本資料の著作権は 東京エレクトロンデバイス株式会社に帰属します 許可なく 転載 複製することを禁止します Windows 10 IoT Enterprise ロックダウン機能プレビュー資料 クラウド IoT カンパニーエンベデッドソリューション部 2018 年 2 月 Copyright Tokyo Electron Device LTD. All Rights Reserved.
AGENDA ロックダウン機能とは Unified Write Filter 機能設定方法 USB Access 設定方法 Layout Control 設定方法 AppLocker 設定方法 Shell Launcher 設定方法 Keyboard Filter 設定方法 ロックダウン機能参考サイト Copyright Tokyo Electron Device LTD. All Rights Reserved. 2
ロックダウン機能とは ロックダウン機能を使用することで 管理者が意図しないユーザーの操作を制限したり 画面に表示される情報をコントロールすることが出来ます USB メモリの使用を禁止したい Windows っぽさ を見せたくない キーボード操作によるログオフやタスク切替を禁止したい 許可したプログラムのみ動作可能としたい ユーザーの入力履歴を残したくない システムに加わった変更を装置再起動のみで復旧したい ユーザーには単一のアプリケーションのみを使用させたい Copyright Tokyo Electron Device LTD. All Rights Reserved. 3
Windows 10 IoT Enterprise のロックダウン機能 1 デバイス立ち上げ中の表示要素 使用するロックダウン機能 デバイス起動中画面の Windows ロゴ非表示や 自社ロゴの表示へ変更 ブランドではないブート カスタムログオン これらの機能を使用し デバイスから Windows の表示要素を減らし ユーザーに意識させなくすることが可能です 一部にデバイスファームウェアサポートが必要な機能も含みます シャットダウン ようこそ画面の非表示化 サインイン画面の表示要素制御 Copyright Tokyo Electron Device LTD. All Rights Reserved. 4
カスタムログオン (Custom Logon) サインイン画面 ロック画面 デバイスの起動中やシャットダウン中画面などの表示を抑制する機能です 設定項目 詳細 参考 AnimationDisabled Welcomeスクリーンのアニメーションを無効化 1 BrandingNeutral サインイン画面のエレメントを無効化 2 HideAutologonUI 自動ログオン時にUIを表示させない 3 NoLockScreen ロック画面を表示させない 4 UIVerbosityLevel デバイスの起動中 / シャットダウン中の画面を表示させない 5 13 2 4 5 Copyright Tokyo Electron Device LTD. All Rights Reserved. 5
ブランドではないブート (Unbranded Boot) 画面に表示される Windows エレメントを抑制します 設定できる項目は以下の通りです 設定項目 DisableBootMenu DisplayDisabled HideAllBootUI HideBootLogo HideBootStatusIndicator HideBootStatusMessage 詳細 Advanced Startup Options Menu( 詳細ブートオプション ) を抑制 OSが修復不可能なエラーとなったときにブランク画面表示にする下記 3つのエレメントを全て表示させない OSロード画面のWindowsロゴを表示させない OSロード画面のステータスインジケータを表示させない OSロード画面のテキストメッセージを表示させない Unbranded Boot https://msdn.microsoft.com/en-us/windows/hardware/commercialize/customize/enterprise/unbranded-boot Copyright Tokyo Electron Device LTD. All Rights Reserved. 6
Windows 10 IoT Enterprise のロックダウン機能 2 アプリケーション動作中の機能 使用するロックダウン機能 予め決められたアプリケーションのみ使用可能にし ファイル操作や設定変更をさせない ディスクへの書込みを抑制し 読み取り専用機を作成 Shell Launcher 割り当てられたアクセス AppLocker 統合書込みフィルター キーボードフィルター USB 機器のアクセス制限 キーボード操作によるタスク切替や終了 サインアウトの禁止 USB 機器の接続許可 禁止 これらの機能を使用し ユーザーは管理者が予め想定したユーザーエクスペリエンスのみを受けることが出来るようになります Copyright Tokyo Electron Device LTD. All Rights Reserved. 7
統合書込みフィルター :Unified Write Filter (UWF) 読み取り専用機器を製作可能 書き込み操作からシステムを守ります 例 ) ユーザーの入力や操作履歴を残さない システムの変更や改ざんが行われても 再起動で復元 フィルターには除外ルールが設定可能です 例 ) 特定アプリケーションの設定内容のみ ディスクに保存させる 特定ファイル / フォルダ / レジストリキーのみ 変更内容の保存が可能にする Copyright Tokyo Electron Device LTD. All Rights Reserved. 8
