Win10 Kiosk sperren, IT-Technikern jedoch den Zugriff ermöglichen?

860
Roland

Ich implementiere einen Kiosk auf Surface Pro 4-Tablets, der für den öffentlichen Gebrauch gesperrt ist. Ich habe jedoch keine robuste Methode gefunden, mit der Techniker zur Fehlerbehebung und Wartung auf das Gerät zugreifen können.

Annahmen:

  • Auf den Tablets wird Win10 Enterprise Version 1703 und IE 11 (nicht Edge) ausgeführt.
  • Kiosk startet eine browserbasierte Anwendung
  • Keine physische Tastatur an das Gerät angeschlossen (verwenden Sie daher die Bildschirmtastatur)
  • USB-Anschlüsse werden deaktiviert
  • Gerät wird über Ethernet betrieben (WLAN ist deaktiviert)

Aktueller Status:

  • Gruppenrichtlinien implementiert, mit denen das Gerät automatisch angemeldet und die EXPLORER-Shell durch Internet Explorer im Kioskmodus (-K-Schalter) ersetzt werden kann. HINWEIS: Ich habe keinen zugewiesenen Zugriff verwendet. Ich habe irgendwo gelesen, dass dies für Metro-Apps gedacht ist, also stattdessen Classic Shell Launcher

  • Implementierte Gruppenrichtlinien zum Sperren der Betriebssystemeinstellungen (z. B. kein Zugriff auf lokales Dateisystem und Systemsteuerung; Deaktivieren von Wischgesten, Rechtsklick, Tastenkombinationen usw.)

  • Skript zum Verwalten der Kiosksitzung geschrieben (Erzwingt Abmeldung und automatische Anmeldung nach 15 Minuten Inaktivität; wird sofort neu gestartet, wenn der IEXPLORE-Prozess beendet wird. Dies ist eine Sicherheitsmaßnahme, um Versuche zu verhindern, in den Desktop einzubrechen.)
  • IN PROGRESS: Verwenden Sie das Surface für Enterprise Management Mode-Tool ( https://docs.microsoft.com/de-de/surface/surface-enterprise-management-mode ), um ein Konfigurationspaket zu erstellen, das die UEFI (Kennwortschutz) blockiert die UEFI und deaktivieren einige Onboard-Ports wie die Kamera und UEFI)

Alles in allem ist das Gerät gesperrt und die internen Tests laufen gut. Das Gerät kann später in dieser Woche für Penetrationstests verwendet werden.

Aber wie erlaube ich einem Techniker, auf ein Gerät zuzugreifen und alle Sicherheitskontrollen zu umgehen? Ich habe absichtlich alle Vektoren geschlossen, die ein Techniker für den Zugriff auf das Gerät verwenden könnte (andernfalls würde der Stifttest fehlschlagen). Selbst RDP in das Gerät funktioniert nicht, da ich die Windows-Shell im Vollbild-Kioskmodus durch IE ersetzt habe.

0
Der integrierte Kiosk-Modus kann von Administratoren deaktiviert werden. Ramhound vor 5 Jahren 0
Hallo Ramhound, können Sie diese Aussage näher erläutern. Unter "eingebautem Kiosk" -Modus meinen Sie "Zugewiesener Zugriff" für das Win10-Betriebssystem selbst? Ich kann den zugewiesenen Zugriff nicht wie oben beschrieben verwenden. Edge ist der empfohlene Browser für den zugewiesenen Zugriff. Wir können ihn nicht verwenden, da die Website dies nicht unterstützt. Roland vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme