Режим киоска терминала Windows 10 — ограниченный доступ к компьютеру kiosk mode

Осеннее накопительное обновление October 2018 Update для Windows 10 Версия 1809 пополнило штат системы новыми возможностями, в числе которых — появившийся в параметрах учётных записей режим киоска.

Видео video How to Make a Windows 10 PC into Kiosk Mode With Assigned Access https://www.youtube.com/watch?v=B-AEZUJx9Bg
https://technet.microsoft.com/ru-ru/library/mt219051(v=vs.85).aspx
https://blogs.technet.microsoft.com/askpfeplat/2013/10/27/how-to-setup-assigned-access-in-windows-8-1-kiosk-mode/

Режим киоска – это ранее существовавшая в системе настройка ограниченного доступа для отдельных *ЛОКАЛЬНЫХ учётных записей в виде возможности запуска всего лишь одного приложения из числа UWP. Универсальная платформа Windows (англ. Universal Windows Platform)
Идея существования пользовательской учётной записи, ограниченной запуском только одного приложения. Публичный компьютер
Пользователю должно быть доступно только одно приложение в полноэкранном режиме и ничего иного кроме этого.
Единственная оговорка — режим киоска Windows 10 работает только с плиточными приложениями приложения из магазина. С традиционными настольными приложениями он работать не умеет!

Режим киоска, как и ранняя его реализация в виде настройки ограниченного доступа для отдельных учётных записей, недоступна в Windows 10 Home Домашняя. Доступна только в редакциях, начиная с Pro редакций профессиональная, корпоративная и для образовательных учреждений..

1)Настраивается киоск в Параметры Windows (клавиши Win+I) \ параметрах учётных записей семьи и других пользователей. Здесь добавился новый пункт «Настроить киоск». Кликаем этот пункт. (В открывшемся окне Вам будет предложено ввести адрес электронной почты пользователя, имеющего учётную запись Майкрософт или его телефон. Мы же кликаем на ссылку «У меня нет данных для входа этого человека». Нажимаем на кнопку «Далее».)

2)И для создания киоска жмём «Начало работы»

3)Вводим имя, это может быть имя пользователя, который будет работать в рамках ограниченной учётной записи. Жмём «Далее».
(В следующем окне кликаем на ссылку «Добавить пользователя без учетной записи Майкрософт».)

4)Теперь выбираем приложение из числа UWP, включая Microsoft Edge . Приложения можно скачать в Microsoft Store Магазин

5)На примере браузера интернет обозревателя Microsoft Edge есть выбор Как будет использоваться этот терминал ?

5.1)Как цифровой знак или интерактивный дисплей — только одни URL адрес к примеру http://5house.win и его отображение по типу веб-приложения на весь экран F11 полноэкранный режим;
5.2)Как общедоступный браузер
Microsoft Edge будет иметь ограниченный набор функций можно вводить любой URL адрес сайта

6)Готово выход из режима киоска осуществляется клавишами Ctrl+Alt+Del.

7)Для удаления киоска в его настройках кликаем имя пользователя и жмём «Удалить киоск».

8)Если вы хотите установить эти настройки на нескольких компьютерах или просто любите Windows Powershell, эту конфигурацию также можно выполнить с помощью
If you want to set this up on multiple machines or simply love Windows Powershell, this configuration can also be scripted using Set-AssignedAccess
A typical command would be
ps

9)Установим пароль на bios uefi , и отключи загрузку с внешних устройств usb/cd/dvd/fdd

10)gpedit.msc Отключите съемные носители.
Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.

