Главная » Linux

Device lockdown windows что это

Автор На чтение 14 мин Просмотров 2 Опубликовано
Содержание
  1. Embedded Lockdown Manager — что это за программа и нужна ли она?
  2. Разбираемся
  3. Вывод
  4. Добавить комментарий Отменить ответ
  5. Управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации Windows Defender Application Control and virtualization-based protection of code integrity
  6. Управление приложениями в Защитнике Windows Windows Defender Application Control
  7. Функции блокировки Windows Embedded 8.1 Industry Lockdown features from Windows Embedded 8.1 Industry

Embedded Lockdown Manager — что это за программа и нужна ли она?

Приветствую. Embedded Lockdown Manager (ELM) — инструмент, позволяющий настраивать функции блокировки на устройствах Windows Embedded 8 Standard.

Предположительно устанавливается в виде обновления.

Разбираемся

Простыми словами — данная программа предназначена для настройки Windows на рабочих ПК, например терминалы, компьютеры в магазинах, на предприятиях.

Программа устанавливается стандартно — в папку Program Files.

При помощи Embedded Lockdown Manager можно настроить следующие функции блокировки:

  1. Windows 8 Application Launcher — позволяет автоматически запускать одно приложение магазина Windows. Можно настроить на отключение начального экрана.
  2. USB-фильтр. Позволяет только доверенным USB-устройствам подключаться к системе.
  3. Фильтр жестов. Предотвращает нежелательные жесты (предположительно актуально для сенсорных экранов).
  4. Keyboard Filter. Подавляет нежелательные комбинации клавиш, например Ctrl+Alt+Del.
  5. Диалоговый фильтр. Предотвращает появление на экране нежелательных всплывающих окон и диалоговых окон.
  6. Unified Write Filter. Защищает физический носитель от операций записи.
  7. Shell Launcher. Запускает альтернативную оболочку вместо стандартной оболочки Windows.

Походу те самые фильтры:

По факту данная программа — только среда управления, оболочка.

На заметку — для использования ELM для настройки средства запуска приложений Windows 8 необходимо сперва установить KB2932074.

Включить/отключить компонент можно штатными средствами Windows (панель управления > программы и компоненты > включение/отключение компонентов):

Официальная документация находится здесь.

Судя по скриншоту — поддерживается удаленная настройка ПК:

Дополнительная информация по поводу удаленного управления:

Вывод

  1. Данная программа будет интересна специалистам по настройке рабочих/узкоспециализированных ПК. Обычным пользователям она не нужна.
  2. Однако удалять ее не стоит — это системный компонент. Вместо этого — отключите через окно программы и компоненты.

Надеюсь информация помогла. Удачи.

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации Windows Defender Application Control and virtualization-based protection of code integrity

Относится к: Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

Windows 10 включает набор технологий оборудования и ОС, которые при настройке вместе позволяют предприятиям «заблокировать» системы Windows 10, чтобы они работали со многими свойствами мобильных устройств. Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to «lock down» Windows 10 systems so they operate with many of the properties of mobile devices. В этой конфигурации определенные технологии работают вместе, чтобы ограничить устройства только для запуска авторизованных приложений с помощью функции, называемой настраиваемой целостностью кода, одновременно закадривая ОС от атак памяти ядра с помощью защиты целостности кода на основе виртуализации (точнее, HVCI). In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks by using virtualization-based protection of code integrity (more specifically, HVCI).

Настраиваемые политики целостности кода и HVCI — это мощные средства защиты, которые можно использовать отдельно. Configurable code integrity policies and HVCI are powerful protections that can be used separately. Однако, когда эти две технологии настроены для совместной работы, они представляют собой мощную возможность защиты для устройств с Windows 10. However, when these two technologies are configured to work together, they present a strong protection capability for Windows 10 devices.

Использование настраиваемой целостности кода для ограничения устройств только авторизованными приложениями имеет эти преимущества перед другими решениями: Using configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:

  1. Настраиваемая политика целостности кода обеспечивается самим ядром Windows. Configurable code integrity policy is enforced by the Windows kernel itself. Таким образом, политика вступает в силу на ранних стадиях загрузки перед практически всеми другими кодами ОС и до запуска традиционных антивирусных решений. As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
  2. Настраиваемая целостность кода позволяет клиентам устанавливать политику управления приложениями не только над кодом, работающим в пользовательском режиме, но и с драйверами оборудования и программного обеспечения в режиме ядра и даже кодом, который выполняется в составе Windows. Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
  3. Клиенты могут защитить настраиваемую политику целостности кода даже от локального взлома администратора, подписав политику в цифровом формате. Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. Это означает, что для изменения политики потребуется как административная привилегия, так и доступ к процессу цифровой подписи организации, что затруднит злоумышленнику с административными привилегиями или вредоносным программам, которым удалось получить административную привилегию, изменить политику управления приложениями. This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
  4. Весь настраиваемый механизм обеспечения целостности кода может быть защищен HVCI, где даже если уязвимость существует в коде режима ядра, вероятность успешного использования злоумышленником ее снижается. The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is diminished. Почему это актуально? Why is this relevant? Это потому, что злоумышленник, который скомпрометировать ядро, в противном случае будет иметь достаточно привилегий, чтобы отключить большинство системных средств защиты и переопределить политики управления приложениями, которые применяются с помощью настраиваемой целостности кода или любого другого решения управления приложениями. That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.
Читайте также:  Главная кнопка операционной системы windows

