Предисловие
Наверно Вы видели банкоматы, информационные киоски, рекламные панели, на которых отображается ошибка или уведомление системы. Если Вы не видели подобные общественные устройства «живьем», то Вы легко сможете найти подобные фотографии в интернете если поищете картинки по словам «банкомат ошибка windows». А однажды уведомление системы появилось в прямом эфире во время прогноза погоды, фото можно найти по словам «уведомление windows в прямом эфире». Ради интереса еще можете поискать «самый большой синий экран».
О чем же все это говорит?
— Вы любите кошек?
— Нет
— Вы просто не умеете их готовить!
Для специализированных устройств Майкрософт предлагает использовать Windows 10 IoT Enterprise, которая отличается от Windows 10 Enterprise только отсутствием универсальных приложений. Соответственно, с технической точки зрения Win 10 IoT Enterprise является настольной операционной системой, которая подразумевает взаимодействие с пользователем. Но на специализированных устройствах взаимодействия с пользователем не должно быть т.к. порой даже нет пользователя в привычном его понимании, особенно это касается рекламных панелей.
При подготовке специализированного устройства некоторые технические специалисты забывают о вышеуказанном нюансе совсем или забывают отключить какую-либо категорию уведомлений. Данная статья написана чтобы напомнить о некоторых особенностях настройки Windows для специализированных решений. В данной статье мы рассмотрим подготовку решения для одной бизнес-задачи.
Все настройки будут описаны для Win 10 IoT Enterprise 2016 LTSB, демо-версию которой можно скачать здесь.
Какую бизнес-задачу решаем?
Как-то раз я приехал в пункт самовывоза одного онлайн магазина. В данном магазине продавцы только выдавали товар или давали его посмотреть, а заказ нужно было оформлять только на сайте магазина. Чтобы можно было оформить заказ прямо в пункте самовывоза, в зале самовывоза было установлено множество ПК. Сами ПК были спрятаны, был только монитор и мышка, на экране была открыта специализированная база магазина, в которой можно было найти товар и оформить заказ и экранная клавиатура.
Рассмотрим подготовку аналогичного решения, которое будет предназначено для навигации по сайту www.quarta-embedded.ru. Предполагаемые условия использования – без источника бесперебойного питания и с минимальным техническим обслуживанием.
Подготовка решения
Шаг 1 – подготовка устройства
В качестве устройства был взят обычный ПК, с жестким диском 120 ГБ, оперативной памятью 4 ГБ. Режим загрузки ОС – Legacy.
Т.к. у нас устройство будет использоваться без источника бесперебойного питания нужно обязательно предусмотреть внеплановое отключение питания. Т.е. устройство должно само включаться при появлении питания, для этого необходимо соответствующим образом настроить BIOS устройства. Необходимые пункты в BIOS’е можно найти по интуитивно-понятным названиям, у меня это «Advanced > Power-On Options > After Power Loss», выставляем «On». Но если Вы хотите, чтобы при включении устройство оставалось выключенным, когда его выключили намеренно, то установите «Previous State».
Шаг 2 – установка Win 10 IoT
Установка Win 10 IoT Enterprise ничем не отличается от установки Win 10 Enterprise, поэтому не вижу особого смысла описывать установку. Я буду устанавливать «Win 10 IoT Enterprise 2016 LTSB x32» без подключения к интернету, чтобы в систему не «прилетело» ничего лишнего. При первой загрузке создал пользователя Admin.
Шаг 3 – сохранение образа системы
Что, не ждали такого поворота? Только установили систему и сразу сохраняем образ. При подготовке решения желательно периодически сохранять образ системы на тот случай если вдруг что-то пойдет не так. Тогда не нужно будет делать настройку системы сначала.
Когда мы говорим о создании образа мы затрагиваем вопрос тиражирования, но он настолько широкий, что ему можно посвятить отдельную статью и не одну, поэтому в данной статье я не буду подробно описывать данный вопрос.
Для создания технологического (промежуточного) образа я запечатаю систему командой
%SYSTEMROOT%\System32\Sysprep\sysprep.exe /audit /generalize /shutdown /quiet
и создам wim образ системного тома с помощью утилиты DISM.
Важно — если Вы пойдете тем же путем, то после разворачивания такого образа не забудьте скопировать содержимое каталога «Windows\System32\Recovery» на первый том в папку «Recovery\WindowsRE». И сделать это нужно до загрузки ОС т.к. после загрузки ОС каталог «Windows\System32\Recovery» уже будет пустым. У меня это реализовано следующим образом:
if exist W:\Windows\System32\Recovery\*.* (
xcopy W:\Windows\System32\Recovery\*.* S:\Recovery\WindowsRE\ /h /k /y
attrib +s +h +i S:\Recovery
attrib +s +h +i S:\Recovery\*.* /s /d
)
Обратите внимание, что после запечатывания система будет автоматически входить во встроенную учетную запись администратора. И теперь автоматически будет запускаться sysprep. Чтобы это окно мне не мешало, я добавил в shell:startup скрипт с одной единственной командой
taskkill /im sysprep.exeЧтобы не забыть удалить скрипт, я сразу сделаю скрипт для запечатывания, в котором будет прописана команда для очистки автозапуска.
del "%systemdrive%\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*" /q
Мне ведь все равно нужно будет запечатывать систему в oobe режиме.
Все технологические файлы я буду размещать в папке C:\Sysprep
Шаг 4 – установка драйверов
Как ни странно, но некоторые жалуются, что после установки Win 10 «драйверы не установились сами». Спешу Вас огорчить, само ничего не бывает, драйверы необходимо устанавливать. В системе идет некий набор стандартных драйверов, но вряд ли со стандартным набором драйверов можно будет использовать все возможности оборудования. Лучше всего если Вы сами установите наиболее подходящие драйверы для Вашего устройства. Windows может автоматически загружать драйверы из специального хранилища Майкрософта и устанавливать их, но не обязательно что там будут все необходимые драйверы или что это будут подходящие драйверы. Драйвер, который система установит автоматически может привести к сбою системы. Что же делать если Вы оказались в ситуации, когда нужно предотвратить такую автоматическую установку драйвера? Есть 2 варианта:
1. Отключить службу обновления
net stop wuauserv – команда остановки службы
sc config wuauserv start=disabled – изменить режим запуска службы на «Отключено»
Но в таком случае система не будет получать какие-либо обновления вообще
2. Отключить установку конкретного драйвера в групповых политиках
Для этого нужно:
Открыть редактор групповых политик командой gpedit
Перейти в раздел «Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств». Англоязычный вариант ветки «Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions»
В данном разделе Вы сможете запретить установку драйвера по конкретному классу или ID оборудования. Для предотвращения установки других драйверов НЕ нужно устанавливать флажок «Также применить для соответствующих устройств, которые уже были установлены» «Also apply to matching devices that are already installed», иначе Вы сделаете использование устройства невозможным.
Т.к. у меня экспериментальное решение и драйверы особого значения не имеют, я не буду целенаправленно устанавливать драйверы. После подключения к интернету система нашла драйвер на некоторые устройства.
Шаг 5 – русификация системы
Думаю, что это действие весьма простое и его не нужно подробно описывать. Скажу, что для корректного отображения кириллицы я указал русский язык для программ, которые не поддерживают Юникод. Указал расположение, хотя в моем случае это не нужно. И попутно можно изменить часовой пояс т.к. по умолчанию UTC -8. Установил русскоязычный языковой пакет, когда я устанавливал языковой пакет через интернет, мне показалось это долгим, поэтому я установил его с помощью предварительно скачанного пакета «Microsoft-Windows-Client-Language-Pack_x86_ru-ru.cab», установил командой
DISM /Online /Add-Package /PackagePath:"%~dp0Microsoft-Windows-Client-Language-Pack_x%PROCESSOR_ARCHITECTURE:~-2%_ru-ru.cab"
После установки переключил основной язык системы на русский и включил опцию копирования языковых параметров для экрана приветствия и новых учетных записей.
Вот и все, русский язык добавлен, пожалуй, можно сохранить образ системы…
Шаг 6 – настройка питания
Наше устройство не должно засыпать и отключать монитор, поэтому нужно настроить питание соответствующим образом. Питание можно настроить с помощью скрипта:
powercfg -change -monitor-timeout-ac 0
powercfg -change -monitor-timeout-dc 0
powercfg -change -disk-timeout-ac 0
powercfg -change -disk-timeout-dc 0
powercfg -change -standby-timeout-ac 0
powercfg -change -standby-timeout-dc 0
powercfg -change -hibernate-timeout-ac 0
powercfg -change -hibernate-timeout-dc 0
pause
Шаг 7 – отключение аварийного режима загрузки
Важный момент – если у нашего устройства будет 2-3 раза подряд некорректное завершение работы, то система загрузится в режим восстановления, а этого допускать нельзя. Поэтому отключаем этот режим загрузки. Это можно сделать с помощью команды
bcdedit /set {current} bootstatuspolicy IgnoreAllFailures
Обратите внимание, что данная настройка прописывается в bcd хранилище, которое находится на разделе восстановления. Я не сохраняю раздел восстановления при сохранении образа системы, следовательно после разворачивания системы данная настройка будет в исходном состоянии т.к. будет новое bcd хранилище. Чтобы не забыть про данную настройку я добавлю ее в скрипт запечатывания в oobe режиме.
Шаг 8 – отключение сообщений об ошибках и всплывающих уведомлений
Чтобы система не выдавала сообщения об ошибках, запрос об отправке отчетов об ошибках, сообщения о проблемах с оборудованием, все это нужно отключить. Службу политики диагностики можно настроить в групповых политиках:
Конфигурация компьютера\Административные шаблоны\Система\Диагностика
Диагностика: настройка уровня выполнения сценария — Включить «Только обнаружение и диагностика»
Но мне проще все настроить с помощью одного reg файла.
Windows Registry Editor Version 5.00
;Подавление отображения ошибок системы
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
;"ErrorMode"=dword:00000000 ;Отображаются все сообщения
;"ErrorMode"=dword:00000001 ;Подавлять только сообщения об ошибках системы. Например, о нехватке виртуальной памяти
"ErrorMode"=dword:00000002 ;Подавлять все сообщения об ошибках. Например, об отсутствии dll
;Отключение отправки отчетов об ошибках
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting]
;"Disabled"=dword:00000000 ;Отправка отчетов включена
"Disabled"=dword:00000001 ;Отправка отчетов отключена
;Настройка уровня выполнения сценария службы политики диагностики
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WDI]
;"ScenarioExecutionEnabled"=dword:00000000 ;Выключить возможность изменения уровня выполнения сценария
"ScenarioExecutionEnabled"=dword:00000001 ;Включить возможность изменения уровня выполнения сценария
"EnabledScenarioExecutionLevel"=dword:00000001 ;Только обнаружение и диагностика
;"EnabledScenarioExecutionLevel"=dword:00000002 ;Обнаружение, диагностика и решение проблем
Всплывающие уведомления можно настроить в групповых политиках «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач\Уведомления». Но мне проще включить режим «Не беспокоить», его можно включить в графическом интерфейсе, в центре уведомлений и в реестре. Т.к. эта настройка относится к конкретному пользователю, то и выполнять его нужно под целевым пользователем. Поэтому создаем пользователя, под которым и будет выполняться приложение для общественного использования. Пока этот пользователь будет в группе администраторы, для удобства настройки. Чтобы не было проблем с названием группы русская/английская, то получу название группы по SID’у.
net user User /add
wmic useraccount where "Name='User'" set PasswordExpires=False
for /f "tokens=2 delims==" %%i in ('wmic group where "SID='S-1-5-32-544'" get Name /value^|find "Name"') do set GroupName=%%i
net localgroup %GroupName% User /add
pause
И включаем режим не беспокоить.
Windows Registry Editor Version 5.00
;Включить режим "Не беспокоить"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings]
"NOC_GLOBAL_SETTING_TOASTS_ENABLED"=dword:00000000 ;Режим включен
;"NOC_GLOBAL_SETTING_TOASTS_ENABLED"=dword:00000001 ;Режим отключен
Чтобы не забыть исключить пользователя из группы администраторы, добавлю команду на исключение в скрипт запечатывания.
for /f "tokens=2 delims==" %%i in ('wmic group where "SID='S-1-5-32-544'" get Name /value^|find "Name"') do set GroupName=%%i
net localgroup %GroupName% User /delete
Шаг 9 – настройка обновлений системы
Не помешает установить все актуальные обновления на момент подготовки системы. Настроить обновления Вы можете исходя из специфики работы Вашего устройства. Можно отключить установку всех обновлений или обновлений драйверов, как это сделать мы рассмотрели в шаге 4. А можно отключить установку обновлений системы и оставить обновление драйверов.
Windows Registry Editor Version 5.00
;Отключить установку обновлений. При этом драйверы будут обновляться
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001 ;Установка отключена
;"NoAutoUpdate"=dword:00000000 ;Установка включена
Но также возможна ситуация, когда нужно устанавливать обновления системы, но какое-то конкретное обновление выводит систему из строя. В этой ситуации можно запретить установку конкретного обновления. Это можно сделать с помощью утилиты wushowhide.diagcab, которую можно найти здесь.
В групповых политиках Вы можете найти множество детализированных настроек по установке обновлений. «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows»
Т.к. мне обновления не нужны я их отключу полностью:
net stop wuauserv
sc config wuauserv start=disabled
pause
Здесь я в очередной раз сохраню образ системы.
Шаг 10 – настройка запуска приложения
Навигация по сайту quarta-embedded.ru будет в IE, чтобы убрать доступ к адресной строке и настройкам можно включить полноэкранный режим в групповых политиках. «Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Включение полноэкранного режима». И нужно запретить закрытие IE «Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Меню браузера > Меню «Файл»: отключить закрытие окон браузера и проводника».
Для запуска приложения вместо оболочки системы будем использовать специальное средство запуска приложений – ShellLauncher. С его помощью можно:
1. Назначать запуск конкретного приложения для конкретного пользователя или группы пользователей
2. Контролировать работу запущенного приложения, при закрытии запущенного приложения можно:
- a. Перезапустить приложение
- b. Перезагрузить систему
- c. Выключить систему
- d. Не предпринимать никаких действий
Сначала нужно добавить ShellLauncher как компонент, это можно сделать в графическом интерфейсе «Панель управления > Программы > Включение и отключение компонентов Window», раздел «Блокировка устройства». Настроить запуск программ можно в ветке реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\Shell Launcher». настройка запуска программ производится по SID’ам пользователей, SID’ы можно узнать с помощью утилиты whoami. Для включения ShellLauncher’а нужно просто заменить в реестре запуск стандартной оболочки на запуск ShellLauncher’а. И еще маленький нюанс, ShellLauncher не влияет на размеры и положение окна запущенной программы, а IE хотелось бы запустить развернутым на весь экран. Поэтому настраиваем режим запуска IE, опять же под пользователем User, заодно запрещаем вызов контекстного меню IE, чтобы пользователь ничего не испортил.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"FullScreen"="yes"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserContextMenu"=dword:00000001
Теперь настраиваем ShellLauncher, опять же мне все удобней делать с помощью консоли…
@echo off
chcp 1251
echo Добавляем ShellLouncher в систему
DISM /online /Enable-Feature /all /FeatureName:Client-EmbeddedShellLauncher
echo.
