Ограничить работу в Windows 10 одним приложением
Некоторые версии Windows 10 (Professional, корпоративная и учебная) позволяют ограничить работу с ОС только одним приложением. Режим ограниченного функционала называется режимом киоска, и его можно установить для стороннего пользователя, не являющегося администратором.
После запуска Windows, практически сразу же откроется указанное приложение, и выйти из него можно только выбрав другого пользователя. Режим необходим в том случае, если вы не хотите, чтобы пользователь имел доступ к данным на компьютере.
Режим киоска не зря доступен в версиях для корпоративных клиентов или обучающих заведений — зачастую именно там эта функция актуальнее всего. Если ваша ОС не поддерживает режим киоска (например, у вас «домашняя» версия), вы всё равно можете ограничить работу другого пользователя. Например, запретив устанавливать сторонние приложения не из официального магазина Microsoft.
Как настроить режим киоска
Настроить ограничение можно только через аккаунт администратора. Убедитесь, что ваша версия Виндоус 10 поддерживает ограничения режима киоска. Зайдите в параметры учётных записей и выберите вкладку «семья» слева. Под списком пользователей есть ссылка в меню настроек ограниченного доступа. Выберите одно приложение, которое будет запускаться сразу после загрузки Windows. Режим киоска — отличный способ избавить пользователей ПК от лишних раздражителей в виде интернета, игр и других программ.
Как заблокировать установку сторонних приложений
Если ваша ОС не имеет настроек режима киоска, вы всё равно можете ограничить работу с приложениями. Заблокируйте установку сторонних приложений из сети, чтобы обезопасить неопытного пользователя.
Зайдите в меню параметров приложений. В выпадающем меню справа достаточно выбрать разрешение установки приложений только из store — официального магазина приложений Майкрософт. Все приложения из магазина проверены и безопасны для использования. Сделайте эту настройку в учетной записи администратора. Для админа эти ограничения не действуют, а вот устанавливать скачанные из сети приложения и игры другие пользователи не смогут.
Что такое режим киоска в Windows 8.1 и как его настроить
Здравствуйте уважаемые читатели интернет ресурса WindowsFan.Ru.
В конце марта 2013 года, практически одновременно с выходом первой бета-версии Windows 8.1 в сети появилась информация о новом режиме ограничения функциональных возможностей аккаунтов, реализованном в Windows Blue. Новая функция получила название Kiosk Mode или режим Киоска.
Первоначально никто из пользователей так толком и не знал, для чего именно предназначался этот компонент. Предполагалось, что Kiosk Mode представляет собой нечто вроде гостевого режима, однако впоследствии выяснилось, что режим киоска принципиально отличается от способов организации разделяемого доступа.
Суть работы «киоска» заключается примерно в следующем. Режим позволяет ограничивать доступ к приложениям, стартовому экрану, а также большей части элементов управления операционной системой.
Работая в режиме киоска, пользователь может запустить всего одно приложение. Какое это будет приложение, зависит от решения администратора. По мнению разработчиков Microsoft, Kiosk Mode — это идеальный способ ограничить доступ к функционалу операционной системы для определенной группы пользователей.
Ну хорошо, что такое режим киоска вы теперь знаете, давайте теперь узнаем как его можно активировать. Предположим, что на вашем компьютере помимо администратора имеется некий UrerGuest, полномочия которого вы хотите максимально ограничить. Откройте чудо-панель, выберите «Изменение параметров компьютера», а затем перейдите в раздел учетных записей. Далее выбираем «Другие учётные записи», после чего жмем ссылку «Настройка ограниченного доступа для учётной записи». В открывшемся окне вам нужно будет указать пользователя, для которого будут создаваться ограничения.
Далее нужно будет выбрать единственное доступное приложение. Пусть это будет Internet Explorer. При этом хотелось бы обратить ваше внимание на один момент.
Если учётная запись была создана непосредственно перед включением режима киоска, хотя бы один раз войдите в неё, в противном случае список приложений может оказаться пустым.
По идее в списке доступных программ должны отображаться все поставляемые с операционной системой Metro-приложения, но такое бывает не всегда. Магазинные приложения от сторонних разработчиков можно добавить только в том случае, если они были установлены непосредственно в этой учётной записи.
Что касается классических десктопных приложений, то их, к сожалению, добавить нельзя. После того как режим киоска будет активирован при входе пользователя с ограниченным доступом выбранное приложение будет запущено автоматически. Все остальные приложения, начальный экран, а также функции управления системой будут недоступны. Для выхода из режима Kiosk Mode и одновременного завершения работы учетной записи пользователю следует пятикратно нажать клавишу Win.
Особого признания режим киоска так и не получил. Впрочем, в этом нет ничего удивительного. Вероятнее всего главной причиной такого непризнания является полное отсутствие гибкости настроек прав доступа, к тому же вряд ли кого из «гостей» устроит перспектива работы всего лишь в одном единственном приложении.
Вот на этом я и пожалуй закончу свой рассказ всем пока и до новых познавательных встреч с вами дорогие мои друзья.
Режим киоска терминала Windows 10 — ограниченный доступ к компьютеру kiosk mode
Осеннее накопительное обновление October 2018 Update для Windows 10 Версия 1809 пополнило штат системы новыми возможностями, в числе которых — появившийся в параметрах учётных записей режим киоска.
