Laboratorio 2: Características de bloqueo de dispositivos
En los laboratorios 1a y 1b, instalamos el sistema operativo en un dispositivo de referencia y realizamos personalizaciones en modo auditoría. En este laboratorio se describen varias maneras de bloquear el dispositivo mediante características de bloqueo de dispositivos integradas en Windows. Las características de bloqueo de dispositivos no aparecen en ningún orden determinado. Puedes habilitar todas las características, algunas de las características o ninguna de las características, dependiendo del dispositivo que estés compilando.
Nota:
Este laboratorio es opcional. Puede crear un dispositivo IoT Enterprise sin habilitar ninguna de las características descritas en este laboratorio. Si no va a implementar ninguna de estas características, puede continuar con el laboratorio 3.
Para obtener un enfoque totalmente automatizado para estos pasos, considere la posibilidad de usar el marco de implementación de Windows 10 IoT Enterprise.
Requisitos previos
Laboratorio completo 1a: Crear una imagen básica.
Filtro de teclado
Introducción al filtro de teclado
El filtro de teclado habilita los controles que puede usar para suprimir las combinaciones de teclas o pulsaciones de teclas no deseadas. Normalmente, un cliente puede modificar el funcionamiento de un dispositivo mediante determinadas combinaciones de teclas, como Ctrl+Alt+Eliminar, Ctrl+Mayús+Tab, Alt+F4, etc. El filtro Teclado impide que los usuarios usen estas combinaciones de teclas, lo que resulta útil si el dispositivo está pensado para un propósito dedicado.
La característica Filtro de teclado funciona con teclados físicos, el teclado de Windows en pantalla y el teclado táctil. El filtro de teclado también detecta cambios de diseño dinámicos y continúa suprimiendo las teclas correctamente, incluso si la ubicación de las teclas suprimidas ha cambiado en el teclado. Un ejemplo de este escenario es cambiar de un idioma establecido a otro.
Las teclas de filtro de teclado se almacenan en el Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter.
Habilitar el filtro teclado
Hay varios métodos para habilitar el filtro de teclado, se proporcionan instrucciones para uno de esos métodos en este laboratorio. Para obtener más información, vea Filtro de teclado.
Habilite la característica Filtro de teclado ejecutando el siguiente comando desde un símbolo del sistema administrativo:
DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter
Se le pedirá que reinicie el dispositivo de referencia, escriba Y para reiniciar. El dispositivo se reinicia en modo auditoría.
Una vez habilitado el filtro de teclado, consulte Ejemplos de scripts de PowerShell de filtro de teclado para obtener información sobre las combinaciones de teclas de bloqueo.
En este laboratorio, vamos a proporcionar una demostración sobre cómo bloquear la tecla CTRL+ALT+SUPR. En una ventana de comandos de PowerShell administrativa, copie y pegue los comandos siguientes.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;
Reinicie el dispositivo de referencia y, a continuación, anote que la tecla CTRL+ALT+SUPR está bloqueada.
Filtro de escritura unificado (UWF)
Introducción al filtro de escritura unificada
El filtro de escritura unificado (UWF) ayuda a proteger la configuración del dispositivo interceptando y redirigiendo las escrituras a la unidad (instalaciones de aplicaciones, cambios de configuración, datos guardados) en una superposición virtual. Esta superposición se elimina automáticamente reiniciando a menos que se configure para conservarse hasta que se deshabilite el filtro de escritura unificada.
Habilitación de UWF
Habilite la característica Filtro de escritura unificado mediante la ejecución del siguiente comando desde un símbolo del sistema administrativo:
DISM /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter
Reinicio del dispositivo de referencia
La configuración y habilitación de la superposición y la protección se realizan mejor a través del scripting, pero para este laboratorio se configura mediante la línea de comandos.
Para obtener más información sobre UWF, incluidos los scripts de ejemplo, consulte Filtro de escritura unificado.
En un símbolo del sistema administrativo, ejecute los siguientes comandos.
uwfmgr volume protect c: uwfmgr filter enable
Reinicio del dispositivo de referencia
Ahora todas las escrituras se redirigen a la superposición de RAM, que se descarta cuando se reinicia el dispositivo de referencia.
Para deshabilitar el filtro de escritura unificada, en un símbolo del sistema administrativo, ejecute el siguiente comando y reinicie el dispositivo.
uwfmgr filter disable
Nota:
Al usar el filtro de escritura unificado, debe tener en cuenta la activación del producto sistema operativo. La activación del producto debe realizarse con el filtro de escritura unificado deshabilitado. Además, al clonar la imagen en otros dispositivos, la imagen debe estar en estado Sysprep y el filtro deshabilitado antes de capturar la imagen.
Arranque sin marca
Introducción al arranque sin marca
El arranque sin marca le permite:
- Suprima los elementos de Windows que aparecen cuando Windows se inicia o reanuda.
- Suprima la pantalla de bloqueo cuando Windows encuentre un error de que no se puede recuperar.
Habilitación del arranque sin marca
Habilite la característica de arranque sin marca ejecutando el siguiente comando en un símbolo del sistema administrativo:
DISM /online /enable-Feature /featureName:Client-DeviceLockdown DISM /online /Enable-Feature /FeatureName:Client-EmbeddedBootExp
Reinicio del dispositivo de referencia
Configuración del arranque sin marca en tiempo de ejecución mediante BCDEdit
Puede personalizar el arranque sin marca desde un símbolo del sistema administrativo de las siguientes maneras:
Deshabilite la tecla F8 durante el inicio para impedir el acceso al menú Opciones de inicio avanzadas:
bcdedit.exe -set {globalsettings} advancedoptions false
Deshabilite la tecla F10 durante el inicio para impedir el acceso al menú Opciones de inicio avanzadas:
bcdedit.exe -set {globalsettings} optionsedit false
Suprima todos los elementos de la interfaz de usuario de Windows (logotipo, indicador de estado y mensaje de estado) durante el inicio:
bcdedit.exe -set {globalsettings} bootuxdisabled on
Nota:
Cada vez que recompile la información de BCD, por ejemplo, con bcdboot, tendrá que volver a ejecutar los comandos anteriores.
Inicio de sesión personalizado
Puedes usar la característica Inicio de sesión personalizado para suprimir los elementos de la interfaz de usuario de Windows 10 relacionados con la pantalla de bienvenida y la pantalla de apagado. Por ejemplo, puedes suprimir todos los elementos de la interfaz de usuario de la pantalla de bienvenida y proporcionar una interfaz de usuario de inicio de sesión personalizada. También puedes suprimir la pantalla Resolución de apagado bloqueado (BSDR) y finalizar las aplicaciones automáticamente, mientras el sistema operativo espera a que se cierren las aplicaciones antes de un apagado. Para obtener más información, consulte Inicio de sesión personalizado.
Nota:
La característica Inicio de sesión personalizado no funcionará en imágenes que usen una clave de producto en blanco o de evaluación. Debe usar una clave de producto válida para ver los cambios realizados con los siguientes comandos.
Habilite la característica Inicio de sesión personalizado ejecutando el siguiente comando en un símbolo del sistema administrativo:
DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon
Si se le pide que se reinicie, elija No.
A continuación, en un símbolo del sistema administrativo, modifique las siguientes entradas del Registro. Si se le pide que sobrescriba, elija Sí.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1
Reinicie el dispositivo de referencia. Ya no debería ver los elementos de la interfaz de usuario de Windows relacionados con la pantalla de bienvenida y la pantalla de apagado.
Pasos siguientes
Ha completado la habilitación de las características de bloqueo. Puede usar directivas de grupo para personalizar aún más la experiencia del usuario del dispositivo. En el laboratorio 3 se explica cómo configurar las opciones de directiva.