Lab 2: Gerätesperrfunktionen
In Labs 1a und 1b haben wir das Betriebssystem auf einem Referenzgerät installiert und Anpassungen im Überwachungsmodus vorgenommen. In diesem Lab werden verschiedene Möglichkeiten beschrieben, wie Sie Ihr Gerät mithilfe der in Windows integrierten Gerätesperrfunktionen sperren. Die Gerätesperrungsfeatures werden nicht in einer bestimmten Reihenfolge aufgeführt. Sie können alle Features, einige der Features oder keines der Features aktivieren, je nach Gerät, das Sie erstellen.
Hinweis
Dieses Lab ist optional. Sie können ein IoT Enterprise-Gerät erstellen, ohne eines der in diesem Lab beschriebenen Features zu aktivieren. Wenn Sie keine dieser Funktionen implementieren, können Sie mit Lab 3 fortfahren.
Für einen vollständig automatisierten Ansatz für diese Schritte sollten Sie das Windows 10 IoT Enterprise-Bereitstellungsframework verwenden.
Voraussetzungen
Schließen Sie Lab 1a ab: Erstellen Sie ein einfaches Image.
Tastaturfilter
Übersicht Tastaturfilter
Der Tastaturfilter ermöglicht Steuerelemente, mit denen Sie unerwünschte Tastendrücke oder Tastenkombinationen unterdrücken können. Normalerweise kann ein Kunde den Betrieb eines Geräts ändern, indem er bestimmte Tastenkombinationen wie STRG+ALT+ENTF, STRG+UMSCHALT+TAB, ALT+F4 usw. verwendet. Der Tastaturfilter verhindert, dass Benutzer diese Tastenkombinationen verwenden, was hilfreich ist, wenn Ihr Gerät für einen dedizierten Zweck vorgesehen ist.
Die Tastaturfilterfunktion funktioniert mit physischen Tastaturen, der Windows-Bildschirmtastatur und der Bildschirmtastatur. Tastaturfilter erkennt auch dynamische Layoutänderungen und unterdrückt Tasten auch dann ordnungsgemäß, wenn sich die Position der unterdrückten Tasten auf der Tastatur geändert hat. Ein Beispiel für dieses Szenario ist der Wechsel von einer Sprachmenge zu einer anderen.
Tastaturfilterschlüssel werden in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter gespeichert.
Aktivieren Sie den Tastaturfilter
Es gibt mehrere Methoden zum Aktivieren des Tastaturfilters. In diesem Lab werden Anweisungen für eine dieser Methoden bereitgestellt. Weitere Informationen finden Sie unter Tastaturfilter.
Aktivieren Sie die Tastaturfilterfunktion, indem Sie den folgenden Befehl an einer administrativen Eingabeaufforderung ausführen:
DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter
Sie werden aufgefordert, das Referenzgerät neu zu starten. Geben Sie zum Neustart Y ein. Das Gerät wird im Überwachungsmodus neu gestartet.
Nachdem Sie den Tastaturfilter aktiviert haben, lesen Sie PowerShell-Skriptbeispiele für Tastaturfilter, um mehr über das Blockieren von Tastenkombinationen zu erfahren.
Für dieses Lab wird eine Demo zum Blockieren der STRG+ALT+ENTF-TASTE bereitgestellt. Kopieren Sie in einem PowerShell-Verwaltungsbefehlsfenster die folgenden Befehle, und fügen Sie sie ein.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;
Starten Sie das Referenzgerät neu und beachten Sie dann, dass die Tastenkombination STRG+ALT+ENTF gesperrt ist.
Einheitlicher Schreibfilter (UWF)
Überblick über den einheitlicher Schreibfilter
Unified Write Filter (UWF) hilft beim Schutz der Konfiguration Ihres Geräts, indem alle Schreibvorgänge auf das Laufwerk (App-Installationen, Einstellungen geändert, gespeicherte Daten) in einer virtuellen Überlagerung abgefangen und umgeleitet werden. Diese Überlagerung wird automatisch durch neustarten gelöscht, es sei denn, es ist so konfiguriert, dass er beibehalten wird, bis der einheitliche Schreibfilter deaktiviert ist.
Aktivieren der UWF
Aktivieren Sie die Einheitlicher Schreibfilter-Funktion, indem Sie den folgenden Befehl an einer administrativen Eingabeaufforderung ausführen:
DISM /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter
Starten Sie das Referenzgerät neu
Das Konfigurieren und Aktivieren des Overlays und des Schutzes erfolgt am besten über Skripts, aber für dieses Lab konfigurieren wir mithilfe der Befehlszeile
Weitere Informationen zur UWF, einschließlich Beispielskripts, finden Sie unter Einheitlicher Schreibfilter.
Führen Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle aus.
uwfmgr volume protect c: uwfmgr filter enable
Starten Sie das Referenzgerät neu
Nun werden alle Schreibvorgänge an das RAM-Overlay weitergeleitet, das beim Neustart des Referenzgeräts verworfen wird.
Um den einheitlichen Schreibfilter zu deaktivieren, führen Sie an einer administrativen Eingabeaufforderung den folgenden Befehl aus und starten Sie das Gerät neu.
uwfmgr filter disable
Hinweis
Bei Verwendung des einheitlichen Schreibfilters müssen Sie die Produktaktivierung des Betriebssystems berücksichtigen. Die Produktaktivierung muss mit deaktiviertem einheitlichen Schreibfilter erfolgen. Wenn Sie das Image auf andere Geräte klonen, muss sich das Image außerdem in einem Sysprep-Zustand befinden und der Filter muss deaktiviert sein, bevor das Image erfasst wird.
Nicht markierter Start
Übersicht über nicht markierter Start
Der Start ohne Marke ermöglicht Folgendes:
- Unterdrücken Sie Windows-Elemente, die beim Starten oder Fortsetzen von Windows angezeigt werden.
- Unterdrücken Sie den Absturzbildschirm, wenn bei Windows ein Fehler auftritt, von dem keine Wiederherstellung möglich ist.
Aktivieren der Nicht markierter Start
Aktivieren Sie die nicht markierter Startfunktion, indem Sie den folgenden Befehl in einer administrativen Eingabeaufforderung ausführen:
DISM /online /enable-Feature /featureName:Client-DeviceLockdown DISM /online /Enable-Feature /FeatureName:Client-EmbeddedBootExp
Starten Sie das Referenzgerät neu
Konfigurieren Sie die Einstellungen für den nicht markierter Start zur Laufzeit mit BCDEdit
Sie können den nicht markierter Start über eine administrative Eingabeaufforderung auf folgende Weise anpassen:
Deaktivieren Sie die F8-Taste während des Starts, um den Zugriff auf das Menü Erweiterte Startoptionen zu verhindern:
bcdedit.exe -set {globalsettings} advancedoptions false
Deaktivieren Sie die F10-Taste während des Starts, um den Zugriff auf das Menü Erweiterte Startoptionen zu verhindern:
bcdedit.exe -set {globalsettings} optionsedit false
Alle Elemente der Windows-Benutzeroberfläche (Logo, Statusanzeige und Statusmeldung) während des Starts unterdrücken:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Hinweis
Jedes Mal, wenn Sie die BCD-Informationen neu erstellen, beispielsweise mit bcdboot, müssen Sie die obigen Befehle erneut ausführen.
Benutzerdefinierte Anmeldung
Sie können die benutzerdefinierte Anmeldefunktion verwenden, um Windows 10-Benutzeroberflächenelemente zu unterdrücken, die sich auf den Begrüßungsbildschirm und den Bildschirm zum Herunterfahren beziehen. Sie können beispielsweise alle Elemente der Benutzeroberfläche der Willkommensseite unterdrücken und eine benutzerdefinierte Anmeldebenutzeroberfläche bereitstellen. Darüber hinaus können Sie den Bildschirm des Konfliktlösers für das blockierte Herunterfahren (Blocked Shutdown Resolver, BSDR) unterdrücken und Anwendungen automatisch beenden, während das Betriebssystem wartet, bis Anwendungen vor dem Herunterfahren geschlossen wurden. Weitere Informationen finden Sie unter Benutzerdefinierte Anmeldung.
Hinweis
Die benutzerdefinierte Anmeldefunktion funktioniert nicht bei Bildern, die einen leeren oder einen Evaluierungsproduktschlüssel verwenden. Sie müssen einen gültigen Produktschlüssel verwenden, um die mit den folgenden Befehlen vorgenommenen Änderungen anzuzeigen.
Aktivieren Sie die benutzerdefinierte Anmeldung, indem Sie den folgenden Befehl an einer administrativen Eingabeaufforderung ausführen:
DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon
Wenn Sie zum Neustart aufgefordert werden, wählen Sie Nein aus.
Ändern Sie als Nächstes an einer administrativen Eingabeaufforderung die folgenden Registrierungseinträge. Wenn Sie zum Überschreiben aufgefordert werden, wählen Sie Ja aus.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1
Starten Sie das Referenzgerät neu. Sie sollten die Elemente der Windows-Benutzeroberfläche, die sich auf den Begrüßungsbildschirm und den Bildschirm zum Herunterfahren beziehen, nicht mehr sehen.
Nächste Schritte
Sie haben die Aktivierung von Lockdownfeatures abgeschlossen. Sie können Gruppenrichtlinien verwenden, um die Benutzererfahrung Ihres Geräts weiter anzupassen. In Lab 3 wird beschrieben, wie Richtlinieneinstellungen konfiguriert werden.