Я использую киоск на планшетах Surface Pro 4, который заблокирован для общего пользования, но я не нашел надежного способа, позволяющего техническим специалистам получить доступ к устройству для устранения неполадок и технического обслуживания.

Предположения:

  • Планшеты работают под управлением Win10 Enterprise версии 1703 и IE 11 (не Edge)
  • Киоск запускает браузерное приложение
  • К устройству не подключена физическая клавиатура (поэтому используйте экранную клавиатуру)
  • USB порты будут отключены
  • Устройство будет на Ethernet (Wi-Fi отключен)

Текущее состояние:

  • Реализованы групповые политики для автозапуска устройства и замены оболочки EXPLORER на Internet Explorer, работающий в режиме киоска (ключ -K). ПРИМЕЧАНИЕ: не используя Assigned Access, я где-то читал, что это предназначено для приложений Metro, поэтому вместо него используется Classic Shell Launcher

  • Реализованы групповые политики для блокировки настроек ОС (таких как отсутствие доступа к локальной файловой системе и панели управления; отключение жестов, щелчков правой кнопкой мыши, комбинаций горячих клавиш и т.д.)

  • Написал скрипт для управления сеансом киоска (принудительно выйдет из системы и автоматически войдет в систему после 15 минут бездействия; немедленно перезапустится, если завершится процесс IEXPLORE - это мера безопасности для предотвращения попыток взлома рабочего стола)
  • В ПРОЦЕССЕ: Использование инструмента Surface for Enterprise Management Mode (https://docs.microsoft.com/en-us/surface/surface-enterprise-management-mode) для создания пакета конфигурации, который заблокирует UEFI (защита паролем). UEFI и отключите некоторые встроенные порты, такие как камера и UEFI)

В общем, устройство заблокировано, и внутреннее тестирование проходит успешно. Устройство будет готово к сдаче для тестирования на проникновение в конце этой недели.

Но как мне разрешить техническому специалисту подойти к устройству и обойти все меры безопасности? Я намеренно закрыл все векторы, которые технический специалист мог бы использовать для доступа к устройству (в противном случае он не прошел бы тест пера). Даже RDP в устройство не будет работать, потому что я заменил оболочку Windows на IE в полноэкранном режиме киоска.

0