Unified Write Filter overview Unified Write Filter (UWF) is a Windows 10 device lockdown feature that helps to protect your device’s configuration by intercepting and redirecting any writes to the drive (app installations, settings changes, saved data) to a virtual overlay.
What does device Lockdown do in Windows 10?
Restart the reference device and then note the CTRL+ALT+DEL key is blocked. Unified Write Filter (UWF) is a Windows 10 device lockdown feature that helps to protect your device’s configuration by intercepting and redirecting any writes to the drive (app installations, settings changes, saved data) to a virtual overlay.
Is the embedded Lockdown manager in Windows 10 deprecated?
The Embedded Lockdown Manager has been deprecated for Windows 10 and replaced by the Windows ICD. Windows ICD is the consolidated tool for Windows imaging and provisioning scenarios and enables configuration of all Windows settings, including the lockdown features previously configurable through Embedded Lockdown Manager.
What are Lockdown features from Windows Embedded 8.1 Industry?
Lockdown features from Windows Embedded 8.1 Industry. The Windows 8 Application Launcher has been consolidated into Assigned Access. Application Launcher enabled launching a Windows 8 app and holding focus on that app. Assigned Access offers a more robust solution for ensuring that apps retain focus.
What can I do with Windows 10 kiosk mode?
Windows 10 IoT Enterprise allows you to build fixed purpose devices such as ATM machines, point-of-sale terminals, medical devices, digital signs, or kiosks. Kiosk mode helps you create a dedicated and locked down user experience on these fixed purpose devices.
How to disable the F10 key during startup?
Disable the F10 key during startup to prevent access to the Advanced startup options menu: Suppress all Windows UI elements (logo, status indicator, and status message) during startup: Anytime you rebuild the BCD information, for example using bcdboot, you’ll have to re-run the above commands.
Приветствую. Embedded Lockdown Manager (ELM) — инструмент, позволяющий настраивать функции блокировки на устройствах Windows Embedded 8 Standard.
Предположительно устанавливается в виде обновления.
Разбираемся
Простыми словами — данная программа предназначена для настройки Windows на рабочих ПК, например терминалы, компьютеры в магазинах, на предприятиях.
Программа устанавливается стандартно — в папку Program Files.
При помощи Embedded Lockdown Manager можно настроить следующие функции блокировки:
- Windows 8 Application Launcher — позволяет автоматически запускать одно приложение магазина Windows. Можно настроить на отключение начального экрана.
- USB-фильтр. Позволяет только доверенным USB-устройствам подключаться к системе.
- Фильтр жестов. Предотвращает нежелательные жесты (предположительно актуально для сенсорных экранов).
- Keyboard Filter. Подавляет нежелательные комбинации клавиш, например Ctrl+Alt+Del.
- Диалоговый фильтр. Предотвращает появление на экране нежелательных всплывающих окон и диалоговых окон.
- Unified Write Filter. Защищает физический носитель от операций записи.
- Shell Launcher. Запускает альтернативную оболочку вместо стандартной оболочки Windows.
Походу те самые фильтры:
По факту данная программа — только среда управления, оболочка.
На заметку — для использования ELM для настройки средства запуска приложений Windows 8 необходимо сперва установить KB2932074.
Включить/отключить компонент можно штатными средствами Windows (панель управления > программы и компоненты > включение/отключение компонентов):
Официальная документация находится здесь.
Судя по скриншоту — поддерживается удаленная настройка ПК:
Дополнительная информация по поводу удаленного управления:
Вывод
Мы выяснили:
- Данная программа будет интересна специалистам по настройке рабочих/узкоспециализированных ПК. Обычным пользователям она не нужна.
- Однако удалять ее не стоит — это системный компонент. Вместо этого — отключите через окно программы и компоненты.
Надеюсь информация помогла. Удачи.
На главную!
11.02.2019
Наверняка вы уже слышали, что сегодня официально выходит Windows 10 Creators Update. В этой статье мы решили быть на шаг впереди и рассказать вам про новые фичи для сисадминов в следующем обновлении Windows 10 (1703).
Конфигурирование
Конструктор Windows Configuration Designer
Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer. В предыдущих версиях Windows, его можно установить в составе комплекта средств для развертывания и оценки Windows ADK.
Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.
В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC.
Массовое подключение к Azure Active Directory
Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.
Windows Spotlight
Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):
- Turn off the Windows Spotlight on Action Center;
- Do not use diagnostic data for tailored experiences;
- Turn off the Windows Welcome Experience.
Структура меню Пуск, начального экрана и панели задач
Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.
Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM).
Появились новые параметры политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:
- параметры для плитки Пользователь (User): Start/HideUserTile, Start/HideSwitchAccount, Start/HideSignOut, Start/HideLock и Start/HideChangeAccountSettings;
- параметры для управления элементом Питание (Power): Start/HidePowerButton, Start/HideHibernate, Start/HideRestart, Start/HideShutDown и Start/HideSleep;
- дополнительные новые параметры: Start/HideFrequentlyUsedApps, Start/HideRecentlyAddedApps, AllowPinnedFolder, ImportEdgeAssets, Start/HideRecentJumplists, Start/NoPinningToTaskbar, Settings/PageVisibilityList и Start/HideAppsList.
Развёртывание
Утилита MBR2GPT.EXE
MBR2GPT.EXE — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.
Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.
После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.
Безопасность
Windows Defender Advanced Threat Protection
Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре.
Обнаружение атак
К основным улучшениям в области обнаружения атак относятся:
- возможность использовать api-интерфейса аналитики угроз для создания пользовательских оповещений;
- улучшения сенсоров ОС для памяти и ядра, чтобы обеспечить поддержку обнаружения атак в памяти и на уровне ядра;
- обновление механизмов обнаружения программ-шантажистов, а также других сложных атак;
- функциональность ретроспективного обнаружения, которая позволяет применять новые правила обнаружения атак в архивных данных с глубиной до полугода, чтобы обнаруживать атаки, которые ранее остались незамеченными.
Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.
Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:
-
— возможность выявления учётных записей пользователей с наибольшим количеством оповещений и расследование случаев возможной компрометации учётных данных; — агрегирование множественных событий обнаружения и связанных с этим событий в единое представление для сокращения времени разрешения; — использование API-интерфейса REST для получения оповещений от Windows Defender ATP.
При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:
-
— быстро реагировать на обнаруженные атаки, изолируя машины или собирая пакет аналитики; — быстро реагировать на обнаруженные атаки путём остановки работы файлов, их перемещения в карантин или блокировки.
Проверка состояния работоспособности сенсоров — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.
Windows Defender Antivirus
Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:
-
о том, как можно сконфигурировать функциональность блокировки при первом появлении (Block at First Sight);
- возможность определить уровень защиты облака;
- защита Windows Defender Antivirus в приложении Windows Defender Security Center.
Параметры безопасности групповых политик
Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.
Появился новый параметр политики безопасности — Interactive logon: Don’t display username at sign-in. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.
Windows Hello для бизнеса
Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.
На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.
Обновление
Windows Update for Business
Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.
Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.
Windows Insider for Business
Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).
Оптимизация доставки обновлений
Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.
Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.
Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.
К новым политикам относятся:
- поддержка загрузки при заданном уровне заряда, когда устройство работает от батареи;
- поддержка однорангового кеширования при подключении устройства через VPN;
- определение памяти (включительно), которую разрешено использовать для однорангового кеширования;
- минимальный объём дискового пространства, который разрешено использовать для однорангового кеширования;
- минимальный размер файла для содержимого однорангового кеширования.
Установленные ранее приложения больше не обновляются автоматически
При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.
Управление
Новые возможности MDM
В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.
-
позволяет по-разному управлять устройствам в зависимости от их местоположения, подключения к сети и времени. Например, на управляемых устройствах можно отключать камеры, когда они находятся на рабочем месте, поддержку мобильной связи — при выезде из страны для предотвращения больших расходов на роуминг; или беспроводную сеть — когда устройство не находится в здании организации или кампуса. После конфигурирования эти параметры могут применяться даже в отсутствие связи с сервером управления из-за смены местоположения или сети. Dynamic Management CSP позволяет конфигурировать политики, меняющие порядок управления устройством в дополнение к настройке условий, при которых такое изменение происходит. позволяет удалять предустановленные и установленные пользователем приложения, сохраняя при этом пользовательские данные. используется для управления шифрованием на настольных компьютерах и устройствах. Например, можно обеспечить шифрование данных на картах памяти устройств или дисков с операционной системой. служит для конфигурирования прокси-сервера для подключения через Ethernet или Wi-Fi. позволяет устанавливать на устройство клиент Microsoft Office с помощью средства развертывания Office. служит для управления виртуальными приложениями на настольных компьютерах под управлением Windows 10 (в редакциях Enterprise и Education) и позволяет передавать виртуализованные приложения App-V на компьютеры, даже если те управляются средствами MDM.
Управление мобильными приложениями в Windows 10
Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).
Диагностика MDM
Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.
Мобильные устройства в Windows 10
Lockdown Designer
Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки.
Другие улучшения
Также появились следующие улучшения:
- шифрование карт SD;
- удаленный сброс PIN-кодов учетных записей Azure Active Directory;
- архивирование текстовых SMS-сообщений;
- управление Wi-Fi Direct;
- управление отображением Continuum;
- индивидуальное отключение экрана монитора или телефона в отсутствие активности;
- индивидуальное определение таймаута экрана;
- решения для стыковки Continuum;
- определение свойств портов Ethernet;
- определение свойств прокси для портов Ethernet.
Полезные материалы из нашего блога и не только
UPD: Про обновления в Windows 10 Creators Update можно почитать в блоге компании.
Embedded Lockdown Manager — что это за программа и нужна ли она?
Приветствую. Embedded Lockdown Manager (ELM) — инструмент, позволяющий настраивать функции блокировки на устройствах Windows Embedded 8 Standard.
Предположительно устанавливается в виде обновления.
Разбираемся
Простыми словами — данная программа предназначена для настройки Windows на рабочих ПК, например терминалы, компьютеры в магазинах, на предприятиях.
Программа устанавливается стандартно — в папку Program Files.
При помощи Embedded Lockdown Manager можно настроить следующие функции блокировки:
- Windows 8 Application Launcher — позволяет автоматически запускать одно приложение магазина Windows. Можно настроить на отключение начального экрана.
- USB-фильтр. Позволяет только доверенным USB-устройствам подключаться к системе.
- Фильтр жестов. Предотвращает нежелательные жесты (предположительно актуально для сенсорных экранов).
- Keyboard Filter. Подавляет нежелательные комбинации клавиш, например Ctrl+Alt+Del.
- Диалоговый фильтр. Предотвращает появление на экране нежелательных всплывающих окон и диалоговых окон.
- Unified Write Filter. Защищает физический носитель от операций записи.
- Shell Launcher. Запускает альтернативную оболочку вместо стандартной оболочки Windows.
Походу те самые фильтры:
По факту данная программа — только среда управления, оболочка.
На заметку — для использования ELM для настройки средства запуска приложений Windows 8 необходимо сперва установить KB2932074.
Включить/отключить компонент можно штатными средствами Windows (панель управления > программы и компоненты > включение/отключение компонентов):
Name already in use
winrt-api / windows.embedded.devicelockdown / windows_embedded_devicelockdown.md
- Go to file T
- Go to line L
- Copy path
- Copy permalink
- Open with Desktop
- View raw
- Copy raw contents Copy raw contents
Copy raw contents
Copy raw contents
Provides a simple and consistent interface for locking down the available applications and tiles on the device for specific user roles defined by the enterprise.
These APIs are available in the Mobile Extension SDK.
In order to use this API, you need to first configure roles that are deployed using the EnterpriseAssignedAccess CSP.
Windows Embedded 8 Industry – новая версия операционной системы для устройств обслуживания
В 2012 году компания Microsoft представила миру новые версии операционных систем для серверов и рабочих станций. В этом году компания объявила о выпуске новых операционных систем семейства Windows Embedded. Поскольку существенным отличием этих операционных систем от классических версий является то, что версии ОС Windows Embedded остаются доступны для заказа в течение 15 лет с момента выхода продукта на рынок, продуктовая линейка не обновляется, а дополняется новыми продуктами.
На настоящий момент объявлено о выходе в свет следующих ОС:
- Windows Embedded 8 Standard. Это продолжение линейки Windows Embedded Standard, компонентизированная операционная система на ядре Windows 8, поддерживающая архитектуры x86 и x64 и предназначенная для применения в устройствах, не использующих абсолютно всех возможностей операционной системы единовременно. Для разработки образа операционной системы под конкретное устройство требуется наличие и использование соответствующего инструментария;
- Windows Embedded 8 Pro. Система является дальнейшим развитием линейки Windows Embedded Enterprise – версии полнофункциональных операционных систем Windows для встраиваемых систем, с соответствующими лицензионными ограничениями;
- Windows Embedded 8 Industry (Industry . Система является логическим продолжением линейки операционных систем для «вертикальных» рынков, ориентированных на использование в устройствах обслуживания клиентов, так называемых POS-устройствах (Point-of-Service). Отличительной особенностью данной линейки является наличие предсобранных образов, не требующих процесса разработки и соответствующего инструментария. С выходом Industry 8 эта линейка содержит три продукта: Windows Embedded POSReady 2009 (на ядре Windows XP), Windows Embedded POSReady 7 (на ядре Windows 7) и Windows Embedded Industry 8 (на ядре Windows 8).
Остановимся более подробно на Windows Embedded 8 Industry.
Как отмечалось выше, операционная система Windows Embedded Industry 8 является продолжением линейки операционных систем, ориентированных на использование в устройствах обслуживания клиентов (Windows Embedded POSReady). Вместе с тем по сравнению с предыдущей версией она претерпела существенные изменения как в области позиционирования, так и по возможностям использования и настройки.
Основным отличием Windows Embedded Industry 8 является то, что она основана на ядре Windows 8, что обеспечивает поддержку приложений и устройств, разработанных для этой платформы, а также всех новых возможностей Windows 8. Как при установке, так и в процессе работы Windows Embedded Industry 8 использует новый пользовательский интерфейс в стиле Windows 8, существенно меняющий восприятие как самой системы, так и используемых приложений.
Microsoft значительно расширила сферы применимости устройств, для которых предназначена эта операционная система. Если ранее Windows Embedded POSReady была преимущественно ориентирована на использование в киосках, терминалах и т.п., то есть на применение в устройствах розничной торговли, медицинского назначения и промышленной автоматизации.
Windows Embedded Industry 8 применяет основанные на образах технологии развертывания, аналогичные используемым в Windows 8, что позволяет создавать на ее основе гибкие решения для развертывания и обслуживания, включая защищенное удаленное управление.
Вместе с тем Windows Embedded Industry 8 сохраняет и все «фамильные» черты линейки Windows Embedded POSReady, а именно:
- основой Windows Embedded Industry 8 является «настольная» операционная система Windows 8, со всеми присущими ей достоинствами и возможностями;
- система поставляется в виде предсобранного образа: не требуются средства разработки, установка производится с диска;
- добавление/удаление компонентов операционной системы возможно после ее развертывания;
- система содержит и поддерживает специальные возможности, востребованные для встраиваемых устройств;
- установка обновлений осуществляется с Windows Update;
- обеспечивается поддержка POS for .NET: поддержка открытой архитектуры драйверов устройств, основанной на индустриальном стандарте Unified Point of Service (UPOS).
Для установки и функционирования Windows Embedded Industry 8 необходима аппаратная платформа, имеющая основные технические параметры не ниже следующих:
ЦПУ — 32-битный (x86) или 64-битный (x64) с частотой не ниже 1 ГГц;
- 1 ГБ оперативной памяти (x86), (для х64 рекомендуется 2 ГБ);
- 20 ГБ свободного места на жестком диске (HDD) или твердотельном накопителе (SSD).
Windows Embedded 8 Industry доступна для заказа в вариантах, с поддержкой процессоров архитектуры x86 и x64. Поставка осуществляться в виде ISO-образов, записанных на DVD или, как вариант, в виде загружаемых файлов этих образов. В состав образов изначально включена поддержка английского, немецкого, французского, итальянского, испанского, русского, корейского, японского и китайского языков. При необходимости поддержки языка, не входящего в этот список, можно отдельно заказать диск, содержащий дополнительные языковые пакеты, единый для вариантов x86 и x64.
С точки зрения лицензирования Windows Embedded 8 Industry в настоящий момент доступна в вариантах Windows Embedded 8 Industry Pro и Windows Embedded 8 Industry Pro Retail. Первый вариант предназначен для решений в сфере обслуживания клиентов (платежные киоски, банкоматы, рекламные панели и т.п.), медицины (АРМ-ы, диагностика, терминалы) и промышленной автоматизации (системы управления, контроля, мониторинга и т.п.). Второй, как следует из названия, предназначен для использования в устройствах индустрии розничной торговли и обслуживания (POS-терминалы, киоски, сканеры и т.п.).
Остановимся более подробно на процессе установки.
Сам процесс достаточно прост и состоит из последовательности элементарных действий. При старте с загрузочного диска пользователь видит экран (рис. 1), выполненный в стиле Windows 8, предлагающий осуществить выбор параметров и возможностей системы, многие из которых являются особенностью Windows Embedded Industry 8. Рассмотрим их последовательно.
Язык системы и метод ввода (System Language and Input Method)
Данный раздел позволяет осуществить выбор языка интерфейса системы (рис.2), определить формат времени и валюты и выбрать раскладку клавиатуры/способа ввода данных, которые будут использоваться по умолчанию. Выбор предлагаемых вариантов осуществляются из ниспадающих меню. Как и в традиционной Windows 8, для осуществления выбора возможно использовать как клавиатуру и мышь, так и возможности сенсорного экрана, если таковой присутствует в системе.
Установка конфигурации диска (Set Disk Configuration)
В этом разделе производится установка размер системного раздела на жестком диске (HDD) или твердотельном накопителе (SSD). Для увеличения размера системного раздела требуется передвинуть движок-указатель вправо, для уменьшения – влево. При этом мастер настройки не позволит уменьшить размер системного раздела меньше минимально требуемого (20 ГБ) (рис. 3). Системному разделу будет назначена буква C:, а все оставшееся свободное место на диске будет отдано под раздел данных с назначением ему буквы D:. Оба раздела будут отформатированы в NTFS. После завершения процесса установки, в режиме Audit Mode, возможно изменить назначенные изначально буквы дисков, используя Disk Management из Control Panel.
Блокировки устройства (Device Lockdown)
Этот раздел (рис. 4) позволяет настроить специальные возможности операционной системы Windows Embedded 8 Industry для защиты устройства, которые помогут ограничить доступ и контролировать возможности воздействия на устройство конечным пользователем.
Загрузка в режим аудита (Boot to audit mode)
Включение этого режима позволяет устройству загрузиться в режиме аудита после завершения основного этапа установки. В режиме аудита можно выполнить действия по установке дополнительных устройств и соответствующих драйверов и сделать необходимые изменения в настройках устройства до того, как выбранные режимы блокировки устройства вступят в силу.
Защита ОС (Protect the OS)
Данный пункт позволяет включить универсальный фильтр записи UWF (Unified Write Filter). UWF – это новая функция для Windows Embedded Industry 8, которая отсутствует в традиционной Windows 8. Фильтр объединяет в себе функциональность, доступную ранее в Enhanced Write Filter (EWF), File-Based Write Filter (FBWF) и Registry Filter и позволяет осуществить защиту устройств хранения информации от возможных несанкционированных изменений конечным пользователем. UWF представляет собой посекторный фильтр записи, который можно использовать для защиты носителей информации системы. Он перехватывает все попытки записи на защищаемый том путем перенаправления записываемых данных в виртуальный оверлей, что повышает надежность и стабильность устройства и снижает износ критичных к количеству циклов записи/перезаписи устройств хранения информации, таких как флэш- и твердотельные накопители. Есть возможность использовать режим Hibernate Once / Resume Many (HORM), позволяющий возвращать устройство в первоначальное состояние после перезагрузки и определять исключения для фильтруемых данных. По умолчанию UWF защищает только системный раздел Windows.