Видео video How to Make a Windows 10 PC into Kiosk Mode With Assigned Access https://www.youtube.com/watch?v=B-AEZUJx9Bg
https://technet.microsoft.com/ru-ru/library/mt219051(v=vs.85).aspx
https://blogs.technet.microsoft.com/askpfeplat/2013/10/27/how-to-setup-assigned-access-in-windows-8-1-kiosk-mode/
Режим киоска – это ранее существовавшая в системе настройка ограниченного доступа для отдельных *ЛОКАЛЬНЫХ учётных записей в виде возможности запуска всего лишь одного приложения из числа UWP. Универсальная платформа Windows (англ. Universal Windows Platform)
Идея существования пользовательской учётной записи, ограниченной запуском только одного приложения. Публичный компьютер
Пользователю должно быть доступно только одно приложение в полноэкранном режиме и ничего иного кроме этого.
Единственная оговорка — режим киоска Windows 10 работает только с плиточными приложениями приложения из магазина. С традиционными настольными приложениями он работать не умеет!
Режим киоска, как и ранняя его реализация в виде настройки ограниченного доступа для отдельных учётных записей, недоступна в Windows 10 Home Домашняя. Доступна только в редакциях, начиная с Pro редакций профессиональная, корпоративная и для образовательных учреждений..
1)Настраивается киоск в Параметры Windows (клавиши Win+I) \ параметрах учётных записей семьи и других пользователей. Здесь добавился новый пункт «Настроить киоск». Кликаем этот пункт. (В открывшемся окне Вам будет предложено ввести адрес электронной почты пользователя, имеющего учётную запись Майкрософт или его телефон. Мы же кликаем на ссылку «У меня нет данных для входа этого человека». Нажимаем на кнопку «Далее».)
2)И для создания киоска жмём «Начало работы»
3)Вводим имя, это может быть имя пользователя, который будет работать в рамках ограниченной учётной записи. Жмём «Далее».
(В следующем окне кликаем на ссылку «Добавить пользователя без учетной записи Майкрософт».)
4)Теперь выбираем приложение из числа UWP, включая Microsoft Edge . Приложения можно скачать в Microsoft Store Магазин
5)На примере браузера интернет обозревателя Microsoft Edge есть выбор Как будет использоваться этот терминал ?
5.1)Как цифровой знак или интерактивный дисплей — только одни URL адрес к примеру http://5house.win и его отображение по типу веб-приложения на весь экран F11 полноэкранный режим;
5.2)Как общедоступный браузер
Microsoft Edge будет иметь ограниченный набор функций можно вводить любой URL адрес сайта
6)Готово выход из режима киоска осуществляется клавишами Ctrl+Alt+Del.
7)Для удаления киоска в его настройках кликаем имя пользователя и жмём «Удалить киоск».
8)Если вы хотите установить эти настройки на нескольких компьютерах или просто любите Windows Powershell, эту конфигурацию также можно выполнить с помощью
If you want to set this up on multiple machines or simply love Windows Powershell, this configuration can also be scripted using Set-AssignedAccess
A typical command would be
ps
9)Установим пароль на bios uefi , и отключи загрузку с внешних устройств usb/cd/dvd/fdd
10)gpedit.msc Отключите съемные носители.
Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.
11)Браузер Google Chrome режим информационного киоска:
1. Создаем ярлык на браузер (у меня по умолчанию установлен тут: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe») и указываем после кавычек ключ и ссылку на наш сайт в виде —kiosk .
В полном варианте я получаю: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —kiosk http://5house.win
2. Добавляем созданный ярлык в автозагрузку. https://support.google.com/chrome/a/answer/6137028?hl=ru
12)Если компьютер в домене то используя GPO Управление групповой политикой (команда gpedit.msc)
настройка «интерактивный вход в систему» разрешим вход только пользователям входящих в доменную глобал группу (Ограничение входа на рабочую станцию в домене)
12.1)Доменная политика назначается на конкретный OU или используя фильтр по имени компьютера
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
Локальный вход в систему
Разрешение на вход в систему через службу удаленных рабочих столов
Добавляем доменную группу AllowInteractiveLogon с Администратором и пользователями или доменного пользователя User1 , другие группы удаляем.
12.2)Локальная gpedit.msc политика на самом компьютере в домене позволяет использовать доменные и локальные учетные записи и группы.
обновляем политику cmd
gupdate /force /boot /boot
13)Дополнительно на сетевом оборудовании Cisco можно привязать MAC МАК адрес компьютера
Cisco Port Security — это функция канального уровня, которая создана для предотвращения несанкционированной смены MAC адреса сетевого подключения. Также, данная функция ограждает коммутатор от атак, которые могут быть направлены на переполнение таблицы MAC адресов.
С помощью Port Security можно ограничить (на канальном уровне) количество подключений (MAC адресов) на интерфейсе, а так же, при необходимости, ввести безопасные MAC адреса вручную (статические MAC адреса).
Пример настройки Port Security на интерфейсе коммутатора cisco:
Пример распространенное подключение устройств в больших организациях. Как правило к порту подключаются два устройства: IP телефон и компьютер пользователя. Пример конфига интерфейса коммутатора с использованием Port Security:
На выше приведенном конфиге видно, что 10 влан настроен для компьютеров, 2 влан используется для IP телефонии. Далее, по фукнциям Port Security:
— «switchport port-security» означает, что мы включили Port Security на данном интерфейсе;
— «switchport port-security maximum 2» говорит о том, что только 2 MAC адреса, могут «светиться» на интерфейсе одновременно (MAC адрес телефона и компьютера);
— «switchport port-security violation restrict» указывает режим реагирование на нарушение. Таким образом, если на данном интерфейсе одновременно «засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
Немного расскажу о режимах реагирования на нарушение безопасности. Существует три способа реагирование на нарушение безопасности:
Команду «switchport port-security violation restrict» я описал выше.
Вторая команда — «switchport port-security violation shutdown» при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но как мне кажется, «switchport port-security violation restrict» является оптимальной для большинства случаев.
Идем дальше. Если необходимо, то можно статически ввести MAC адреса, тогда конфиг будет иметь вид: