Будни OEMщика (Часть 2)

    Для тех, кто не читал первую часть статьи, скажу, что в данной статье под OEMщиком подразумевается специалист, который занимается подготовкой Windows к тиражированию на множество устройств.


    Из первой части Вы узнали, как быстро создать и развернуть образ системы. Помните, что, сохраняя образ системы по мере ее настройки проще выявлять проблемы, возникающие по мере настройки. Плюс к этому можно сохранить технологический образ системы с базовыми настройками, на основе которого можно будет подготавливать другие образы со специфическими настройками.


    В этой части мы рассмотрим специализированные настройки, с помощью которых можно настроить устройство фиксированного назначения. К таким устройствам относятся: банкоматы, информационные киоски, рекламные панели, кассы и др. Плюс к этому режим мультикиоска можно настроить для офисного рабочего места, например для оператора колл-центра. При этом лицензия Windows 10 IoT Enterprise позволяет создавать множество учетных записей, а это значит, что на устройстве фиксированного назначения можно создать отдельную учетную запись для отдельного пользователя с индивидуальными настройками.


    Для экспериментов с системой разверните локализованный образ системы в режиме аудита, который мы подготовили в первой части.


    Напоминаю, что рассматриваемые настройки будут выполнены с помощью скриптов, которые можно взять здесь, а здесь находится описание скриптов. Но для некоторых настроек понадобится полный набор скриптов, который доступен при приобретении операционных систем линейки Windows 10 IoT в Кварта Технологии.


    Периодически выходят новые версии скриптов с исправлениями и дополнениями, чтобы узнавать о выходе новых версий подпишитесь на нашу рассылку или присоединяйтесь к нашим группам в соцсетях.


    Если по мере прочтения статьи у Вас будут появляться дополнительные вопросы по настройкам или по работе скриптов, возможно Вы сможете найти ответы на вопросы в этом видео. Под видео есть перечень демонстрируемых возможностей со ссылками на конкретное время видео.


    Для каждого, кто тебя знает, ты разный


    В первой части статьи речь шла о Windows 10 в целом, а теперь, учитывая, что в данной части будет рассмотрена настройка мультикиоска, речь пойдет именно о Windows 10 IoT Enterprise 2019 т.к. в предыдущих версиях Windows 10 с долгосрочным обслуживанием нет поддержки мультикиоска. Если у Вас нет дистрибутива этой системы, то здесь можно скачать пробную версию. У пробной версии системы есть только одно ограничение – она выключается каждый час. Чтобы выключения не были неожиданными, можно добавить уведомление за 5 минут до выключения системы с помощью скрипта «TrialShutdownTimeControl».


    Различные цифровые обозначения в названии продукта и номере версии часто приводят к путанице. Чтобы избежать путаницы, можно посмотреть версию операционной системы выполнив команду «winver», у Вас должна быть версия системы 1809.



    Почему многие компании реализуют свои решения именно на «IoT Enterprise»?


    В первую очередь это вопрос цены, стоимость лицензии «IoT» зависит от процессора, с которым будет использоваться система. Для низкопроизводительных систем цена «IoT» может быть около 30% от стоимости Windows Pro.


    Плюс к этому в редакции «Enterprise» максимальный набор возможностей, в отличии от «Pro». Причем это не какие-то ненужные возможности, а возможности, которые помогут создать наиболее защищенное решение:


    • Различные режимы киоска
    • Блокировка запуска приложений
    • Блокировка устройств
    • Защита диска от записи
    • Блокировка клавиш и ввода символов
    • Поддержка 10 лет с момента выпуска без перехода на следующую версию

    Еще одним важным фактором является дополнительный способ активации Windows, который есть только у Windows 10 IoT Enterprise. Это активация с помощью ключа «ePKEA». ePKEA — это ключ множественной активации, который выдается на компанию. С этим ключом будут активироваться все устройства, выпускаемые компанией. С таким ключом доступны все стандартные способы активации, по интернету или по телефону. Данный ключ нужно ввести в систему перед тиражированием и скрыть его.


