Lab 2: Funzionalità di blocco dei dispositivi
Nei lab 1a e 1b il sistema operativo è stato installato in un dispositivo di riferimento e sono state apportate personalizzazioni in modalità di controllo. Questo lab descrive diversi modi per bloccare il dispositivo usando le funzionalità di blocco dei dispositivi integrate in Windows. Le funzionalità di blocco del dispositivo non sono elencate in un ordine specifico. È possibile abilitare tutte le funzionalità, alcune o nessuna delle funzionalità, a seconda del dispositivo che si sta creando.
Nota
Questo lab è facoltativo. È possibile creare un dispositivo IoT Enterprise senza abilitare alcuna delle funzionalità descritte in questo lab. Se non si implementa alcuna di queste funzionalità, è possibile continuare a Lab 3.
Per un approccio completamente automatizzato a questi passaggi, è consigliabile usare il framework di distribuzione Windows IoT Enterprise.
Prerequisiti
Completare lab 1a: creare un'immagine di base.
Filtro della tastiera
Il filtro della tastiera abilita i controlli che è possibile usare per eliminare le combinazioni di tasti o tasti indesiderati. In genere, un cliente può modificare il funzionamento di un dispositivo usando determinate combinazioni di tasti, ad esempio CTRL+ALT+CANC, CTRL+MAIUSC+TAB, ALT+F4 e così via. Il filtro Tastiera impedisce agli utenti di usare queste combinazioni di tasti, che è utile se il dispositivo è destinato a uno scopo dedicato.
La funzionalità Filtro tastiera funziona con le tastiere fisiche, la tastiera su schermo di Windows e la tastiera virtuale. Il filtro della tastiera rileva anche le modifiche al layout dinamico e continua a eliminare correttamente i tasti anche se la posizione dei tasti eliminati cambia sulla tastiera. Un esempio di questo scenario è il passaggio da una lingua impostata a un'altra.
I tasti di filtro della tastiera vengono archiviati nel Registro di sistema in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Abilitare il filtro tastiera
Esistono diversi metodi per abilitare il filtro da tastiera, fornendo istruzioni per uno di questi metodi. Per altre informazioni, vedere Filtro della tastiera.
Abilitare la funzionalità Filtro tastiera eseguendo il comando seguente da un prompt dei comandi amministrativo:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterViene richiesto di riavviare il dispositivo di riferimento, digitare Y per il riavvio. Il dispositivo viene riavviato in modalità di controllo.
Dopo aver abilitato il filtro della tastiera, vedere Esempi di script di PowerShell per filtrare la tastiera per informazioni sulle combinazioni di tasti di blocco.
Per questo lab verrà fornito un demo sul blocco del tasto CTRL+ALT+CANC. In una finestra di comando amministrativa di PowerShell copiare e incollare i comandi seguenti.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Riavviare il dispositivo di riferimento e quindi notare che il tasto CTRL+ALT+CANC è bloccato.
Filtro di scrittura unificato (UWF)
Unified Write Filter (UWF) consente di proteggere la configurazione del dispositivo intercettando e reindirizzando eventuali scritture all'unità (installazioni di app, modifiche delle impostazioni, dati salvati) in una sovrimpressione virtuale. Questa sovrimpressione viene eliminata automaticamente riavviando, a meno che non sia configurata per essere mantenuta fino a quando il filtro di scrittura unificato non è disabilitato.
Abilitare UWF
Abilitare la funzionalità Unified Write Filter eseguendo il comando seguente da un prompt dei comandi amministrativo:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterRiavviare il dispositivo di riferimento
La configurazione e l'abilitazione della sovrimpressione e della protezione vengono eseguite al meglio tramite scripting, ma per questo lab viene configurato tramite la riga di comando
Per altre informazioni su UWF, inclusi gli script di esempio, vedere Unified Write Filter (UWF).
Al prompt dei comandi amministrativi eseguire i comandi seguenti:
uwfmgr volume protect c: uwfmgr filter enableRiavviare il dispositivo di riferimento
Al prompt dei comandi amministrativi verificare che UWF sia in esecuzione. Lo stato del filer deve essere ON:
uwfmgr.exe get-configOra tutte le scritture vengono reindirizzate alla sovrimpressione RAM, che viene rimossa al riavvio del dispositivo di riferimento.
Provare a rimuovere Lettore multimediale Windows funzionalità legacy (app) facoltativa:
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"È possibile notare che l'app viene rimossa, ma quando si riavvia il dispositivo, l'app è tornata.