11)Браузер Google Chrome режим информационного киоска:

1. Создаем ярлык на браузер (у меня по умолчанию установлен тут: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe») и указываем после кавычек ключ и ссылку на наш сайт в виде —kiosk .
В полном варианте я получаю: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —kiosk http://5house.win
2. Добавляем созданный ярлык в автозагрузку. https://support.google.com/chrome/a/answer/6137028?hl=ru

12)Если компьютер в домене то используя GPO Управление групповой политикой (команда gpedit.msc)

настройка «интерактивный вход в систему» разрешим вход только пользователям входящих в доменную глобал группу (Ограничение входа на рабочую станцию в домене)
12.1)Доменная политика назначается на конкретный OU или используя фильтр по имени компьютера
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
Локальный вход в систему
Разрешение на вход в систему через службу удаленных рабочих столов
Добавляем доменную группу AllowInteractiveLogon с Администратором и пользователями или доменного пользователя User1 , другие группы удаляем.
12.2)Локальная gpedit.msc политика на самом компьютере в домене позволяет использовать доменные и локальные учетные записи и группы.
обновляем политику cmd
gupdate /force /boot /boot

13)Дополнительно на сетевом оборудовании Cisco можно привязать MAC МАК адрес компьютера

Cisco Port Security — это функция канального уровня, которая создана для предотвращения несанкционированной смены MAC адреса сетевого подключения. Также, данная функция ограждает коммутатор от атак, которые могут быть направлены на переполнение таблицы MAC адресов.
С помощью Port Security можно ограничить (на канальном уровне) количество подключений (MAC адресов) на интерфейсе, а так же, при необходимости, ввести безопасные MAC адреса вручную (статические MAC адреса).
Пример настройки Port Security на интерфейсе коммутатора cisco:

Пример распространенное подключение устройств в больших организациях. Как правило к порту подключаются два устройства: IP телефон и компьютер пользователя. Пример конфига интерфейса коммутатора с использованием Port Security:

На выше приведенном конфиге видно, что 10 влан настроен для компьютеров, 2 влан используется для IP телефонии. Далее, по фукнциям Port Security:
— «switchport port-security» означает, что мы включили Port Security на данном интерфейсе;
— «switchport port-security maximum 2» говорит о том, что только 2 MAC адреса, могут «светиться» на интерфейсе одновременно (MAC адрес телефона и компьютера);
— «switchport port-security violation restrict» указывает режим реагирование на нарушение. Таким образом, если на данном интерфейсе одновременно «засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
Немного расскажу о режимах реагирования на нарушение безопасности. Существует три способа реагирование на нарушение безопасности:

Команду «switchport port-security violation restrict» я описал выше.
Вторая команда — «switchport port-security violation shutdown» при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но как мне кажется, «switchport port-security violation restrict» является оптимальной для большинства случаев.
Идем дальше. Если необходимо, то можно статически ввести MAC адреса, тогда конфиг будет иметь вид:

Запуск браузера в режиме киоска в среде Windows

Зачем нужен режим киоска на компьютере

Работа компьютера в режиме киоска может пригодиться, например, для запуска на корпоративном оборудовании динамического сайта-визитки компании. Или для организации в увеселительном заведении караоке, музыкального автомата, игр и прочих развлечений на базе веб-сервисов. Либо же с целью адаптации под Smart TV домашнего Windows-компьютера, управляемого аэромышью или специальным компьютерным пультом ДУ.

Запускающийся в полноэкранном режиме браузер для одного сайта можно использовать в качестве веб-приложения ТВ-версии YouTube, какого-то онлайн-кинотеатра, соцсети, да любого сервиса. Как вариант для интересного проведения досуга: можно сделать на базе браузера веб-приложение Google Earth и, комфортно умостившись на диване и управляя пультом, совершать виртуальные путешествия по разным уголкам планеты.

Режим киоска на базе Microsoft Edge

Режим киоска есть даже в Windows 8.1. Он организуется путём создания новой ограниченной пользовательской учётной записи – ограниченной в части полноэкранного запуска одного какого-то Modern UI приложения. Но в числе таких приложений нет браузера. Windows 10 унаследовала эту возможность, и в ней уже она усовершенствовалась. Долгое время Win10, как и Win8.1, позволяла запускать в режиме киоска только UWP-приложения. Но, начиная с версии 1809, этот режим стал доступен для штатного браузера Edge.