    Сочетание максимальных возможностей и минимальной цены делает операционную систему Windows 10 IoT Enterprise очень привлекательной, именно поэтому ее выбирают множество компаний для своих устройств.


    Пользователи


    В первой части статьи мы рассмотрели подготовку образа системы без настроек и без пользователей. При настройке устройства фиксированного назначения понадобится создать как минимум две учетные записи. Администратор – для обслуживания системы и пользователь – для использования устройства. При необходимости можно создать множество пользователей с индивидуальными настройками для каждого пользователя.


    Ограничения для пользователя желательно настраивать не для конкретной учетной записи, а для группы «Пользователи». Тогда, для временного снятия ограничений с пользователя достаточно перевести учетную запись из группы «Пользователи» в группу «Администраторы».


    Для быстрого создания пользователей можно воспользоваться скриптом «Users», который находится в наборе скриптов. Просто введите имена пользователей в столбик в файл «CreateUserList.txt» и выберите в скрипте пункт меню создания пользователей. Скрипт создаст пользователей, отключит срок действия пароля и переведет пользователей в группу «Администраторы». Для перевода пользователя между группами «Пользователи» и «Администраторы» достаточно выбрать имя пользователя в меню скрипта.



    Безвыходных положений не бывает


    При настройке систем фиксированного назначения нужно знать их типовые проблемы, чтобы понимать, что нужно настроить в системе. Плюс к этому нужно знать, как настроить необходимую возможность или хотя бы знать, где посмотреть информацию о настройке. Как я говорил в первой части статьи, далеко не во всех компаниях есть отдельный специалист по настройке и тиражированию систем. А у начинающих специалистов по настройке систем фиксированного назначения может уйти довольно много времени на поиск необходимой информации. Плюс к этому отсутствие знаний типовых проблем устройства приводит к типовым ошибкам при настройке систем фиксированного назначения.


    И здесь появляется вопрос. Если есть типовые настройки для устройств фиксированного назначения, то почему бы не сделать инструмент, который автоматически установит типовые настройки системы для устройств фиксированного назначения?


    Компания Кварта Технологии подготовила набор скриптов, в котором скрипты, отвечающие за типовые настройки могут работать в группе, т.е. за один раз можно включить или выключить множество настроек. Управлять группой скриптов можно с помощью скрипта «SettingsGroup», который находится в корне каталога набора скриптов. С его помощью можно посмотреть текущие значения группы настроек и изменить их. По умолчанию в группе будут работать все скрипты, которые отвечают за типовые настройки. Но при необходимости можно изменить начальный каталог поиска скриптов, которые могут работать в группе, тем самым изменив набор изменяемых настроек. Настройки со значениями, нетипичными для устройств фиксированного назначения будут выделены красным, а настройки с типичными значениями для устройств фиксированного назначения – зеленым.



    Если Вы захотите добавить в какой-либо скрипт поддержку работы в группе, то это сделать несложно. Скрипт, который управляет группой скриптов, после выбора пункта меню ищет в указанной папке все скрипты «PS1», в которых есть функция «Lockdown» и отправляет ей параметр в зависимости от выбранного пункта. Один из самых простых примеров реализации функции «Lockdown» в файле «WindowsUpdate.ps1»


    Типовые настройки для устройств фиксированного назначения


    В данном разделе краткое описание типовых настроек скриптов, которые могут работать в группе.


    Схема питания


    Как правило, устройство фиксированного назначения должно работать постоянно, без засыпаний и отключения экрана. Значит, необходимо отключить все энергосберегающие функции. Скрипт настройки питания не проверяет состояние текущей схемы питания и не перенастраивает текущую схему питания, он создает новую схему питания на основе сбалансированной схемы питания и отключает энергосберегающие функции. Изменения, которые вносятся в создаваемую схему питания, описаны в комментариях к командам в файле «PowerSettings.ps1».


    Отображение ошибок


    Чтобы некритические ошибки не мешали использованию устройства, их нужно отключить. Какие сообщения будут отключены, показано на этом видео.


    Отчеты об ошибках


    Помимо отображения самих ошибок, система может запрашивать подтверждения на отправку отчетов об ошибках. Для устройств фиксированного назначения такую возможность тоже нужно отключать.


    Всплывающие уведомления


    О различных событиях система уведомляет пользователя с помощью всплывающих уведомлений, их тоже нужно отключать. Обратите внимание, что скрипт отключает всплывающие уведомления только для той учетной записи, в которой он запущен.


    Сценарий службы политики диагностики


    Если система обнаружит какие-либо проблемы, то служба политики диагностики предложит пользователю возможные варианты решения проблем. Такой функционал нужно отключать.


    Отображение ошибок при загрузке


    Если работа системы будет завершена некорректно несколько раз подряд, то при загрузке система сообщит об ошибке и не загрузится самостоятельно. Некорректное завершение работы может быть вызвано сбоем питания, поэтому такие сообщения нужно отключать. Но необходимо учесть, что эта настройка находится в файле конфигурации загрузки, который находится на загрузочном разделе. Т.е. при сохранении образа системного раздела данная настройка будет утеряна. В таком случае, проще всего отключить отображение ошибок с помощью файла ответов для запечатывания.


    В наборе скриптов есть пример файла ответов для запечатывания с отключением отображений ошибок загрузки «OOBEAuto_IgnoreAllBootFailures.xml»


    Отображение синего экрана


    Думаю, что многие из вас видели подборку синих экранов в необычных местах. В подобных случаях лучше, чтобы вместо синего экрана отображался черный, для этого достаточно просто отключить отображение синего экрана.


    Для проверки поведения системы при появлении синего экрана можно вызвать синий экран вручную. Для включения возможности вызова синего экрана вручную есть скрипт «CrashOnCtrlScroll», который находится в наборе скриптов.


    Отображение уведомлений об обновлениях


    Система может показывать различные уведомления, связанные с обновлениями, что тоже будет мешать использованию устройства. Поэтому такие уведомления необходимо отключать.


    Автоматическое получение обновлений


    В локальной групповой политике множество настроек, связанных с обновлениями, но чаще всего требуется отключить получение всех обновлений, поэтому скрипт типовой настройки отключает получение всех обновлений.


    Прокрутка от краев экрана


    Под данной настройкой подразумевается жест для вызова центра уведомлений Windows. Данный жест необходимо отключать на устройствах с чувствительным экраном. Но т.к. отключение данной возможности не будет мешать настройке устройства, то данный жест можно отключать всегда.


    Отображение логотипа и анимации в виде крутящихся шариков


    Во время загрузки системы отображается логотип системы и анимация в виде крутящихся шариков. Довольно часто требуется скрыть данные элементы. Иногда требуется скрыть один из этих элементов.


    Данные элементы всегда будут отображаться, если система в режиме аудита. Плюс к этому, данная настройка находится в файле конфигурации загрузки, который находится на загрузочном разделе. При тиражировании образа только системного тома, данные настройки не сохранятся, команды отключения отображения процесса загрузки системы лучше добавлять в файл ответов запечатывания.


    В наборе скриптов есть пример файла ответов для запечатывания с отключением отображения процесса загрузки «OOBEAuto_HideBoot.xml»


    Отображение процесса входа пользователя в систему


    Если необходимо, чтобы первое изображение, которое покажет система, было запускаемой оболочкой, то помимо отображения процесса загрузки системы нужно отключить отображение процесса входа пользователя в систему.


    Режимы киоска


    В устройстве фиксированного назначения обязательно нужно менять оболочку для пользователя, чтобы вместо оболочки системы запускалось одно приложение или группа приложений. Вы можете настроить запуск приложений любым способом, но Майкрософт предлагает специальные режимы для запуска приложений:


    • Shell Launcher V1 – средство для запуска приложений. Запускает одно классическое приложение вместо оболочки системы и контролирует его работу. При закрытии приложения можно настроить: перезапуск приложения, перезагрузку системы, выключение системы.
    • Shell Launcher V2 – во второй версии добавлена возможность запуска универсальных приложений.
    • Ограниченный доступ – запуск одного универсального приложения вместо оболочки системы.
    • Режим мультикиоска – запуск системы в режима планшета и отображение плиток заранее назначенных приложений.

