랩 2: 디바이스 잠금 기능
랩 1a 및 1b에서 참조 디바이스에 OS를 설치하고 감사 모드에서 사용자 지정했습니다. 이 랩에서는 Windows에 내장된 디바이스 잠금 기능을 사용하여 디바이스를 잠그는 여러 가지 방법을 설명합니다. 디바이스 잠금 기능은 특정 순서로 나열되지 않으며 구축 중인 디바이스에 따라 기능의 일부 또는 전부를 사용하도록 설정하거나 전혀 사용하도록 설정하지 않을 수 있습니다.
참고
이 랩은 선택 사항입니다. 이 랩에서 설명하는 기능을 사용하도록 설정하지 않고도 IoT Enterprise 디바이스를 구축할 수 있습니다. 이러한 기능을 구현하지 않는 경우 랩 3을 계속할 수 있습니다.
이러한 단계를 완전히 자동화하려면 Windows 10 IoT Enterprise 배포 프레임워크를 사용하는 것이 좋습니다.
필수 구성 요소
랩 1a 완료: 기본 이미지를 만듭니다.
키보드 필터
키보드 필터 개요
키보드 필터는 원하지 않는 키 누르기 또는 키 조합을 억제하는 데 사용할 수 있는 컨트롤을 사용합니다. 일반적으로 고객은 Ctrl+Alt+Delete, Ctrl+Shift+Tab, Alt+F4 등과 같은 특정 키 조합을 사용하여 디바이스 작동을 변경할 수 있습니다. 키보드 필터는 사용자가 이러한 키 조합을 사용하는 것을 방지하므로 디바이스가 전용 용도로 설계된 경우에 유용합니다.
키보드 필터 기능은 물리적 키보드, Windows 화상 키보드 및 터치 키보드에서 작동합니다. 키보드 필터는 또한 한 언어 세트에서 다른 언어 세트로 전환하는 것과 같은 동적 레이아웃 변경을 검색하고 키보드 종류에서 억제된 키의 위치가 변경된 경우에도 계속해서 올바르게 키를 억제합니다.
키보드 필터 키는 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter에 저장됩니다.
키보드 필터 사용
키보드 필터를 사용하도록 설정하는 방법에는 여러 가지가 있으며 이 랩에서는 이러한 방법 중 하나에 대한 지침을 제공합니다.
참고
자세한 내용은 키보드 필터를 참조하세요.
관리 명령 프롬프트에서 다음 명령을 실행하여 키보드 필터 기능을 사용하도록 설정합니다.
DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter참조 디바이스를 다시 시작하라는 메시지가 표시되고 Y 를 입력하여 다시 부팅하라는 메시지가 표시됩니다. 디바이스가 감사 모드로 다시 부팅됩니다.
키보드 필터를 사용하도록 설정했으면 키보드 필터 PowerShell 스크립트 샘플을 참조하여 키 조합 차단에 대해 알아봅니다.
이 랩에서는 CTRL+ALT+DEL 키 차단에 대한 데모를 제공합니다. 관리 PowerShell 명령 창에서 아래 명령을 복사하여 붙여넣습니다.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;참조 디바이스를 다시 시작한 다음 CTRL+ALT+DEL 키가 차단되어 있는지 확인합니다.
통합 쓰기 필터(UWF)
통합 쓰기 필터 개요
통합 쓰기 필터(UWF)는 드라이브에 대한 모든 쓰기(앱 설치, 설정 변경, 저장된 데이터)를 가로채어 가상 오버레이로 리디렉션하여 디바이스 구성을 보호할 수 있도록 하는 Windows 10 디바이스 잠금 기능입니다. 이 오버레이는 다시 부팅하여 삭제할 수 있으며 특정 구성에서는 통합 쓰기 필터가 사용하지 않도록 설정될 때까지 오버레이를 유지할 수 있습니다.
UWF 사용
관리 명령 프롬프트에서 다음 명령을 실행하여 통합 쓰기 필터 기능을 사용하도록 설정합니다.
DISM /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter참조 디바이스 다시 시작
오버레이 및 보호를 구성하고 사용하도록 설정하는 것은 스크립팅을 통해 가장 잘 수행되지만 이 랩에서는 명령줄을 사용하여 구성합니다.
샘플 스크립트를 포함하여 UWF에 대한 자세한 내용은 통합 쓰기 필터를 참조하세요.
