实验 2：设备锁定功能

在实验室 1a 和 1b 中，我们在参考设备上安装了 OS，并在审核模式下进行了自定义。 此实验介绍了几种使用内置于 Windows 的设备锁定功能来锁定设备的方法。 设备锁定功能未按任何特定顺序列出。 你可以启用所有功能、部分功能或任何功能，具体取决于要生成的设备。

注意

此实验是可选的。 你可以构建 IoT 企业版设备，而无需启用此实验所述的任何功能。 如果未实现这其中的任何功能，你可以继续进行实验 3。

对于这些步骤的完全自动化方法，请考虑使用 Windows 10 IoT 企业版 部署框架。

先决条件

完成实验 1a：创建基本映像。

键盘筛选器

键盘筛选器概述

键盘筛选器启用可用于抑制不需要的按键或组合键的控件。 通常，客户可以使用某些组合键（如 Ctrl+Alt+Delete、Ctrl+Shift+Tab、Alt+F4 等）来更改设备的操作。键盘筛选器可阻止用户使用这些组合键，如果你的设备用于专用用途，这将很有帮助。

键盘筛选器功能适用于物理键盘、Windows 屏幕键盘和触摸键盘。 键盘筛选器还会检测动态布局更改，并且即使键盘上已更改抑制键的位置，也会继续正确禁止显示键。 此方案的示例是从一种语言集切换到另一种语言集。

键盘筛选器键存储在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter 中。

启用键盘筛选器

可通过多种方法启用键盘筛选器，我们将在本实验室中提供其中一种方法的说明。 有关详细信息，请参阅 键盘筛选器。

1. 通过从管理命令提示符运行以下命令来启用键盘筛选器功能：

   DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter 
   

2. 系统会提示重启引用设备，键入 Y 以重新启动。 设备重新启动进入审核模式。

   启用键盘筛选器后，请参阅键盘筛选器 PowerShell 脚本示例，了解如何阻止组合键。

3. 在本实验室中，我们将提供有关阻止 Ctrl+ALT+DEL 键的演示。 在管理 PowerShell 命令窗口中，复制并粘贴以下命令。

   $key = "Ctrl+Alt+Del"
   $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace  root\standardcimv2\embedded | where {$_.Id -eq "$key"}; 
   $setkey.Id = $key
   $setkey.Enabled = 1;
   $setkey.Put() | Out-Null;
   

4. 重启参考设备，然后你会注意到 CTRL+ALT+DEL 键被阻止。

统一写入筛选器 (UWF)

统一写入筛选器概述

统一写入筛选器 (UWF) 通过截获并重定向到驱动器的任何写入， (应用安装、设置更改、虚拟覆盖中保存的数据) ，从而帮助保护设备的配置。 除非配置为保留，直到禁用统一写入筛选器，否则将通过重新启动自动删除此覆盖。

启用 UWF

1. 通过从管理命令提示符运行以下命令来启用统一写入筛选器功能：

   DISM /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter
   

2. 重启参考设备

3. 配置和启用覆盖和保护最好通过脚本完成，但对于本实验室，我们使用命令行进行配置

   有关 UWF（包括示例脚本）的详细信息，请参阅 统一写入筛选器。

4. 在管理命令提示符下，运行以下命令

   uwfmgr volume protect c:
   uwfmgr filter enable
   

5. 重启参考设备

6. 现在，所有写入都重定向到 RAM 覆盖，当引用设备重新启动时，该覆盖将被丢弃。

7. 若要禁用统一写入筛选器，请在管理命令提示符下运行以下命令，然后重启设备。

   uwfmgr filter disable  
   

注意

使用统一写入筛选器时，必须考虑操作系统产品激活。 必须在禁用统一写入筛选器的情况下完成产品激活。 此外，在将映像克隆到其他设备时，需要让映像处于 Sysprep 状态，并在捕获映像之前禁用筛选器。

未品牌化启动

无品牌启动概述

使用无品牌启动 可以：

• 禁止在 Windows 启动或恢复时显示的 Windows 元素。
• 当 Windows 遇到无法恢复的错误时，禁止显示崩溃屏幕。

启用无品牌启动

1. 通过在管理命令提示符窗口中运行以下命令来启用无品牌启动功能：

   DISM /online /enable-Feature /featureName:Client-DeviceLockdown  
   DISM /online /Enable-Feature /FeatureName:Client-EmbeddedBootExp 
   

2. 重启参考设备

使用 BCDEdit 在运行时配置无品牌启动设置

可以通过以下方式从管理命令提示符处自定义无品牌启动：

• 在启动期间禁用 F8 键，阻止访问“高级启动选项”菜单：

  bcdedit.exe -set {globalsettings} advancedoptions false 
  

• 在启动期间禁用 F10 键，阻止访问“高级启动选项”菜单：

  bcdedit.exe -set {globalsettings} optionsedit false 
  

• 在启动期间不显示所有 Windows UI 元素（徽标、状态指示灯和状态消息）：

  bcdedit.exe -set {globalsettings} bootuxdisabled on 
  

注意

重新生成 BCD 信息时（例如使用 bcdboot 来这样做时），必须重新运行上述命令。

自定义登录

可使用自定义登录功能禁止与欢迎屏幕和关机屏幕相关的 Windows 10 UI 元素。 例如，可以禁止欢迎屏幕 UI 的所有元素并提供自定义登录 UI。 还可以禁止阻止的关机解析器 (BSDR) 屏幕并自动结束应用程序，同时操作系统等待应用程序关闭后才关机。 有关详细信息，请参阅 自定义登录。

注意

自定义登录功能对于使用空白或评估产品密钥的映像不起作用。 必须使用有效的产品密钥，才能查看使用以下命令所做的更改。

1. 通过在管理命令提示符处运行以下命令来启用自定义登录功能：

   DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon 
   

2. 如果系统提示重启，请选择“否”。

3. 接下来，在管理命令提示符处修改以下注册表项。 如果系统提示覆盖，请选择“是”。

   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v  BrandingNeutral  /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v  HideAutoLogonUI  /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v  HideFirstLogonAnimation  /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization"  /v  NoLockScreen /t REG_DWORD /d 1 
   Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v  UIVerbosityLevel  /t REG_DWORD /d 1
   

4. 重启参考设备。 不应再看到与欢迎屏幕和关机屏幕相关的 Windows UI 元素。

后续步骤

你已完成启用锁定功能。 你可以使用组策略来进一步自定义设备的用户体验。 实验室 3 介绍如何配置策略设置。

转到实验 3