    Майкрософт не рекомендует использовать различные режимы киоска одновременно, но если настроить режимы так, чтобы они не мешали друг другу, то они могут работать и одновременно.


    Shell Launcher V1


    Для включения средства запуска оболочки нужно добавить компонент средства запуска оболочки в систему и заменить запуск стандартной оболочки «explorer.exe» на запуск средства запуска оболочки «eShell.exe». Без настроек средство запуска оболочки будет запускать только командную строку, поэтому необходимо настроить средство запуска оболочки. В настройках по умолчанию можно указать приложение, которое будет запускаться для пользователя, которому не назначен запуск приложения. Плюс к этому, необходимо добавить настройку запуска оболочки системы для группы «Администраторы» т.к. при настройке запуска приложения для группы «Пользователи» у данной настройки будет приоритет выше, чем у настройки по умолчанию, следовательно, при отсутствии других настроек для группы «Администраторы» будет выполняться приложение, назначенное для группы «Пользователи». Все эти настройки выполнит скрипт «Shell Louncher» при включении средства запуска оболочки.



    Для настройки запуска приложения вместо оболочки системы необходимо выбрать в меню скрипта, для кого вы хотите настроить запуск оболочки — для пользователя или для группы, а в следующем меню выбрать имя пользователя или группы. После выбора конкретного пользователя или группы откроется диалоговое окно для выбора запускаемого файла. После выбора запускаемого файла скрипт создаст в реестре ветку с SID’ом выбранного пользователя или группы и пропишет в нее настройки запуска приложения. Скрипт всегда будет прописывать в параметре «DefaultReturnCodeAction» — 0, что означает перезапуск приложения, если Вам необходимо, чтобы были выполнены другие действия при закрытии приложения, установите другое значение параметра «DefaultReturnCodeAction». Допустимые параметры:


    • 0 – перезапуск приложения
    • 1 – перезагрузка
    • 2 – выключение
    • 3 – отсутствие действий

    Программы будут запускаться без прав администратора. Проверить, с какими правами запущено приложение можно с помощью скрипта «TestRunAs.bat», который находится в наборе скриптов в папке «Tools». Просто укажите скрипт в качестве запускаемой программы.


    Если Вам необходимо настроить запуск множества программ с отдельным контролем работы каждой запущенной программы или необходимо запускать программу от имени администратора, то можно настроить совместную работу средства запуска оболочки и планировщика заданий. Как это сделать можно посмотреть в нашей вики.


    Созданные задачи в планировщике заданий не будут работать в режиме аудита.


    Ограниченный доступ


    Обратите внимание, что настроить режим ограниченного доступа можно только для тех учетных записей, которые находятся в группе «Пользователи» и не находятся в группе «Администраторы». Запускаемое универсальное приложение нельзя закрыть или свернуть, в режиме ограниченного доступа будут заблокированы некоторые горячие клавиши. В данном режиме нет возможности выйти из учетной записи, есть возможность только заблокировать учетную запись и перейти на экран входа в систему. Если после перехода на экран входа в систему не будет никаких действий пользователя 30 секунд, то система автоматически вернется в учетную запись. Время ожидания действий пользователя можно изменить в параметре «IdleTimeOut», подробнее об этом параметре можно узнать в соответствующем разделе нашей вики.


    Напомню, что в дистрибутиве SAC есть браузер Edge, который можно использовать в режиме ограниченного доступа в различных режимах. Подробнее об этом можно прочитать в этой статье.



    Режим мультикиоска


    Режим мультикиоска можно посмотреть здесь. Настройке режима мультикиоска была посвящена отдельная статья, а здесь скажу об основных моментах. Для настройки мультикиоска был создан отдельный вспомогательный скрипт, который есть в статье посвященной настройке мультикиоска, позже он был интегрирован в общий набор скриптов. В наборе скриптов есть:


    • «ExportTiles.bat» — для экспорта текущей конфигурации расположения плиток в меню «Пуск». Экспорт производится сразу в двух режимах, с указанием ID приложений и указанием полного пути до запускаемого файла.
    • Примеры конфигурационных файлов для настройки
    • Файл ответов для запечатывания с решением проблемы запуска режима мультикиоска

    Учтите, что примеры конфигурационных файлов для настройки мультикиоска рассчитаны только на применение к системе с помощью скрипта. ID профиля и конфигурации связаны простыми одинаковыми строками, перед применением конфигурации скрипт их автоматически поменяет на GUID. При этом в самих файлах конфигурации строки останутся в исходном виде.



