Полезное

Ограниченный доступ (режим киоска) в Windows 8

Содержание статьи

Режим киоска Windows 10 (ограничение пользователя использованием только одного приложения).

Вадим Стеркин

Все мы заметили, что современная панель управления с выходом Windows 8.1 обросла множеством новых функций. Одной из наиболее интересных возможностей я считаю ограниченный доступ для учётной записи, он же — режим киоска.

[+] Сегодня в программе

Как работает ограничение доступа

В этом режиме человек сможет работать только с одним современным приложением, без возможности выхода из него или переключения на другое приложение. Использование классических приложений в режиме киоска запрещено, так как они дают пользователю слишком большой уровень свободы и не могут обеспечить необходимый уровень безопасности.

В режиме ограниченного доступа блокируются все сочетания клавиш и жесты, которые могут свернуть и закрыть приложение или получить доступ к настройкам системы.

Чтобы выйти из режима киоска, нужно быстро нажать пять раз левую клавишу Win или аппаратную кнопку Win на планшете.

В каких случаях ограничение доступа может вам пригодиться

Фишка может быть полезна в ряде сценариев:

  • Более жёсткий вариант учётной записи Гостя для работы с одним только браузером. Например, для мамы, которая любит посидеть в Одноклассниках, или гостей, которым может срочно понадобиться глянуть результаты футбольного матча.
  • Учётная запись с развивающим и обучающим приложением для маленького ребёнка.
  • Учётная запись для бабушки с приложением Skype или Погода (чтобы не ждать прогнозов у телевизора 🙂
  • Зацикленное рекламное видео и слайд-шоу на ПК в магазине или на выставке.

Как включить ограниченный доступ

  1. Используйте любую существующую учетную запись с обычными правами или создайте новую (найдите в панели управления учёт). При этом важно понимать, что при добавлении локального аккаунта, не связанного с учётной записью Microsoft, войти в Mагазин не получится. Как следствие, в режиме киоска будут доступны только стандартные приложения.
  2. Выполните один вход с этой учётной записью и, если необходимо, установите желаемые приложения из магазина.
  3. Настройте ограниченный доступ в параметрах ПК – Учётные записиДругие учётные записи.

После этих несложных действий и перезагрузки можно выполнить вход под пользователем и ощутить все прелести ограниченного доступа.

В теории всё выглядит неплохо, но попробовав новую фишку на двух разных компьютерах с Windows 8.1, я получил совершенно разный опыт. Причём ни на одной из машин он не совпал с тем, что задумали разработчики.

На ноутбуке HP у меня отрабатывали горячие клавиши и, в конечном итоге, хотя и не сразу, получилось запустить классический рабочий стол. Стационарный же ПК никак не хотел выходить из режима киоска при пятикратном нажатии клавиши Win. Пришлось даже воспользоваться чудо-кнопкой… Reset 🙂 . Эти проблемы исчезли после обновления BIOS.

Кроме того, отсутствует возможность контроля над выходом из режима киоска (например, путём ввода пароля административной учётной записи), в чем могут быть заинтересованы администраторы организаций.

Вадим. У меня тоже не сразу заработали пятикратные нажатия для выхода из киоска, но потом я поймал правильный интервал. Вообще, если упорно жать Win, рано или поздно выйдешь (больше все равно ничего не сделать, на то и расчет 🙂 Однако у этой фишки был другой очень интересный поворот!

Как и Денис, я тоже первым делом я ограничил учетную запись работой с Internet Explorer, и стал смотреть, можно ли открывать папки и запускать исполняемые файлы. Кстати, вы знаете, как это проверить?

Оказалось, что можно запускать что угодно, но взаимодействие все равно ограничено одной программой (окно браузера моментально возвращается на передний план). В поисках более подробной информации я зашел в блог инженеров поддержки Microsoft, опубликовавших подробный рассказ об ограничении доступа (EN). Там я с удивлением прочел о том, что из режима киоска по соображениям безопасности исключены три современных приложения – параметры ПК, Магазин и… Internet Explorer! 🙂

В ответ на мой вопрос инженер подтвердил, что не должно быть возможности назначить IE для режима киоска. Пришлось публиковать в комментариях видеозапись, после чего ему удалось воспроизвести это и у себя, хотя не с первой попытки.

Upd. 17-Dec-2013. Спустя какое-то время поступило разъяснение. Первоначальная информация в блоге Ask PFE была неверной, и IE все-таки можно запускать. Однако он может отсутствовать в списке приложений, если пользователь, для которого настраивается ограниченный доступ, в данный момент находится в системе.

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Метки: безопасность, фишки Информация в статье применима к Windows 8.1 и новее

Об авторе

Автором этой записи является гость — читатель блога, приславший свою статью для публикации здесь.

Хотите опубликовать свой материал? Напишите мне!

Вас также может заинтересовать:

Подпишитесь на бесплатные уведомления о новых записях и получите в подарок мою книгу об ускорении загрузки Windows!

комментария 3

Доброго времени суток.

Я тут ковыряю систему киоска и столкнулся с проблемой: мне нужно чтобы пользователь в качестве одного из приложений запускал заранее сконфигурированный RDP-файл, но система разрешает добавлять только приложения из магазина. Я не создавал учётку Microsoft, поэтому магазин с приложением «удалённый рабочий стол» мне недоступен.

Есть ли какой нибудь хитрый метод обойти этот запрет? Или добавть RDP в качестве приложения в список. Спасибо.

Здесь что есть, то и есть. Ищите другие пути.

Другой путь — тонкие клиенты. Но постоянно рассматриваю новинки в ОС на вариант сделать некоторые опции «из коробки».

Режим киоска Windows 10

В Windows 10 (впрочем, это было и в 8.1) присутствует возможность включить «Режим киоска» для учетной записи пользователя, представляющий собой ограничение использования компьютера этим пользователем только одним приложением. Функция работает только в Windows 10 редакций профессиональная, корпоративная и для образовательных учреждений.

Если из вышесказанного не совсем ясно, что такое режим киоска, то вспомните банкомат или терминал оплаты — большинство из них работает на Windows, но доступ вы имеете только к одной программе — той, которую видите на экране. В указанном случае это реализовано иначе и, вероятнее всего, работает на XP, но суть ограниченного доступа в Windows 10 та же самая.

Примечание: в Windows 10 Pro режим киоска может работать только для приложений UWP (предустановленных и приложений из магазина), в версиях Enterprise и Education — и для обычных программ. Если же вам требуется ограничить использование компьютера не только одним приложением, тут могут помочь инструкции Родительский контроль Windows 10, Учетная запись Гость в Windows 10.

Как настроить режим киоска Windows 10

В Windows 10 начиная с версии 1809 October 2018 Update включение режима киоска незначительно изменилось по сравнению с предыдущими версиями ОС (для предыдущих шаги описаны в следующем разделе инструкции).

Для настройки режима киоска в новой версии ОС выполните следующие шаги:

  1. Зайдите в Параметры (клавиши Win+I) — Учетные записи — Семья и другие пользователи и в разделе «Настроить киоск» нажмите по пункту «Ограниченный доступ».
  2. В следующем окне нажмите «Начало работы».
  3. Укажите имя новой локальной учетной записи или выберите имеющуюся (только локальная, не учетная запись Майкрософт).
  4. Укажите приложение, которое можно будет использовать в этой учетной записи. Именно оно будет запускаться на весь экран при входе под этим пользователем, все остальные приложения будут недоступны.
  5. В некоторых случаях дополнительные шаги не требуются, а для некоторых приложений доступен дополнительный выбор. Например, в Microsoft Edge можно включить открытие только одного сайта.

На этом настройки будут завершены, а при входе в созданную учетную запись с включенным режимом киоска будет доступно лишь одно выбранное приложение. Это приложение при необходимости можно поменять в том же разделе параметров Windows 10.

Также в дополнительных параметрах вы можете включить автоматический перезапуск компьютера при сбоях вместо отображения информации об ошибках.

Включение режима киоска в ранних версиях Windows 10

Для того, чтобы включить режим киоска в Windows 10, создайте нового локального пользователя, для которого будет установлено ограничение (подробнее на тему: Как создать пользователя Windows 10).

Проще всего это сделать в Параметры (клавиши Win+I) — Учетные записи — Семья и другие люди — Добавить пользователя этого компьютера.

При этом, в процессе создания нового пользователя:

  1. При запросе электронной почты нажмите «У меня нет данных для входа этого человека».
  2. На следующем экране, внизу, выберите «Добавить пользователя без учетной записи Майкрософт».
  3. Далее введите имя пользователя и, если нужно, пароль и подсказку (хотя для ограниченной учетной записи режима киоска пароль можно и не вводить).

После того, как учетная запись будет создана, вернувшись в параметры учетных записей Windows 10, в разделе «Семья и другие люди», нажмите «Настройка ограниченного доступа».

Теперь, всё что останется сделать — это указать учетную запись пользователя, для которой будет включен режим киоска и выбрать приложение, которое будет автоматически запускаться (и которым будет ограничен доступ).

После указания этих пунктов можно закрыть окно параметров — ограниченный доступ настроен и готов к использованию.

Если зайти в Windows 10 под новой учетной записью, сразу после входа (при первом входе некоторое время будет происходить настройка) на весь экран откроется выбранное приложение, а получить доступ к другим компонентам системы не получится.

Для того, чтобы выйти из учетной записи пользователя с ограниченным доступом, нажмите клавиши Ctrl+Alt+Del, чтобы перейти к экрану блокировки и выбрать другого пользователя компьютера.

Не знаю точно, зачем режим киоска может пригодиться рядовому пользователю (дать бабушке доступ только к пасьянсу?), но может оказаться, что кому-то из читателей функция окажется полезной (поделитесь?). Еще интересное на тему ограничений: Как ограничить время использования компьютера в Windows 10 (без родительского контроля).

Как настроить?

Всё о Интернете, сетях, компьютерах, Windows, iOS и Android

Режим киоска Windows 10 — ограниченный доступ к компьютеру

Современная операционная система Windows 10 предоставляет пользователям огромное количество функций и возможностей, которые делают её универсальной и позволяют решать практически любые задачи. В том числе и весьма специфические.
Одна из весьма интересных функций Windows 10 — режим киоска. Что это такое? Это такой режим работы, при котором пользователю даётся доступ только к одному приложению. Ничего более ему доступно не будет.
Это весьма интересная функция, использовать которую можно как в домашних условиях, так и в коммерческих фирмах и на предприятиях. Сразу оговорюсь: настроить ограниченный доступ к компьютеру в таком виде можно только в нескольких редакциях Windows10 — профессиональная Pro, корпоративная Enterprise и Education для образовательных учреждений.
Давайте подробнее разберёмся зачем он нужен и когда его надо применять!

Зачем нужен Режим Киоска в Виндовс?!

Если компьютер или ноутбук приходится с кем то делить — это всегда плохо. В первую очередь потому, что один пользователь может сделать что-то такое, что может навредить другим. У меня, например, таким пользователем является племянник, который садится поиграть в игры, а в результате после этого я частенько не могу найти нужные файлы на рабочем столе.
Другим ярким примером может служить, например, торговый терминал в магазине. Пользователю должно быть доступно только одно приложение в полноэкранном режиме и ничего иного кроме этого.
Единственная оговорка — режим киоска Windows 10 работает только с плиточными приложениями приложения из магазина. С традиционными настольными приложениями он работать не умеет!

Как включить Режим Киоска?!

Для активации режима ограниченного доступа к компьютеру в Windows 10 надо сначала открыть меню параметров:

Открываем раздел «Учетные записи». В меню слева ищем подраздел «Семья и другие люди»:

Здесь надо будет сначала создать учётную запись под которой будет запускаться режим киоска.

В открывшемся окне Вам будет предложено ввести адрес электронной почты пользователя, имеющего учётную запись Майкрософт или его телефон. Мы же кликаем на ссылку «У меня нет данных для входа этого человека». Нажимаем на кнопку «Далее».

