Поделиться через

Лаборатория 2. Функции блокировки устройств

  • Применяется к: ✅ Windows 11, ✅ Windows 10

В лабораториях 1a и 1b мы установили ОПЕРАЦИОННую систему на эталонное устройство и сделали настройки в режиме аудита. В этой лаборатории описано несколько способов блокировки устройства с помощью функций блокировки устройств, встроенных в Windows. Функции блокировки устройств не перечислены в определенном порядке. Вы можете включить все функции, некоторые или ни один из компонентов, в зависимости от устройства, которое вы создаете.

Примечание.

Эта лаборатория является необязательной. Вы можете создать устройство IoT Enterprise без включения каких-либо функций, описанных в этой лаборатории. Если вы не реализуете какие-либо из этих функций, вы можете продолжить работу с лабораторией 3.

Для полностью автоматизированного подхода к этим шагам рекомендуется использовать платформу развертывания Windows IoT Enterprise.

Предварительные условия

Завершение лаборатории 1a. Создание базового образа.

Фильтр клавиатуры

Фильтр клавиатуры включает элементы управления, которые можно использовать для подавления нежелательных нажатий клавиш или сочетаний клавиш. Как правило, клиент может изменить операцию устройства с помощью определенных сочетаний клавиш, таких как CTRL+ALT+DELETE, CTRL+SHIFT+TAB, ALT+F4 и т. д. Фильтр клавиатуры запрещает пользователям использовать эти сочетания клавиш, что полезно, если устройство предназначено для выделенной цели.

Функция фильтра клавиатуры работает с физическими клавиатурами, клавиатурой Windows на экране и сенсорной клавиатурой. Фильтр клавиатуры также обнаруживает динамические изменения макета и продолжает правильно подавлять клавиши, даже если их расположение на клавиатуре изменяется. Примером этого сценария является переключение с одного языка на другой.

Клавиши фильтра клавиатуры хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.

Включение фильтра клавиатуры

Существует несколько способов включения фильтра клавиатуры, мы предоставляем инструкции для одного из этих методов. Дополнительные сведения см. в разделе "Фильтр клавиатуры".

  1. Включите функцию фильтра клавиатуры, выполнив следующую команду из командной строки администрирования:

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter

  2. Вам будет предложено перезапустить эталонное устройство, введите Y для перезагрузки. Устройство перезагружается в режим аудита.

    После включения фильтра клавиатуры посмотрите примеры скриптов PowerShell для фильтрации клавиатуры, чтобы узнать о блокировке сочетаний клавиш.

  3. Для этой лаборатории мы предоставим демонстрацию блокировки клавиш CTRL+ALT+DEL. В командном окне PowerShell с правами администратора скопируйте и вставьте следующие команды.

    $key = "Ctrl+Alt+Del"
$setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"};
$setkey.Id = $key
$setkey.Enabled = 1;
$setkey.Put() | Out-Null;

  4. Перезапустите эталонное устройство, а затем обратите внимание, что клавиша CTRL+ALT+DEL заблокирована.

Унифицированный фильтр записи (UWF)

Унифицированный фильтр записи (UWF) помогает защитить конфигурацию устройства, перехватывая и перенаправляя все записи на диск (установку приложений, изменения параметров, сохранение данных) в виртуальный слой. Это наложение автоматически удаляется путем перезагрузки, если не настроено сохранение, пока не будет отключен фильтр единой записи.

Включение UWF

  1. Включите функцию унифицированного фильтра записи, выполнив следующую команду из административной командной строки:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter

  2. Перезапустите эталонное устройство

  3. Настройка и включение наложения и защиты лучше всего выполняется с помощью скриптов, но для этой лаборатории мы настраиваем с помощью командной строки

    Дополнительные сведения о UWF, включая примеры сценариев, см. в разделе Унифицированный фильтр записи (UWF).

  4. В командной строке администрирования выполните следующие команды:

    uwfmgr volume protect c:
uwfmgr filter enable

  5. Перезапустите эталонное устройство

  6. В командной строке администрирования убедитесь, что UWF запущен. Состояние системы управления файлами должно бытьON:

    uwfmgr.exe get-config

  7. Теперь все записи перенаправляются на наложение ОЗУ, которое удаляется при перезагрузке эталонного устройства.

  8. Попробуйте удалить необязательную функцию Windows Media Player Legacy (приложение).

    Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"

  9. Вы увидите, что приложение удаляется, но при перезапуске устройства приложение возвращается.