    У каждого свой путь


    Типовые настройки, плюс один из режимов киоска, этого будет достаточно для многих решений, которые не рассчитаны на взаимодействие с пользователем. Хотя, с помощью некоторых настроек, которые будут рассмотрены в третьей части статьи, можно повысить отказоустойчивость системы.


    А для устройств, которые рассчитаны на взаимодействие с пользователем, это только часть настроек. Для сенсорного экрана настроек немного, поэтому мы не будем их подробно рассматривать в статье. Можно отключить вызов контекстного меню и множественные касания, подробнее об этих настройках можно узнать здесь.


    При дальнейшей настройке системы мы столкнемся с некоторыми особенностями настроек локальной групповой политики. Чтобы эти особенности были понятными, сделаем небольшое отступление и рассмотрим их.


    Особенности настроек локальной групповой политики


    Вся информация, описанная под данным заголовком, будет относиться только к ветке «Административные шаблоны».


    Изменять настройки локальной групповой политики можно разными способами:



    При изменении настроек с помощью редактора локальной групповой политики изменения будут действовать на всех пользователей и в редакторе локальной групповой политики будет отображаться актуальное состояние настроек. При изменении настроек с помощью утилиты LGPO ситуация будет такая же.


    При изменении настроек локальной групповой политики в реестре, актуальные настройки будут видны только в реестре. В редакторе локальной групповой политики будут отображаться неактуальные настройки. При этом изменения настроек конфигурации компьютера — ветка реестра «HKEY_LOCAL_MACHINE», будут действовать на всю систему. А изменения в конфигурации пользователя — ветка реестра «HKEY_CURRENT_USER», будут действовать только на ту учетную запись, в которой были внесены изменения.


    В наборе скриптов есть скрипт «LGPOMenu» для автоматизации экспорта и импорта настроек локальной групповой политики.


    Устройство с множеством пользователей


    Если ваше решение будет рассчитано на множество пользователей, то у пользователей будет доступ на экран входа в систему для возможности входа в необходимую учетную запись. На экране входа в систему можно выборочно отключить элементы, которые находятся в правом нижнем углу. Настроить отображение элементов можно с помощью скрипта «BrandingNeutral».



    Если пользователю доступна клавиша «Shift», обязательно отключите иконку управления питанием, т.к. при перезагрузке системы с удержанием «Shift» можно перейти в среду восстановления. Для отключения иконки выбора сетевого подключения есть отдельная настройка и отдельный скрипт для нее «NetworkSelectionUI».


    Если у пользователя будет возможность перехода на экран вызываемый по «Alt + Ctrl + Del», необходимо выполнить и его настройку. Все отключенные иконки на экране входа в систему будут отключены и на экране, вызываемом по «Alt + Ctrl + Del». Для отключения кнопок, находящихся над кнопкой «Отмена», есть группа скриптов, которые находятся в папке «Действия по Alt+Ctrl+Del». Во всей группе скриптов есть возможность изменить настройки для всех учетных записей или для конкретной учетной записи. При изменении настройки для всех учетных записей настройка будет изменена с помощью утилиты LGPO, а при изменении настройки только для текущего пользователя, настройка будет изменена в реестре.


    Если пользователи не будут выходить из учетной записи, а будут просто блокировать ее, то данные незавершенной сессии будут оставаться в оперативной памяти. Во время использования устройства с другой учетной записью данные в незавершенных сессиях будут просто занимать оперативную память, что может привести к ее нехватке. Нехватка оперативной памяти замедлит работу устройства или может привести к некорректной работе системы. Для предотвращения такой ситуации можно запретить быстрое переключение между пользователями, тогда вход в другую учетную запись будет невозможен до завершения предыдущей сессии.


