Bloqueia o Quiosque Win10, mas permite o acesso de técnicos de TI?

Navegue suas respostas
0

Estou implementando um quiosque em tablets Surface Pro 4 que está bloqueado para consumo público, mas ainda não descobri um método robusto para permitir que os técnicos acessem o dispositivo para solução de problemas e manutenção.

Suposições:

  • Os tablets estão executando a versão 1703 do Win10 Enterprise e o IE 11 (não o Edge)
  • O quiosque inicia o aplicativo baseado em navegador
  • Nenhum teclado físico conectado ao dispositivo (portanto, use o teclado na tela)
  • As portas USB serão desativadas
  • O dispositivo estará na Ethernet (o Wi-Fi está desativado)

Estado atual:

  • Implementou políticas de grupo para o dispositivo de logon automático e substitui o shell do EXPLORER pelo Internet Explorer em execução no modo de quiosque (comutador -K). NOTA: não usando Acesso Atribuído, eu li em algum lugar isso é destinado a aplicativos Metro, então usando o Classic Shell Launcher em vez

  • Políticas de grupo implementadas para bloquear configurações do sistema operacional (como nenhum acesso ao sistema de arquivos local e Painel de controle; desativar gestos de deslize, clique com o botão direito, combinações de teclas de atalho etc.)

  • Escreveu script para gerenciar sessão de quiosque (forçará logoff e login automático após 15 minutos de inatividade; será reiniciado imediatamente se o processo IEXPLORE for encerrado - essa é uma medida de segurança para impedir tentativas de invadir a área de trabalho)
  • EM PROGRESSO: usando a ferramenta Surface for Enterprise Management Mode ( link ) para construir um pacote de configuração que bloqueará o UEFI (proteja com senha o UEFI e desative algumas portas integradas, como a câmera e o UEFI)

Portanto, tudo em tudo, o dispositivo está bloqueado e os testes internos estão indo bem. O dispositivo estará pronto para ser testado em penetração no final desta semana.

Mas como eu permito que uma tecnologia caminhe até um dispositivo e ignore todos os controles de segurança? Eu propositalmente fechei todos os vetores que um técnico pode usar para acessar o dispositivo (caso contrário, ele falharia no teste da caneta). Mesmo o RDP no dispositivo não funcionará porque eu substituí o shell do Windows com o IE no modo de quiosque de tela inteira.

    
por Roland 23.05.2018 / 12:41

0 respostas

Tags

Lista de destinatários copiados e colados de um e-mail existente no Outlook possui endereços de contatos desconhecidos entre aspas simples Criando um campo bloqueado gerado automaticamente no Delphi