Я использую киоск на планшетах Surface Pro 4, который заблокирован для общего пользования, но я не нашел надежного способа, позволяющего техническим специалистам получить доступ к устройству для устранения неполадок и технического обслуживания.
Предположения:
- Планшеты работают под управлением Win10 Enterprise версии 1703 и IE 11 (не Edge)
- Киоск запускает браузерное приложение
- К устройству не подключена физическая клавиатура (поэтому используйте экранную клавиатуру)
- USB порты будут отключены
- Устройство будет на Ethernet (Wi-Fi отключен)
Текущее состояние:
Реализованы групповые политики для автозапуска устройства и замены оболочки EXPLORER на Internet Explorer, работающий в режиме киоска (ключ -K). ПРИМЕЧАНИЕ: не используя Assigned Access, я где-то читал, что это предназначено для приложений Metro, поэтому вместо него используется Classic Shell Launcher
Реализованы групповые политики для блокировки настроек ОС (таких как отсутствие доступа к локальной файловой системе и панели управления; отключение жестов, щелчков правой кнопкой мыши, комбинаций горячих клавиш и т.д.)
- Написал скрипт для управления сеансом киоска (принудительно выйдет из системы и автоматически войдет в систему после 15 минут бездействия; немедленно перезапустится, если завершится процесс IEXPLORE - это мера безопасности для предотвращения попыток взлома рабочего стола)
- В ПРОЦЕССЕ: Использование инструмента Surface for Enterprise Management Mode (https://docs.microsoft.com/en-us/surface/surface-enterprise-management-mode) для создания пакета конфигурации, который заблокирует UEFI (защита паролем). UEFI и отключите некоторые встроенные порты, такие как камера и UEFI)
В общем, устройство заблокировано, и внутреннее тестирование проходит успешно. Устройство будет готово к сдаче для тестирования на проникновение в конце этой недели.
Но как мне разрешить техническому специалисту подойти к устройству и обойти все меры безопасности? Я намеренно закрыл все векторы, которые технический специалист мог бы использовать для доступа к устройству (в противном случае он не прошел бы тест пера). Даже RDP в устройство не будет работать, потому что я заменил оболочку Windows на IE в полноэкранном режиме киоска.