    После запрета быстрого переключения между пользователями у пользователей будет возможность заблокировать систему, но после блокировки можно будет войти только в ту учетную запись, которая была заблокирована. Если для разных учетных записей пользователей установлены разные пароли, то блокировка учетной записи может привести к невозможности входа в систему другого пользователя, который не знает пароля от заблокированной учетной записи. Чтобы избежать такой ситуации, можно запретить блокировку компьютера.


    Блокировку компьютера нельзя отключать для учетной записи с режимом ограниченного доступа, иначе режим ограниченного доступа перестанет работать. Это связано с тем, что назначенное приложение запускается поверх экрана блокировки. (по ссылке см. функцию Windows 10 «Ограниченный доступ»)


    При выходе из учетной записи с открытыми программами, которые требуют реакции пользователя, система покажет экран остановки и сообщит о программах, которые требуют реакции пользователя. Медленно работающие системы могут показать экран остановки не сразу, а через некоторое время после попытки выхода. Это может привести к тому, что пока система будет думать, что ей делать, пользователь успеет уйти, а после его ухода система предложит закрыть открытые программы. Это может привести к входу в учетную запись без ввода пароля, чтобы это предотвратить, нужно отключить остановку завершения работы, тогда при выходе из учетной записи все программы будут закрыты без сохранения данных.


    Устройство с одним пользователем


    Самый распространенный вариант использования однопользовательского решения — это запуск классического приложения с помощью «Shell Launcher V1». Напомню, что для удобства настройки и обслуживания устройства, лучше настроить все ограничения не для конкретного пользователя, а для группы «Пользователи», тогда установить и снять ограничения для пользователя можно будет простым переводом учетной записи из одной группы в другую. Т.е. запуск конкретного приложения вместо оболочки системы лучше настроить не для конкретного пользователя, а для группы «Пользователи».


    Но если в «Shell Launcher V1» будут настройки для запуска конкретного приложения для группы «Пользователи», то система не сможет загрузиться после запечатывания в режиме приветствия (OOBE). Обойти данную проблему поможет скрипт для запечатывания «Sysprep», он временно отключит «Shell Launcher V1» и создаст задачу на его включение после первой загрузки в режиме OOBE. Подробнее эту проблему мы рассмотрим в следующей части статьи.


    На устройстве с одним пользователем можно не настраивать экран входа в систему и экран вызываемый по «Alt + Ctrl + Del», достаточно просто лишить пользователя возможности перейти на эти экраны. Заблокировать «Alt + Ctrl + Del» и другие горячие клавиши нам поможет фильтр клавиатуры.


    Фильтр клавиатуры


    С включением и настройкой фильтра клавиатуры нам поможет скрипт «Keyboard Filter» из набора скриптов. При включении фильтра клавиатуры он добавит компонент фильтра клавиатуры и пропишет в реестр команду запуска службы фильтра клавиатуры при следующей загрузке системы.



    Фильтр клавиатуры оказывает влияние на работу режима ограниченного доступа без какой-либо настройки. В режиме ограниченного доступа будут заблокированы горячие клавиши «Alt + Ctrl + Del», перейти на экран входа в систему можно будет только при пятикратном нажатии клавиши разблокировки, по умолчанию это кнопка «Win».


    С помощью фильтра клавиатуры можно:


    • Запретить использование горячих клавиш специальных возможностей
    • Запретить использование комбинаций клавиш
    • Запретить ввод конкретных символов
    • Запретить использование конкретных клавиш
    • Назначить клавишу разблокировки системы

    Обязательно заблокируйте горячие клавиши специальных возможностей, они не нужны для настройки системы, а пользователям дают избыточные возможности. Одна из таких горячих клавиш – многократное нажатие клавиши «Shift», чтобы убедиться, что горячие клавиши специальных возможностей отключены, можно проверить работу этой горячей клавиши до отключения горячих клавиш и после отключения.


    Чтобы лишить пользователя возможности перехода на экран вызываемый по «Alt + Ctrl + Del» и на экран входа в систему, заблокируйте горячие клавиши «Alt + Ctrl + Del».