echo Получаем SID пользователя User
for /f "tokens=2 delims==" %%i in ('wmic useraccount where "Name='User'" get SID /value^|find "SID"') do set SID=%%i
echo.
echo Настройка запуска iexplore.exe для пользователя User
reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\Shell Launcher\%SID%" /v Shell /t REG_SZ /d "C:\Program Files\Internet Explorer\iexplore.exe www.quarta-embedded.ru" /f
echo.
echo Настройка действия при закрытии IE
reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\Shell Launcher\%SID%" /v DefaultReturnCodeAction /t REG_DWORD /d 0 /f
echo.
echo Настройка запуска оболочки для группы администраторы
reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\Shell Launcher\S-1-5-32-544" /v Shell /t REG_SZ /d "explorer.exe" /f
echo.
echo Настройка действия при закрытии приложения для группы администраторы
reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\Shell Launcher\S-1-5-32-544" /v DefaultReturnCodeAction /t REG_DWORD /d 3 /f
pause
И, в качестве примера, можно назначить запускаемую оболочку по умолчанию, когда пользователю не назначено никаких приложений.
Windows Registry Editor Version 5.00
;Если приложение по умолчанию не указывать, то будет запущен cmd.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\Shell Launcher]
"Shell"="explorer.exe"
;Нижеуказанный параметр определяет действие при завершении работы приложения
;"DefaultReturnCodeAction"=dword:00000000 ;Перезапуск приложения
;"DefaultReturnCodeAction"=dword:00000001 ;Перезагрузка
;"DefaultReturnCodeAction"=dword:00000002 ;Выключение
"DefaultReturnCodeAction"=dword:00000003 ;Действий не требуется
И включаем Shell Launcher
Windows Registry Editor Version 5.00
;Запустить ShellLouncher вместо стандартной оболочки
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="eShell.exe" ;Включить Shell Launcher
;"Shell"="explorer.exe" ;Выключить Shell Launcher
Шаг 11 – настройка отображения загрузки системы
В предыдущих версиях Windows можно было установить свои логотипы, которые отображались бы при загрузке системы, сейчас есть только две опции вкл. и выкл. Отключить процесс отображения загрузки можно в bcd хранилище, эти команды я выполню сразу и добавлю в скрипт запечатывания.
echo Отключение отображения логотипа Windows при загрузке. Для включения необходимо вместо true необходимо указать false
bcdedit /set {globalsettings} custom:16000067 true
echo Отключение анимации в виде шариков при загрузке Windows. Для включения необходимо указать false
bcdedit /set {globalsettings} nobootuxprogress true
Также можно скрыть процесс входа пользователя в систему.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon]
;"HideAutoLogonUI"=dword:00000000 ;Отображение включено
"HideAutoLogonUI"=dword:00000001 ;Отображение выключено
Теперь включаем автоматический вход пользователя User, это можно сделать с помощью команды netplwiz. Перезагружаемся и смотрим что получилось, отображения хода загрузки ОС нет, отображения входа пользователя в систему нет. Только, непосредственно перед входом в систему на несколько секунд появляется значок Win и анимация в виде шариков, но это потому, что ОС в режиме аудита, после запечатывания в режиме oobe этого не будет. Автоматически запустился IE с адресом www.quarta-embedded.ru, чуть позже появилась вкладка microsoft.com, ну ничего, нужно будет добавить в файл ответов запечатывания команду на изменение настроек в реестре
reg add HKLM\Software\Microsoft\Internet Explorer\Main" /v "DisableFirstRunCustomize" /t REG_DWORD /d 1
Вот здесь я опять сделаю образ системы.
Шаг 12 – установка и удаление ключа Windows
Перед установкой ключа нужно отключить ПК от интернета, чтобы система не активировалась. Можно добавить ключ и сразу же его можно удалить, чтобы никто не смог его вытащить. При этом система все равно сможет активироваться.
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
slmgr /cpky
Шаг 13 – запечатываем систему
Чтобы система не задавала вопросов при первой загрузке после запечатывания в oobe режиме, я использую файл ответов, предварительно подготовленный в утилите «Windows System Image Manager». Запускаю скрипт для запечатывания, ниже содержание скрипта и файла ответов.
Скрипт для запечатывания:
del "%systemdrive%\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*" /q
for /f "tokens=2 delims==" %%i in ('wmic group where "SID='S-1-5-32-544'" get Name /value^|find "Name"') do set GroupName=%%i
net localgroup %GroupName% User /delete
bcdedit /set {current} bootstatuspolicy IgnoreAllFailures
bcdedit /set {globalsettings} custom:16000067 true
bcdedit /set {globalsettings} nobootuxprogress true
pushd "%~dp0"
%SYSTEMROOT%\System32\Sysprep\sysprep.exe /oobe /generalize /shutdown /quiet /unattend:Unattend.xml
Unattend.xml:
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="specialize">
<component name="Microsoft-Windows-Deployment" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<RunSynchronous>
<RunSynchronousCommand wcm:action="add">
<Path>reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\OOBE /v SetupDisplayedProductKey /t REG_DWORD /d 1 /f</Path>
<Order>1</Order>
<Description>Dont show key page</Description>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
<Path>reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\OOBE /v UnattendCreatedUser /t REG_DWORD /d 1 /f</Path>
<Order>2</Order>
<Description>Dont make account</Description>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
<Path>reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "DisableFirstRunCustomize" /t REG_DWORD /d 1 /f</Path>
<Order>3</Order>
<Description>Disable First Run Customize</Description>
</RunSynchronousCommand>
<RunSynchronousCommand wcm:action="add">
<Path>cmd.exe /c rd %systemdrive%\Sysprep /s /q</Path>
<Order>4</Order>
<Description>Del Folder</Description>
</RunSynchronousCommand>
</RunSynchronous>
</component>
<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<AutoLogon>
<Enabled>true</Enabled>
<Username>User</Username>
</AutoLogon>
</component>
</settings>
<settings pass="oobeSystem">
<component name="Microsoft-Windows-International-Core" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<InputLocale>en-US; ru-RU</InputLocale>
<SystemLocale>ru-RU</SystemLocale>
<UILanguage>ru-RU</UILanguage>
<UILanguageFallback></UILanguageFallback>
<UserLocale>ru-RU</UserLocale>
</component>
<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<OOBE>
<HideEULAPage>true</HideEULAPage>
<HideLocalAccountScreen>true</HideLocalAccountScreen>
<HideOEMRegistrationScreen>true</HideOEMRegistrationScreen>
<HideOnlineAccountScreens>true</HideOnlineAccountScreens>
<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
<ProtectYourPC>1</ProtectYourPC>
</OOBE>
</component>
</settings>
<cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend>
Итог
Что же получилось в итоге… Система загрузилась сама без каких-либо вопросов, запустился IE с нужной страничкой. Если учесть, что физического доступа к ПК не будет, а из средств ввода будет доступна только мышка, то вроде ничего сломать нельзя. Заходим в учетную запись администратора и видим, что папка Sysprep удалена. Система готова…
В 2020 году банковская индустрия столкнется с серьезным вызовом: Microsoft перестанет поддерживать Windows 7 и прекратит выпуск обновлений для банкоматов, работающих на данной операционной системе. Следовательно, банкам, заботящимся о безопасности данных, предстоит обновить весь парк банкоматов, установив на них новую операционную систему. Свой взгляд на эту проблему выразил Germanas Kavalskis, Руководитель отдела Корпоративной коммуникаций группы Penki Kontinentai.
В мире насчитывается около 3,5 миллионов банкоматов. Ими ежедневно пользуются миллиарды людей, но только единицы знают, что большинство банкоматов работает на операционной системе Windows. Как бы это парадоксально ни звучало, но до сих пор немало банкоматов, работающих на еще более старой системе — Windows XP, поддержка которой была прекращена еще в 2014 году.
В июне прошлого года Центральный банк Индии опубликовал заявление о том, что все банкоматы в стране должны обновить действующую версию Windows XP на новую до декабря 2019 г. По оценкам экспертов, банкоматы на устаревшей операционной системе занимают около 50% рынка Индии.
Расходы или инвестиции?
Почему банки откладывают процесс обновления? Конечно, причиной этому, прежде всего, являются финансовые затраты, которые можно расценивать как расходы или как инвестиции.
Однозначно, переход на Windows 10 – это долгосрочные инвестиции. И инвестиции не просто в новое программное обеспечение, но и в безопасность сети банкоматов, а значит, и в репутацию финансовых институтов.
Почему стоит перейти на Windows 10?
- Гарантированная безопасность. Последняя версия операционной системы Microsoft Windows 10 соответствует новейшим стандартам безопасности PCI и VISA и обеспечивает защиту от вредоносных программ и угроз, возникающих при подключении посторонних устройств.
- Рекламная функция. Данная платформа в наибольшей степени адаптирована к использованию банкоматов в качестве дополнительных каналов продаж.
- Техническая поддержка. Windows 10 снижает расходы на техническую поддержку банкоматов за счет получения периодических пакетов обновлений программного обеспечения и систем безопасности. Поддержка банкоматов, работающих на устаревших операционных системах, более проблематична и затратна.
- Планирование долгосрочных инвестиций. Microsoft обещает поддержку системы Windows 10 до 2026 года, что позволит финансовым организациям планировать свои расходы на программное обеспечение банкоматов.
