest, der die Anzeige der ersten Anmeldeanimation steuert.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1
    • Dieser Befehl legt den Wert AnimationDisabled in der Registrierung fest, der steuert, ob die Animation der Benutzeroberfläche bei der Anmeldung deaktiviert ist.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1
    • Dieser Befehl legt den Wert NoLockScreen in der Registrierung fest, der steuert, ob der Sperrbildschirm angezeigt wird.
    Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1
    • Dieser Befehl legt den Wert UIVerbosityLevel in der Registrierung fest, der den Ausführlichkeitsgrad der Benutzeroberfläche steuert.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1

  4. Starten Sie das Referenzgerät neu. Sie sollten die Elemente der Windows-Benutzeroberfläche, die sich auf den Begrüßungsbildschirm und den Bildschirm zum Herunterfahren beziehen, nicht mehr sehen.

Nächste Schritte

Sie haben die Aktivierung von Sperrmodusfunktionen abgeschlossen. Sie können Gruppenrichtlinien verwenden, um die Benutzererfahrung Ihres Geräts weiter anzupassen. Lab 3 behandelt die Konfiguration von Richtlinieneinstellungen.

Gehen Sie zu Lab 3

  • Last updated on