Функции блокировки Windows Embedded 8.1 Industry Lockdown features from Windows Embedded 8.1 Industry
Относится к: Applies to
Многие функции блокировки, доступные в Windows Embedded 8.1 Industry, были так или иначе изменены для Windows 10. Many of the lockdown features available in Windows Embedded 8.1 Industry have been modified in some form for Windows 10. В этой таблице вы найдете сопоставление функций Windows Embedded Industry 8.1 с функциями Windows 10 Корпоративная, а также ссылки на документацию. This table maps Windows Embedded Industry 8.1 features to Windows 10 Enterprise features, along with links to documentation.
Функция блокировки Windows Embedded Industry 8.1 Windows Embedded 8.1 Industry lockdown feature
Функция Windows 10 Windows 10 feature
Изменения Changes
HORM не поддерживается в Windows 10 версии 1607 и более поздней. HORM is supported in Windows 10, version 1607 and later.
Объединенный фильтр записи поддерживается и в Windows 10. The Unified Write Filter is continued in Windows 10.
В Windows 10 версии 1511 добавлен фильтр клавиатуры. Keyboard filter is added in Windows 10, version 1511. Как и в Windows Embedded Industry 8.1, фильтр клавиатуры является дополнительным компонентом, который можно включить в разделе Включение или отключение компонентов Windows. As in Windows Embedded Industry 8.1, Keyboard Filter is an optional component that can be turned on via Turn Windows Features On/Off. Фильтр клавиатуры (помимо ранее доступной конфигурации WMI) настраивается по пути SMISettings с помощью конструктора образов и конфигураций Windows (ICD). Keyboard Filter (in addition to the WMI configuration previously available) will be configurable through Windows Imaging and Configuration Designer (ICD) in the SMISettings path.
Средство запуска оболочки поддерживается и в Windows 10. Shell Launcher continues in Windows 10. Теперь его можно настроить и в Windows ICD в категории SMISettings . It is now configurable in Windows ICD under the SMISettings category.
Узнайте, как использовать shell Launcher для создания устройства-киоска, которое запускает настольное приложение Windows. Learn how to use Shell Launcher to create a kiosk device that runs a Windows desktop application.
Средство запуска приложений Windows 8 было объединено с функцией ограниченного доступа. The Windows 8 Application Launcher has been consolidated into Assigned Access. Средство запуска приложений позволяет запускать приложение для Windows 8 и удерживать фокус на нем. Application Launcher enabled launching a Windows 8 app and holding focus on that app. Ограниченный доступ — это более надежное решение, которое обеспечивает удержание фокуса на приложениях. Assigned Access offers a more robust solution for ensuring that apps retain focus.
Фильтр диалогового окна не используется в Windows 10. Dialog Filter has been deprecated for Windows 10. Фильтр диалогового окна предоставлял две возможности: управление тем, какие процессы могут выполняться, и возможность подавления диалоговых окон (на практике — системных диалоговых окон). Dialog Filter provided two capabilities; the ability to control which processes were able to run, and the ability to prevent dialogs (in practice, system dialogs) from appearing.
Управление доступными для выполнения процессами теперь осуществляется с помощью AppLocker. Control over which processes are able to run will now be provided by AppLocker.
Системные диалоговые окна в Windows 10 заменены системными всплывающими уведомлениями. System dialogs in Windows 10 have been replaced with system toasts. Дополнительные сведения о блокировке системных всплывающих уведомлений см. ниже в разделе «Фильтр всплывающих уведомлений» ниже. To see more on blocking system toasts, see Toast Notification Filter below.
Управление мобильными устройствами (MDM) и групповая политика Mobile device management (MDM) and Group Policy
Фильтр всплывающих уведомлений заменен параметрами MDM и групповой политики, которые используются для блокировки отдельных компонентов некритических системных всплывающих уведомлений. Toast Notification Filter has been replaced by MDM and Group Policy settings for blocking the individual components of non-critical system toasts that may appear. Например, для подавления всплывающего уведомления при подключения USB-накопителя убедитесь, что USB-подключения заблокированы с помощью связанных политик, и отключите уведомления от приложений. For example, to prevent a toast from appearing when a USB drive is connected, ensure that USB connections have been blocked using the USB-related policies, and turn off notifications from apps.