Управление приложениями в Защитнике Windows Windows Defender Application Control

При первоначальной настройке этого состояния конфигурации мы делали это с учетом определенного обещания безопасности. When we originally designed this configuration state, we did so with a specific security promise in mind. Несмотря на отсутствие прямых зависимостей между настраиваемой целостностью кода и HVCI, мы намеренно сосредоточили свое обсуждение вокруг состояния блокировки, который вы достигаете при их совместном развертывании. Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. Однако, учитывая, что HVCI зависит от безопасности на основе виртуализации Windows, она поставляется с большим оборудованием, прошивки и драйвера совместимости ядра требования, которые некоторые старые системы не могут соответствовать. However, given that HVCI relies on Windows virtualization-based security, it comes with more hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. В результате многие ИТ-специалисты предположили, что из-за того, что некоторые системы не могут использовать HVCI, они также не могут использовать настраиваемую целостность кода. As a result, many IT Professionals assumed that because some systems couldn’t use HVCI, they couldn’t use configurable code integrity either.

Настраиваемая целостность кода не содержит каких-либо определенных требований к оборудованию или программному обеспечению, кроме windows 10, что означает, что многим ИТ-специалистам было ошибочно отказано в преимуществах этой мощной возможности управления приложениями. Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.

С момента первоначального выпуска Windows 10 мир стал свидетелем многочисленных атак взлома и вредоносных программ, в результате которых только управление приложениями могло бы полностью предотвратить атаку. Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. В этой связи мы обсуждаем и документизовываем целостность настраиваемого кода как независимую технологию в нашем стеке безопасности и даем ей имя: Защитник Windows Application Control. With this in mind, we are discussing and documenting configurable code integrity as an independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. Мы надеемся, что это изменение поможет нам лучше общаться с вариантами принятия управления приложениями в организации. We hope this change will help us better communicate options for adopting application control within an organization.

Читайте также:  Как достать соседа все части для windows 10

Функции блокировки Windows Embedded 8.1 Industry Lockdown features from Windows Embedded 8.1 Industry

Относится к: Applies to

Многие функции блокировки, доступные в Windows Embedded 8.1 Industry, были так или иначе изменены для Windows 10. Many of the lockdown features available in Windows Embedded 8.1 Industry have been modified in some form for Windows 10. В этой таблице вы найдете сопоставление функций Windows Embedded Industry 8.1 с функциями Windows 10 Корпоративная, а также ссылки на документацию. This table maps Windows Embedded Industry 8.1 features to Windows 10 Enterprise features, along with links to documentation.

HORM не поддерживается в Windows 10 версии 1607 и более поздней. HORM is supported in Windows 10, version 1607 and later.

Объединенный фильтр записи поддерживается и в Windows 10. The Unified Write Filter is continued in Windows 10.

В Windows 10 версии 1511 добавлен фильтр клавиатуры. Keyboard filter is added in Windows 10, version 1511. Как и в Windows Embedded Industry 8.1, фильтр клавиатуры является дополнительным компонентом, который можно включить в разделе Включение или отключение компонентов Windows. As in Windows Embedded Industry 8.1, Keyboard Filter is an optional component that can be turned on via Turn Windows Features On/Off. Фильтр клавиатуры (помимо ранее доступной конфигурации WMI) настраивается по пути SMISettings с помощью конструктора образов и конфигураций Windows (ICD). Keyboard Filter (in addition to the WMI configuration previously available) will be configurable through Windows Imaging and Configuration Designer (ICD) in the SMISettings path.

Средство запуска оболочки поддерживается и в Windows 10. Shell Launcher continues in Windows 10. Теперь его можно настроить и в Windows ICD в категории SMISettings . It is now configurable in Windows ICD under the SMISettings category.

Узнайте, как использовать shell Launcher для создания устройства-киоска, которое запускает настольное приложение Windows. Learn how to use Shell Launcher to create a kiosk device that runs a Windows desktop application.

Средство запуска приложений Windows 8 было объединено с функцией ограниченного доступа. The Windows 8 Application Launcher has been consolidated into Assigned Access. Средство запуска приложений позволяет запускать приложение для Windows 8 и удерживать фокус на нем. Application Launcher enabled launching a Windows 8 app and holding focus on that app. Ограниченный доступ — это более надежное решение, которое обеспечивает удержание фокуса на приложениях. Assigned Access offers a more robust solution for ensuring that apps retain focus.

Фильтр диалогового окна не используется в Windows 10. Dialog Filter has been deprecated for Windows 10. Фильтр диалогового окна предоставлял две возможности: управление тем, какие процессы могут выполняться, и возможность подавления диалоговых окон (на практике — системных диалоговых окон). Dialog Filter provided two capabilities; the ability to control which processes were able to run, and the ability to prevent dialogs (in practice, system dialogs) from appearing.

Управление доступными для выполнения процессами теперь осуществляется с помощью AppLocker. Control over which processes are able to run will now be provided by AppLocker.

Системные диалоговые окна в Windows 10 заменены системными всплывающими уведомлениями. System dialogs in Windows 10 have been replaced with system toasts. Дополнительные сведения о блокировке системных всплывающих уведомлений см. ниже в разделе «Фильтр всплывающих уведомлений» ниже. To see more on blocking system toasts, see Toast Notification Filter below.

Фильтр всплывающих уведомлений заменен параметрами MDM и групповой политики, которые используются для блокировки отдельных компонентов некритических системных всплывающих уведомлений. Toast Notification Filter has been replaced by MDM and Group Policy settings for blocking the individual components of non-critical system toasts that may appear. Например, для подавления всплывающего уведомления при подключения USB-накопителя убедитесь, что USB-подключения заблокированы с помощью связанных политик, и отключите уведомления от приложений. For example, to prevent a toast from appearing when a USB drive is connected, ensure that USB connections have been blocked using the USB-related policies, and turn off notifications from apps.

Групповая политика: Конфигурация пользователя > Административные шаблоны > Меню «Пуск» и панель задач > Уведомления Group Policy: User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications

Имя политики MDM может различаться в зависимости от используемой службы MDM. MDM policy name may vary depending on your MDM service. В Microsoft Intune используйте уведомления Центра действий и настраиваемый параметр OMA-URI для aboveLock/AllowActionCenterNotifications. In Microsoft Intune, use Allow action center notifications and a custom OMA-URI setting for AboveLock/AllowActionCenterNotifications.

Встроенный диспетчер блокировки не используется в Windows 10, он заменен конструктором образов и конфигураций Windows (ICD). The Embedded Lockdown Manager has been deprecated for Windows 10 and replaced by the Windows ICD. Windows ICD — это консолидированное средство для создания образов и обеспечения работы сценариев подготовки Windows, которое позволяет настроить все параметры Windows, включая параметры блокировки, которые ранее настраивались с помощью встроенного диспетчера блокировки. Windows ICD is the consolidated tool for Windows imaging and provisioning scenarios and enables configuration of all Windows settings, including the lockdown features previously configurable through Embedded Lockdown Manager.

Драйвер фильтра USB заменен параметрами MDM и групповой политики, которые используются для блокировки подключения USB-устройств. The USB Filter driver has been replaced by MDM and Group Policy settings for blocking the connection of USB devices.

Групповая политика: Конфигурация компьютера > Административные шаблоны > Система > Установка устройств > Ограничения на установку устройств Group Policy: Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions

Имя политики MDM может различаться в зависимости от используемой службы MDM. MDM policy name may vary depending on your MDM service. В службе Microsoft Intune используйте Разрешить использование съемных носителей или Разрешить использование USB-подключения (только Windows 10 Mobile). In Microsoft Intune, use Allow removable storage or Allow USB connection (Windows 10 Mobile only).

Функция ограниченного доступа в Windows 10 существенно улучшена. Assigned Access has undergone significant improvement for Windows 10. В Windows 8.1 ограниченный доступ блокировал системные сочетания клавиш, краевые жесты системы и некритичные системные уведомления, но также применял некоторые ограничения и к другим учетным записям на устройстве. In Windows 8.1, Assigned Access blocked system hotkeys and edge gestures, and non-critical system notifications, but it also applied some of these limitations to other accounts on the device.

В Windows 10 ограниченный доступ влияет только на заблокированную учетную запись. In Windows 10, Assigned Access no longer affects accounts other than the one being locked down. Теперь эта функция ограничивает доступ к другим приложениям или системным компонентам, блокируя устройство при входе в систему под выбранной учетной записью пользователя и запуская указанное приложение поверх экрана блокировки, чтобы заблокировать доступ к другим функциям. Assigned Access now restricts access to other apps or system components by locking the device when the selected user account logs in and launching the designated app above the lock screen, ensuring that no unintended functionality can be accessed.

В Windows 8.1 жесты позволяли закрыть приложение, переключаться между приложениями и получить доступ к чудо-кнопкам. In Windows 8.1, gestures provided the ability to close an app, to switch apps, and to reach the Charms. В Windows 10 чудо-кнопки удалены. In Windows 10, Charms have been removed. В Windows 10 версии 1607 вы можете заблокировать жесты прокрутки с помощью политики разрешить боковую прокрутку. In Windows 10, version 1607, you can block swipes using the Allow edge swipe policy.

Без изменений. No changes. Применимо только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Applies only to Windows 10 Enterprise and Windows 10 Education.

Без изменений. No changes. Применимо только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Applies only to Windows 10 Enterprise and Windows 10 Education.

Оцените статью
© 2023 Советы по настройке компьютера
Adblock
detector
Функция блокировки Windows Embedded Industry 8.1 Windows Embedded 8.1 Industry lockdown feature Функция Windows 10 Windows 10 feature Изменения Changes
Управление мобильными устройствами (MDM) и групповая политика Mobile device management (MDM) and Group Policy MDM и групповая политика MDM and Group Policy MDM и групповая политика MDM and Group Policy