- Настройка Windows 10 в режиме киоска с использованием назначенного доступа
- Функция «Назначенный доступ» – Windows 10
- Настройка Windows 10 в режиме киоска с использованием назначенного доступа
- Безопасный режим киоска Windows 10
- Режим киоска терминала Windows 10 — ограниченный доступ к компьютеру kiosk mode
- 5)На примере браузера интернет обозревателя Microsoft Edge есть выбор Как будет использоваться этот терминал ?
- 9)Установим пароль на bios uefi , и отключи загрузку с внешних устройств usb/cd/dvd/fdd
- 11)Браузер Google Chrome режим информационного киоска:
- 12)Если компьютер в домене то используя GPO Управление групповой политикой (команда gpedit.msc)
- 13)Дополнительно на сетевом оборудовании Cisco можно привязать MAC МАК адрес компьютера
- Настройка режима терминала в Microsoft Edge
- Обзор
- Настройка режима терминала в Microsoft Edge
- Поддерживаемые функции режима терминала
- Использование возможностей режима терминала
- Цифровая/интерактивная вывеска в режиме терминала
- Режим терминала : общедоступный просмотр
- Дополнительные параметры командной строки
- Поддерживаемые политики режима терминала
- Microsoft Edge с ограниченным доступом
- Режим терминала с одним приложением
- Режим терминала с несколькими приложениями
- Настройка с помощью параметров Windows
- Функциональные ограничения
- Стратегия
- В начале 2021 года
Настройка Windows 10 в режиме киоска с использованием назначенного доступа
Вы можете настроить Windows 10 Pro, Windows 10 Enterprise и Windows 10 Education как устройство в режиме киоска , чтобы запускать одно универсальное приложение Windows с помощью функции Назначенный доступ . Этот пост показывает, как это сделать.
Функция «Назначенный доступ» – Windows 10
Режим киоска полезен, если вы хотите создать среду блокировки, настроить и отобразить систему Windows в общедоступной области, а также предоставить доступ любому пользователю для доступа и использования любого отдельного приложения для определенной функции – например, в качестве информационного киоска. или киоск для проверки погоды и так далее.
Для устройства киоска для запуска универсального приложения Windows мы можем использовать эту функцию Назначенный доступ . Чтобы Windows 10 Enterprise или Education работали с классическим программным обеспечением Windows, вам нужно использовать Панель запуска оболочки , чтобы установить пользовательский интерфейс в качестве оболочки.
При использовании функции «Назначенный доступ» пользователь не имеет доступа к рабочему столу, меню «Пуск» или любой другой части компьютера. Он может только получить доступ и использовать определенную функцию.
Настройка Windows 10 в режиме киоска с использованием назначенного доступа
Откройте настройки Windows 10 и выберите «Учетные записи». Нажмите «Семья и другие люди» слева, чтобы открыть следующие настройки.
Прокрутите вниз и в конце вы увидите ссылку Настроить назначенный доступ . Нажмите на него, чтобы открыть следующее окно.
Теперь вам придется выбрать учетную запись , под которой вы хотите запустить устройство в режиме киоска.
Сделав это, вы должны будете в следующий раз щелкнуть ссылку Выбрать приложение и во всплывающем окне выбрать приложение Universal Windows, к которому вы хотели бы предоставить доступ.
Перезагрузите компьютер, чтобы выйти из всех учетных записей пользователей.
СОВЕТЫ:
- Чтобы выйти из назначенной учетной записи доступа, поскольку у вас может не быть доступа к меню «Пуск», вам придется использовать Ctrl + Alt + Del .
- Чтобы изменить приложение Universal, щелкните его (в нашем примере это приложение «Карты») и выберите другое приложение во всплывающем окне.
- Чтобы удалить учетную запись, выберите здесь учетную запись пользователя Kiosk, а затем выберите Не использовать Назначенный доступ в появившемся всплывающем окне.
Безопасный режим киоска Windows 10
Для более безопасной работы в киоске вы хотите внести дополнительные изменения в конфигурацию устройства:
- Откройте Настройки> Система> Режим планшета и выберите Вкл. , чтобы перевести устройство в Режим планшета .
- Перейдите в «Настройки»> «Конфиденциальность»> «Камера» и выключите, чтобы приложения могли использовать мою камеру, чтобы отключить камеру .
- Перейдите в Параметры электропитания> Выберите, что делает кнопка питания, измените настройку на Ничего не делать, а затем Сохраните изменения. Это отключит аппаратную кнопку питания .