Преимущества Windows 10 для банкоматов
В век информационных технологий Windows 10 является не просто операционной системой для банкоматов. Windows 10 — это еще и платформа, на базе которой создается инновационное программное обеспечение, позволяющее банкам лучше понимать своих клиентов.
Согласно опросу 2017 года, 77% представителей финансовой индустрии считают, что к 2020 году значительно возрастет влияние банкоматов как нового дополнительного канала продаж, предоставляющего клиентам персонализированные услуги и индивидуальные решения.
Современные банкоматы становятся многофункциональными устройствами, которые отличаются простым интуитивным управлением и помогают банкам поддерживать обратную связь с клиентами. Например, в соответствии с историей запросов автоматически разрабатывается индивидуальный пакет услуг (долгосрочная аренда автомобиля, кредит или ссуда), который клиент может заказать одним нажатием кнопки.
По оценкам специалистов, переход на Windows 10 может затянуться от 12 до 15 месяцев в зависимости от парка банкоматов. Однако при благовременном планировании этот период может быть значительно сокращен.
Миграция банкоматов на Windows 10 – процесс длительный и непростой. Эксперты финансовой индустрии советуют не откладывать его на последнюю минуту, чтобы не рисковать своей безопасностью и репутацией, которая может быть скомпрометирована использованием устаревшей небезопасной операционной системы.
Windows 10 IoT (от «Internet of Things» – Интернет Вещей) является новым именем линейки Windows Embedded и собрана на новом ядре Windows 10.
В новых редакциях название Embedded присутствовать не будет. Это отражает новую концепцию развития как Embedded-продуктов, так и платформы Windows в целом – направленность на максимальное количество платформ и устройств различного форм-фактора, включая все виды специализированных устройств и компонентов Интернета Вещей.
Использование Windows 10 дает массу преимуществ прежде всего разработчикам, учитывая универсальность разработки приложений и драйверов. К примеру, приложение Universal App, однажды разработанное для Win10 с использованием Visual Studio будет работать на всех устройствах — десктоп, планшет, мобильный телефон, терминал, IoT-устройства, независимо от архитектуры процессора (ARM или x86). Также, анонсированы встроенные возможности по защищенному подключению устройств к облаку и поддержка протокола AllJoin для легкого подключения устройств «Интернета Вещей».
Официально представленные редакции Windows 10 IoT:
Windows 10 IoT Enterprise (доступна с 29.07.2015)
Продолжение линейки Windows Embedded Industry. В полной (не upgrade) версии доступна только у дистрибуторов Windows Embedded. Предназначена для промышленных устройств, таких как: банкоматы, тонкие клиенты, POS-устройства, медицинские системы, системы охраны и видеонаблюдения и прочих специализированных устройств. Обеспечивает все возможности Windows 10 Enterprise, включая возможности по встраиванию, такие как: блокировка устройства для определенного сценария использования, write-фильтры, блокировка всплывающих уведомлений и т.п. Таким образом, вы получаете уникальную платформу для создания ваших решений — с одной стороны, более экономичную чем настольная версия Windows 10 Pro, с другой — обладающую уникальными возможностями по обеспечению беспрецендентной защиты и отказоустойчивости устройства!
Системные требования: 1GB RAM, 16 Gb Storage, x86/x64.
Поддерживает как классические приложения Windows, так и Universal Windows Apps. Подходит для большинства устройств.
Формат обновлений: LTSB (Long Term Servicing Branch), т.е. обновления системы не будут доставляться без разрешения, чтобы не нарушать текущую работу устройств.
Продукт доступен в следующих вариантах поставки (лицензиях):
- Windows 10 IoT Enterprise — максимально полная лицензия без каких-либо ограничений, кроме стандартного запрета использования на универсальных ПК.
- Windows 10 IoT Enterprise Retail or ThinClients — существенно более экономичная лицензия для использования при разработке POS-терминалов, киосков, электронных реклам, информационных табло и тонких клиентов. Аналог POSReady или Industry Retail.
- Windows 10 IoT Enterprise Tablet — экономичная лицензия для использования в планшетах узкого функционала (например для работников магазинов, врачей, курьеров и т.п.) с тач-экранами до 10.1″. Имеются другие ограничения*.
- Windows 10 IoT Enterprise Small Tablet — экономичная лицензия для использования в планшетах узкого функционала либо Handheld-терминалах с тач-экранами от 7″ до 9″. Имеются другие ограничения*.
* имеются ограничения по поддерживаемым CPU и формату. Подробнее спрашивайте у сотрудников Кварта Технологии.
Windows 10 IoT Mobile Enterprise (будет доступна позже)
Линейка продуктов для мобильных промышленных устройств, таких как Handheld-терминалы, мобильные POS-устрйства, промышленные планшеты и т.п. Обладает возможностями блокировки образа, компактностью, меньшими системными требованиями и поддержкой архитектуры ARM.
Системные требования: 512MB RAM, 4 Gb Storage, ARM).