    Настройки фильтра клавиатуры находятся в реестре, для быстрого перехода к настройкам фильтра клавиатуры выберите пункт открытия настроек в меню скрипта. В ветке реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter» находится перечень клавиш и клавиатурных сочетаний, которые можно заблокировать, прописав значение «Blocked».


    При открытии настроек фильтра клавиатуры с помощью скрипта, в разделе «KeyboardFilter» скрипт создаст еще два подраздела «CustomFilters» и «CustomScancodes».


    В разделе «CustomFilters» можно добавить любые символы и клавиатурные сочетания, которых нет в разделе «KeyboardFilter» и заблокировать их. Учтите, что для блокировки горячих клавиш с использованием букв, необходимо указывать блокировку для имеющихся раскладок клавиатуры. Например, если в системе русская и английская раскладка, то для блокировки горячих клавиш «Ctrl+X» необходимо добавить еще и блокировку «Ctrl+Ч», чтобы горячие клавиши не работали на русскоязычной раскладке.


    В разделе «CustomScancodes» можно заблокировать конкретную клавишу, указав ее скан-код. Скан-код клавиши можно узнать с помощью программы «SharpKeys». Чтобы узнать скан-код клавиши запустите программу «SharpKeys», в окне программы нажмите на кнопку «Add», после чего откроется новое окно программы, в нем нажмите на кнопку «Type Key», а затем нажмите на клавишу, скан-код которой Вы хотите узнать. После нажатия на клавишу появится новое окно, в котором будет показан скан-код. В реестр нужно прописать те символы, которые указаны после нижнего подчеркивания.



    Периодически начинающие задают вопрос, чем отличается блокировка символа и клавиши? При блокировке символа будет запрещен ввод именно символа, независимо от того, на какой клавише он находится. При блокировке символа «Z» можно будет вводить символ «Я», хотя они находятся на одной клавише. При блокировке клавиши, которой назначен ввод символов «Z» и «Я» нельзя будет ввести ни один из этих символов, но если переназначить ввод этих символов на другую клавишу, то их можно будет вводить.


    Ограничения фильтра клавиатуры будут действовать на всех пользователей, чтобы фильтр клавиатуры не блокировал клавиши администратору, нужно отключить действие фильтра клавиатуры на группу «Администраторы».


    Как правило, на устройствах фиксированного назначения не используется полноформатная клавиатура, используется либо цифровая, либо цифробуквенная часть. Чтобы лишить пользователя возможности перехода на экран входа в систему, необходимо назначить такую клавишу разблокировки, которой не будет у пользователя. Для изменения клавиши разблокировки необходимо прописать скан-код требуемой клавиши в значение параметра «BreakoutKeyScanCode». Данный параметр находится в разделе «KeyboardFilter». При необходимости отключить клавишу разблокировки в значении укажите «0».


    Послесловие


    В данной части описана базовая настройка для устройств фиксированного назначения, хотя в ряде случаев такой настройки может быть достаточно, особенно если Вы настраиваете устройство для сотрудников организации, где нужно предотвратить случайные сбои.


    А если Вы настраиваете устройство для общего использования, то такой настройки вряд ли будет достаточно, в данном случае лучше предотвратить возможности намеренной порчи системы. На устройствах общего пользования довольно часто приходится видеть систему, настройки которой не рассчитаны на нештатные ситуации. Или у устройства есть общедоступные USB порты, работа которых никак не ограничена.


    В следующей части мы рассмотрим возможные варианты повышения безопасности системы с помощью штатных средств, а именно: настройку блокировки запуска приложений по белому списку, блокировку работы устройств и защиту диска от записи.


    Если у вас остались вопросы относительно настройки и лицензирования Windows 10 IoT Enterprise, обращайтесь по адресу mse@quarta.ru или на сайт quarta-embedded.ru. Ответы на некоторые вопросы Вы можете найти в нашей вики или на нашем YouTube-канале


    Автор статьи: Борисенков Владимир, технический эксперт компании Кварта Технологии.

    Кварта Технологии
    Дистрибутор и интегратор встраиваемых технологий

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое