我正在 Surface Pro 4 平板电脑上实施一个供公众使用的信息亭,但我还没有找到一种强大的方法让技术人员访问该设备进行故障排除和维护。
假设:
- 平板电脑运行的是 Win10 Enterprise 版本 1703 和 IE 11(不是 Edge)
- Kiosk 推出基于浏览器的应用程序
- 设备未连接物理键盘(因此请使用屏幕键盘)
- USB 端口将被禁用
- 设备将连接到以太网(WiFi 已禁用)
当前状态:
实施组策略以自动登录设备,并使用在信息亭模式下运行的 Internet Explorer(-K 开关)替换 EXPLORER shell。注意:不使用分配的访问权限,我读到某处这适用于 Metro 应用程序,因此改用 Classic Shell Launcher
实施组策略来锁定操作系统设置(例如无法访问本地文件系统和控制面板;禁用滑动手势、右键单击、热键组合等)
- 编写脚本来管理信息亭会话(将在 15 分钟不活动后强制注销并自动登录;如果 IEXPLORE 进程终止,将立即重新启动 - 这是一种阻止试图闯入桌面的安全措施)
- 正在进行:使用 Surface 进行企业管理模式工具 (https://docs.microsoft.com/en-us/surface/surface-enterprise-management-mode)构建一个将锁定 UEFI 的配置包(密码保护 UEFI 并禁用一些板载端口,如摄像头和 UEFI)
总而言之,设备已锁定,内部测试进展顺利。本周晚些时候,该设备将准备好进行渗透测试。
但是我如何允许技术人员走到设备前并绕过所有安全控制?我故意关闭了技术人员可能用来访问设备的任何载体(否则它将无法通过渗透测试)。甚至无法通过 RDP 进入设备,因为我已将 Windows shell 替换为全屏信息亭模式下的 IE。