Групповая политика: Конфигурация пользователя > Административные шаблоны > Меню «Пуск» и панель задач > Уведомления Group Policy: User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications
Имя политики MDM может различаться в зависимости от используемой службы MDM. MDM policy name may vary depending on your MDM service. В Microsoft Intune используйте уведомления Центра действий и настраиваемый параметр OMA-URI для aboveLock/AllowActionCenterNotifications. In Microsoft Intune, use Allow action center notifications and a custom OMA-URI setting for AboveLock/AllowActionCenterNotifications.
Встроенный диспетчер блокировки не используется в Windows 10, он заменен конструктором образов и конфигураций Windows (ICD). The Embedded Lockdown Manager has been deprecated for Windows 10 and replaced by the Windows ICD. Windows ICD — это консолидированное средство для создания образов и обеспечения работы сценариев подготовки Windows, которое позволяет настроить все параметры Windows, включая параметры блокировки, которые ранее настраивались с помощью встроенного диспетчера блокировки. Windows ICD is the consolidated tool for Windows imaging and provisioning scenarios and enables configuration of all Windows settings, including the lockdown features previously configurable through Embedded Lockdown Manager.
MDM и групповая политика MDM and Group Policy
Драйвер фильтра USB заменен параметрами MDM и групповой политики, которые используются для блокировки подключения USB-устройств. The USB Filter driver has been replaced by MDM and Group Policy settings for blocking the connection of USB devices.
Групповая политика: Конфигурация компьютера > Административные шаблоны > Система > Установка устройств > Ограничения на установку устройств Group Policy: Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
Имя политики MDM может различаться в зависимости от используемой службы MDM. MDM policy name may vary depending on your MDM service. В службе Microsoft Intune используйте Разрешить использование съемных носителей или Разрешить использование USB-подключения (только Windows 10 Mobile). In Microsoft Intune, use Allow removable storage or Allow USB connection (Windows 10 Mobile only).
Функция ограниченного доступа в Windows 10 существенно улучшена. Assigned Access has undergone significant improvement for Windows 10. В Windows 8.1 ограниченный доступ блокировал системные сочетания клавиш, краевые жесты системы и некритичные системные уведомления, но также применял некоторые ограничения и к другим учетным записям на устройстве. In Windows 8.1, Assigned Access blocked system hotkeys and edge gestures, and non-critical system notifications, but it also applied some of these limitations to other accounts on the device.
В Windows 10 ограниченный доступ влияет только на заблокированную учетную запись. In Windows 10, Assigned Access no longer affects accounts other than the one being locked down. Теперь эта функция ограничивает доступ к другим приложениям или системным компонентам, блокируя устройство при входе в систему под выбранной учетной записью пользователя и запуская указанное приложение поверх экрана блокировки, чтобы заблокировать доступ к другим функциям. Assigned Access now restricts access to other apps or system components by locking the device when the selected user account logs in and launching the designated app above the lock screen, ensuring that no unintended functionality can be accessed.
MDM и групповая политика MDM and Group Policy
В Windows 8.1 жесты позволяли закрыть приложение, переключаться между приложениями и получить доступ к чудо-кнопкам. In Windows 8.1, gestures provided the ability to close an app, to switch apps, and to reach the Charms. В Windows 10 чудо-кнопки удалены. In Windows 10, Charms have been removed. В Windows 10 версии 1607 вы можете заблокировать жесты прокрутки с помощью политики разрешить боковую прокрутку. In Windows 10, version 1607, you can block swipes using the Allow edge swipe policy.
Без изменений. No changes. Применимо только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Applies only to Windows 10 Enterprise and Windows 10 Education.
Без изменений. No changes. Применимо только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Applies only to Windows 10 Enterprise and Windows 10 Education.
Windows 10 — управляем параметрами загрузки системы
Применение сторонних утилит для настройки Windows уже давно стало традицией среди пользователей, а стоило бы знать, что множество параметров операционной системы можно настроить ее же средствами, не прибегая к сторонним и подчас платным инструментам. Чего стоит только одна PowerShell вкупе с командной строкой. Впрочем, речь сегодня пойдет не о них, а о MSConfig — замечательной во многих отношениях штатной утилите, предназначенной для управления автоматически запускаемыми процессами и процедурой загрузки Windows.
В настоящее время утилита MSConfig используется в основном при проведении различного рода диагностических работ.
Сама тулза диагностическим инструментом не является, она позволяет последовательно отключать службы, второстепенные драйвера и элементы автозагрузки, исключая их потенциально негативное влияние на работу Windows и помогая таким образом установить виновника неполадки. Другой пример использования MSConfig — включение безопасного режима Windows, также служащего для проведения диагностических и ремонтных работ.
Реже утилита используется для тестирования работы операционной системы и программного обеспечения в условиях предоставления ограниченного объема ресурсов процессора и оперативной памяти. Кроме того, MSConfig может служить в качестве инструмента управления приоритетами загрузки нескольких операционных систем, если таковые установлены на одном компьютере. Наконец, MSConfig можно использовать как своего рода лаунчер для запуска некоторых средств администрирования.
Но обо всём по порядку.
Немного истории
MSConfig впервые появилась в Windows 98 как инструмент управления режимами загрузки и запускающимися при старте операционной системы службами и приложениями. В Windows 2000 разработчики Microsoft почему-то решили ее убрать, но в XP вернули на место, где она и остается по сей день. В Windows 98 MSConfig значительно отличалась от того инструмента конфигурации, который имеется сейчас в Windows 10. Поскольку в ранних версиях системы еще не было реестра, а настройки хранились в конфигурационных файлах, в MSConfig присутствовали одноименные вкладки, предоставляющие доступ к этим файлам.
Например, переключившись на вкладку System.ini, пользователь мог настроить загрузку служб и драйверов, прописанных в файле system.ini , аналогичным образом обеспечивался доступ к системным настройкам из вкладок Win.ini, Config.sys и Autoexec.bat. Доступ к объектам автозагрузки предоставлялся на вкладке Startup, а доступ к режимам загрузки Windows — на вкладке «Общие» и только с переносом системных настроек в реестр вкладки получили соответствующие настройкам названия. После этого MSConfig почти не менялся, если не брать в расчет внешний вид окна и вкладку «Автозагрузка», инструментарий которой в Windows 8 был перемещен в Диспетчер задач.
MSConfig в Windows 10
В Windows 10 утилита MSConfig является точной копией себя же самой в Windows 8.1. Ее исполняемый файл msconfig.exe располагается в каталоге System32 , запустить ее можно разными способами — одноименной командой из окошка «Выполнить».
Из командной строки и PowerShell .
Из адресной строки Проводника.
Через оснастку классической панели управления «Администрирование», а также через системный поиск.
Небольшое по размерам окошко утилиты содержит пять вкладок: Общие, Загрузка, Службы, Автозагрузка и Сервис. Четвертая вкладка Автозагрузка в Windows 10 не содержит никаких опций за исключением ссылки на Диспетчер задач.
Это своего рода рудимент и, скорее всего, в следующих версиях вкладка будет удалена.
MSConfig — Общие
Опции первой вкладки «Общие» определяют режим запуска операционной системы.
Всего режимов три:
• Обычный запуск — Стандартный запуск операционной системы, загружающейся со всеми службами и элементами автозагрузки, в том числе потенциально небезопасными. Активен по умолчанию.
• Диагностический запуск — В этом «чистом» режиме Windows 10 запускается без сторонних служб, программ, элементов автозагрузки и драйверов. Используется при удалении сомнительного программного обеспечения, которое не удается деинсталлировать в обычном режиме работы, а также получения доступа к ключевым средствам администрирования, которые по какой-то причине оказались недоступными.
• Выборочный запуск — По сути, то же самое что и диагностический запуск, только с возможностью более гибкой настройки. Так, вы можете выбрать, какой именно набор стартующих вместе с Windows модулей следует отключать, а какой нет. Для выборочного отключения в этом режиме доступны элементы автозагрузки, системные службы и альтернативная конфигурация загрузчика. Последний пункт включен по умолчанию и недоступен для управления. Активируется он только в том случае, если вы измените конфигурацию загрузки на второй вкладке — очень удобно, когда нужно быстро восстановить дефолтные параметры загрузки системы.
MSConfig — Загрузка
Пожалуй, самая интересная вкладка в оснастке MSConfig. Переключившись на нее, в верхней части окна вы увидите как минимум одну запись, содержащую название установленной системы. Если у вас установлено несколько версий Windows, количество записей будет соответствующим. Вы можете управлять записями загрузчика, выбирая одну из систем в качестве загружаемой по умолчанию. Помимо предоставления списка установленных на одном компьютере ОС Windows, ее инструменты позволяют управлять параметрами загрузки — загружать систему в безопасном режиме.
При этом предлагается на выбор использование четырех параметров.
• Параметр «Минимальная загрузка» обеспечивает работу безопасного режима с отключенными сетевыми драйверами и элементами автозагрузки, но с полноценным графическим интерфейсом.
• Если же вы выберите параметр «Другая оболочка», то единственным доступным инструментом управления в Windows 10 окажется командная строка. Интернет при этом так же работать не будет.
• Параметр «Восстановление Active Directory» загружает систему в обычном безопасном режиме с GUI и со службами активных каталогов. Используется в основном системными администраторами при решении проблем в сетевом окружении.
• Наконец, параметр «Сеть» загружает Windows 10 в безопасном режиме с GUI и с возможностью подключения к интернету.
Обратите также внимание на блок параметров «Без GUI», «Журнал загрузки», «Базовое видео» и «Информация об ОС». Непосредственного отношения к безопасному режиму они не имеют и используются в качестве дополнительных настроек.
• Без GUI — Используется при отладке системы. При загрузке Windows не отображается экран приветствия.
• Журнал загрузки — Если задействовать этот параметр, сведения о запущенных вместе с операционной системой драйверах и службах будут записаны в лог ntbtlog.txt , сохраняемый обычно в корневую папку Windows. Используется, когда нужно выяснить, на каком автозагружаемом драйвере или службе произошел сбой.
• Базовое видео — Параметр загружает только стандартный видеодрайвер Microsoft. Пригодится, если по какой-то причине у вас слетел родной драйвер видеокарты.
• Информация об ОС — Используется вместе с «Без GUI», выводит в процессе загрузки список загружаемых драйверов.
• Таймаут — Отдельный параметр, позволяющий задать период времени, в течение которого на загрузочном экране будет отображаться список установленных рядом с основной Windows систем.
На этой же вкладке имеется кнопка «Дополнительные параметры загрузки», открывающая настройки тестирования загрузки ОС в нестандартных условиях. К примеру, вы можете попробовать загрузить Windows 10 с ограниченным количеством ядер процессора и объемом оперативной памяти, проигнорировать «рекомендации» BIOS , которыми ОС руководствуется при загрузке и даже протестировать только что разработанный драйвер под новое устройство.
А так, по большому счету эти функции вам не нужны, поскольку изменение объема выделяемых ресурсов никак не отразится на скорости загрузки, что же касается блокировки PCI и прочих опций, игры с ними могут привести к падению системы или ее зависанию.
MSConfig — Службы
Здесь всё намного проще. На этой вкладке вы можете отключить все или некоторые сторонние и системные службы. Последовательное отключение служб применяется в рамках диагностики, позволяя выявить виновника проблем в работе операционной системы. «Службы» частично дублируют функционал вкладки «Общие», в чём вы можете убедиться, отключив любую службу — вариант запуска на вкладке «Общие» автоматически переключиться на «Выборочный запуск».
MSConfig — Сервис
Дополнительная вкладка, содержащая список команд для запуска наиболее часто используемых инструментов администрирования. Здесь вы найдете опции для запуска командной строки, редактора реестра, восстановления системы, разных мониторов и прочих плюшек.
Ничего руками вводить не нужно, просто выбираем необходимый элемент и жмем кнопку «Запуск».
Итог
По большому счету это всё, что следовало знать об этом полезном инструменте. Утилита MSConfig очень удобна, когда нужно загрузить Windows в безопасном режиме, быстро отключить загружающиеся вместе с операционной системой компоненты или запустить какую-нибудь системную оснастку. Что касается безопасности, навредить системе с ее «помощью» вряд ли получится, поэтому после ознакомления с основными функциями, на вооружение утилита может быть взята даже начинающими пользователями.
