Device lockdown embedded experience windows 10 что это
Embedded Lockdown Manager — что это за программа и нужна ли она?
Приветствую. Embedded Lockdown Manager (ELM) — инструмент, позволяющий настраивать функции блокировки на устройствах Windows Embedded 8 Standard.
Предположительно устанавливается в виде обновления.
Разбираемся
Простыми словами — данная программа предназначена для настройки Windows на рабочих ПК, например терминалы, компьютеры в магазинах, на предприятиях.
Программа устанавливается стандартно — в папку Program Files.
При помощи Embedded Lockdown Manager можно настроить следующие функции блокировки:
Походу те самые фильтры:
По факту данная программа — только среда управления, оболочка.
На заметку — для использования ELM для настройки средства запуска приложений Windows 8 необходимо сперва установить KB2932074.
Включить/отключить компонент можно штатными средствами Windows (панель управления > программы и компоненты > включение/отключение компонентов):
Официальная документация находится здесь.
Судя по скриншоту — поддерживается удаленная настройка ПК:
Дополнительная информация по поводу удаленного управления:
Вывод
Лаборатория 2. функции блокирования устройств
В лабораториях 1A и 1B мы установили ОС на эталонном устройстве и внесли настройки в режиме аудита. В этом лабораторном занятии описывается несколько способов блокировки устройства с помощью функций блокировки устройств, встроенных в Windows. Функции блокировки устройств не перечислены в определенном порядке, и в зависимости от создаваемого устройства можно включить некоторые, все или ни одного компонента.
Эта лабораторная работа является необязательной. вы можете создать устройство Enterprise IoT, не включая функции, описанные в этой лаборатории. Если вы не реализуете какую бы то ни было из этих функций, можно перейти к лабораторию 3.
для полностью автоматизированного подхода к этим шагам рекомендуется использовать платформу развертывания Windows 10 IoT Корпоративная.
Предварительные условия
Полный семинар 1a: создание базового образа.
Фильтр клавиатуры
Общие сведения о фильтре клавиатуры
Фильтр клавиатуры позволяет элементам управления, которые можно использовать для подавления ненужных нажатий клавиш или сочетаний клавиш. Как правило, клиент может изменять работу устройства с помощью определенных сочетаний клавиш, таких как CTRL + ALT + DELETE, CTRL + SHIFT + TAB, Alt + F4 и т. д. Фильтр клавиатуры не позволит пользователям использовать эти сочетания клавиш, что полезно, если устройство предназначено для выделенной цели.
функция фильтрации клавиатуры работает с физическими клавиатурами, Windows на экранной клавиатуре и сенсорной клавиатурой. Фильтр клавиатуры также обнаруживает динамические изменения макета, такие как переключение с одного языка на другой, и повторное отключение ключей, даже если в раскладке клавиатуры изменилось расположение подавленных ключей.
Ключи фильтрации клавиатуры хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Включить фильтр клавиатуры
Существует несколько методов включения фильтрации клавиатуры. Мы предоставляем инструкции для одного из этих методов в этой лаборатории.
Включите функцию фильтрации клавиатуры, выполнив следующую команду из административной командной строки:
Вам будет предложено перезапустить ссылку на Цевице, ввести Y для перезагрузки. Устройство будет перезагружено в режим аудита.
В этом лабораторном занятии мы будем предоставлять демонстрацию о блокировании клавиши CTRL + ALT + DEL. В административном окне командной строки PowerShell скопируйте и вставьте приведенные ниже команды.
Перезапустите эталонное устройство, а затем Обратите внимание, что клавиша CTRL + ALT + DEL заблокирована.
Объединенный фильтр записи (UWF)
Общие сведения о объединенном фильтре записи
объединенный фильтр записи (UWF) — это Windows 10 функция блокировки устройств, которая помогает защитить конфигурацию устройства путем перехвата и перенаправления любых операций записи на диск (установки приложений, изменения параметров, сохраненных данных) в виртуальный оверлей. Этот оверлей можно удалить путем перезагрузки или, в некоторых конфигурациях, наложение можно сохранить до тех пор, пока не будет отключен Объединенный фильтр записи.
Включение UWF
Включите функцию Объединенного фильтра записи, выполнив следующую команду из административной командной строки:
Перезапуск эталонного устройства
Настройка и включение оверлея и защиты наилучшим образом выполняется с помощью сценариев, но для этого лабораторного занятия мы будем настраивать с помощью командной строки.
В командной строке Адмистративе выполните следующие команды:
Перезапуск эталонного устройства
Теперь все операции записи будут перенаправляться на наложение ОЗУ и не будут сохранены при перезагрузке эталонного устройства.
Чтобы отключить Объединенный фильтр записи, в командной строке администратора выполните следующую команду, а затем перезагрузите устройство.
При использовании Объединенного фильтра записи необходимо принять во внимание активацию операционной системы. Активация продукта должна быть выполнена с отключенным Объединенным фильтром записи. Кроме того, при клонировании образа на другие устройства образ должен быть в состоянии Sysprep, а фильтр отключен до записи образа.
Загрузка без фирменного стиля
Обзор нефирменной загрузки
загрузка без фирменного стиля позволяет подавлять Windows элементы, отображаемые при запуске Windows, и может подавлять экран сбоя, когда Windows обнаруживает ошибку, которая не может быть восстановлена из.
Включить загрузку нефирменного стиля
Включите функцию загрузки нефирменного стиля, выполнив следующую команду в административной командной строке:
Перезапуск эталонного устройства
Настройка нефирменных параметров загрузки во время выполнения с помощью BCDEdit
Можно настроить нефирменную загрузку из командной строки с правами администратора следующими способами.
Отключите клавишу F8 во время запуска, чтобы запретить доступ к меню дополнительных параметров запуска:
Отключите клавишу F10 во время запуска, чтобы запретить доступ к меню дополнительных параметров запуска:
подавлять все элементы пользовательского интерфейса Windows (логотип, индикатор состояния и сообщение о состоянии) во время запуска:
В любой момент, когда вы перестраиваете данные BCD, например с помощью BCDboot, вам придется повторно выполнить приведенные выше команды.
Настраиваемый вход в систему
функцию настраиваемого входа в систему можно использовать для подавления Windows 10 элементов пользовательского интерфейса, связанных с экраном приветствия и экраном завершения работы. Например, можно подавить все элементы пользовательского интерфейса экрана приветствия и предоставить собственный пользовательский интерфейс для входа. Также можно подавить экран Blocked Shutdown Resolver (BSDR) и автоматически завершать приложения, когда ОС ожидает закрытия приложений перед завершением работы.
Функция настраиваемого входа в систему не будет работать для образов, использующих пустой или ознакомительный ключ продукта. Для просмотра изменений, внесенных с помощью приведенных ниже команд, необходимо использовать допустимый ключ продукта.
Включите функцию настраиваемого входа в систему, выполнив следующую команду в административной командной строке:
При появлении запроса на перезапуск выберите нет.
Затем в командной строке администратора измените следующие записи реестра. При появлении запроса на перезапись выберите Да.
Перезапустите эталонное устройство. вы больше не должны видеть элементы пользовательского интерфейса Windows, относящиеся к экрану приветствия и экрану завершения работы.
Дальнейшие действия
Теперь на вашем устройстве есть функции блокирования устройств. Групповые политики можно использовать для дальнейшей настройки взаимодействия с пользователем на устройстве. В практическом занятии 3 описано, как настройка параметры политики.
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
Это Вы что-то не так делаете, читайте ридми внимательней.
BB-код ссылки (для форумов):
Всем привет.
Попытался обработать ru_windows_10_consumer_editions_version_1909_x64_dvd_f74288fc последней версией MSMG ToolKit.
1. примонтировал boot и recovery и все шесть индексов install.wim.
2. удалил инт.експлорер, ежика, все что связано с кортаной, скайпом, офисом, защитником, иксбоксом. магазин и остальное оставил.
3. во время удаления вылезают окна с текстом от Toolkithelper: типа
Адресат вызова создал исключение. бла-бла по Eng.
Запрошенный доступ к реестру запрещён. бла-бла по Eng.
Конец трассировки внутреннего стека исключений. бла-бла по Eng.
процесс продолжался только после закрытия окон через ОК.
4. ребуилднул. сохранил. создал.
5. при установке пишет Программа установки не сумела проверить конфигурацию вашего оборудования.
обычный дистр встал без проблем.
ЕСТЬ У КОГО МЫСЛИ КУДА КОПАТЬ?
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
Всё то же самое, только «ручками».
«Разжевано», «напальцАх» 
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
Integrating:
Microsoft DirectX 9.0c
Microsoft Games
Removing:
Adobe Flash For Windows
Internet Explorer
First Logon Animation
Snipping Tool
Windows Media Player
Windows Photo Viewer
Assigned Access
Customer Experience Improvement Program (CEIP)
Face Recognition
Kernel Debugging | Depends on: Windows Error Reporting
Location Service
Picture Password
Pin SignIn Support
Unified Telemetry Client (Asimov) | Depends on: Windows Error Reporting
WiFi Network Manager (WiFi Sense)
Windows Error Reporting | Needed for Out of Box Experience
Windows Insider Hub
Home Group
MultiPoint Connector
Remote Assistance
Device Lockdown (Embedded Experience)
Ease of Access Themes
Manual Setup (InPlace Upgrade)
Security Center | Depends on: Windows Defender
System Restore
Windows Subsystem For Linux
Windows To Go
Assigned Access Lock App | Depends on: Assigned Access
Azure Active Directory AppX Broker Plugin
Bio Enrollment App
Camera Barcode Scanner
Connect App
Content Delivery Manager | Needed for Out of Box Experience
Edge
Eye Control App
File Explorer App
Lockscreen App
Map Control
Narrator QuickStart
OneDrive Desktop Client
Parental Controls
People Bar
Quick Assist App
Retail Demo Content
Setting Sync
Skype ORTC
Smart Screen | Depends on: Windows Defender
Take Test App
Win32 Web View Host
Windows Defender App
Windows Mixed Reality
Xbox App
Xbox Game Callable UI
Xbox Identity Provider
Advertising Xaml
Alarms & Clock App
Camera App
Desktop App Installer
Feedback Hub App
Films & TV App
Get Help App
Google’s VP9 WebM Video Codec Plugin
Groove Music App
High Efficiency Image File (HEIF) Codec Plugin
Maps App | Depends on: Map Control
Messaging App
Microsoft Pay App
Mixed Reality Portal App | Depends on: Windows Mixed Reality
Mixed Reality Viewer App | Depends on: Windows Mixed Reality
Mobile Plans App
My Office App
OneNote App
Paint 3D App
People App | Depends on: People Bar
Print 3D App
Screen Sketch App
Skype App
Solitaire Collection App | Depends on: Xbox Game Callable UI
Sticky Notes App | Depends on: Windows Store
Tips App
Voice Recorder App
Weather App | Depends on: Advertising Xaml
Web Media Codec Plugin
WebP Image Codec Plugin
Windows Mail App | Depends on: Advertising Xaml
Your Phone App
Windows 10 IoT Enterprise — секреты настройки для Embedded-сценариев
Предисловие
Наверно Вы видели банкоматы, информационные киоски, рекламные панели, на которых отображается ошибка или уведомление системы. Если Вы не видели подобные общественные устройства «живьем», то Вы легко сможете найти подобные фотографии в интернете если поищете картинки по словам «банкомат ошибка windows». А однажды уведомление системы появилось в прямом эфире во время прогноза погоды, фото можно найти по словам «уведомление windows в прямом эфире». Ради интереса еще можете поискать «самый большой синий экран».