- Перейдите в Панель управления> Простота доступа> Центр простоты доступа и отключите все инструменты доступности .
- Запустите GPEDIT и перейдите в «Конфигурация компьютера»> «Параметры Windows»> «Параметры безопасности»> «Локальные политики»> «Параметры безопасности»> «Выключение»: разрешить выключение системы без входа в систему и выберите «Отключено». Это удалит кнопку питания с экрана входа .
- Откройте редактор групповой политики> Конфигурация компьютера> Административные шаблоны> Система> Вход в систему>Отключите уведомления приложений на экране блокировки .
- Чтобы отключить съемный носитель , в редакторе групповой политики выберите «Конфигурация компьютера»> «Административные шаблоны»> «Система»> «Установка устройства»> «Ограничения на установку устройства». Внесите подходящие изменения здесь, но убедитесь, что вы разрешаете администраторам переопределять политики ограничения установки устройства.
Для получения более подробной информации о том, как настроить устройство под управлением Windows 10 Pro, Windows 10 Enterprise, Windows 10 Education, Windows 10 Mobile или Windows 10 Mobile Enterprise в качестве устройства киоска, и дополнительно заблокировать его, посетите эту ссылку TechNet.
FrontFace Lockdown Tool – бесплатная программа, которая может помочь вам защитить ПК с Windows, которые используются в качестве общедоступных терминалов киоска.
Читать дальше . Как настроить режим общего компьютера в Windows 10 с помощью групповой политики.
Режим киоска терминала Windows 10 — ограниченный доступ к компьютеру kiosk mode
Осеннее накопительное обновление October 2018 Update для Windows 10 Версия 1809 пополнило штат системы новыми возможностями, в числе которых — появившийся в параметрах учётных записей режим киоска.
Видео video How to Make a Windows 10 PC into Kiosk Mode With Assigned Access https://www.youtube.com/watch?v=B-AEZUJx9Bg
https://technet.microsoft.com/ru-ru/library/mt219051(v=vs.85).aspx
https://blogs.technet.microsoft.com/askpfeplat/2013/10/27/how-to-setup-assigned-access-in-windows-8-1-kiosk-mode/
Режим киоска – это ранее существовавшая в системе настройка ограниченного доступа для отдельных *ЛОКАЛЬНЫХ учётных записей в виде возможности запуска всего лишь одного приложения из числа UWP. Универсальная платформа Windows (англ. Universal Windows Platform)
Идея существования пользовательской учётной записи, ограниченной запуском только одного приложения. Публичный компьютер
Пользователю должно быть доступно только одно приложение в полноэкранном режиме и ничего иного кроме этого.
Единственная оговорка — режим киоска Windows 10 работает только с плиточными приложениями приложения из магазина. С традиционными настольными приложениями он работать не умеет!
Режим киоска, как и ранняя его реализация в виде настройки ограниченного доступа для отдельных учётных записей, недоступна в Windows 10 Home Домашняя. Доступна только в редакциях, начиная с Pro редакций профессиональная, корпоративная и для образовательных учреждений..
1)Настраивается киоск в Параметры Windows (клавиши Win+I) \ параметрах учётных записей семьи и других пользователей. Здесь добавился новый пункт «Настроить киоск». Кликаем этот пункт. (В открывшемся окне Вам будет предложено ввести адрес электронной почты пользователя, имеющего учётную запись Майкрософт или его телефон. Мы же кликаем на ссылку «У меня нет данных для входа этого человека». Нажимаем на кнопку «Далее».)
2)И для создания киоска жмём «Начало работы»
3)Вводим имя, это может быть имя пользователя, который будет работать в рамках ограниченной учётной записи. Жмём «Далее».
(В следующем окне кликаем на ссылку «Добавить пользователя без учетной записи Майкрософт».)
4)Теперь выбираем приложение из числа UWP, включая Microsoft Edge . Приложения можно скачать в Microsoft Store Магазин
5)На примере браузера интернет обозревателя Microsoft Edge есть выбор Как будет использоваться этот терминал ?
5.1)Как цифровой знак или интерактивный дисплей — только одни URL адрес к примеру http://5house.win и его отображение по типу веб-приложения на весь экран F11 полноэкранный режим;
5.2)Как общедоступный браузер
Microsoft Edge будет иметь ограниченный набор функций можно вводить любой URL адрес сайта
6)Готово выход из режима киоска осуществляется клавишами Ctrl+Alt+Del.
7)Для удаления киоска в его настройках кликаем имя пользователя и жмём «Удалить киоск».
8)Если вы хотите установить эти настройки на нескольких компьютерах или просто любите Windows Powershell, эту конфигурацию также можно выполнить с помощью
If you want to set this up on multiple machines or simply love Windows Powershell, this configuration can also be scripted using Set-AssignedAccess
A typical command would be
ps
9)Установим пароль на bios uefi , и отключи загрузку с внешних устройств usb/cd/dvd/fdd
10)gpedit.msc Отключите съемные носители.
Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.
11)Браузер Google Chrome режим информационного киоска:
1. Создаем ярлык на браузер (у меня по умолчанию установлен тут: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe») и указываем после кавычек ключ и ссылку на наш сайт в виде —kiosk .
В полном варианте я получаю: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —kiosk http://5house.win
2. Добавляем созданный ярлык в автозагрузку. https://support.google.com/chrome/a/answer/6137028?hl=ru
12)Если компьютер в домене то используя GPO Управление групповой политикой (команда gpedit.msc)
настройка «интерактивный вход в систему» разрешим вход только пользователям входящих в доменную глобал группу (Ограничение входа на рабочую станцию в домене)
12.1)Доменная политика назначается на конкретный OU или используя фильтр по имени компьютера
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
Локальный вход в систему
Разрешение на вход в систему через службу удаленных рабочих столов
Добавляем доменную группу AllowInteractiveLogon с Администратором и пользователями или доменного пользователя User1 , другие группы удаляем.
12.2)Локальная gpedit.msc политика на самом компьютере в домене позволяет использовать доменные и локальные учетные записи и группы.
обновляем политику cmd
gupdate /force /boot /boot
13)Дополнительно на сетевом оборудовании Cisco можно привязать MAC МАК адрес компьютера
Cisco Port Security — это функция канального уровня, которая создана для предотвращения несанкционированной смены MAC адреса сетевого подключения. Также, данная функция ограждает коммутатор от атак, которые могут быть направлены на переполнение таблицы MAC адресов.
С помощью Port Security можно ограничить (на канальном уровне) количество подключений (MAC адресов) на интерфейсе, а так же, при необходимости, ввести безопасные MAC адреса вручную (статические MAC адреса).
Пример настройки Port Security на интерфейсе коммутатора cisco:
Пример распространенное подключение устройств в больших организациях. Как правило к порту подключаются два устройства: IP телефон и компьютер пользователя. Пример конфига интерфейса коммутатора с использованием Port Security:
На выше приведенном конфиге видно, что 10 влан настроен для компьютеров, 2 влан используется для IP телефонии. Далее, по фукнциям Port Security:
— «switchport port-security» означает, что мы включили Port Security на данном интерфейсе;
— «switchport port-security maximum 2» говорит о том, что только 2 MAC адреса, могут «светиться» на интерфейсе одновременно (MAC адрес телефона и компьютера);
— «switchport port-security violation restrict» указывает режим реагирование на нарушение. Таким образом, если на данном интерфейсе одновременно «засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
Немного расскажу о режимах реагирования на нарушение безопасности. Существует три способа реагирование на нарушение безопасности:
Команду «switchport port-security violation restrict» я описал выше.
Вторая команда — «switchport port-security violation shutdown» при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но как мне кажется, «switchport port-security violation restrict» является оптимальной для большинства случаев.
Идем дальше. Если необходимо, то можно статически ввести MAC адреса, тогда конфиг будет иметь вид:
Настройка режима терминала в Microsoft Edge
В этой статье рассказывается, как настроить параметры режим терминала в Microsoft Edge. Кроме того, представлена дорожная карта реализации функций, над которыми мы работаем.
Эта статья относится к Microsoft Edge версии 87 или более поздней.
Вызов функций режима терминала Microsoft Edge в Windows 10 с помощью аргументов командной строки, указанных в статье Использование возможностей режима терминала.
Обзор
Режим терминала Microsoft Edge предлагает два варианта блокировки браузера, чтобы организации могли создавать, управлять и обеспечивать наилучшие условия для своих клиентов. Доступны следующие варианты блокировки:
- Цифровые или интерактивные вывески отображают конкретный сайт в полноэкранном режиме.
- Общедоступный просмотр запускает ограниченную версию Microsoft Edge с несколькими вкладками.
В обоих случаях выполняется сеанс Microsoft Edge InPrivate, который защищает пользовательские данные.
Настройка режима терминала в Microsoft Edge
Начальный набор функций режима терминала доступен для тестирования в стабильном канале Microsoft Edge, версия 87. Последнюю версию можно скачать из Microsoft Edge (официальный стабильный канал).
Поддерживаемые функции режима терминала
В следующей таблице перечислены функции, поддерживаемые режимом терминала в Microsoft Edge и Microsoft Edge Legacy. Используйте эту таблицу в качестве руководства по переходу на Microsoft Edge путем сравнения поддержки этих функций в обеих версиях Microsoft Edge.
| Функция | Цифровая/интерактивная вывеска | Общедоступный просмотр | Доступно в Microsoft Edge версии (и выше) | Доступно в устаревшей версии Microsoft Edge |
|---|---|---|---|---|
| Навигация в InPrivate | Y | Y | 89 | Y |
| Сброс при неактивности | Y | Y | 89 | Y |
| Адресная строка только для чтения (политика) | N | Y | 89 | N |
| Удаление загружаемых данных при выходе (политика) | Y | Y | 89 | N |
| Блокировка F11 (вход и выход из полноэкранного режима) | Y | Y | 89 | Y |
| Блокировка F12 (запуск средств разработчика) | Y | Y | 89 | Y |
| Поддержка нескольких вкладок | N | Y | 89 | Y |
| Разрешить поддержку URL-адресов (политика) | Y | Y | 89 | N |
| Блокировать поддержку URL-адресов (политика) | Y | Y | 89 | N |
| Показывать кнопку «Домой» (политика) | N | Y | 89 | Y |
| Управление избранным (политика) | N | Y | 89 | Y |
| Включить принтер (политика) | Y | Y | 89 | Y |
| Настройка URL-адреса страницы «Новая вкладка» (политика) | N | Y | Y | |
| Кнопка завершения сеанса * | N | Y | 89 | Y |
| Все внутренние URL-адреса Microsoft Edge блокируются, кроме edge://downloads и edge://print | N | Y | 89 | Y |
| Блокировка CTRL+N (открытие нового окна) * | Y | Y | 89 | Y |
| Блокировка CTRL+T (открытие новой вкладки) | Y | N | 89 | Y |
| Параметры и другое (. )будут отображать только обязательные параметры | Y | Y | 89 | Y |
| Ограничение запуска других приложений из браузера | Y | Y | 90/91 | Y |
| Блокировка параметров печати пользовательского интерфейса | Y | Y | 90/91 | Y |
| Настройка новой вкладки в качестве домашней страницы (политика) | — | — | ПОДЛЕЖИТ УТОЧНЕНИЮ | Y |
Функции с символом «*» в конце включены только в сценарии одного приложения с ограниченным доступом.
Использование возможностей режима терминала
Функции режима терминала Microsoft Edge можно вызывать с помощью следующих параметров командной строки Windows 10 для цифровых и интерактивных вывесок и просмотра общедоступных страниц.
Цифровая/интерактивная вывеска в режиме терминала
Режим терминала : общедоступный просмотр
Дополнительные параметры командной строки
—no-first-run: Отключить функцию первого запуска Microsoft Edge.
—kiosk-idle-timeout-minutes=: изменить время в минутах от последнего действия пользователя до того, как режим терминала Microsoft Edge сбросит сеанс пользователя.. Замените слово «значение» в следующем примере на количество минут.
Поддерживаются следующие «значения»:
- Значения по умолчанию (в минутах)
- Полноэкранный режим — 0 (отключен)
- Общедоступный просмотр — 5 минут
- Допустимые значения
- 0 — отключение таймера
- 1-1440 минут для сброса таймера простоя
Поддерживаемые политики режима терминала
Используйте любую из политик Microsoft Edge, перечисленных в следующей таблице, чтобы улучшить работу терминала для настроенного вами типа режима терминала Microsoft Edge. Дополнительные информацию об этих политиках см. в справочнике по политикам браузера Microsoft Edge.
Конфигурация политик не ограничивается политиками, перечисленными в следующей таблице, однако другие политики следует проверить и убедиться, что они не оказывают негативного влияния на функциональность режима терминала.
| Групповая политика | Цифровая/интерактивная вывеска | Одно приложение для общего просмотра |
|---|---|---|
| Вывод на печать | Y | Y |
| HomePageLocation | N | Y |
| ShowHomeButton | N | Y |
| NewTabPageLocation | N | Y |
| FavoritesBarEnabled | N | Y |
| URLAllowlist | Y | Y |
| URLBlocklist | Y | Y |
| ManagedSearchEngines | N | Y |
| UserFeedbackAllowed | N | Y |
| VerticalTabsAllowed | N | Y |
| Параметры SmartScreen | Y | Y |
| EdgeCollectionsEnabled | Y | Y |
Microsoft Edge с ограниченным доступом
Режим терминала с одним приложением
В настоящее время Microsoft Edge поддерживает набор таких же типов режимов терминала с ограниченным доступом для одного приложения, как и устаревшая версия Microsoft Edge, со следующими вариантами блокировки: цифровая или интерактивная вывеска и общедоступный просмотр.
Режим терминала Microsoft Edge с одним приложением назначенного доступа в настоящее время доступен для тестирования в составе последней сборки Windows 10 Insider Previewверсии 20215 или более поздней версии, а также в Microsoft Edge Beta Channelверсии 89 или более поздней версии.
Откуда загрузить Windows Insider Preview?
Чтобы установить сборку Windows 10 Insider Preview на компьютер с Windows, следуйте инструкциям, указанным в разделе Начало работы со сборками Windows 10 Insider Preview.
Режим терминала с несколькими приложениями
Microsoft Edge можно запустить с ограниченным доступом для нескольких приложений в Windows 10, что является эквивалентом типа режима терминала «Обычный просмотр веб-страниц» в устаревшей версии Microsoft Edge. Чтобы настроить ограниченный доступ для нескольких приложений в Microsoft Edge, следуйте инструкциям по настройке режима терминала с несколькими приложениями. (AUMID для Microsoft Edge из стабильного канала— MSEdge).
При использовании Microsoft Edge с назначенным доступом для нескольких приложений можно настроить терминал Microsoft Edge для использования политик браузера Microsoft Edge, чтобы задать условия просмотра в зависимости от ваших уникальных требований.
Настройка с помощью параметров Windows
Параметры Windows — это самый простой способ настроить одно или два устройства с одним приложением в режиме терминала. Для настройки компьютера с одним приложением в режиме терминала выполните указанные ниже действия.
Установите последний выпуск Windows 10 Insider Preview версии 20215 или выше. Следуйте инструкциям в разделе Начало работы со сборками Windows 10 Insider Preview.
Чтобы протестировать новейшие функции, можно скачать последний канал Microsoft Edge betaверсии 89 или более поздней версии.
На компьютере терминала откройте параметры Windows и в поле поиска введите слово «терминал». Чтобы открыть диалоговое окно для создания терминала, выберите Настройка терминала (ограниченный доступ), как показано на следующем снимке экрана.
На странице Настройка киоска нажмите Начать.
Введите имя для создания новой учетной записи в терминале или выберите существующую учетную запись из раскрывающегося списка и нажмите Далее.
На странице Выбор приложения терминала выберите Microsoft Edge и нажмите кнопку Далее.
Это относится только к каналам Microsoft Edge Dev, бета-версиям канала и стабильным каналам.
Выберите один из следующих вариантов отображения Microsoft Edge при работе в режиме терминала:
- Цифровые или интерактивные вывески — Отображают конкретный сайт в полноэкранном режиме в Microsoft Edge.
- Общедоступный браузер — Запускает ограниченную версию Microsoft Edge с несколькими вкладками.
Нажмите Далее.
Введите URL-адрес для загрузки при запуске киоска.
Примите значение по умолчанию (5 минут) для времени простоя или укажите свое значение.
Нажмите Далее.
Закройте окно Параметры , чтобы сохранить и применить свой выбор.
Выйдите из устройства терминала и войдите в локальную учетную запись терминала, чтобы проверить конфигурацию.
Функциональные ограничения
С выпуском этой предварительной версии режима терминала мы продолжаем работать над улучшением продукта и добавлением новых функций.
В настоящее время не поддерживаются следующие функции и рекомендуется их отключить:
Стратегия
В начале 2021 года
Будут добавлены следующая поддержка и возможности:
- Общая доступность режима киоска Microsoft Edge с одним приложением с единым доступом в Windows 10 1909 и более поздних версиях.
- Дополнительные возможности для обеспечения равных условий с устаревшей версией Microsoft Edge.
- Интеграция с Intune для настройки устройств с использованием пользовательского интерфейса профиля режима терминала.
- Ограничение запуска других приложений из браузера.
- Блокировка параметров печати пользовательского интерфейса.