  10. Чтобы отключить единый фильтр записи, выполните следующую команду и перезагрузите устройство.

    uwfmgr filter disable

  11. Убедитесь, что UWF отключен. Состояние фиксатора должно бытьOFF:

    uwfmgr.exe get-config

Примечание.

При использовании фильтра единой записи необходимо учитывать активацию продукта операционной системы. Активация продукта должна быть выполнена при отключенном фильтре Unified Write Filter. Кроме того, при клонирование образа на другие устройства, образ должен находиться в состоянии Sysprep и фильтр отключен перед записью образа.

Нефирменный ботинок

Небрендированная загрузка позволяет:

  • Подавляйте элементы Windows, которые отображаются при запуске или возобновлении работы Windows.
  • Подавляйте экран сбоя, когда Windows обнаруживает ошибку, из-за которой она не может восстановиться.

Включение небрендированного загрузчика

  1. Включите функцию загрузки Unbranded, выполнив следующую команду в командной строке с правами администратора:

    Dism /online /enable-feature /featureName:Client-DeviceLockdown
Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExp

  2. Перезапустите эталонное устройство

Настройка параметров Unbranded Boot на этапе выполнения с помощью BCDEdit

Вы можете настроить небрендированную загрузку из командной строки администрирования следующим образом:

  1. Отключите клавишу F8 во время запуска, чтобы предотвратить доступ к меню "Дополнительные параметры запуска":

    bcdedit.exe -set {globalsettings} advancedoptions false

  2. Отключите клавишу F10 во время запуска, чтобы запретить доступ к меню "Дополнительные параметры запуска":

    bcdedit.exe -set {globalsettings} optionsedit false

  3. Подавите все элементы пользовательского интерфейса Windows, включая логотип, индикатор состояния и сообщение о состоянии, во время запуска.

    bcdedit.exe -set {globalsettings} bootuxdisabled on

Перезапустите эталонное устройство и обратите внимание, что элементы пользовательского интерфейса Windows подавляются во время запуска.

Примечание.

В любой момент, когда вы перестроите сведения BCD, например с помощью bcdboot, вам придется повторно выполнить приведенные выше команды.

Настраиваемый вход в систему

Вы можете использовать функцию пользовательского входа для подавления элементов пользовательского интерфейса Windows, относящихся к экрану приветствия и экрану завершения работы. Например, можно скрыть все элементы пользовательского интерфейса экрана приветствия и предоставить собственный пользовательский интерфейс для входа в систему. Вы также можете скрыть экран "Блокировка завершения работы" (BSDR) и автоматически завершить приложения, пока ОС ожидает их закрытия перед завершением работы. Дополнительные сведения см. в разделе "Пользовательский вход".

Примечание.

Пользовательская функция входа не будет работать на изображениях, использующих пустой или ознакомительный ключ продукта. Чтобы просмотреть изменения, внесенные с помощью приведенных ниже команд, необходимо использовать допустимый ключ продукта.

  1. Включите функцию пользовательского входа, выполнив следующую команду в командной строке администрирования:

    Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon

  2. Если появится запрос на перезапуск, нажмите кнопку "Нет".

  3. Измените следующие записи реестра. Если появится запрос на перезапись, нажмите кнопку "Да".

    • Эта команда задает значение BrandingNeutral в реестре, которое управляет отображением сведений о фирменной символике во время входа.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1
    • Эта команда задает значение HideAutoLogonUI в реестре, которое управляет отображением пользовательского интерфейса автоматического входа.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1
    • Эта команда задает значение HideFirstLogonAnimation в реестре, которое управляет отображением первой анимации входа.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1
    • Эта команда задает значение AnimationDisabled в реестре, которое определяет, отключена ли анимация пользовательского интерфейса входа.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1
    • Эта команда задает значение NoLockScreen в реестре, которое определяет, отображается ли экран блокировки.
    Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1
    • Эта команда задает значение UIVerbosityLevel в реестре, которое управляет уровнем детализации пользовательского интерфейса.
    Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1

  4. Перезапустите эталонное устройство. Элементы пользовательского интерфейса Windows, относящиеся к экрану приветствия и экрану завершения работы, больше не должны отображаться.

Следующие шаги

Вы завершили включение функций блокировки. Групповые политики можно использовать для дальнейшей настройки пользовательского интерфейса устройства. Лаборатория 3 описывает настройку параметров политики.

Перейти к лаборатории 3