О чем же все это говорит?
— Вы любите кошек?
— Нет
— Вы просто не умеете их готовить!
Для специализированных устройств Майкрософт предлагает использовать Windows 10 IoT Enterprise, которая отличается от Windows 10 Enterprise только отсутствием универсальных приложений. Соответственно, с технической точки зрения Win 10 IoT Enterprise является настольной операционной системой, которая подразумевает взаимодействие с пользователем. Но на специализированных устройствах взаимодействия с пользователем не должно быть т.к. порой даже нет пользователя в привычном его понимании, особенно это касается рекламных панелей.
При подготовке специализированного устройства некоторые технические специалисты забывают о вышеуказанном нюансе совсем или забывают отключить какую-либо категорию уведомлений. Данная статья написана чтобы напомнить о некоторых особенностях настройки Windows для специализированных решений. В данной статье мы рассмотрим подготовку решения для одной бизнес-задачи.
Все настройки будут описаны для Win 10 IoT Enterprise 2016 LTSB, демо-версию которой можно скачать здесь.
Какую бизнес-задачу решаем?
Как-то раз я приехал в пункт самовывоза одного онлайн магазина. В данном магазине продавцы только выдавали товар или давали его посмотреть, а заказ нужно было оформлять только на сайте магазина. Чтобы можно было оформить заказ прямо в пункте самовывоза, в зале самовывоза было установлено множество ПК. Сами ПК были спрятаны, был только монитор и мышка, на экране была открыта специализированная база магазина, в которой можно было найти товар и оформить заказ и экранная клавиатура.
Рассмотрим подготовку аналогичного решения, которое будет предназначено для навигации по сайту www.quarta-embedded.ru. Предполагаемые условия использования – без источника бесперебойного питания и с минимальным техническим обслуживанием.
Подготовка решения
Шаг 1 – подготовка устройства
В качестве устройства был взят обычный ПК, с жестким диском 120 ГБ, оперативной памятью 4 ГБ. Режим загрузки ОС – Legacy.
Т.к. у нас устройство будет использоваться без источника бесперебойного питания нужно обязательно предусмотреть внеплановое отключение питания. Т.е. устройство должно само включаться при появлении питания, для этого необходимо соответствующим образом настроить BIOS устройства. Необходимые пункты в BIOS’е можно найти по интуитивно-понятным названиям, у меня это «Advanced > Power-On Options > After Power Loss», выставляем «On». Но если Вы хотите, чтобы при включении устройство оставалось выключенным, когда его выключили намеренно, то установите «Previous State».
Шаг 2 – установка Win 10 IoT
Установка Win 10 IoT Enterprise ничем не отличается от установки Win 10 Enterprise, поэтому не вижу особого смысла описывать установку. Я буду устанавливать «Win 10 IoT Enterprise 2016 LTSB x32» без подключения к интернету, чтобы в систему не «прилетело» ничего лишнего. При первой загрузке создал пользователя Admin.
Шаг 3 – сохранение образа системы
Что, не ждали такого поворота? Только установили систему и сразу сохраняем образ. При подготовке решения желательно периодически сохранять образ системы на тот случай если вдруг что-то пойдет не так. Тогда не нужно будет делать настройку системы сначала.
Когда мы говорим о создании образа мы затрагиваем вопрос тиражирования, но он настолько широкий, что ему можно посвятить отдельную статью и не одну, поэтому в данной статье я не буду подробно описывать данный вопрос.
Для создания технологического (промежуточного) образа я запечатаю систему командой
и создам wim образ системного тома с помощью утилиты DISM.
Важно — если Вы пойдете тем же путем, то после разворачивания такого образа не забудьте скопировать содержимое каталога «Windows\System32\Recovery» на первый том в папку «Recovery\WindowsRE». И сделать это нужно до загрузки ОС т.к. после загрузки ОС каталог «Windows\System32\Recovery» уже будет пустым. У меня это реализовано следующим образом:
Обратите внимание, что после запечатывания система будет автоматически входить во встроенную учетную запись администратора. И теперь автоматически будет запускаться sysprep. Чтобы это окно мне не мешало, я добавил в shell:startup скрипт с одной единственной командой
Чтобы не забыть удалить скрипт, я сразу сделаю скрипт для запечатывания, в котором будет прописана команда для очистки автозапуска.
Мне ведь все равно нужно будет запечатывать систему в oobe режиме.
Все технологические файлы я буду размещать в папке C:\Sysprep
Шаг 4 – установка драйверов
Как ни странно, но некоторые жалуются, что после установки Win 10 «драйверы не установились сами». Спешу Вас огорчить, само ничего не бывает, драйверы необходимо устанавливать. В системе идет некий набор стандартных драйверов, но вряд ли со стандартным набором драйверов можно будет использовать все возможности оборудования. Лучше всего если Вы сами установите наиболее подходящие драйверы для Вашего устройства. Windows может автоматически загружать драйверы из специального хранилища Майкрософта и устанавливать их, но не обязательно что там будут все необходимые драйверы или что это будут подходящие драйверы. Драйвер, который система установит автоматически может привести к сбою системы. Что же делать если Вы оказались в ситуации, когда нужно предотвратить такую автоматическую установку драйвера? Есть 2 варианта:
1. Отключить службу обновления
net stop wuauserv – команда остановки службы
sc config wuauserv start=disabled – изменить режим запуска службы на «Отключено»
Но в таком случае система не будет получать какие-либо обновления вообще
2. Отключить установку конкретного драйвера в групповых политиках
Открыть редактор групповых политик командой gpedit
Перейти в раздел «Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств». Англоязычный вариант ветки «Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions»
В данном разделе Вы сможете запретить установку драйвера по конкретному классу или ID оборудования. Для предотвращения установки других драйверов НЕ нужно устанавливать флажок «Также применить для соответствующих устройств, которые уже были установлены» «Also apply to matching devices that are already installed», иначе Вы сделаете использование устройства невозможным.
Т.к. у меня экспериментальное решение и драйверы особого значения не имеют, я не буду целенаправленно устанавливать драйверы. После подключения к интернету система нашла драйвер на некоторые устройства.
Шаг 5 – русификация системы
После установки переключил основной язык системы на русский и включил опцию копирования языковых параметров для экрана приветствия и новых учетных записей.
Вот и все, русский язык добавлен, пожалуй, можно сохранить образ системы…
Шаг 6 – настройка питания
Наше устройство не должно засыпать и отключать монитор, поэтому нужно настроить питание соответствующим образом. Питание можно настроить с помощью скрипта:
Шаг 7 – отключение аварийного режима загрузки
Важный момент – если у нашего устройства будет 2-3 раза подряд некорректное завершение работы, то система загрузится в режим восстановления, а этого допускать нельзя. Поэтому отключаем этот режим загрузки. Это можно сделать с помощью команды
Обратите внимание, что данная настройка прописывается в bcd хранилище, которое находится на разделе восстановления. Я не сохраняю раздел восстановления при сохранении образа системы, следовательно после разворачивания системы данная настройка будет в исходном состоянии т.к. будет новое bcd хранилище. Чтобы не забыть про данную настройку я добавлю ее в скрипт запечатывания в oobe режиме.
Шаг 8 – отключение сообщений об ошибках и всплывающих уведомлений
Чтобы система не выдавала сообщения об ошибках, запрос об отправке отчетов об ошибках, сообщения о проблемах с оборудованием, все это нужно отключить. Службу политики диагностики можно настроить в групповых политиках:
Конфигурация компьютера\Административные шаблоны\Система\Диагностика
Диагностика: настройка уровня выполнения сценария — Включить «Только обнаружение и диагностика»
Но мне проще все настроить с помощью одного reg файла.
