Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

kiosk mode and customizing lockdown

186 views

Published on

kiosk modeは単一の種類のユーザーでの使用を想定しています。実運用ではアプリケーション管理者や設置作業者、エンドユーザーといった登場人物は、複数のセキュリティレベルを必要とします。構成ファイル(The AssignedAccess configuration service provider)より細かなアカウントの制御が必要な場合はkioskモードの思想に準拠しながらプログラムを作成することが重要です。

Published in: Technology
  • Be the first to comment

  • Be the first to like this

kiosk mode and customizing lockdown

  1. 1. kioskモードとロックダウンのカスタマイズ 運用を考慮したロックダウンとは
  2. 2. kioskモードとは • エンドユーザーに目的のアプリケーションのみを使用させること、そのアプリケーション経由のみデバイスの 機能を使えるようにすることを目的としています 決められたアプリケーションしか使えないkioskアカウントを作成することでセキュリティを担保 • 構成ファイルを作成し、グループアカウントを割り当てられる(Windows 10 Ver.1803~) • UWPまたはデスクトップアプリを複数許可でき、そのうち自動的に起動するアプリを構成できる(Windows 10 Ver.1809~) • ファイルを開くダイアログボックスで特定のフォルダを開ける(Windows 10 Ver.1809~) kioskアカウントが使用するアプリケーションを経由してデバイスの機能を制限(ロックダウン) • The AssignedAccess configuration service provider (CSP)によって制御(Windows 10 Ver.1709~) kioskアカウントのデスクトップを変更できる • アプリケーションのアイコン、タスクバーの有無などを変更できる(Windows 10 Ver.1709~) kioskモードの基本思想に反することなく、 kioskモードのセキュリティをカスタマイズすることが重要。 ・複数アカウントに対応できるようにする ・アカウントごとのセキュリティレベルを詳細に制御する ・デバイスの調達から運用時のエンドユーザーの操作までをシンプルかつ直感的にすることが重要 ・アプリケーションレベルでなくデバイスレベルのロックダウン
  3. 3. 運用時のアカウント数を意識する • kioskモードは1種類のユーザーを想定した機能であり、ATMやチケット発行システム、コンビニエンスストア のマルチコピー機の操作等に向いています ■たとえば、エンドユーザー、アプリケーションの管理者、設置時の作業者といった複数の種類のユーザーの場合に有効な 方法です kioskモードのロックダ ウンの実体は、CSPによ ってkioskアカウントが これらの機能を使えるか ?使えないか?をアプリ ケーションに構成するこ とです 複数のアカウン トごとに利用で きる機能をハー ドウェアレベル で構成し、有効 期限を変更しま す。
  4. 4. シンプルかつ直感的な操作感 • kioskモードはタスクバーの有無、スタートメニューに配置するソフトウェアといった軽微なUI変更をサ ポートしています ■ソフトウェア使用時に最も直感的な操作で直接的に目的の機能にたどり着くと、ユーザーは余計な操作をしないの で、プログラムの作成者が想定しない運用が行われることが無いため、セキュリティリスクの軽減につながります。 出典:複数アプリ キオスクの設定 https://docs.microsoft.com/ja-jp/windows/configuration/lock-down-windows-10-to-specific-apps#config-for-autologon-account kioskアカウントのUI例 カスタマイズのUI アカウントごとに自動起動するアプリケーションを変えます
  5. 5. カスタマイズの方法 • 以下のことはプログラムで簡単に実装することができます。これを動的に切り替えることが可能です。 ■ログオンスクリプトの設定 ■アカウントの作成 ■ログファイルの作成とアップロード ・最初の起動時にログファイルの有無で初期設定を行うかどうかを決める ・Microsoft AzureはBlob Service REST APIがあるのでログファイルをアップロードするのは容易 ■その他カスタマイズした部分のクリア(もとに戻す)も作成できる

×