Заблокировать Win10 Kiosk, но разрешить доступ для ИТ-специалистов?
Я использую киоск на планшетах Surface Pro 4, который заблокирован для общего пользования, но я не нашел надежного способа, позволяющего техническим специалистам получить доступ к устройству для устранения неполадок и технического обслуживания.
Предположения:
- Планшеты работают под управлением Win10 Enterprise версии 1703 и IE 11 (не Edge)
- Киоск запускает браузерное приложение
- К устройству не подключена физическая клавиатура (поэтому используйте экранную клавиатуру)
- USB порты будут отключены
- Устройство будет на Ethernet (Wi-Fi отключен)
Текущее состояние:
Реализованы групповые политики для автозапуска устройства и замены оболочки EXPLORER на Internet Explorer, работающий в режиме киоска (ключ -K). ПРИМЕЧАНИЕ: не используя Assigned Access, я где-то читал, что это предназначено для приложений Metro, поэтому вместо него используется Classic Shell Launcher
Реализованы групповые политики для блокировки настроек ОС (таких как отсутствие доступа к локальной файловой системе и панели управления; отключение жестов, щелчков правой кнопкой мыши, комбинаций горячих клавиш и т. Д.)
- Написал скрипт для управления сеансом киоска (принудительно выйдет из системы и автоматически войдет в систему после 15 минут бездействия; немедленно перезапустится, если завершится процесс IEXPLORE - это мера безопасности для предотвращения попыток взлома рабочего стола)
- В ПРОЦЕССЕ: Использование инструмента Surface for Enterprise Management Mode ( https://docs.microsoft.com/en-us/surface/surface-enterprise-management-mode ) для создания пакета конфигурации, который заблокирует UEFI (защита паролем). UEFI и отключите некоторые встроенные порты, такие как камера и UEFI)
В общем, устройство заблокировано, и внутреннее тестирование проходит успешно. Устройство будет готово к сдаче для тестирования на проникновение в конце этой недели.
Но как мне разрешить техническому специалисту подойти к устройству и обойти все меры безопасности? Я намеренно закрыл все векторы, которые технический специалист мог бы использовать для доступа к устройству (в противном случае он не прошел бы тест пера). Даже RDP на устройство не будет работать, потому что я заменил оболочку Windows на IE в полноэкранном режиме киоска.
0 ответов на вопрос
Похожие вопросы
-
1
Редактор групповой политики Vista через запуск "gpedit.msc" не найден
-
4
Интернет-киоск для лобби мотеля?
-
2
Альтернатива gpedit.msc для выпусков Windows Home?
-
-
2
Какой лучший способ настроить режим киоска для XP?
-
3
Раздел «Компоненты Windows» отсутствует в разделе «Установка и удаление программ».
-
2
Могу ли я перевести Linux в режим Party / Kiosk-Mode?
-
5
Локальная групповая политика в Windows 7 - откат к настройкам по умолчанию?
-
1
Заставить компьютер на основе XP применять шаблон политики только к определенным пользователям
-
1
Перенаправление папок не работает в Windows 7 или Vista
-
1
Применение настроек из объекта групповой политики к Mac