Device lockdown windows 10 что это

Наверняка вы уже слышали, что сегодня официально выходит Windows 10 Creators Update. В этой статье мы решили быть на шаг впереди и рассказать вам про новые фичи для сисадминов в следующем обновлении Windows 10 (1703).

Конфигурирование

Конструктор Windows Configuration Designer

Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer. В предыдущих версиях Windows, его можно установить в составе комплекта средств для развертывания и оценки Windows ADK.

Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.

В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC.

Массовое подключение к Azure Active Directory

Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.

Windows Spotlight

Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):

• Turn off the Windows Spotlight on Action Center;
• Do not use diagnostic data for tailored experiences;
• Turn off the Windows Welcome Experience.

Структура меню Пуск, начального экрана и панели задач

Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.

Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM).

Появились новые параметры политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:

• параметры для плитки Пользователь (User): Start/HideUserTile, Start/HideSwitchAccount, Start/HideSignOut, Start/HideLock и Start/HideChangeAccountSettings;
• параметры для управления элементом Питание (Power): Start/HidePowerButton, Start/HideHibernate, Start/HideRestart, Start/HideShutDown и Start/HideSleep;
• дополнительные новые параметры: Start/HideFrequentlyUsedApps, Start/HideRecentlyAddedApps, AllowPinnedFolder, ImportEdgeAssets, Start/HideRecentJumplists, Start/NoPinningToTaskbar, Settings/PageVisibilityList и Start/HideAppsList.

Развёртывание

Утилита MBR2GPT.EXE

MBR2GPT.EXE — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.

Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.

После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.

Безопасность

Windows Defender Advanced Threat Protection

Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре.

Обнаружение атак

К основным улучшениям в области обнаружения атак относятся:

• возможность использовать api-интерфейса аналитики угроз для создания пользовательских оповещений;
• улучшения сенсоров ОС для памяти и ядра, чтобы обеспечить поддержку обнаружения атак в памяти и на уровне ядра;
• обновление механизмов обнаружения программ-шантажистов, а также других сложных атак;
• функциональность ретроспективного обнаружения, которая позволяет применять новые правила обнаружения атак в архивных данных с глубиной до полугода, чтобы обнаруживать атаки, которые ранее остались незамеченными.

Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.

Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:

— возможность выявления учётных записей пользователей с наибольшим количеством оповещений и расследование случаев возможной компрометации учётных данных; — агрегирование множественных событий обнаружения и связанных с этим событий в единое представление для сокращения времени разрешения; — использование API-интерфейса REST для получения оповещений от Windows Defender ATP.

При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:

— быстро реагировать на обнаруженные атаки, изолируя машины или собирая пакет аналитики; — быстро реагировать на обнаруженные атаки путём остановки работы файлов, их перемещения в карантин или блокировки.

Проверка состояния работоспособности сенсоров — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.

Windows Defender Antivirus

Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:

о том, как можно сконфигурировать функциональность блокировки при первом появлении (Block at First Sight);
• возможность определить уровень защиты облака;
• защита Windows Defender Antivirus в приложении Windows Defender Security Center.

Параметры безопасности групповых политик

Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.

Появился новый параметр политики безопасности — Interactive logon: Don’t display username at sign-in. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.

Windows Hello для бизнеса

Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.

На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.

Обновление

Windows Update for Business

Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.

Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.

Windows Insider for Business

Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).

Оптимизация доставки обновлений

Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.

Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.

Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.

К новым политикам относятся:

• поддержка загрузки при заданном уровне заряда, когда устройство работает от батареи;
• поддержка однорангового кеширования при подключении устройства через VPN;
• определение памяти (включительно), которую разрешено использовать для однорангового кеширования;
• минимальный объём дискового пространства, который разрешено использовать для однорангового кеширования;
• минимальный размер файла для содержимого однорангового кеширования.

Установленные ранее приложения больше не обновляются автоматически

При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.

Управление

Новые возможности MDM

В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.

позволяет по-разному управлять устройствам в зависимости от их местоположения, подключения к сети и времени. Например, на управляемых устройствах можно отключать камеры, когда они находятся на рабочем месте, поддержку мобильной связи — при выезде из страны для предотвращения больших расходов на роуминг; или беспроводную сеть — когда устройство не находится в здании организации или кампуса. После конфигурирования эти параметры могут применяться даже в отсутствие связи с сервером управления из-за смены местоположения или сети. Dynamic Management CSP позволяет конфигурировать политики, меняющие порядок управления устройством в дополнение к настройке условий, при которых такое изменение происходит. позволяет удалять предустановленные и установленные пользователем приложения, сохраняя при этом пользовательские данные. используется для управления шифрованием на настольных компьютерах и устройствах. Например, можно обеспечить шифрование данных на картах памяти устройств или дисков с операционной системой. служит для конфигурирования прокси-сервера для подключения через Ethernet или Wi-Fi. позволяет устанавливать на устройство клиент Microsoft Office с помощью средства развертывания Office. служит для управления виртуальными приложениями на настольных компьютерах под управлением Windows 10 (в редакциях Enterprise и Education) и позволяет передавать виртуализованные приложения App-V на компьютеры, даже если те управляются средствами MDM.

Управление мобильными приложениями в Windows 10

Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).

Диагностика MDM

Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.

Мобильные устройства в Windows 10

Lockdown Designer

Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки.

Другие улучшения

Также появились следующие улучшения:

• шифрование карт SD;
• удаленный сброс PIN-кодов учетных записей Azure Active Directory;
• архивирование текстовых SMS-сообщений;
• управление Wi-Fi Direct;
• управление отображением Continuum;
• индивидуальное отключение экрана монитора или телефона в отсутствие активности;
• индивидуальное определение таймаута экрана;
• решения для стыковки Continuum;
• определение свойств портов Ethernet;
• определение свойств прокси для портов Ethernet.

Полезные материалы из нашего блога и не только

UPD: Про обновления в Windows 10 Creators Update можно почитать в блоге компании.

Embedded Lockdown Manager — что это за программа и нужна ли она?

Приветствую. Embedded Lockdown Manager (ELM) — инструмент, позволяющий настраивать функции блокировки на устройствах Windows Embedded 8 Standard.

Предположительно устанавливается в виде обновления.

Разбираемся

Простыми словами — данная программа предназначена для настройки Windows на рабочих ПК, например терминалы, компьютеры в магазинах, на предприятиях.

Программа устанавливается стандартно — в папку Program Files.

При помощи Embedded Lockdown Manager можно настроить следующие функции блокировки:

1. Windows 8 Application Launcher — позволяет автоматически запускать одно приложение магазина Windows. Можно настроить на отключение начального экрана.
2. USB-фильтр. Позволяет только доверенным USB-устройствам подключаться к системе.
3. Фильтр жестов. Предотвращает нежелательные жесты (предположительно актуально для сенсорных экранов).
4. Keyboard Filter. Подавляет нежелательные комбинации клавиш, например Ctrl+Alt+Del.
5. Диалоговый фильтр. Предотвращает появление на экране нежелательных всплывающих окон и диалоговых окон.
6. Unified Write Filter. Защищает физический носитель от операций записи.
7. Shell Launcher. Запускает альтернативную оболочку вместо стандартной оболочки Windows.

Походу те самые фильтры:

По факту данная программа — только среда управления, оболочка.

На заметку — для использования ELM для настройки средства запуска приложений Windows 8 необходимо сперва установить KB2932074.

Включить/отключить компонент можно штатными средствами Windows (панель управления > программы и компоненты > включение/отключение компонентов):

Name already in use

winrt-api / windows.embedded.devicelockdown / windows_embedded_devicelockdown.md

• Go to file T
• Go to line L
• Copy path
• Copy permalink

• Open with Desktop
• View raw
• Copy raw contents Copy raw contents

Copy raw contents

Copy raw contents

Provides a simple and consistent interface for locking down the available applications and tiles on the device for specific user roles defined by the enterprise.

These APIs are available in the Mobile Extension SDK.

In order to use this API, you need to first configure roles that are deployed using the EnterpriseAssignedAccess CSP.

Windows Embedded 8 Industry – новая версия операционной системы для устройств обслуживания

В 2012 году компания Microsoft представила миру новые версии операционных систем для серверов и рабочих станций. В этом году компания объявила о выпуске новых операционных систем семейства Windows Embedded. Поскольку существенным отличием этих операционных систем от классических версий является то, что версии ОС Windows Embedded остаются доступны для заказа в течение 15 лет с момента выхода продукта на рынок, продуктовая линейка не обновляется, а дополняется новыми продуктами.

На настоящий момент объявлено о выходе в свет следующих ОС:

• Windows Embedded 8 Standard. Это продолжение линейки Windows Embedded Standard, компонентизированная операционная система на ядре Windows 8, поддерживающая архитектуры x86 и x64 и предназначенная для применения в устройствах, не использующих абсолютно всех возможностей операционной системы единовременно. Для разработки образа операционной системы под конкретное устройство требуется наличие и использование соответствующего инструментария;
• Windows Embedded 8 Pro. Система является дальнейшим развитием линейки Windows Embedded Enterprise – версии полнофункциональных операционных систем Windows для встраиваемых систем, с соответствующими лицензионными ограничениями;
• Windows Embedded 8 Industry (Industry . Система является логическим продолжением линейки операционных систем для «вертикальных» рынков, ориентированных на использование в устройствах обслуживания клиентов, так называемых POS-устройствах (Point-of-Service). Отличительной особенностью данной линейки является наличие предсобранных образов, не требующих процесса разработки и соответствующего инструментария. С выходом Industry 8 эта линейка содержит три продукта: Windows Embedded POSReady 2009 (на ядре Windows XP), Windows Embedded POSReady 7 (на ядре Windows 7) и Windows Embedded Industry 8 (на ядре Windows 8).

Остановимся более подробно на Windows Embedded 8 Industry.

Как отмечалось выше, операционная система Windows Embedded Industry 8 является продолжением линейки операционных систем, ориентированных на использование в устройствах обслуживания клиентов (Windows Embedded POSReady). Вместе с тем по сравнению с предыдущей версией она претерпела существенные изменения как в области позиционирования, так и по возможностям использования и настройки.

Основным отличием Windows Embedded Industry 8 является то, что она основана на ядре Windows 8, что обеспечивает поддержку приложений и устройств, разработанных для этой платформы, а также всех новых возможностей Windows 8. Как при установке, так и в процессе работы Windows Embedded Industry 8 использует новый пользовательский интерфейс в стиле Windows 8, существенно меняющий восприятие как самой системы, так и используемых приложений.

Microsoft значительно расширила сферы применимости устройств, для которых предназначена эта операционная система. Если ранее Windows Embedded POSReady была преимущественно ориентирована на использование в киосках, терминалах и т.п., то есть на применение в устройствах розничной торговли, медицинского назначения и промышленной автоматизации.

Windows Embedded Industry 8 применяет основанные на образах технологии развертывания, аналогичные используемым в Windows 8, что позволяет создавать на ее основе гибкие решения для развертывания и обслуживания, включая защищенное удаленное управление.

Вместе с тем Windows Embedded Industry 8 сохраняет и все «фамильные» черты линейки Windows Embedded POSReady, а именно:

• основой Windows Embedded Industry 8 является «настольная» операционная система Windows 8, со всеми присущими ей достоинствами и возможностями;
• система поставляется в виде предсобранного образа: не требуются средства разработки, установка производится с диска;
• добавление/удаление компонентов операционной системы возможно после ее развертывания;
• система содержит и поддерживает специальные возможности, востребованные для встраиваемых устройств;
• установка обновлений осуществляется с Windows Update;
• обеспечивается поддержка POS for .NET: поддержка открытой архитектуры драйверов устройств, основанной на индустриальном стандарте Unified Point of Service (UPOS).

Для установки и функционирования Windows Embedded Industry 8 необходима аппаратная платформа, имеющая основные технические параметры не ниже следующих:

ЦПУ — 32-битный (x86) или 64-битный (x64) с частотой не ниже 1 ГГц;

• 1 ГБ оперативной памяти (x86), (для х64 рекомендуется 2 ГБ);
• 20 ГБ свободного места на жестком диске (HDD) или твердотельном накопителе (SSD).

Windows Embedded 8 Industry доступна для заказа в вариантах, с поддержкой процессоров архитектуры x86 и x64. Поставка осуществляться в виде ISO-образов, записанных на DVD или, как вариант, в виде загружаемых файлов этих образов. В состав образов изначально включена поддержка английского, немецкого, французского, итальянского, испанского, русского, корейского, японского и китайского языков. При необходимости поддержки языка, не входящего в этот список, можно отдельно заказать диск, содержащий дополнительные языковые пакеты, единый для вариантов x86 и x64.

С точки зрения лицензирования Windows Embedded 8 Industry в настоящий момент доступна в вариантах Windows Embedded 8 Industry Pro и Windows Embedded 8 Industry Pro Retail. Первый вариант предназначен для решений в сфере обслуживания клиентов (платежные киоски, банкоматы, рекламные панели и т.п.), медицины (АРМ-ы, диагностика, терминалы) и промышленной автоматизации (системы управления, контроля, мониторинга и т.п.). Второй, как следует из названия, предназначен для использования в устройствах индустрии розничной торговли и обслуживания (POS-терминалы, киоски, сканеры и т.п.).

Остановимся более подробно на процессе установки.

Сам процесс достаточно прост и состоит из последовательности элементарных действий. При старте с загрузочного диска пользователь видит экран (рис. 1), выполненный в стиле Windows 8, предлагающий осуществить выбор параметров и возможностей системы, многие из которых являются особенностью Windows Embedded Industry 8. Рассмотрим их последовательно.

Язык системы и метод ввода (System Language and Input Method)

Данный раздел позволяет осуществить выбор языка интерфейса системы (рис.2), определить формат времени и валюты и выбрать раскладку клавиатуры/способа ввода данных, которые будут использоваться по умолчанию. Выбор предлагаемых вариантов осуществляются из ниспадающих меню. Как и в традиционной Windows 8, для осуществления выбора возможно использовать как клавиатуру и мышь, так и возможности сенсорного экрана, если таковой присутствует в системе.

Установка конфигурации диска (Set Disk Configuration)

В этом разделе производится установка размер системного раздела на жестком диске (HDD) или твердотельном накопителе (SSD). Для увеличения размера системного раздела требуется передвинуть движок-указатель вправо, для уменьшения – влево. При этом мастер настройки не позволит уменьшить размер системного раздела меньше минимально требуемого (20 ГБ) (рис. 3). Системному разделу будет назначена буква C:, а все оставшееся свободное место на диске будет отдано под раздел данных с назначением ему буквы D:. Оба раздела будут отформатированы в NTFS. После завершения процесса установки, в режиме Audit Mode, возможно изменить назначенные изначально буквы дисков, используя Disk Management из Control Panel.

Блокировки устройства (Device Lockdown)

Этот раздел (рис. 4) позволяет настроить специальные возможности операционной системы Windows Embedded 8 Industry для защиты устройства, которые помогут ограничить доступ и контролировать возможности воздействия на устройство конечным пользователем.

Загрузка в режим аудита (Boot to audit mode)

Включение этого режима позволяет устройству загрузиться в режиме аудита после завершения основного этапа установки. В режиме аудита можно выполнить действия по установке дополнительных устройств и соответствующих драйверов и сделать необходимые изменения в настройках устройства до того, как выбранные режимы блокировки устройства вступят в силу.

Защита ОС (Protect the OS)

Данный пункт позволяет включить универсальный фильтр записи UWF (Unified Write Filter). UWF – это новая функция для Windows Embedded Industry 8, которая отсутствует в традиционной Windows 8. Фильтр объединяет в себе функциональность, доступную ранее в Enhanced Write Filter (EWF), File-Based Write Filter (FBWF) и Registry Filter и позволяет осуществить защиту устройств хранения информации от возможных несанкционированных изменений конечным пользователем. UWF представляет собой посекторный фильтр записи, который можно использовать для защиты носителей информации системы. Он перехватывает все попытки записи на защищаемый том путем перенаправления записываемых данных в виртуальный оверлей, что повышает надежность и стабильность устройства и снижает износ критичных к количеству циклов записи/перезаписи устройств хранения информации, таких как флэш- и твердотельные накопители. Есть возможность использовать режим Hibernate Once / Resume Many (HORM), позволяющий возвращать устройство в первоначальное состояние после перезагрузки и определять исключения для фильтруемых данных. По умолчанию UWF защищает только системный раздел Windows.

Защита специальных клавиш (Protect special keys)

Включения клавиатурного фильтра (Keyboard Filter) позволяет системе не реагировать на нажатие пользователем предопределенных «нежелательных» клавиш и/или их комбинаций. Keyboard Filter работает как с физической, так и со стандартной экранной клавиатурой Windows, может динамически определять изменения раскладки и продолжать свою работу корректно, даже если произошла смена клавиатуры и/или ее раскладки.</p>

Защита обработки жестов (Protect touch gestures)

Включение фильтра жестов (Gesture Filter) деактивирует новую возможность Windows 8 по обработке жестов на краях экрана. Каждый из этих жестов может быть заблокирован индивидуально. По умолчанию фильтр жестов блокирует все предопределенные комбинации.

Пройдя по всем пунктам настройки устанавливаемой системы и сделав необходимые изменения, можно переходить непосредственно к ее установке. Для этого необходимо выбрать пункт «Build my device». На появившемся экране (рис. 5) следует ввести ключ продукта (Product Key), принять лицензионные соглашения Microsoft (End User License Agreement – EULA) и перейти непосредственно к установке системы, нажав кнопку «Build». После этого начнется собственно сам процесс, ход выполнения которого отображается на экране.

По завершению всего процесса инсталляции на экране появится окно системы, выполненное в стиле Windows 8 (рис. 6).

Теперь можно установить дополнительные драйверы, драйверы OPOS для используемых устройств и приложения, которые будут использоваться (рис. 7).

Так же можно произвести тонкую настройку специальных возможностей системы (UWF, Keyboard Filter, Gesture Filter) для конкретного экземпляра устройства. Для этого служит специальная утилита, входящая в состав Windows Embedded 8 Industry – Embedded Lockdown Manager (рис.8). С его же помощью можно настроить приложение, которое будет использоваться как пользовательская оболочка (с помощью Shell Launcher).

Следует отметить, что Windows Embedded 8 Industry обладает большими возможностями по кастомизации устройств и созданию законченных решений, содержащих элементы, указывающие на бренд производителя (а не на бренд Windows). Использование этих возможностей позволяет производителю применять элементы своего бренда, начиная с момента загрузки устройства и до завершения его работы. По умолчанию же устройства, работающие под управлением ОС Windows Embedded Industry 8, отображают легко идентифицируемые элементы пользовательского интерфейса Windows, такие как стартовый экран и экран выключения системы, экран входа в Windows 8, Explorer shell, диалоговые окна и т.п. При этом существует множество сценариев, позволяющих скрыть или заменить эти элементы. Можно даже добиться того, чтобы устройство идентифицировалось конечным пользователем как некий бытовой прибор, а не как компьютер. Потребность в реализации такого подхода существует и востребована. Так, например, банк не хочет, чтобы используемые им банкоматы (ATM) содержали даже малейший намек на используемую ОС — для уменьшения риска попыток взлома системы безопасности и вывода банкомата из строя. Или авиакомпания желает, чтобы на терминалах регистрации отображалось только имя их авиакомпании, чтобы упростить их клиентам выбор правильного терминала.

В Windows Embedded Industry 8 имеются возможности скрыть почти все элементы, указывающие на бренд Windows, и заменить большинство из них на аналогичные, но содержащие указание на бренд компании-производителя устройства. Все эти возможности объединены в группу и включают следующие:

• Unbranded Boot. Использование Unbranded Boot позволяет скрыть указание на бренд Windows 8 во время старта устройства, при загрузке операционной системы.
• Custom Logon позволяет скрыть элементы стандартного пользовательского интерфейса Windows 8 во время входа в систему или при выключении устройства.
• Shell Launcher. Используется для запуска любого приложения в качестве пользовательской оболочки вместо используемой стандартно Windows Explorer shell. Можно сконфигурировать Shell Launcher таким образом, что для разных пользователей или групп пользователей в качестве пользовательской оболочки будут запускаться разные приложения.
• Windows 8 Application Launcher можно использовать для запуска приложения Windows 8 сразу после входа пользователя в систему, и для перезапуска приложения при выходе из него. Если приложение написано специально для работы с Windows 8 Application Launcher, его можно сконфигурировать для выполнения специальных действий ( например, выключение устройства или перезапуск приложения, основываясь на коде завершения, возвращаемым приложением).

И в заключение несколько слов об активации устройства, функционирующего под управлением ОС Windows Embedded Industry 8. Процесс активации Industry 8 несколько отличается от того, что привыкли видеть изготовители устройств, использовавшие предыдущие версии операционных систем Windows Embedded POSReady. Основное его отличие заключается в том, что каждое устройство должно быть активировано. При этом процесс активации состоит из следующих шагов:

1. Приобретение ключа продукта (Product Key) и использование его при установке ОС.
2. Получение с устройства информации о его лицензионном статусе.
3. Передача информации о лицензионном статусе устройства серверам активации Microsoft. Это можно сделать, используя прямое подключение к Internet, через прокси-сервер или по телефону, если подключение к Internet недоступно.
4. Получение от серверов активации Microsoft подтверждающего ID.
5. Ввод подтверждающего ID в устройство.

Полностью описание процесса активации можно найти на MSDN.

Таким образом, в этом году линейка операционных систем семейства Windows Embedded пополнилась новой операционной системой Windows Embedded 8 Industry. Также как и предыдущие версии ОС семейства Windows Embedded POSReady, она предназначена для использования в устройствах обслуживания клиентов, для решений в области медицины и промышленной автоматизации. Будучи построенной на ядре Windows 8, Windows Embedded 8 Industry обладает всеми ее преимуществами, которые дополняются широкими возможностями по кастомизации и защите операционной системы от несанкционированных действий конечного пользователя. Все это объясняет высокую целесообразность использования новой ОС производителями POS-решений.