Shell Launcher / 割り当てられたアクセス : ユーザーは特定アプリケーションのみを実行可能に 簡単に専用端末化を実現 ユーザーは設定されたアプリケーションのみが起動する環境にサインイン 特定ユーザーのサインイン時に 設定されたアプリケーションのみが起動するようになります 管理者の意図しないアプリケーションの起動 ファイル操作 設定変更の抑止などを実現します ユーザーに割り当てるアプリの種類によって使用する機能が異なります Shell Launcher: ユーザーにクラシック Windows アプリ (Win32) を設定割り当てられたアクセス : ユーザーにユニバーサル Windows アプリ (UWP) を設定 メンテナンス時などは 管理者でサインインすることで Windows のフル機能にアクセス可能です 管理者は Windows のフル機能にアクセス Copyright Tokyo Electron Device LTD. All Rights Reserved. 9
キーボードフィルター : キーボード操作による望まれない操作の防止 Keyboard Filter: キーボードの操作をフィルタリングし 指定したキーコンビネーション入力を無効化します タスク切り替えや終了 メニュー表示などの抑制を実現します Breakout Key: [ スタート ]-[ サインアウト ] などの操作を経由せず 直接サインイン画面に移行するためのキー操作を設定することができます シェルランチャーなどで専用端末化したデバイスを管理者アカウントに切り替えるためにはアプリケーションにユーザー切り替えの機能を持たせる必要がありますが Breakout はアプリケーションに依存せずキーボードやハードウェアスイッチの操作のみでユーザー切り替えを行うことが出来ます Copyright Tokyo Electron Device LTD. All Rights Reserved. 10
ロックダウン機能の ON/OFF ロックダウン機能は [Windows の機能の有効化または無効化 ] から ON/OFF の切り替えを行うことが出来ます Shell Launcher カスタムログオン キーボードフィルター ブランドではないブート 統合書込みフィルター Windows 10 IoT Enterprise のロックダウン機能は上記の 5 つですが 同カテゴリ の機能に以下があります USB 機器へのアクセス制限 AppLocker 割り当てられたアクセス Copyright Tokyo Electron Device LTD. All Rights Reserved. 11
ロックダウン機能は組み合わせて使用 ロックダウン機能を適切に組み合わせて使用することで より 専用端末化 を高める事が出来ます デバイス例 ) このデバイスは 電源を投入すると ユーザーに予め指定されたプログラムのみが起動します この環境からはデスクトップやコントロールパネルにアクセスすることは出来ず ユーザーがデータや設定の変更を行っても永続化はせず 再起動で初期環境に戻ります 管理者は Windows のフル機能にアクセスすることが可能で メンテナンス等を行うことが出来ます このデバイスが Windows OS であることを意識させる要素はできるだけ排除します 適用する設定使用する機能概要 Windows ブランド要素の非表示化 カスタムシェルの設定 Unbranded Boot Custom Logon Shell Launcher 自動サインイン Copyright Tokyo Electron Device LTD. All Rights Reserved. 12 起動 再起動 終了時やサインイン時の Windows 要素の表示を抑制します 電源投入で デバイスは指定されたプログラムのみが動作する環境にサインインします キーボードショートカットの禁止 Keyboard Filter タスクマネージャの起動やプログラムの終了などを抑制します 管理者によるメンテナンス Keyboard Filter Breakout により 管理者は Windows のフル機能にアクセスできます ディスク変更の永続化禁止 Unified Write Filter ユーザーが行ったデバイスへの変更は永続化しません 再起動や電源再投入で変更前の状態へ戻ります
Copyright Tokyo Electron Device LTD. All Rights Reserved. Unified Write Filter 機能設定方法
本資料の完全版をご希望の方は 下記 URL よりお申し込みください https://esg.teldevice.co.jp/iot/windows10/document_form.html Copyright Tokyo Electron Device LTD. All Rights Reserved. 14
Copyright Tokyo Electron Device LTD. All Rights Reserved. 15 クラウド IoT カンパニーエンベデッドソリューション部 https://esg.teldevice.co.jp/iot/ E-mail:esg@teldevice.co.jp TEL:045-443-4021