Per disabilitare il filtro di scrittura unificato, eseguire il comando seguente e quindi riavviare il dispositivo.
uwfmgr filter disableVerificare che UWF sia disabilitato. Lo stato del filer deve essere OFF:
uwfmgr.exe get-config
Nota
Quando si usa il filtro di scrittura unificato, è necessario prendere in considerazione l'attivazione del prodotto del sistema operativo. L'attivazione del prodotto deve essere eseguita con il filtro di scrittura unificato disabilitato. Inoltre, quando si clona l'immagine in altri dispositivi, l'immagine deve trovarsi in uno stato Sysprep e il filtro è disabilitato prima di acquisire l'immagine.
Avvio senza marchio
L'avvio senza marchio consente di:
- Elimina gli elementi di Windows visualizzati all'avvio o alla ripresa di Windows.
- Eliminare la schermata di arresto anomalo quando Windows rileva un errore da cui non è possibile eseguire il ripristino.
Abilitare l'avvio senza marchio
Abilitare la funzionalità di avvio senza marchio eseguendo il comando seguente in un prompt dei comandi amministrativo:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpRiavviare il dispositivo di riferimento
Configurare le impostazioni di avvio senza marchio in fase di esecuzione usando BCDEdit
È possibile personalizzare l'avvio senza marchio da un prompt dei comandi amministrativi nei modi seguenti:
Disabilitare il tasto F8 durante l'avvio per impedire l'accesso al menu Opzioni di avvio avanzate:
bcdedit.exe -set {globalsettings} advancedoptions falseDisabilitare il tasto F10 durante l'avvio per impedire l'accesso al menu Opzioni di avvio avanzate:
bcdedit.exe -set {globalsettings} optionsedit falseElimina tutti gli elementi dell'interfaccia utente di Windows (logo, indicatore di stato e messaggio di stato) durante l'avvio:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Riavviare il dispositivo di riferimento e notare che gli elementi dell'interfaccia utente di Windows vengono eliminati durante l'avvio.
Nota
Ogni volta che si ricompilano le informazioni BCD, ad esempio usando bcdboot, sarà necessario eseguire nuovamente i comandi precedenti.
Accesso personalizzato
Puoi usare la funzionalità Accesso personalizzato per eliminare gli elementi dell'interfaccia utente di Windows correlati alla schermata iniziale e alla schermata di arresto. Ad esempio, è possibile eliminare tutti gli elementi dell'interfaccia utente della schermata iniziale e fornire un'interfaccia utente di accesso personalizzata. È anche possibile eliminare la schermata BSDR (Blocked Shutdown Resolver) e terminare automaticamente le applicazioni mentre il sistema operativo attende la chiusura delle applicazioni prima di un arresto. Per altre informazioni, vedere Accesso personalizzato.
Nota
La funzionalità di accesso personalizzata non funzionerà sulle immagini che usano un codice Product Key vuoto o di valutazione. È necessario usare un codice Product Key valido per visualizzare le modifiche apportate con i comandi seguenti.
Abilitare la funzionalità di accesso personalizzato eseguendo il comando seguente al prompt dei comandi amministrativi:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonSe viene richiesto di riavviare, scegliere No.
Modificare le voci del Registro di sistema seguenti. Se viene richiesto di sovrascrivere, scegliere Sì.
- Questo comando imposta il valore BrandingNeutral nel Registro di sistema, che controlla la visualizzazione delle informazioni di personalizzazione durante l'accesso.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Questo comando imposta il valore HideAutoLogonUI nel Registro di sistema, che controlla la visualizzazione dell'interfaccia utente di accesso automatico.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Questo comando imposta il valore HideFirstLogonAnimation nel Registro di sistema, che controlla la visualizzazione della prima animazione di accesso.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Questo comando imposta il valore AnimationDisabled nel Registro di sistema, che controlla se l'animazione dell'interfaccia utente di accesso è disabilitata.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Questo comando imposta il valore NoLockScreen nel Registro di sistema, che controlla se viene visualizzata la schermata di blocco.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Questo comando imposta il valore UIVerbosityLevel nel Registro di sistema, che controlla il livello di dettaglio dell'interfaccia utente.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Riavviare il dispositivo di riferimento. Non dovrebbero più essere visualizzati gli elementi dell'interfaccia utente di Windows correlati alla schermata iniziale e alla schermata di arresto.
Passaggi successivi
L'abilitazione delle funzionalità di blocco è stata completata. È possibile usare i criteri di gruppo per personalizzare ulteriormente l'esperienza utente del dispositivo. Lab 3 illustra come configurare le impostazioni dei criteri.