В следующем окне кликаем на ссылку «Добавить пользователя без учетной записи Майкрософт».

Теперь нам предстоит создать локальную учетную запись:

Вводим имя пользователя и пароль. Переходим далее и выходим обратно в раздел «Семья и другие люди». Теперь тут будет созданная учётка:

Под ней кликаем на ссылку «настройка ограниченного доступа» и попадаем вот в такое диалоговое окно:

Сначала выбираем учетную запись, под которой будет проводится запуск режима киоска Виндовс 10.

Дальше надо выбрать программу, которая будет запускаться в полноэкранном режиме при входе пользователя в киоск:

Как я уже говорил, выбрать можно только так называемые «плиточные» приложения, которые работают в начальном экране Windows 10. Они будут отображаться в отдельном списке.

После этого можно закрывать окно параметров системы и пробовать зайти в Windows 10 с ограниченными возможностями режима киоска. Мне от точно пригодится для того, чтобы защититься от проделок племянника. Я поставлю в запуск солитёра или иную из доступных игр и пусть играет. Но теперь он не сможет удалить ничего лишнего и я буду спокоен!

Кстати, просто так выйти из режима киоска не получится. Чтобы это сделать, надо будет нажать комбинацию клавиш Ctrl+Alt+Del и уже через экран блокировки выйти из ограниченного режима работы Виндовс и выбрать другого пользователя.

Режим киоска терминала Windows 10 — ограниченный доступ к компьютеру kiosk mode

Осеннее накопительное обновление October 2018 Update для Windows 10 Версия 1809 пополнило штат системы новыми возможностями, в числе которых — появившийся в параметрах учётных записей режим киоска.

Видео v > https://technet.microsoft.com/ru-ru/library/mt219051(v=vs.85).aspx
https://blogs.technet.microsoft.com/askpfeplat/2013/10/27/how-to-setup-assigned-access-in-windows-8-1-kiosk-mode/

Режим киоска – это ранее существовавшая в системе настройка ограниченного доступа для отдельных *ЛОКАЛЬНЫХ учётных записей в виде возможности запуска всего лишь одного приложения из числа UWP. Универсальная платформа Windows (англ. Universal Windows Platform)
Идея существования пользовательской учётной записи, ограниченной запуском только одного приложения. Публичный компьютер
Пользователю должно быть доступно только одно приложение в полноэкранном режиме и ничего иного кроме этого.
Единственная оговорка — режим киоска Windows 10 работает только с плиточными приложениями приложения из магазина. С традиционными настольными приложениями он работать не умеет!

Режим киоска, как и ранняя его реализация в виде настройки ограниченного доступа для отдельных учётных записей, недоступна в Windows 10 Home Домашняя. Доступна только в редакциях, начиная с Pro редакций профессиональная, корпоративная и для образовательных учреждений..

1)Настраивается киоск в Параметры Windows (клавиши Win+I) параметрах учётных записей семьи и других пользователей. Здесь добавился новый пункт «Настроить киоск». Кликаем этот пункт. (В открывшемся окне Вам будет предложено ввести адрес электронной почты пользователя, имеющего учётную запись Майкрософт или его телефон. Мы же кликаем на ссылку «У меня нет данных для входа этого человека». Нажимаем на кнопку «Далее».)

2)И для создания киоска жмём «Начало работы»

3)Вводим имя, это может быть имя пользователя, который будет работать в рамках ограниченной учётной записи. Жмём «Далее».
(В следующем окне кликаем на ссылку «Добавить пользователя без учетной записи Майкрософт».)


4)Теперь выбираем приложение из числа UWP, включая Microsoft Edge . Приложения можно скачать в Microsoft Store Магазин

5)На примере браузера интернет обозревателя Microsoft Edge есть выбор Как будет использоваться этот терминал ?

5.1)Как цифровой знак или интерактивный дисплей — только одни URL адрес к примеру http://5house.win и его отображение по типу веб-приложения на весь экран F11 полноэкранный режим;
5.2)Как общедоступный браузер
Microsoft Edge будет иметь ограниченный набор функций можно вводить любой URL адрес сайта


6)Готово выход из режима киоска осуществляется клавишами Ctrl+Alt+Del.