Чтобы запустить нужный сайт в режиме киоска на базе Microsoft Edge, идём в параметры «Десятки», заходим в раздел работы с учётными записями семьи и других пользователей. Кликаем опцию настройки киоска.

Для выхода из этого режима необходимо нажать Ctrl+Alt+Del.
В чём недостатки киоска на базе Microsoft Edge? Дело в том, что такая системная возможность преследует прежде всего цель создания ограниченной среды для работы с компьютером встречных-поперечных людей или детей. Все данные, введённые в браузер, в частности, авторизация на сайтах, будут храниться только в рамках текущего сеанса работы. При повторном заходе нужно авторизоваться на сайте вновь. Другой недостаток – в режиме киоска не будут работать установленные в Edge расширения для блокировки рекламы.

Эти недостатки никак не повлияют на работу с сервисами типа Google Earth, но причинят дискомфорт при использовании сайтов типа YouTube, где для персонализированного просмотра контента нужна авторизация.

Режим киоска на базе Chromium-браузеров

А вот работа Chromium-браузеров в режиме киоска лишена недостатков Microsoft Edge. Если мы, конечно, говорим о таковых с поддержкой расширений из магазина Google Chrome, где можно устанавливать блокировщики рекламы для YouTube или для всех подряд сайтов. Более того, в случае с Chromium-браузерами не нужно переключаться на другие учётные записи системы. Ну и, как упоминалось уже, в качестве системы может быть не только Windows 10, но также её ранние версии 8.1, 7, а в отдельных случаях даже Vista и XP.

Работу в режиме киоска поддерживают Google Chrome, Яндекс.Браузер и прочие клоны на базе Chromium – Torch, Opera Neon, SRWare Iron, «Спутник», Blisk. Как сделать из них киоск?

В контекстном меню на ярлыке выбранного браузера выбираем свойства.

Где в кавычки заключаем адрес нужного нам сайта. Жмём кнопку применения.

How to setup Chrome Kiosk Mode in Windows 10

August 10, 2020 By Sambit Koley

Kiosk Mode allows Google Chrome users to utilize a single window of their computer. Simply, it blocks the user’s access to any other part of the computer. If you want to set up kiosk mode in Google Chrome, here is our full guide on how to do it on your computer.

Set up Kiosk Mode in Google Chrome Browser

To set up Kiosk Mode in Google Chrome, follow these steps-

1. Open the Google Chrome window on your computer.

2. Now, click on the User account icon on the upper left corner of the Chrome window, and then click on “Add“.

3. In this window, under ‘Add person‘ give a name to the account. Now, select any icon of your choice for the account.

4. Make sure, “Create a desktop shortcut for this user” option is checked. Finally, click on “Add” at the bottom right corner of the window, to complete the process.

5. A new Chrome browser window will be opened for the guest account. Close all Google Chrome windows which are already opened on your computer.

6. Now, go to the desktop and then right-click on the new chrome shortcut and then click on “Properties“.

7. In the Properties window, go to the “Shortcut” tab, then add “-kiosk” at the end of ‘Target‘.

8. Finally, click on “Apply” and “OK” to save the changes on your computer.

9. In case, if this hasn’t worked out, copy this location and paste in ‘Target‘ in the Chrome browser Properties. Click on “Apply” and “OK” to save the changes on your computer.

10. Check if it is working or not. Otherwise, do the same thing as Step-7, but in the process, paste this location in ‘Target‘ of Chrome Properties.

That’s it! Kiosk mode is set up of Google Chrome as once you open Chrome from this shortcut on your desktop, your access will be limited to that Chrome browser only.

Sambit is a Mechanical Engineer By qualification who loves to write about Windows 10 and solutions to weirdest possible problems.