Заблокувати кіоск Win10, але дозволити доступ для ІТ-спеціалістів?

0

Я впроваджую кіоск на планшетах Surface Pro 4, який заблокований для громадського споживання, але я не зрозумів надійного методу, щоб техніки могли отримати доступ до пристрою для усунення несправностей і технічного обслуговування.

Припущення:

  • Таблетки працюють під керуванням Win10 Enterprise версії 1703 та IE 11 (не Edge)
  • Kiosk запускає програму на основі браузера
  • До пристрою не прикріплена фізична клавіатура (тому використовуйте екранну клавіатуру)
  • Порти USB буде вимкнено
  • Пристрій буде в мережі Ethernet (Wi-Fi вимкнено)

Поточний статус:

  • Реалізовано групову політику для автологенного пристрою та заміни оболонки EXPLORER Internet Explorer, що працює в режимі кіоску (-K switch). ПРИМІТКА: не використовуючи призначений доступ, я читав де-небудь це призначено для додатків Metro так використовуючи Classic Shell Launcher замість

  • Реалізовані групові правила для блокування налаштувань ОС (наприклад, відсутність доступу до локальної файлової системи та панелі керування; відключення жестів сурми, правою кнопкою миші, комбінаціями гарячих клавіш тощо)

  • Написав скрипт для керування сеансом кіоску (змусить вийти і автологін після 15 хвилин бездіяльності; негайно перезапуститься, якщо процес IEXPLORE припиниться - це міра безпеки, яка перешкоджає спробам проникнути на робочий стіл)
  • НАСТУПНІ: Використання інструменту "Поверхня для режиму керування підприємством" ( https://docs.microsoft.com/en-us/surface/surface-enterprise-management-mode ) для створення конфігураційного пакета, який блокує UEFI (захист паролем UEFI та відключення деяких вбудованих портів, таких як камера та UEFI)

Таким чином, все в цілому, пристрій заблоковано і внутрішнє тестування йде добре. Цей пристрій буде готовий до випробування для проникнення пізніше цього тижня.

Але як я можу дозволити технологію підійти до пристрою і обійти всі засоби безпеки? Я навмисно закрив будь-які вектори, які технологія може використовувати для доступу до пристрою (інакше вона не пройде тест на перо). Навіть RDP в пристрій не буде працювати, тому що я замінив оболонку Windows IE в режимі повноекранного кіоску.

windows-10  group-policy  kiosk  microsoft-surface-pro-4 
Roland
джерело
Вбудований режим Kiosk можна вимкнути адміністраторами.
Ramhound
Привіт Рамхаунд, ви можете докладно розповісти про це. Під "вбудованим кіоском" ви маєте на увазі призначений доступ для самої ОС Win10? Я не можу використовувати призначений доступ, як описано вище. Edge - це рекомендований веб-переглядач, який можна використовувати для призначеного доступу, і ми не можемо його використовувати, оскільки веб-сайт цього не підтримує.
Roland
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.