관리 명령 프롬프트에서 다음 명령을 실행합니다.
uwfmgr volume protect c: uwfmgr filter enable참조 디바이스 다시 시작
이제 모든 쓰기가 RAM 오버레이로 리디렉션되고 참조 디바이스가 다시 부팅될 때 유지되지 않습니다.
통합 쓰기 필터를 사용하지 않도록 설정하려면 관리 명령 프롬프트에서 다음 명령을 실행한 후 디바이스를 다시 부팅합니다.
uwfmgr filter disable
참고
통합 쓰기 필터를 사용할 때는 운영 체제 제품 활성화를 고려해야 합니다. 통합 쓰기 필터가 사용하지 않도록 설정된 상태에서 제품 활성화를 수행해야 합니다. 또한 이미지를 다른 디바이스에 복제할 때 이미지는 Sysprep 상태에 있어야 하며 이미지를 캡처하기 전에 필터를 사용하지 않도록 설정해야 합니다.
언브랜드 부팅
브랜드 없는 부팅 개요
브랜드가 없는 부팅을 사용하면 Windows를 시작하거나 다시 시작할 때 표시되는 Windows 요소를 표시하지 않을 수 있으며 Windows에서 복구할 수 없는 오류가 발생할 때 충돌 화면을 표시하지 않을 수 있습니다.
브랜드 없는 부팅 사용
관리 명령 프롬프트에서 다음 명령을 실행하여 브랜드 없는 부팅 기능을 사용하도록 설정합니다.
DISM /online /enable-Feature /featureName:Client-DeviceLockdown DISM /online /Enable-Feature /FeatureName:Client-EmbeddedBootExp참조 디바이스 다시 시작
BCDEdit를 사용하여 런타임 시 브랜드 없는 부팅 설정 구성
다음과 같은 방법으로 관리 명령 프롬프트에서 브랜드 없는 부팅을 사용자 지정할 수 있습니다.
고급 시작 옵션 메뉴에 액세스하지 못하도록 시작하는 동안 F8 키를 사용하지 않도록 설정합니다.
bcdedit.exe -set {globalsettings} advancedoptions false고급 시작 옵션 메뉴에 액세스하지 못하도록 시작하는 동안 F10 키를 사용하지 않도록 설정합니다.
bcdedit.exe -set {globalsettings} optionsedit false시작하는 동안 모든 Windows UI 요소(로고, 상태 표시기 및 상태 메시지)를 표시하지 않습니다.
bcdedit.exe -set {globalsettings} bootuxdisabled on
참고
예를 들어 bcdboot를 사용하여 BCD 정보를 다시 빌드할 때마다 위의 명령을 다시 실행해야 합니다.
사용자 지정 로그온
사용자 지정 로그온 기능을 사용하여 시작 화면 및 종료 화면과 관련된 Windows 10 UI 요소를 표시하지 않을 수 있습니다. 예를 들어, 시작 화면 UI의 모든 요소를 표시하지 않고 사용자 지정 로그온 UI를 제공할 수 있습니다. 또한 BSDR(Blocked Shutdown Resolver) 화면을 표시하지 않게 하고 OS가 종료하기 전에 애플리케이션이 닫힐 때까지 기다리는 동안 자동으로 애플리케이션을 종료합니다.
자세한 내용은 사용자 지정 로그온을 참조하세요.
참고
사용자 지정 로그온 기능은 공백 또는 평가 제품 키를 사용하는 이미지에서 작동하지 않습니다. 아래 명령으로 변경된 사항을 보려면 유효한 제품 키를 사용해야 합니다.
관리 명령 프롬프트에서 다음 명령을 실행하여 사용자 지정 로그온 기능을 사용하도록 설정합니다.
DISM /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon다시 시작하라는 메시지가 표시되면 아니요를 선택합니다.
다음으로 관리 명령 프롬프트에서 다음 레지스트리 항목을 수정합니다. 덮어쓸 것인지 묻는 메시지가 나타나면 예를 선택합니다.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1 Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1참조 디바이스를 다시 시작합니다. 시작 화면 및 종료 화면과 관련된 Windows UI 요소가 더 이상 표시되지 않습니다.
다음 단계
이제 디바이스에 디바이스 잠금 기능이 있습니다. 그룹 정책을 사용하여 디바이스의 사용자 환경을 추가로 사용자 지정할 수 있습니다. 랩 3에서는 정책 설정을 구성하는 방법을 다룹니다.