Защита специальных клавиш (Protect special keys)
Включения клавиатурного фильтра (Keyboard Filter) позволяет системе не реагировать на нажатие пользователем предопределенных «нежелательных» клавиш и/или их комбинаций. Keyboard Filter работает как с физической, так и со стандартной экранной клавиатурой Windows, может динамически определять изменения раскладки и продолжать свою работу корректно, даже если произошла смена клавиатуры и/или ее раскладки.</p>
Защита обработки жестов (Protect touch gestures)
Включение фильтра жестов (Gesture Filter) деактивирует новую возможность Windows 8 по обработке жестов на краях экрана. Каждый из этих жестов может быть заблокирован индивидуально. По умолчанию фильтр жестов блокирует все предопределенные комбинации.
Пройдя по всем пунктам настройки устанавливаемой системы и сделав необходимые изменения, можно переходить непосредственно к ее установке. Для этого необходимо выбрать пункт «Build my device». На появившемся экране (рис. 5) следует ввести ключ продукта (Product Key), принять лицензионные соглашения Microsoft (End User License Agreement – EULA) и перейти непосредственно к установке системы, нажав кнопку «Build». После этого начнется собственно сам процесс, ход выполнения которого отображается на экране.
По завершению всего процесса инсталляции на экране появится окно системы, выполненное в стиле Windows 8 (рис. 6).
Теперь можно установить дополнительные драйверы, драйверы OPOS для используемых устройств и приложения, которые будут использоваться (рис. 7).
Так же можно произвести тонкую настройку специальных возможностей системы (UWF, Keyboard Filter, Gesture Filter) для конкретного экземпляра устройства. Для этого служит специальная утилита, входящая в состав Windows Embedded 8 Industry – Embedded Lockdown Manager (рис.8). С его же помощью можно настроить приложение, которое будет использоваться как пользовательская оболочка (с помощью Shell Launcher).
Следует отметить, что Windows Embedded 8 Industry обладает большими возможностями по кастомизации устройств и созданию законченных решений, содержащих элементы, указывающие на бренд производителя (а не на бренд Windows). Использование этих возможностей позволяет производителю применять элементы своего бренда, начиная с момента загрузки устройства и до завершения его работы. По умолчанию же устройства, работающие под управлением ОС Windows Embedded Industry 8, отображают легко идентифицируемые элементы пользовательского интерфейса Windows, такие как стартовый экран и экран выключения системы, экран входа в Windows 8, Explorer shell, диалоговые окна и т.п. При этом существует множество сценариев, позволяющих скрыть или заменить эти элементы. Можно даже добиться того, чтобы устройство идентифицировалось конечным пользователем как некий бытовой прибор, а не как компьютер. Потребность в реализации такого подхода существует и востребована. Так, например, банк не хочет, чтобы используемые им банкоматы (ATM) содержали даже малейший намек на используемую ОС — для уменьшения риска попыток взлома системы безопасности и вывода банкомата из строя. Или авиакомпания желает, чтобы на терминалах регистрации отображалось только имя их авиакомпании, чтобы упростить их клиентам выбор правильного терминала.
В Windows Embedded Industry 8 имеются возможности скрыть почти все элементы, указывающие на бренд Windows, и заменить большинство из них на аналогичные, но содержащие указание на бренд компании-производителя устройства. Все эти возможности объединены в группу и включают следующие:
- Unbranded Boot. Использование Unbranded Boot позволяет скрыть указание на бренд Windows 8 во время старта устройства, при загрузке операционной системы.
- Custom Logon позволяет скрыть элементы стандартного пользовательского интерфейса Windows 8 во время входа в систему или при выключении устройства.
- Shell Launcher. Используется для запуска любого приложения в качестве пользовательской оболочки вместо используемой стандартно Windows Explorer shell. Можно сконфигурировать Shell Launcher таким образом, что для разных пользователей или групп пользователей в качестве пользовательской оболочки будут запускаться разные приложения.
- Windows 8 Application Launcher можно использовать для запуска приложения Windows 8 сразу после входа пользователя в систему, и для перезапуска приложения при выходе из него. Если приложение написано специально для работы с Windows 8 Application Launcher, его можно сконфигурировать для выполнения специальных действий ( например, выключение устройства или перезапуск приложения, основываясь на коде завершения, возвращаемым приложением).
И в заключение несколько слов об активации устройства, функционирующего под управлением ОС Windows Embedded Industry 8. Процесс активации Industry 8 несколько отличается от того, что привыкли видеть изготовители устройств, использовавшие предыдущие версии операционных систем Windows Embedded POSReady. Основное его отличие заключается в том, что каждое устройство должно быть активировано. При этом процесс активации состоит из следующих шагов:
- Приобретение ключа продукта (Product Key) и использование его при установке ОС.
- Получение с устройства информации о его лицензионном статусе.
- Передача информации о лицензионном статусе устройства серверам активации Microsoft. Это можно сделать, используя прямое подключение к Internet, через прокси-сервер или по телефону, если подключение к Internet недоступно.
- Получение от серверов активации Microsoft подтверждающего ID.
- Ввод подтверждающего ID в устройство.
Полностью описание процесса активации можно найти на MSDN.
Таким образом, в этом году линейка операционных систем семейства Windows Embedded пополнилась новой операционной системой Windows Embedded 8 Industry. Также как и предыдущие версии ОС семейства Windows Embedded POSReady, она предназначена для использования в устройствах обслуживания клиентов, для решений в области медицины и промышленной автоматизации. Будучи построенной на ядре Windows 8, Windows Embedded 8 Industry обладает всеми ее преимуществами, которые дополняются широкими возможностями по кастомизации и защите операционной системы от несанкционированных действий конечного пользователя. Все это объясняет высокую целесообразность использования новой ОС производителями POS-решений.
Download Windows Speedup Tool to fix errors and make PC run faster
Windows 11/10 has a lot of optional features intended primarily for business networks and servers. You can turn them on and off using the Windows Features Dialog. In this post, we will explain what these optional features are.
Windows 11/10 Optional Features display functionality that you can decide to enable if you wish to. Although some features are designed only for business or administrator use where they need greater control over the computer network. Turning these features on an individual network will not have the greatest impact.
Recently, a couple of Windows legacy tools were grouped into optional features. These include the Windows Media Player, WordPad, and Internet Explorer. They can be enabled through the optional features.
You can manage Windows Optional Features in two places namely, in the newer Settings area, and the Control Panel. They are available in the overlap. Although, some of the features are unique to each.
We have here put together a list of some common features that are available on Windows 11/10 for your use. They may however vary depending on your Windows 11/10 edition, version and hardware:
- .NET Framework 3.5 (involving .NET 2.0 and .NET 3.0): This feature is needed to run applications that are written for various versions of .NET. Windows automatically installs them when required.
- .NET Framework 4.6 Advanced Services: These features are also automatically installed when required to run necessary applications.
- Active Directory Lightweight Directory Services: This gives a Lightweight Directory Access Protocol (LDAP) server that can run as a Windows service and also provide a directory for authenticating users on a network. It is an alternative to a full active directory server and is useful only on particular business networks.
- Embedded Shell Launcher: It is required to replace Windows’ Explorer.exe shell with a custom shell. Microsoft documentation recommends that you use this feature for setting up a traditional Windows desktop application in kiosk mode.
- Containers: It is required to provide services and tools to create and manage Windows Server Containers.
- Data Center Bridging: Standards developed by IEEE for data centers.
- Device Lockdown: This feature protects against drive writes, unbranded boot screen, and filter keyboard strokes which are designed for machines in public settings.
- Guarded Host: It helps configure guarded hosts and run shield virtual machines on a server.
- Hyper-V: This feature is Microsoft’s virtualization tool. It includes an underlying platform and services with a graphical Hyper-V Manager tool to create, manage, and use virtual machines.
- Internet Explorer 11: You can disable Internet Explorer if you do not need Microsoft’s legacy browser. (Removed in Windows 11)
- Internet Information Services: It provides Microsoft’s IIS web and FTP servers with tools to manage the servers.
- Internet Information Services Hostable Web Core: It enables applications to host a web server via IIS inside their process. You will need this if you run an application that requires it.
- Legacy Components: DirectPlay – Part of the DirectX application programming interface.
- Media Features: Windows Media Player – It is one of the initial Windows features, an audio and video player.
- Microsoft Message Queue (MSMQ) Server: An old service to improve communications when working with unreliable networks.
- Math Recognizer: This Math Input Panel converts handwritten math into digital text.
- Microsoft Paint: This tool is nothing but a basic image editing program.
- Microsoft XPS Document Writer: Provides support for XPS file format.
- Microsoft Print to PDF: It is a tool to export a file to the PDF format.
- Microsoft Quick Assist: It is a feature that enables Microsoft support to connect to your device and see the screen.
- Microsoft WebDriver: It automates Microsoft Edge testing and hosts the EdgeHTML platform.
- Notepad: It is a basic plain text viewer and editor.
- OpenSSH Client: This feature is used for secure key management and access to remote machines.
- Print Management Console: This feature is required for the management of printers, printer drivers, and printer servers.
- Print and Document Services: Make it possible to use and manage printing, faxing and scanning devices.
- Remote Differential Compression API Support: Allows fast comparisons between synchronized files, which detects the data removed or added from their contents.
- Steps Recorder: It helps in capturing steps with screenshots for troubleshooting.
- Simple Network Management Protocol (SNMP): It is a legacy protocol created for administering devices that are connected to a network.
- SMB 1.0/CIFS File Sharing Support: This feature enables the sharing of files and printers with computers running older versions of Windows.
- Services for NFS: This lets you access files that use the Network File system protocol.
- SMB Direct: Allows network adapters to use Remote Direct Memory Access to improve file sharing process when using SMB 3.x file sharing protocol.
- Simple TCP/IP services: Collection of old command-line tools that include character generator, daytime, discard, echo, etc.
- Telnet Client: It is a command-line feature to manage another system remotely. It is not a completely secure tool so try not to use it unless you know what you are doing.
- TFTP Client: A command-line tool that can be used to transfer files via the Trivial File Transfer Protocol.
- Virtual Machine Platform: Part of the native virtualization system.
- Windows Defender Application Guard: Lets you isolate untrusted sites, resources, and internal networks.
- Windows Fax and Scan: It is an integrated fax and scans application.
- Windows Hypervisor Platform: This API is used by third-party virtualization software
- Windows Hello Face: it is Windows 10’s biometric login tool.
- Windows Identity Foundation 3.5: A software framework for building identity-aware applications. The .NET Framework 4.5 includes a newer version of this framework.
- Windows PowerShell 2.0: This tool is similar to Command Prompt but is more advanced and enables task automation.
- Windows PowerShell Integrated Scripting Environment: It is a graphical editor for PowerShell scripts.
- Windows Process Activation Service: Used for message-based applications and components that are related to Internet Information Services (IIS).
- Windows Projected File System: Lets apps create virtual file systems.
- Windows Sandbox: Allows users to run a virtual machine within Windows 10.
- Windows Subsystem for Linux: Lets you install and use the Linux distributions such as Ubuntu, Debian, openSUSE, etc.
- Windows TIFF IFilter: It is an index-and-search Tagged Image File Format (TIFF) used for Optional Character Recognition.
- Wireless Display: It allows the wireless projection of other devices to your computer.
- WordPad: It is a text editor that is more advanced than Notepad.
- Work Folders Client: Lets you sync a folder and its content, from the corporate network to their personal devices.
- XPS Viewer: It is a tool used to read, copy, print, sign, and set permissions for XPS documents.
The majority of Windows users won’t need to visit this window and manage these features. Windows 11/10 automatically install features and tools when required. Hence, it is handy to know when you can turn them on or off. We hope it helps you.
Related: Turn Windows features on or off stuck on Please wait.
Ankit Gupta is a writer by profession and has more than 7 years of global writing experience on technology and other areas. He follows technological developments and likes to write about Windows & IT security. He has a deep liking for wild life and has written a book on Top Tiger Parks of India.
Содержание
- Embedded Lockdown Manager — что это за программа и нужна ли она?
- Разбираемся
- Вывод
- Добавить комментарий Отменить ответ
- Lab 2: Device Lockdown Features
- Prerequisites
- Keyboard filter
- Keyboard filter overview
- Enable the Keyboard filter
- Unified Write Filter (UWF)
- Unified Write Filter overview
- Enable the UWF
- Unbranded boot
- Unbranded boot overview
- Enable Unbranded boot
- Configure Unbranded Boot settings at runtime using BCDEdit
- Custom Logon
- Next steps
- Лаборатория 2. функции блокирования устройств
- Предварительные требования
- Фильтр клавиатуры
- Общие сведения о фильтре клавиатуры
- Включить фильтр клавиатуры
- Объединенный фильтр записи (UWF)
- Общие сведения о объединенном фильтре записи
- Включение UWF
- Загрузка без фирменного стиля
- Обзор нефирменной загрузки
- Включить загрузку нефирменного стиля
- Настройка нефирменных параметров загрузки во время выполнения с помощью BCDEdit
- Настраиваемый вход в систему
- Следующие шаги
- Функции блокировки Windows Embedded 8.1 Industry
- Lockdown features from Windows Embedded 8.1 Industry
Embedded Lockdown Manager — что это за программа и нужна ли она?
Приветствую. Embedded Lockdown Manager (ELM) — инструмент, позволяющий настраивать функции блокировки на устройствах Windows Embedded 8 Standard.
Предположительно устанавливается в виде обновления.
Разбираемся
Простыми словами — данная программа предназначена для настройки Windows на рабочих ПК, например терминалы, компьютеры в магазинах, на предприятиях.
Программа устанавливается стандартно — в папку Program Files.
При помощи Embedded Lockdown Manager можно настроить следующие функции блокировки:
Походу те самые фильтры:
По факту данная программа — только среда управления, оболочка.
На заметку — для использования ELM для настройки средства запуска приложений Windows 8 необходимо сперва установить KB2932074.
Включить/отключить компонент можно штатными средствами Windows (панель управления > программы и компоненты > включение/отключение компонентов):
Официальная документация находится здесь.
Судя по скриншоту — поддерживается удаленная настройка ПК:
Дополнительная информация по поводу удаленного управления:
Вывод
Надеюсь информация помогла. Удачи.
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Источник
Lab 2: Device Lockdown Features
In labs 1a and 1b we installed the OS onto a reference device and made customizations in audit mode. This lab describes several ways lock down your device using device lockdown features that are built in to Windows. The device lockdown features aren’t listed in any particular order, and you can enable some, all, or none of the features, depending on the device you’re building.
This lab is optional. You can build an IoT Enterprise device without enabling any of the features described in this lab. If you aren’t implementing any of these features, you can continue to Lab 3.
For a fully automated approach to these steps consider using the Windows 10 IoT Enterprise deployment framework.
Prerequisites
Complete Lab 1a: Create a basic image.
Keyboard filter
Keyboard filter overview
The Keyboard Filter enables controls that you can use to suppress undesireable key presses or key combinations. Normally, a customer can alter the operation of a device by using certain key combinations like Ctrl+Alt+Delete, Ctrl+Shift+Tab, Alt+F4, etc. The Keyboard filter will prevent users from using these key combinations, which is helpful if your device is intended for a dedicated purpose.
The Keyboard Filter feature works with physical keyboards, the Windows on-screen keyboard, and the touch keyboard. Keyboard Filter also detects dynamic layout changes, such as switching from one language set to another, and continues to suppress keys correctly, even if the location of suppressed keys has changed on the keyboard layout.
Keyboard filter keys are stored in the Registry at HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows EmbeddedKeyboardFilter.
Enable the Keyboard filter
There are several methods to enable the Keyboard Filter, we are providing instructions for one of those methods in this lab.
See Keyboard Filter for more information.
Enable the Keyboard Filter feature by running the following command from an Administrative Command Prompt:
You’ll be prompted to restart the reference cevice, type Y to reboot. The device will reboot into audit mode.
Once you’ve enabled the keyboard filter, see Keyboard filter PowerShell script samples to learn about blocking key combinations.
For this lab we are going to provide a demo on blocking the CTRL+ALT+DEL key. In an administrative PowerShell command window copy and paste the below commands.
Restart the reference device and then note the CTRL+ALT+DEL key is blocked.
Unified Write Filter (UWF)
Unified Write Filter overview
Unified Write Filter (UWF) is a Windows 10 device lockdown feature that helps to protect your device’s configuration by intercepting and redirecting any writes to the drive (app installations, settings changes, saved data) to a virtual overlay. This overlay can be deleted by rebooting or, in certain configurations, the overlay can be retained until the Unified Write Filter is disabled.
Enable the UWF
Enable the Unified Write Filter feature by running the following command from an Administrative Command Prompt:
Restart the reference device
Configuring and enabling the overlay and protection is best done through scripting but for this lab we will configure using command line
See Unified write filter for more information about the UWF, including sample scripts.
At an Admistrative Command prompt run the following commands
Restart the reference device
Now all writes will be redirected to the RAM overlay and will not be retained when the reference device is rebooted.
To disable the Unified Write Filter, at an Administrative Command prompt run the following command and then reboot the device.
When using the Unified Write Filter you must take into consideration the Operating System product activation. Product activation must be done with the Unified Write Filter disabled. Also, when cloning the image to other devices the image needs to be in a Sysprep state and the filter disabled prior to capturing the image.
Unbranded boot
Unbranded boot overview
Unbranded boot allows you to suppress Windows elements that appear when Windows starts or resumes, and can suppress the crash screen when Windows encounters an error that it cannot recover from.
Enable Unbranded boot
Enable the Unbranded boot feature by running the following command in an Administrative Command Prompt:
Restart the reference device
Configure Unbranded Boot settings at runtime using BCDEdit
You can customize Unbranded boot from an Administrative Command prompt in the following ways:
Disable the F8 key during startup to prevent access to the Advanced startup options menu:
Disable the F10 key during startup to prevent access to the Advanced startup options menu:
Suppress all Windows UI elements (logo, status indicator, and status message) during startup:
Anytime you rebuild the BCD information, for example using bcdboot, you’ll have to re-run the above commands.
Custom Logon
You can use the Custom Logon feature to suppress Windows 10 UI elements that relate to the Welcome screen and shutdown screen. For example, you can suppress all elements of the Welcome screen UI and provide a custom logon UI. You can also suppress the Blocked Shutdown Resolver (BSDR) screen and automatically end applications while the OS waits for applications to close before a shutdown.
See Custom logon for more information.
Custom Logon feature will not work on images that are using a blank or evaluation product key. You must use a valid Product Key to see the changes made with the below commands.
Enable the Custom Logon feature by running the following command at an Administrative Command Prompt:
If prompted to restart choose No.
Next at an Administrative Command prompt modify the following registry entries. If prompted to overwrite choose Yes.
Restart the reference device. You should no longer see the Windows UI elements that relate to the Welcome screen and shutdown screen.
Next steps
Your device now has device lockdown features in place. You can use group policies to further customize your device’s user experience. Lab 3 covers how to congifure policy settings.
Источник
Лаборатория 2. функции блокирования устройств
В лабораториях 1A и 1B мы установили ОС на эталонном устройстве и внесли настройки в режиме аудита. В этом лабораторном занятии описывается несколько способов блокировки устройства с помощью функций блокировки устройств, встроенных в Windows. Функции блокировки устройств не перечислены в определенном порядке, и в зависимости от создаваемого устройства можно включить некоторые, все или ни одного компонента.
Эта лабораторная работа является необязательной. вы можете создать устройство Enterprise IoT, не включая функции, описанные в этой лаборатории. Если вы не реализуете какую бы то ни было из этих функций, можно перейти к лабораторию 3.
для полностью автоматизированного подхода к этим шагам рекомендуется использовать платформу развертывания Windows 10 IoT Корпоративная.
Предварительные требования
Полный семинар 1a: создание базового образа.
Фильтр клавиатуры
Общие сведения о фильтре клавиатуры
Фильтр клавиатуры позволяет элементам управления, которые можно использовать для подавления ненужных нажатий клавиш или сочетаний клавиш. Как правило, клиент может изменять работу устройства с помощью определенных сочетаний клавиш, таких как CTRL + ALT + DELETE, CTRL + SHIFT + TAB, Alt + F4 и т. д. Фильтр клавиатуры не позволит пользователям использовать эти сочетания клавиш, что полезно, если устройство предназначено для выделенной цели.
функция фильтрации клавиатуры работает с физическими клавиатурами, Windows на экранной клавиатуре и сенсорной клавиатурой. Фильтр клавиатуры также обнаруживает динамические изменения макета, такие как переключение с одного языка на другой, и повторное отключение ключей, даже если в раскладке клавиатуры изменилось расположение подавленных ключей.
Ключи фильтрации клавиатуры хранятся в реестре по адресу HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows EmbeddedKeyboardFilter.
Включить фильтр клавиатуры
Существует несколько методов включения фильтрации клавиатуры. Мы предоставляем инструкции для одного из этих методов в этой лаборатории.
Включите функцию фильтрации клавиатуры, выполнив следующую команду из административной командной строки:
Вам будет предложено перезапустить ссылку на Цевице, ввести Y для перезагрузки. Устройство будет перезагружено в режим аудита.
В этом лабораторном занятии мы будем предоставлять демонстрацию о блокировании клавиши CTRL + ALT + DEL. В административном окне командной строки PowerShell скопируйте и вставьте приведенные ниже команды.
Перезапустите эталонное устройство, а затем Обратите внимание, что клавиша CTRL + ALT + DEL заблокирована.
Объединенный фильтр записи (UWF)
Общие сведения о объединенном фильтре записи
объединенный фильтр записи (UWF) — это Windows 10 функция блокировки устройств, которая помогает защитить конфигурацию устройства путем перехвата и перенаправления любых операций записи на диск (установки приложений, изменения параметров, сохраненных данных) в виртуальный оверлей. Этот оверлей можно удалить путем перезагрузки или, в некоторых конфигурациях, наложение можно сохранить до тех пор, пока не будет отключен Объединенный фильтр записи.
Включение UWF
Включите функцию Объединенного фильтра записи, выполнив следующую команду из административной командной строки:
Перезапуск эталонного устройства
Настройка и включение оверлея и защиты наилучшим образом выполняется с помощью сценариев, но для этого лабораторного занятия мы будем настраивать с помощью командной строки.
В командной строке Адмистративе выполните следующие команды:
Перезапуск эталонного устройства
Теперь все операции записи будут перенаправляться на наложение ОЗУ и не будут сохранены при перезагрузке эталонного устройства.
Чтобы отключить Объединенный фильтр записи, в командной строке администратора выполните следующую команду, а затем перезагрузите устройство.
При использовании Объединенного фильтра записи необходимо принять во внимание активацию операционной системы. Активация продукта должна быть выполнена с отключенным Объединенным фильтром записи. Кроме того, при клонировании образа на другие устройства образ должен быть в состоянии Sysprep, а фильтр отключен до записи образа.
Загрузка без фирменного стиля
Обзор нефирменной загрузки
загрузка без фирменного стиля позволяет подавлять Windows элементы, отображаемые при запуске Windows, и может подавлять экран сбоя, когда Windows обнаруживает ошибку, которая не может быть восстановлена из.
Включить загрузку нефирменного стиля
Включите функцию загрузки нефирменного стиля, выполнив следующую команду в административной командной строке:
Перезапуск эталонного устройства
Настройка нефирменных параметров загрузки во время выполнения с помощью BCDEdit
Можно настроить нефирменную загрузку из командной строки с правами администратора следующими способами.
Отключите клавишу F8 во время запуска, чтобы запретить доступ к меню дополнительных параметров запуска:
Отключите клавишу F10 во время запуска, чтобы запретить доступ к меню дополнительных параметров запуска:
подавлять все элементы пользовательского интерфейса Windows (логотип, индикатор состояния и сообщение о состоянии) во время запуска:
В любой момент, когда вы перестраиваете данные BCD, например с помощью BCDboot, вам придется повторно выполнить приведенные выше команды.
Настраиваемый вход в систему
функцию настраиваемого входа в систему можно использовать для подавления Windows 10 элементов пользовательского интерфейса, связанных с экраном приветствия и экраном завершения работы. Например, можно подавить все элементы пользовательского интерфейса экрана приветствия и предоставить собственный пользовательский интерфейс для входа. Также можно подавить экран Blocked Shutdown Resolver (BSDR) и автоматически завершать приложения, когда ОС ожидает закрытия приложений перед завершением работы.
Функция настраиваемого входа в систему не будет работать для образов, использующих пустой или ознакомительный ключ продукта. Для просмотра изменений, внесенных с помощью приведенных ниже команд, необходимо использовать допустимый ключ продукта.
Включите функцию настраиваемого входа в систему, выполнив следующую команду в административной командной строке:
При появлении запроса на перезапуск выберите нет.
Затем в командной строке администратора измените следующие записи реестра. При появлении запроса на перезапись выберите Да.
Перезапустите эталонное устройство. вы больше не должны видеть элементы пользовательского интерфейса Windows, относящиеся к экрану приветствия и экрану завершения работы.
Следующие шаги
Теперь на вашем устройстве есть функции блокирования устройств. Групповые политики можно использовать для дальнейшей настройки взаимодействия с пользователем на устройстве. В практическом занятии 3 описано, как настройка параметры политики.
Источник
Функции блокировки Windows Embedded 8.1 Industry
Относится к:
Многие функции блокировки, доступные в Windows Embedded 8.1 Industry, были так или иначе изменены для Windows 10. В этой таблице вы найдете сопоставление функций Windows Embedded Industry 8.1 с функциями Windows 10 Корпоративная, а также ссылки на документацию.
HORM не поддерживается в Windows 10 версии 1607 и более поздней.
Объединенный фильтр записи поддерживается и в Windows 10.
Фильтр клавиатуры: блокировать горячие ключи и другие комбинации ключей
В Windows 10 версии 1511 добавлен фильтр клавиатуры. Как и в Windows Embedded Industry 8.1, фильтр клавиатуры является дополнительным компонентом, который можно включить в разделе Включение или отключение компонентов Windows. Фильтр клавиатуры (помимо ранее доступной конфигурации WMI) настраивается по пути SMISettings с помощью конструктора образов и конфигураций Windows (ICD).
Shell Launcher : запустите Windows настольное приложение при входе
Узнайте, как использовать shell Launcher для создания устройства киоска, которое запускает Windows настольного приложения.
Средство запуска приложений Windows 8 было объединено с функцией ограниченного доступа. Средство запуска приложений позволяет запускать приложение для Windows 8 и удерживать фокус на нем. Ограниченный доступ — это более надежное решение, которое обеспечивает удержание фокуса на приложениях.
Фильтр диалогов: подавление системных диалогов и управление процессами, которые могут запускаться
Фильтр диалогового окна не используется в Windows 10. Фильтр диалогового окна предоставлял две возможности: управление тем, какие процессы могут выполняться, и возможность подавления диалоговых окон (на практике — системных диалоговых окон).
Управление доступными для выполнения процессами теперь осуществляется с помощью AppLocker.
Системные диалоговые окна в Windows 10 заменены системными всплывающими уведомлениями. Дополнительные сведения о блокировке системных всплывающих уведомлений см. ниже в разделе «Фильтр всплывающих уведомлений» ниже.
Фильтр всплывающих уведомлений: подавление уведомлений тостов
Фильтр всплывающих уведомлений заменен параметрами MDM и групповой политики, которые используются для блокировки отдельных компонентов некритических системных всплывающих уведомлений. Например, для подавления всплывающего уведомления при подключения USB-накопителя убедитесь, что USB-подключения заблокированы с помощью связанных политик, и отключите уведомления от приложений.
Групповая политика: Конфигурация пользователя > Административные шаблоны > Меню «Пуск» и панель задач > Уведомления
Имя политики MDM может различаться в зависимости от используемой службы MDM. В Microsoft Intune используйте уведомления Центра действий и настраиваемый параметр OMA-URI для aboveLock/AllowActionCenterNotifications.
Встроенный диспетчер блокировки: настройте функции блокировки
Встроенный диспетчер блокировки не используется в Windows 10, он заменен конструктором образов и конфигураций Windows (ICD). Windows ICD — это консолидированное средство для создания образов и обеспечения работы сценариев подготовки Windows, которое позволяет настроить все параметры Windows, включая параметры блокировки, которые ранее настраивались с помощью встроенного диспетчера блокировки.
ФИЛЬТР USB: ограничение USB-устройств и периферийных устройств в системе
Драйвер фильтра USB заменен параметрами MDM и групповой политики, которые используются для блокировки подключения USB-устройств.
Групповая политика: Конфигурация компьютера > Административные шаблоны > Система > Установка устройств > Ограничения на установку устройств
Имя политики MDM может различаться в зависимости от используемой службы MDM. В службе Microsoft Intune используйте Разрешить использование съемных носителей или Разрешить использование USB-подключения (только Windows 10 Mobile).
Назначен доступ: запустите приложение UWP при входе и блокировке доступа к системе
Функция ограниченного доступа в Windows 10 существенно улучшена. В Windows 8.1 ограниченный доступ блокировал системные сочетания клавиш, краевые жесты системы и некритичные системные уведомления, но также применял некоторые ограничения и к другим учетным записям на устройстве.
В Windows 10 ограниченный доступ влияет только на заблокированную учетную запись. Теперь эта функция ограничивает доступ к другим приложениям или системным компонентам, блокируя устройство при входе в систему под выбранной учетной записью пользователя и запуская указанное приложение поверх экрана блокировки, чтобы заблокировать доступ к другим функциям.
Фильтр жестов: блоки свайпов с верхнего, левого и правого краев экрана
В Windows 8.1 жесты позволяли закрыть приложение, переключаться между приложениями и получить доступ к чудо-кнопкам. В Windows 10 чудо-кнопки удалены. В Windows 10 версии 1607 вы можете заблокировать жесты прокрутки с помощью политики разрешить боковую прокрутку.
Без изменений. Применимо только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений.
Без изменений. Применимо только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений.
Источник
Lockdown features from Windows Embedded 8.1 Industry
Applies to
Many of the lockdown features available in Windows Embedded 8.1 Industry have been modified in some form for WindowsВ 10. This table maps Windows Embedded Industry 8.1 features to WindowsВ 10 Enterprise features, along with links to documentation.
Функция блокировки Windows Embedded Industry 8.1 | Функция Windows 10 | Изменения |
---|---|---|
HORM is supported in WindowsВ 10, version 1607 and later.
Unified Write Filter: protect a device’s physical storage media
The Unified Write Filter is continued in WindowsВ 10.
Keyboard Filter: block hotkeys and other key combinations
Keyboard filter is added in WindowsВ 10,В version 1511. As in Windows Embedded Industry 8.1, Keyboard Filter is an optional component that can be turned on via Turn Windows Features On/Off. Keyboard Filter (in addition to the WMI configuration previously available) will be configurable through Windows Imaging and Configuration Designer (ICD) in the SMISettings path.
Shell Launcher: launch a Windows desktop application on sign-on
Shell Launcher continues in WindowsВ 10. It is now configurable in Windows ICD under the SMISettings category.
Learn how to use Shell Launcher to create a kiosk device that runs a Windows desktop application.
Application Launcher: launch a Universal Windows Platform (UWP) app on sign-on
The WindowsВ 8 Application Launcher has been consolidated into Assigned Access. Application Launcher enabled launching a WindowsВ 8 app and holding focus on that app. Assigned Access offers a more robust solution for ensuring that apps retain focus.
Dialog Filter: suppress system dialogs and control which processes can run
Dialog Filter has been deprecated for WindowsВ 10. Dialog Filter provided two capabilities; the ability to control which processes were able to run, and the ability to prevent dialogs (in practice, system dialogs) from appearing.
Control over which processes are able to run will now be provided by AppLocker.
System dialogs in WindowsВ 10 have been replaced with system toasts. To see more on blocking system toasts, see Toast Notification Filter below.
Toast Notification Filter has been replaced by MDM and Group Policy settings for blocking the individual components of non-critical system toasts that may appear. For example, to prevent a toast from appearing when a USB drive is connected, ensure that USB connections have been blocked using the USB-related policies, and turn off notifications from apps.
Group Policy: User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications
MDM policy name may vary depending on your MDM service. In Microsoft Intune, use Allow action center notifications and a custom OMA-URI setting for AboveLock/AllowActionCenterNotifications.
The Embedded Lockdown Manager has been deprecated for WindowsВ 10 and replaced by the Windows ICD. Windows ICD is the consolidated tool for Windows imaging and provisioning scenarios and enables configuration of all Windows settings, including the lockdown features previously configurable through Embedded Lockdown Manager.
USB Filter: restrict USB devices and peripherals on system
The USB Filter driver has been replaced by MDM and Group Policy settings for blocking the connection of USB devices.
Group Policy: Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
MDM policy name may vary depending on your MDM service. In Microsoft Intune, use Allow removable storage or Allow USB connection (Windows 10 Mobile only).
Assigned Access: launch a UWP app on sign-in and lock access to system
Assigned Access has undergone significant improvement for WindowsВ 10. In WindowsВ 8.1, Assigned Access blocked system hotkeys and edge gestures, and non-critical system notifications, but it also applied some of these limitations to other accounts on the device.
In WindowsВ 10, Assigned Access no longer affects accounts other than the one being locked down. Assigned Access now restricts access to other apps or system components by locking the device when the selected user account logs in and launching the designated app above the lock screen, ensuring that no unintended functionality can be accessed.
Gesture Filter: block swipes from top, left, and right edges of screen
In Windows 8.1, gestures provided the ability to close an app, to switch apps, and to reach the Charms. In Windows 10, Charms have been removed. In Windows 10, version 1607, you can block swipes using the Allow edge swipe policy.
Custom Logon: suppress Windows UI elements during Windows sign-on, sign-off, and shutdown
No changes. Applies only to WindowsВ 10 Enterprise and WindowsВ 10 Education.
Unbranded Boot: custom brand a device by removing or replacing Windows boot UI elements
No changes. Applies only to WindowsВ 10 Enterprise and WindowsВ 10 Education.
Источник
Adblock
detector
Windows Embedded 8.1 Industry lockdown feature | Windows 10 feature | Changes |
---|---|---|