7)Для удаления киоска в его настройках кликаем имя пользователя и жмём «Удалить киоск».

8)Если вы хотите установить эти настройки на нескольких компьютерах или просто любите Windows Powershell, эту конфигурацию также можно выполнить с помощью
If you want to set this up on multiple machines or simply love Windows Powershell, this configuration can also be scripted using Set-AssignedAccess
A typical command would be
ps

9)Установим пароль на bios uefi , и отключи загрузку с внешних устройств usb/cd/dvd/fdd

10)gpedit.msc Отключите съемные носители.
Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоныСистемаУстановка устройствОграничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.

11)Браузер Google Chrome режим информационного киоска:

1. Создаем ярлык на браузер (у меня по умолчанию установлен тут: «C:Program Files (x86)GoogleChromeApplicationchrome.exe») и указываем после кавычек ключ и ссылку на наш сайт в виде —kiosk .
В полном варианте я получаю: «C:Program Files (x86)GoogleChromeApplicationchrome.exe» —kiosk http://5house.win
2. Добавляем созданный ярлык в автозагрузку. https://support.google.com/chrome/a/answer/6137028?hl=ru

12)Если компьютер в домене то используя GPO Управление групповой политикой (команда gpedit.msc)

настройка «интерактивный вход в систему» разрешим вход только пользователям входящих в доменную глобал группу (Ограничение входа на рабочую станцию в домене)
12.1)Доменная политика назначается на конкретный OU или используя фильтр по имени компьютера
Конфигурация компьютера Политики Конфигурация Windows Параметры безопасности Локальные политики Назначение прав пользователя.
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment.
Локальный вход в систему
Разрешение на вход в систему через службу удаленных рабочих столов
Добавляем доменную группу AllowInteractiveLogon с Администратором и пользователями или доменного пользователя User1 , другие группы удаляем.
12.2)Локальная gpedit.msc политика на самом компьютере в домене позволяет использовать доменные и локальные учетные записи и группы.
обновляем политику cmd
gupdate /force /boot /boot

13)Дополнительно на сетевом оборудовании Cisco можно привязать MAC МАК адрес компьютера

Cisco Port Security — это функция канального уровня, которая создана для предотвращения несанкционированной смены MAC адреса сетевого подключения. Также, данная функция ограждает коммутатор от атак, которые могут быть направлены на переполнение таблицы MAC адресов.
С помощью Port Security можно ограничить (на канальном уровне) количество подключений (MAC адресов) на интерфейсе, а так же, при необходимости, ввести безопасные MAC адреса вручную (статические MAC адреса).
Пример настройки Port Security на интерфейсе коммутатора cisco:

Пример распространенное подключение устройств в больших организациях. Как правило к порту подключаются два устройства: IP телефон и компьютер пользователя. Пример конфига интерфейса коммутатора с использованием Port Security:

На выше приведенном конфиге видно, что 10 влан настроен для компьютеров, 2 влан используется для IP телефонии. Далее, по фукнциям Port Security:
— «switchport port-security» означает, что мы включили Port Security на данном интерфейсе;
— «switchport port-security maximum 2» говорит о том, что только 2 MAC адреса, могут «светиться» на интерфейсе одновременно (MAC адрес телефона и компьютера);
— «switchport port-security violation restrict» указывает режим реагирование на нарушение. Таким образом, если на данном интерфейсе одновременно «засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
Немного расскажу о режимах реагирования на нарушение безопасности. Существует три способа реагирование на нарушение безопасности:

Команду «switchport port-security violation restrict» я описал выше.
Вторая команда — «switchport port-security violation shutdown» при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но как мне кажется, «switchport port-security violation restrict» является оптимальной для большинства случаев.
Идем дальше. Если необходимо, то можно статически ввести MAC адреса, тогда конфиг будет иметь вид:

Поделиться в социальных сетях

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Close
Adblock
detector