Для работы режима киоска в Windows 11 достаточно редакции Pro; более продвинутые сценарии (Shell Launcher и т.п.) требуют Enterprise или Education.
Содержание
Какую редакцию выбрать
Минимум для киоска (Assigned Access / Single‑app kiosk):
Windows 11 Pro, Enterprise или Education; в Home режим назначенного доступа/киоска не поддерживается.Если нужен только один UWP‑клиент или Edge в полноэкранном режиме (single‑app kiosk):
Windows 11 Pro вполне достаточно.Если планируется сложный многоприложенный киоск, замена оболочки (Shell Launcher) и корпоративное управление через Intune/MDM:
Лучше использовать Windows 11 Enterprise или Education, так как Shell Launcher и расширенные опции рекомендованы именно для этих редакций.
Кратко по версиям и ограничениям
Режим киоска (Assigned Access) доступен, начиная с Windows 11 версии 21H2 (Build 22000) и выше.
В Windows 11 есть два основных варианта:
Single‑app kiosk — одно приложение (UWP или Edge) во весь экран.
Multi‑app kiosk — набор разрешённых приложений, с блокировкой всего остального, лучше поддерживается в Pro/Enterprise/Education через MDM.
Если нужна простая стойка/терминал под одно приложение или веб‑страницу, оптимальный выбор: Windows 11 Pro (любой актуальный релиз, не Home).
Assigned Access vs Shell Launcher
Assigned Access подходит для простых киосков с UWP-приложениями (одно или несколько) или Microsoft Edge, блокируя доступ к остальной системе без замены оболочки.
Shell Launcher заменяет explorer.exe на любое Win32-приложение, обеспечивая полный контроль, но требует Enterprise/Education и сложной настройки через XML или PowerShell.
Сравнение методов
| Аспект | Assigned Access | Shell Launcher |
|---|---|---|
| Поддержка приложений | UWP/Store apps, Edge (single/multi-app) | Любые Win32 apps, custom shell |
| Редакции Windows | Pro, Enterprise, Education | Только Enterprise, Education |
| Сложность настройки | Простая (Настройки > Accounts > Family & other users) | Продвинутая (XML, CSP, GPO, Intune) |
| Гибкость | Ограничена UWP, multi-app с AppLocker | Максимальная, полная замена UI |
| Рекомендации | Для киосков с веб/Store apps | Для dedicated устройств (POS, signage) |
Рекомендация по предпочтению
Без указания сценария (одно UWP-приложение или custom Win32?) предпочитается Assigned Access за простоту в Pro-редакции и достаточную защиту для большинства киосков. Уточните тип приложения и управление (локально/MDM), чтобы выбрать точно.
Для слабого железа идеально подходит Windows 11 IoT Enterprise LTSC 2024
Для слабого железа идеально подходит Windows 11 IoT Enterprise LTSC 2024 (или H2 24H2), которая поддерживает киоск-режимы (Assigned Access, Shell Launcher, multi-app) и имеет минимальные требования: 1 ГГц 2 ядра, 2 ГБ RAM (опционально), 16 ГБ хранилища (опционально SSD), без обязательного TPM/Secure Boot.
Сравнение редакций для слабого ПК
| Редакция | Мин. RAM/Хранилище | Киоск-поддержка | Преимущества для слабого железа |
|---|---|---|---|
| IoT Enterprise LTSC | 2 ГБ / 16 ГБ | Полная (Assigned Access, Shell Launcher) | LTSC без лишних обновлений, 10 лет поддержки, для embedded/киосков |
| IoT Enterprise GAC | 4 ГБ / 64 ГБ | Полная | Больше фич, но тяжелее LTSC |
| Pro/Enterprise | 4 ГБ / 64 ГБ | Assigned Access (Pro), Shell (Enterprise) | Стандартные, но выше нагрузка на ресурсы |
| Lite-версии (Tiny11) | 2 ГБ / ~3 ГБ | Частичная (Assigned Access) | Неофициальные, риски стабильности |
Рекомендация
Выбирайте Windows 11 IoT Enterprise LTSC 2024 — она оптимизирована для киосков на старом железе (POS, signage), лицензия для OEM/корпоративного использования, киоск настраивается через Intune/MDM или локально. Для Pro хватит Assigned Access, но IoT легче и надежнее на слабом ПК.
Можно ли установить на обычный ПК
Windows 11 IoT Enterprise LTSC 2024 и LTSC можно установить на обычный потребительский ПК технически — ISO монтируется, ставится с Rufus (обходит TPM/Secure Boot), работает стабильно на x64-процессорах с SSE4.
Лицензионные ограничения
IoT Enterprise LTSC: Предназначена для embedded/специальных устройств (киоски, POS, signage), лицензия через OEM-дистрибьюторов или Volume Licensing для корпораций; на домашнем ПК — неофициально, без активации (ePKEA) или с пиратским ключом, риски отсутствия поддержки.
