Laboratório 2: Recursos de bloqueio de dispositivo
Nos laboratórios 1a e 1b, instalamos o sistema operacional em um dispositivo de referência e fizemos personalizações no modo de auditoria. Este laboratório descreve várias maneiras de bloquear seu dispositivo usando recursos de bloqueio de dispositivo integrados ao Windows. Os recursos de bloqueio do dispositivo não estão listados em nenhuma ordem específica. Você pode ativar todos os recursos, alguns ou nenhum dos recursos, dependendo do dispositivo que está criando.
Observação
Este laboratório é opcional. Você pode criar um dispositivo IoT Enterprise sem habilitar nenhum dos recursos descritos neste laboratório. Se você não estiver implementando nenhum desses recursos, poderá continuar para o Laboratório 3.
Para obter uma abordagem totalmente automatizada para essas etapas, considere usar a estrutura de implantação do Windows IoT Enterprise.
Pré-requisitos
Conclua o Laboratório 1a: crie uma imagem básica.
Filtro de teclado
O Filtro de Teclado habilita controles que você pode usar para suprimir pressionamentos de teclas ou combinações de teclas indesejáveis. Normalmente, um cliente pode alterar a operação de um dispositivo usando certas combinações de teclas como Ctrl+Alt+Delete, Ctrl+Shift+Tab, Alt+F4, etc. O filtro Teclado impede que os usuários usem essas combinações de teclas, o que é útil se o dispositivo for destinado a uma finalidade dedicada.
O recurso Filtro de Teclado funciona com teclados físicos, o teclado na tela do Windows e o teclado virtual. O Filtro de Teclado também detecta alterações dinâmicas de layout e continua a suprimir as teclas corretamente, mesmo que o local das teclas suprimidas mude no teclado. Um exemplo desse cenário é alternar de um conjunto de idiomas para outro.
As teclas de filtro de teclado são armazenadas no Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Ativar o filtro Teclado
Existem vários métodos para habilitar o Filtro de Teclado, estamos fornecendo instruções para um desses métodos. Para obter mais informações, consulte Filtro de teclado.
Habilite o recurso Filtro de Teclado executando o seguinte comando em um Prompt de Comando Administrativo:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilterVocê será solicitado a reiniciar o dispositivo de referência, digite Y para reinicializar. O dispositivo é reinicializado no modo de auditoria.
Depois de habilitar o filtro de teclado, consulte Exemplos de script do PowerShell de filtro de teclado para saber mais sobre como bloquear combinações de teclas.
Para este laboratório, forneceremos uma demonstração sobre como bloquear a tecla CTRL+ALT+DEL. Em uma janela de comando administrativa do PowerShell, copie e cole os comandos a seguir.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;Reinicie o dispositivo de referência e observe que a tecla CTRL+ALT+DEL está bloqueada.
UWF (Filtro de Gravação Unificado)
O UWF (Filtro de Gravação Unificado) ajuda a proteger a configuração do seu dispositivo interceptando e redirecionando todas as gravações para a unidade (instalações de aplicativos, alterações de configurações, dados salvos) em uma sobreposição virtual. Essa sobreposição é excluída automaticamente pela reinicialização, a menos que seja configurada para ser mantida até que o Filtro de Gravação Unificado seja desabilitado.
Habilitar a UWF
Habilite o recurso Filtro de Gravação Unificado executando o seguinte comando em um Prompt de Comando Administrativo:
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilterReinicie o dispositivo de referência
A configuração e a habilitação da sobreposição e da proteção são melhor feitas por meio de scripts, mas para este laboratório, configuramos usando a linha de comando
Para obter mais informações sobre a UWF, incluindo scripts de exemplo, consulte UWF (Filtro de Gravação Unificado).
Em um prompt de Comando Administrativo, execute os seguintes comandos:
uwfmgr volume protect c: uwfmgr filter enableReinicie o dispositivo de referência
Em um prompt de Comando Administrativo, confirme se a UWF está em execução. O estado do arquivador deve estar ON:
uwfmgr.exe get-configAgora todas as gravações são redirecionadas para a sobreposição de RAM, que é descartada quando o dispositivo de referência é reinicializado.
