ラボ 2: デバイスのロックダウン機能

ラボ 1a と 1b では、OS を参照デバイスにインストールし、監査モードでカスタマイズしました。 このラボでは、Windows に組み込まれているデバイスのロックダウン機能を使用してデバイスをロック ダウンするいくつかの方法について説明します。 デバイスのロックダウン機能は、特定の順序で一覧表示されません。 構築しているデバイスに応じて、すべての機能、一部の機能、または機能を有効にすることはできません。

Note

このラボはオプションです。 このラボで説明されている機能を有効にしなくても、IoT Enterprise デバイスを構築できます。 これらの機能のいずれも実装していない場合は、ラボ 3 に進むことができます。

これらの手順に対する完全に自動化されたアプローチについては、Windows 10 IoT Enterpriseデプロイ フレームワークの使用を検討してください。

前提条件

ラボ 1a の完了: 基本イメージの作成

キーボード フィルター

キーボード フィルターの概要

キーボード フィルターを使用すると、望ましくないキーの押しやキーの組み合わせを抑制するために使用できるコントロールを使用できます。 通常、顧客は、Ctrl + Alt + Delete、Ctrl + Shift + Tab、Alt + F4 などの特定のキーの組み合わせを使用して、デバイスの操作を変更できます。キーボード フィルターを使用すると、ユーザーはこれらのキーの組み合わせを使用できなくなります。これは、デバイスが専用の目的を目的としている場合に役立ちます。

キーボードフィルター機能は、物理キーボード、Windows スクリーン キーボード、およびタッチ キーボードで動作します。 キーボード フィルターは動的なレイアウト変更も検出し、キーボードで抑制されたキーの場所が変更された場合でも、キーを正しく抑制し続けます。 このシナリオの例として、ある言語セットから別の言語セットに切り替える場合があります。

キーボード フィルターのキーは、レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter に保存されます。

キーボード フィルターを有効にする

キーボード フィルターを有効にする方法はいくつかあります。このラボでは、これらの方法の 1 つについて説明します。 詳細については、「 キーボード フィルター」を参照してください。

1. 管理コマンド プロンプトから次のコマンドを実行して、キーボード フィルター機能を有効にします。

   DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter 
   

2. 参照デバイスの再起動を求めるメッセージが表示されたら、「 Y 」と入力して再起動します。 デバイスが監査モードで再起動します。

   キーボード フィルターを有効にしたら、「キーボード フィルター用 PowerShell スクリプト サンプル」にあるキーの組み合わせをブロックする方法を確認してください。

3. このラボでは、Ctrl + Alt + DEL キーをブロックするデモを提供します。 管理 PowerShell コマンド ウィンドウで、次のコマンドをコピーして貼り付けます。

   $key = "Ctrl+Alt+Del"
   $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"}; 
   $setkey.Id = $key
   $setkey.Enabled = 1;
   $setkey.Put() | Out-Null;
   

4. 参照デバイスを再起動し、Ctrl + Alt + DEL キーがブロックされているのを確認します。

統合書き込みフィルター (UWF)

統合書き込みフィルターの概要

統合書き込みフィルター (UWF) は、仮想オーバーレイ内のドライブ (アプリのインストール、設定の変更、保存されたデータ) への書き込みをインターセプトしてリダイレクトすることで、デバイスの構成を保護するのに役立ちます。 このオーバーレイは、統合書き込みフィルターが無効になるまで保持されるように構成されていない限り、再起動によって自動的に削除されます。

UWF を有効にする

1. 管理コマンド プロンプトから次のコマンドを実行して、統合書き込みフィルター機能を有効にします。

   DISM /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter
   

2. 参照デバイスを再起動する

3. オーバーレイと保護の構成と有効化は、スクリプトを使用して行うのが最適ですが、このラボではコマンド ラインを使用して構成します

   サンプル スクリプトを含む UWF の詳細については、「 統合書き込みフィルター」を参照してください。

4. 管理コマンド プロンプトで、次のコマンドを実行します。

   uwfmgr volume protect c:
   uwfmgr filter enable
   

5. 参照デバイスを再起動する

6. これで、すべての書き込みが RAM オーバーレイにリダイレクトされ、参照デバイスが再起動されると破棄されます。

7. 統合書き込みフィルターを無効にするには、管理コマンド プロンプトで次のコマンドを実行し、デバイスを再起動します。

   uwfmgr filter disable  
   

Note

統合書き込みフィルターを使用する場合は、オペレーティング システム製品のアクティブ化を考慮する必要があります。 製品のアクティブ化は、統合書き込みフィルターを無効にした状態で行う必要があります。 また、イメージを他のデバイスに複製する場合、イメージをキャプチャする前に、イメージが Sysprep 状態でフィルターが無効になっている必要があります。

ブランドではないブート

ブランドではないブートの概要

ブランド化されていないブート では、次のことができます。

• Windows の起動時または再開時に表示される Windows 要素を非表示にします。
• Windows で回復できないエラーが発生した場合は、クラッシュ画面を抑制します。

ブランドではないブートを有効にする

1. 管理コマンド プロンプトから次のコマンドを実行して、ブランドではないブート機能を有効にします。

   DISM /online /enable-Feature /featureName:Client-DeviceLockdown  
   DISM /online /Enable-Feature /FeatureName:Client-EmbeddedBootExp 
   

2. 参照デバイスを再起動する

BCDEdit を使用して、実行時にブランドではないブート設定を構成する

次の方法で、管理コマンド プロンプトからブランドではないブートをカスタマイズできます。

• 起動時に F8 キーを無効にして、[高度なスタートアップ オプション] メニューにアクセスできないようにします。

  bcdedit.exe -set {globalsettings} advancedoptions false 
  

• 起動時に F10 キーを無効にして、[高度なスタートアップ オプション] メニューにアクセスできないようにします。

  bcdedit.exe -set {globalsettings} optionsedit false 
  

• 起動時にすべての Windows UI 要素 (ロゴ、状態インジケーター、およびステータス メッセージ) を非表示します。

  bcdedit.exe -set {globalsettings} bootuxdisabled on 
  

Note

たとえば、bcdboot を使用して BCD 情報を再構築する場合はいつでも、上記のコマンドを再び実行する必要があります。

カスタム ログオン

カスタム ログオン機能を使用すると、"ようこそ" 画面とシャットダウン画面に関連する Windows 10 の UI 要素を非表示にすることができます。 たとえば、"ようこそ" 画面の UI のすべての要素を非表示にして、カスタムのログオン UI を指定することができます。 また、シャットダウン前にアプリケーションの終了を OS が待機する間、Blocked Shutdown Resolver (BSDR) の画面を非表示にして自動的にアプリケーションを終了することもできます。 詳細については、「 カスタム ログオン」を参照してください。

Note

カスタム ログオン機能は、空白または評価プロダクト キーを使用しているイメージでは機能しません。 以下のコマンドで行われた変更を確認するには、有効なプロダクト キーを使用する必要があります。

1. 管理コマンド プロンプトから次のコマンドを実行して、カスタム ログオン機能を有効にします。

   DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon 
   

2. 再起動を求められたら、[いいえ] を選択します。

3. 次に、管理コマンド プロンプトで、次のレジストリ エントリを変更します。 上書きするように求められたら、[はい] を選択します。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v  BrandingNeutral  /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v  HideAutoLogonUI  /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v  HideFirstLogonAnimation  /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization"  /v  NoLockScreen /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v  UIVerbosityLevel  /t REG_DWORD /d 1
   

4. 参照デバイスを再起動します。 "ようこそ" 画面とシャットダウン画面に関連する Windows UI 要素が表示されなくなります。

次のステップ

ロックダウン機能の有効化が完了しました。 グループ ポリシーを使用すると、デバイスのユーザー エクスペリエンスをさらにカスタマイズできます。 ラボ 3 では、ポリシー設定を構成する方法について説明します。

ラボ 3 に移動する