Поддерживает Universal Windows Apps, интегрировнные периферийные устройства и сенсоры.
Windows 10 IoT Core (Доступна бесплатная версия для «энтузиастов». Версия для коммерческого использования будет выпущена в 3-4 квартале 2015 года)
Компактная система для low-cost устройств с поддержкой Universal Windows Apps. предназначена для устройств с одной целевой функцией, не включает Windows Desktop Shell и приложения типа Mail, Photos, People и т.д. Приложения для Windows Compact и CE не поддерживаются, но в ближайшем будущем должен появится инструмент портирования приложений с Windows Embedded Compact на Windows 10 IoT Core.
Системные требования: 256MB RAM, 2 Gb Storage, ARM or x86/x64. Не поддерживает десктоп-приложения Microsoft!
It’s clear that Windows 10 is coming in to the ATMs world but as always Windows Operating system is more designed for desktops than for ATM, so we come up with a list of things that any bank have to take care in any installation of Windows 10, some of the recommendations of this list are generic recommendation that will apply to any Windows 10 O.S. in any hardware vendor and we will live some more personalized recommendation for the end
Observations: This list doesn’t include all security recommendations to properly configure windows 10 for ATMs and some of this recommendations have to be review based in the business requirements and ATM networks needs.
- Disable windows key to avoid any special windows function not controlled or coming from some new patch
https://windowsreport.com/disable-windows-key/
- Disable Windows 10 tips
How to Turn Off Windows 10 Tips Once You’re Done Learning the Basics
- Disable windows 10 aids using F1 keys
How do I disable the F1 “Help” key on Windows 10?
I have a non-UEFI HP laptop running Windows 10. My F keys have a variety of functions on them, and I have to press and hold Fn to access the actual F1-12 functions. My F1 key has a little questio…
snazzybouche
- Disable cortana from windows 10
https://www.howtogeek.com/265027/how-to-disable-cortana-in-windows-10/
- Activation of protection against vulnerabilities in windows 10 and keep all options activated to avoid possible basic exploits of local memory.
- Enable core isolation
- It is important to protect MSXFS.dll from the use or external calls for any malware trying to enter the XFS SPI Services, therefore we strongly recommend that APPlocker is used and protect the use of the MSXFS library from any external not allowed, or not signed by a trusted authority
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview
**This Recommendation does not limit the use of other whitelist software
- We strongly recommend activating applocker and blocking all applications that are not signed by reliable sources, in this way we will add one more layer of security against possible unsigned versions or malware.
- Improve the following GPO policies according to your ATM network needs
Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\Windows Defender Exploit Guard\Attack Surface Reduction
- This Observations are only increasing the storage capacity for security event viewer events therefore we recommend taking into account the other event viewer classifications
- On the other hand, it should be noted that in all facilities they are complying with the event storage policies in the event of any unwanted event, their registration must be kept, for that we recommend the following GPOs
- Check that the autoplay and autorun policies are disabled in any of its local disk or external disk modalities.
- Review the facilities control policies for when the security software is turned off, eye does not apply to all business models as it can file certain operations to support ATM
- Block access to record modification tools in production
- Review user privilege policies according to business security needs
- Review and keep remote console access prohibited through this disabled GPO:
- Disable TO GO functions of Windows 10
- Always enable view file extensions.
By default Windows File Explorer hides known file extensions. This can be used to deceive the operator, therefore, it is recommended that the user can always view the extensions of all files
How do I show file extensions in Windows 10?
Show file name extensions in Windows 10 by following these three easy steps.
- Disable IPv6 if not in use
To decrease attack surfaces and unnecessary network traffic, it is recommended to disable the IP protocol version 6. Microsoft does not recommend disabling support for IPv6 in the operating system, being a better alternative to disable it at the specific network interface level.
- Disable unnecessary functions
For example for ATMs there is not need of use of powershell , telnet or Windows Subsystem for linux , but please check with your ATM security department
Making sense of all those ‘optional features’ in Windows 10
In this guide, we explain some of the “optional features” in Windows 10 and show you how to turn them on and off.
Windows CentralMauro Huculak
- Block remote desktop access if its not need
https://www.cisecurity.org/white-papers/intel-insights-how-to-disable-remote-desktop-protocol/
- Do not store ATM password using reversible encryption
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption
- Disable automatic maintenance
https://appuals.com/how-to-turn-off-automatic-maintenance-in-windows-10/
- Block automatic defragmentation for the disk
- Delete unnecessary application for ATMs
Disable applications not necessary for the ATM There are some applications that Windows 10 could have pre-installed and that are not necessary for an ATM. In case the Windows 10 edition does have them, you can use Powershell commands to disable them, such as the following:
• Alarms & Clocks: get-appxpackage Microsoft.WindowsAlarms | removeappxpackage
• Calculator: get-appxpackage Microsoft.WindowsCalculator | removeappxpackage
• Camera: get-appxpackage Microsoft.WindowsCamera | removeappxpackage
• Groove Music: get-appxpackage Microsoft.ZuneMusic | removeappxpackage
• Mail & Calendar: get-appxpackage icrosoft.windowscommunicationsapps | remove-appxpackage
• Maps: get-appxpackage Microsoft.WindowsMaps | remove-appxpackage
• Movies & Tv: get-appxpackage Microsoft.ZuneVideo | removeappxpackage
• OneNote: get-appxpackage Microsoft.Office.OneNote | removeappxpackage
• People: get-appxpackage Microsoft.People | remove-appxpackage
• Photos: get-appxpackage Microsoft.Windows.Photos | removeappxpackage
• Voice Recorder: get-appxpackage *Microsoft.WindowsSoundRecorder * | removeappxpackage
• Xbox: get-appxpackage Microsoft.XboxApp | remove-appxpackage
• Mspaint: Get-AppxPackage Microsoft.MSPaint | Remove-AppxPackage
• 3dbuilder: Get-AppxPackage 3dbuilder | Remove-AppxPackage
• Calendar and Mail: Get-AppxPackage windowscommunicationsapps | Remove-AppxPackage
• Camera: Get-AppxPackage windowscamera | Remove-AppxPackage
• Get Office: Get-AppxPackage officehub | Remove-AppxPackage
• Get Skype: Get-AppxPackage skypeapp | Remove-AppxPackage
• Get Started: Get-AppxPackage getstarted | Remove-AppxPackage
•Microsoft Solitaire Collection: Get-AppxPackage solitairecollection | Remove-AppxPackage
• Money: Get-AppxPackage bingfinance | Remove-AppxPackage
• News: Get-AppxPackage bingnews | Remove-AppxPackage
• Phone Companion: Get-AppxPackage windowsphone | Remove-AppxPackage
• Store: Get-AppxPackage windowsstore | Remove-AppxPackage
• Sports: Get-AppxPackage bingsports | Remove-AppxPackage
• Weather: Get-AppxPackage bingweather | Remove-AppxPackage
• Reader: Get-AppxPackage Reader | Remove-AppxPackage• Messaging: Get-AppxPackage Messaging | Remove-AppxPackage
• CommsPhone: Get-AppxPackage CommsPhone | Remove-AppxPackage
• ConnectivityStore: Get-AppxPackage ConnectivityStore | Remove-AppxPackage
• Sway (Office): Get-AppxPackage Office.Sway | Remove-AppxPackage
Please do also consider review this apps
• Microsoft.AAD.BrokerPlugin
• Microsoft.AccountsControl
• Microsoft.BioEnrollment
• Microsoft.LockApp
• Microsoft.Windows.AssignedAccessLockApp
• Microsoft.Windows.CloudExperienceHost
• Microsoft.Windows.ContentDeliveryManager
• Microsoft.Windows.Cortana
• Microsoft.Windows.ParentalControls
- Disable Remote assistance
- There is a replacement for EMET in windows 10 so please review the security policies that can be apply, you can do it through GPO or by GUI, please consider proper security configurations for your devices
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-exploit-protection
- Disable Safe boot in windows 10
- Disable SBP-2
The following Device class GUID for an SBP-2 drive:d48179be-ec20-11d1-b6b8-00c04fa372a7
On some platforms, completely disabling the 1394 device may provide extra security. On the previously mentioned website, refer to the «Prevent installation of devices that match these device IDs» section under «Group Policy Settings for Device Installation».
The following is the Plug and Play compatible ID for a 1394 controller:
PCI\CC_0C0010
- And last but not least for the part «I», please consider review the user privileges for accessing the SPI and XFS applications of the XFS vendor, please review with your cyber security department to review all user privilege and reconfigure them
Subscribe to Cyttek Group
Get the latest posts delivered right to your inbox
Great! Check your inbox and click the link to confirm your subscription.
Please enter a valid email address!
Ассоциация индустрии банкоматов (ATMIA) рекомендует операционную систему Windows 10, которая выйдет 29 июля, в качестве ОС для банкоматов.
Организация советует своим участникам мигрировать c Windows XP, Windows 7 или Windows CE на Windows 10, минуя Windows 8 и 8.1. Глава ATMIA Майк Ли (Mike Lee) призвал начать переход без промедления, так как поддержка ОС Windows 7 заканчивается в этом году.
В настоящее время Microsoft уже прекратила поддержку XP, и это потенциально представляет собой серьёзную угрозу безопасности. По данным Экспертного центра электронного государства, полученным неофициально в одном из крупнейших российских банков, в нашей стране большинство банкоматов работают под управлением именно XP. При выявлении новых уязвимостей в этой операционной системе устранить их будет невозможно.
В качестве преимуществ новой версии ОС указано повышение безопасности для защиты от вредоносных программ и других кибератак, политика обновлений, а также новая философия Microsoft «одна Windows для всех устройств».
Большинство, но не все банкоматы сегодня используют Windows. Применяются также Linux и Android, а ранее использовалась OS/2 производства IBM.
Чтобы не пропустить самое интересное, читайте нас в Телеграм