Tente remover o recurso opcional Windows Media Player Legacy (App):
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"Você pode ver que o aplicativo foi removido, mas quando você reinicia o dispositivo, o aplicativo está de volta.
Para desabilitar o Filtro de Gravação Unificado, execute o comando a seguir e reinicialize o dispositivo.
uwfmgr filter disableConfirme se a UWF está desabilitada. O estado do arquivador deve estar OFF:
uwfmgr.exe get-config
Observação
Ao usar o Filtro de Gravação Unificado, você deve levar em consideração a ativação do produto do Sistema Operacional. A ativação do produto deve ser feita com o Filtro de Gravação Unificado desabilitado. Além disso, ao clonar a imagem para outros dispositivos, a imagem precisa estar em um estado Sysprep e o filtro desabilitado antes de capturar a imagem.
Bota sem marca
A inicialização sem marca permite que você:
- Suprimir elementos do Windows que aparecem quando o Windows é iniciado ou retomado.
- Suprima a tela de falha quando o Windows encontrar um erro do qual não pode se recuperar.
Habilitar inicialização sem marca
Habilite o recurso de inicialização sem marca executando o seguinte comando em um prompt de comando administrativo:
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExpReinicie o dispositivo de referência
Definir configurações de inicialização sem marca em tempo de execução usando BCDEdit
Você pode personalizar a inicialização sem marca em um prompt de comando administrativo das seguintes maneiras:
Desative a tecla F8 durante a inicialização para impedir o acesso ao menu Opções avançadas de inicialização:
bcdedit.exe -set {globalsettings} advancedoptions falseDesative a tecla F10 durante a inicialização para impedir o acesso ao menu Opções avançadas de inicialização:
bcdedit.exe -set {globalsettings} optionsedit falseSuprimir todos os elementos da interface do usuário do Windows (logotipo, indicador de status e mensagem de status) durante a inicialização:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Reinicie o dispositivo de referência e observe que os elementos da interface do usuário do Windows são suprimidos durante a inicialização.
Observação
Sempre que você reconstruir as informações do BCD, por exemplo, usando bcdboot, você terá que executar novamente os comandos acima.
Logon personalizado
Você pode usar o recurso Logon Personalizado para suprimir elementos da interface do usuário do Windows relacionados à tela de boas-vindas e à tela de desligamento. Por exemplo, você pode suprimir todos os elementos da interface do usuário da tela de boas-vindas e oferecer uma interface do usuário de logon personalizado. Você também pode suprimir a tela Blocked Shutdown Resolver (BSDR) e encerrar automaticamente aplicativos enquanto o sistema operacional aguarda o fechamento dos aplicativos antes de um desligamento. Para obter mais informações, consulte Logon personalizado.
Observação
O recurso Logon personalizado não funcionará em imagens que estejam usando uma chave de produto em branco ou de avaliação. Você deve usar uma chave de produto válida para ver as alterações feitas com os comandos abaixo.
Habilite o recurso Logon Personalizado executando o seguinte comando em um Prompt de Comando Administrativo:
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogonSe solicitado a reiniciar, escolha Não.
Modifique as seguintes entradas do Registro. Se solicitado a substituir, escolha Sim.
- Esse comando define o valor BrandingNeutral no registro, que controla a exibição de informações de identidade visual durante o logon.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- Esse comando define o valor HideAutoLogonUI no Registro, que controla a exibição da interface do usuário de logon automático.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- Esse comando define o valor HideFirstLogonAnimation no Registro, que controla a exibição da primeira animação de logon.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- Esse comando define o valor AnimationDisabled no registro, que controla se a animação da interface do usuário de logon está desabilitada.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- Esse comando define o valor NoLockScreen no registro, que controla se a tela de bloqueio é exibida.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- Esse comando define o valor UIVerbosityLevel no registro, que controla o nível de detalhamento da interface do usuário.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1Reinicie o dispositivo de referência. Você não deve mais ver os elementos da interface do usuário do Windows relacionados à tela de boas-vindas e à tela de desligamento.
Próximas etapas
Você concluiu a ativação dos recursos de bloqueio. Você pode usar políticas de grupo para personalizar ainda mais a experiência do usuário do seu dispositivo. O Laboratório 3 aborda como definir as configurações de política.