Всплывающие уведомления можно настроить в групповых политиках «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач\Уведомления». Но мне проще включить режим «Не беспокоить», его можно включить в графическом интерфейсе, в центре уведомлений и в реестре. Т.к. эта настройка относится к конкретному пользователю, то и выполнять его нужно под целевым пользователем. Поэтому создаем пользователя, под которым и будет выполняться приложение для общественного использования. Пока этот пользователь будет в группе администраторы, для удобства настройки. Чтобы не было проблем с названием группы русская/английская, то получу название группы по SID’у.
И включаем режим не беспокоить.
Чтобы не забыть исключить пользователя из группы администраторы, добавлю команду на исключение в скрипт запечатывания.
Шаг 9 – настройка обновлений системы
Не помешает установить все актуальные обновления на момент подготовки системы. Настроить обновления Вы можете исходя из специфики работы Вашего устройства. Можно отключить установку всех обновлений или обновлений драйверов, как это сделать мы рассмотрели в шаге 4. А можно отключить установку обновлений системы и оставить обновление драйверов.
Но также возможна ситуация, когда нужно устанавливать обновления системы, но какое-то конкретное обновление выводит систему из строя. В этой ситуации можно запретить установку конкретного обновления. Это можно сделать с помощью утилиты wushowhide.diagcab, которую можно найти здесь.
В групповых политиках Вы можете найти множество детализированных настроек по установке обновлений. «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows»
Т.к. мне обновления не нужны я их отключу полностью:
Здесь я в очередной раз сохраню образ системы.
Шаг 10 – настройка запуска приложения
Навигация по сайту quarta-embedded.ru будет в IE, чтобы убрать доступ к адресной строке и настройкам можно включить полноэкранный режим в групповых политиках. «Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Включение полноэкранного режима». И нужно запретить закрытие IE «Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Меню браузера > Меню «Файл»: отключить закрытие окон браузера и проводника».
Для запуска приложения вместо оболочки системы будем использовать специальное средство запуска приложений – ShellLauncher. С его помощью можно:
1. Назначать запуск конкретного приложения для конкретного пользователя или группы пользователей
2. Контролировать работу запущенного приложения, при закрытии запущенного приложения можно:
Теперь настраиваем ShellLauncher, опять же мне все удобней делать с помощью консоли…
И, в качестве примера, можно назначить запускаемую оболочку по умолчанию, когда пользователю не назначено никаких приложений.
И включаем Shell Launcher
Шаг 11 – настройка отображения загрузки системы
В предыдущих версиях Windows можно было установить свои логотипы, которые отображались бы при загрузке системы, сейчас есть только две опции вкл. и выкл. Отключить процесс отображения загрузки можно в bcd хранилище, эти команды я выполню сразу и добавлю в скрипт запечатывания.
Также можно скрыть процесс входа пользователя в систему.
Теперь включаем автоматический вход пользователя User, это можно сделать с помощью команды netplwiz. Перезагружаемся и смотрим что получилось, отображения хода загрузки ОС нет, отображения входа пользователя в систему нет. Только, непосредственно перед входом в систему на несколько секунд появляется значок Win и анимация в виде шариков, но это потому, что ОС в режиме аудита, после запечатывания в режиме oobe этого не будет. Автоматически запустился IE с адресом www.quarta-embedded.ru, чуть позже появилась вкладка microsoft.com, ну ничего, нужно будет добавить в файл ответов запечатывания команду на изменение настроек в реестре
Вот здесь я опять сделаю образ системы.
Шаг 12 – установка и удаление ключа Windows
Перед установкой ключа нужно отключить ПК от интернета, чтобы система не активировалась. Можно добавить ключ и сразу же его можно удалить, чтобы никто не смог его вытащить. При этом система все равно сможет активироваться.
Шаг 13 – запечатываем систему
Чтобы система не задавала вопросов при первой загрузке после запечатывания в oobe режиме, я использую файл ответов, предварительно подготовленный в утилите «Windows System Image Manager». Запускаю скрипт для запечатывания, ниже содержание скрипта и файла ответов.