Заблокировать Win10 Kiosk, но разрешить доступ для ИТ-специалистов?

731
Roland

Я использую киоск на планшетах Surface Pro 4, который заблокирован для общего пользования, но я не нашел надежного способа, позволяющего техническим специалистам получить доступ к устройству для устранения неполадок и технического обслуживания.

Предположения:

  • Планшеты работают под управлением Win10 Enterprise версии 1703 и IE 11 (не Edge)
  • Киоск запускает браузерное приложение
  • К устройству не подключена физическая клавиатура (поэтому используйте экранную клавиатуру)
  • USB порты будут отключены
  • Устройство будет на Ethernet (Wi-Fi отключен)

Текущее состояние:

  • Реализованы групповые политики для автозапуска устройства и замены оболочки EXPLORER на Internet Explorer, работающий в режиме киоска (ключ -K). ПРИМЕЧАНИЕ: не используя Assigned Access, я где-то читал, что это предназначено для приложений Metro, поэтому вместо него используется Classic Shell Launcher

  • Реализованы групповые политики для блокировки настроек ОС (таких как отсутствие доступа к локальной файловой системе и панели управления; отключение жестов, щелчков правой кнопкой мыши, комбинаций горячих клавиш и т. Д.)

  • Написал скрипт для управления сеансом киоска (принудительно выйдет из системы и автоматически войдет в систему после 15 минут бездействия; немедленно перезапустится, если завершится процесс IEXPLORE - это мера безопасности для предотвращения попыток взлома рабочего стола)
  • В ПРОЦЕССЕ: Использование инструмента Surface for Enterprise Management Mode ( https://docs.microsoft.com/en-us/surface/surface-enterprise-management-mode ) для создания пакета конфигурации, который заблокирует UEFI (защита паролем). UEFI и отключите некоторые встроенные порты, такие как камера и UEFI)

В общем, устройство заблокировано, и внутреннее тестирование проходит успешно. Устройство будет готово к сдаче для тестирования на проникновение в конце этой недели.

Но как мне разрешить техническому специалисту подойти к устройству и обойти все меры безопасности? Я намеренно закрыл все векторы, которые технический специалист мог бы использовать для доступа к устройству (в противном случае он не прошел бы тест пера). Даже RDP на устройство не будет работать, потому что я заменил оболочку Windows на IE в полноэкранном режиме киоска.

0
Встроенный режим киоска может быть отключен администраторами. Ramhound 5 лет назад 0
Привет Ramhound, не могли бы вы пояснить это утверждение? Под режимом «встроенного киоска» вы подразумеваете Назначенный доступ для самой ОС Win10? Я не могу использовать Назначенный доступ, как описано выше. Edge - это рекомендуемый браузер для использования с назначенным доступом, и мы не можем его использовать, поскольку веб-сайт этого не поддерживает. Roland 5 лет назад 0

0 ответов на вопрос

Похожие вопросы