LTSC (Enterprise LTSC): Только для бизнеса/спец. устройств, не для потребителей; установка возможна, но Microsoft блокирует активацию на non-qualified hardware.
Рекомендации для киоска на слабом ПК
Используйте IoT LTSC для киоска — она легкая, поддерживает Assigned Access/Shell Launcher, 10 лет обновлений безопасности.
Скачайте ISO из Microsoft Evaluation Center/VLSC, активируйте корпоративным ключом; для теста — пробная 90-дневная версия.
Альтернатива: Tiny11 (неофициальная) на базе Pro, но с рисками стабильности в киоске.
Наиболее безопасный способ: Assigned Access (Single-App Kiosk)
Для киоска с одним приложением используйте Assigned Access в Windows 11 Pro/IoT Enterprise — создайте отдельного локального пользователя, заблокируйте его на UWP-приложении или Edge, без замены shell. Это проще и безопаснее Shell Launcher, минимизирует поверхность атаки.
Шаги настройки (локально, без MDM)
Подготовка: Установите целевое UWP-приложение из Microsoft Store или Edge. Создайте нового локального пользователя (Настройки > Accounts > Other users > Add account > «I don’t have this person’s sign-in info» > «Add a user without a Microsoft account»).
Включите Assigned Access: Войдите под админом, Параметры > Accounts > Family & other users > Assigned access > Choose kiosk app > выберите приложение (UWP или msedge.exe для веб-киоска).
Запуск: Выйдите, войдите под киоск-пользователем — система заблокируется на приложении. Выход: Ctrl+Alt+Shift (по умолчанию).
Усиление безопасности
| Мера защиты | Как реализовать | Эффект |
|---|---|---|
| AppLocker/GPO | Блокируйте все, кроме киоск-app (gpedit.msc > Computer Configuration > Windows Settings > Security Settings > Application Control) | Нет доступа к exe/Store вне списка |
| BitLocker | Шифруйте диск (manage-bde -on C:) | Защита данных при краже |
| Firewall | Разрешите только нужные порты (wf.msc) | Блокировка сетевых угроз |
| Авторестарт | Task Scheduler: при краше app — relaunch kiosk user | Непрерывная работа |
| Удаленный доступ | Отключите RDP/WinRM, используйте Intune для мониторинга | Нет удаленного входа |
Для MDM/Intune (максимальная безопасность)
Настройте через Microsoft Intune: Devices > Configuration profiles > Windows 10+ > Kiosk > Single app/Edge kiosk — централизованное управление, автообновления, аудит. Рекомендуется для киосков в продакшене. Тестируйте на виртуалке перед деплоем.
Решение киоска без домена (локально, в рабочей группе)
Да, Assigned Access (Single-App Kiosk) работает полностью автономно без Azure AD/домена — настраивается локально через Настройки для любого пользователя в Pro/IoT Enterprise. Идеально для изолированных киосков без интернета/MDM.
Пошаговая настройка (5 минут)
Создайте киоск-пользователя:
Параметры > Accounts > Other users > Add account > «Я не имею данных для входа» > «Добавить пользователя без учетной записи Microsoft» → имяKioskUser, пароль.Установите приложение:
Установите UWP-приложение из Microsoft Store (или Edge для веб-киоска) под администратором.Настройте Assigned Access:
Параметры > Accounts > Family & other users > Assigned access > «Выбрать приложение для киоска» → выберитеKioskUser→ выберите приложение (из списка установленных UWP/Edge).Запуск: Выйдите из админа, войдите под
KioskUser— система заблокируется на приложении. Выход:Ctrl+Alt+Shift.
Усиление безопасности локально
| Защита | Настройка (gpedit.msc или regedit) | Эффект |
|---|---|---|
| Блокировка exe | Computer Configuration > Administrative Templates > System > Only run allowed apps → включить, добавить киоск-app | Нет запуска стороннего ПО |
| Автологин киоска | netplwiz → выберите KioskUser → «Требовать ввод пароля» снять галку | Авто-запуск после ребута |
| Скрыть Task Manager | reg add «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v DisableTaskMgr /t REG_DWORD /d 1 | Нет Ctrl+Shift+Esc |
| Firewall | wf.msc → Блок всех исходящих кроме нужных портов | Изоляция от сети |
PowerShell-скрипт для быстрой настройки
# Создать киоск-пользователя
New-LocalUser -Name "KioskUser" -Password (ConvertTo-SecureString "SecurePass123!" -AsPlainText -Force) -NoPasswordExpirySet-ItemProperty —Path «HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AssignedAccessConfiguration» —Name «KioskUser» —Value «{Your-UWP-AppID}»
Получите AppID командой Get-StartApps. Тестируйте на виртуалке — работает стабильно без домена.
Выход из киоск-режима (Assigned Access)
Стандартный способ: Ctrl + Alt + Shift — откроется экран блокировки, введите пароль администратора.
Альтернативные методы выхода
| Метод | Как выполнить | Примечание |
|---|---|---|
| Пароль админа | Ctrl+Alt+Shift → ввести логин/пароль администратора | Работает всегда |
| Автологин отключен | Перезагрузка (Ctrl+Alt+Del → Power) → логин админа | Если автологин киоска включен |
| Безопасный режим | При загрузке: F8/Shift+Restart → Troubleshoot → Advanced → Startup Settings → Safe Mode → логин админа | Если забыт пароль |
| Внешняя клавиатура | USB PS/2 клавиатура с Magic Packet или Win+L | Для tamper-proof киосков |
Если Ctrl+Alt+Shift не работает
PowerShell восстановление:
Войдите в Recovery (Shift+Restart с экрана киоска) → Command Prompt →textnet user KioskUser /delete
bcdedit /deletevalue {default} safeboot
Перезагрузитесь — киоск отключен.
Отключить Assigned Access из-под киоска:
Если есть доступ к Ctrl+Alt+Shift, войдите админом → Параметры > Accounts > Assigned access > «Отключить».Для полной защиты: Настройте BIOS-пароль + отключите USB/доступ к Recovery в gpedit.msc.
Тест: После настройки всегда проверяйте выход — стандартный hotkey надежен на 99% случаев.
DameWare Remote для киоска
Да, DameWare Remote Support (SolarWinds) можно использовать для просмотра/управления киоском — агент (Mini Remote Control) устанавливается как служба под админом, работает поверх Assigned Access без прерывания режима. Поддерживает screen share, file transfer, reboot, даже на заблокированных устройствах в локальной сети или через VPN. Требует установки агента заранее (бесплатный 14-дневный trial, затем ~$300/лицензия).
Как настроить DameWare
Установка: Под админом скачайте DameWare MRC/DRS, установите агент на киоск-ПК как «unattended» (всегда онлайн).
Доступ: С консоли техподдержки (DameWare Central) подключитесь по IP/имени хоста — увидите киоск-экран в реальном времени, управляйте (view/control).
Для киоска: В Assigned Access агент не блокируется, если настроен в автозагрузку; firewall разрешите порты 6129/6130/6132/6133.
Альтернативы DameWare/Intune Remote Help
| Инструмент | Ключевые фичи для киоска | Стоимость/Ограничения |
|---|---|---|
| Splashtop | Screen share/control, unattended access, интеграция с Intune; работает на locked devices | $5/пользователь/мес; 7-дневный trial, дешевле DameWare |
| NinjaOne | MDM + remote view, kiosk lockdown, reporting; дополняет Intune | $3/устройство/мес; фокус на IT-мониторинг |
| Hexnode UEM | Kiosk mode + remote troubleshooting, multi-platform | $1/устройство/мес; сильный в lockdown |
| Scalefusion | Полный kiosk control, screen mirroring, zero-touch | $2/устройство/мес; альтернатива Intune для SMB |
| AirDroid Business | Remote view/cast, kiosk launcher, Android/Windows | $3/устройство/мес; легкий для теста |
Рекомендация
Для киоска Splashtop — лучшая альтернатива: проще DameWare, дешевле Intune, не требует домена, unattended для мониторинга. Установите trial и протестируйте на виртуалке — подключение за 1 мин без выхода из киоска.
Настройка DameWare для киоска в Assigned Access
DameWare Remote Support (DRS) или Mini Remote Control (MRC) позволяет просматривать/управлять киоском без прерывания режима — агент работает как системная служба под админом, независимо от Assigned Access. Установите под администратором до активации киоска.
Пошаговая настройка
Скачайте и установите DameWare:
Перейдите на solarwinds.com/dameware, скачайте DRS/MRC (trial 14 дней). Установите на киоск-ПК под админом с опцией «Install as a service» (unattended access).Настройте агент на киоске:
Запустите DameWare Mini Remote Service (dwrcs.exe) → Tools > Options > Security → Установите пароль/ключ шифрования. Включите «Allow remote connections» и «Start service on boot». Разрешите в Firewall порты 6129 (TCP/UDP), 6130, 6132, 6133.Автозапуск перед киоском:
Добавьте в Task Scheduler: Trigger «At log on» для админа → Action: Запуск «C:\Program Files (x86)\DameWare Development\DWRCS\MRC.exe» /service. Убедитесь, что служба «DameWare Mini Remote Control» в services.msc установлена как Automatic.Активируйте киоск:
Настройте Assigned Access как обычно (Параметры > Accounts > Assigned access). Агент DameWare продолжит работать в фоне — киоск не блокирует системные службы.Подключение с консоли:
На другом ПК установите DameWare Administration (центральная консоль) → Add computer по IP/имени киоска → Connect. Выберите «View only» или «Full control» — увидите экран киоска в реальном времени.
Усиление безопасности и troubleshooting
| Аспект | Рекомендация | Эффект |
|---|---|---|
| Шифрование | В Options > Encryption → 256-bit AES | Защита трафика |
| Ограничение доступа | Установите whitelist IP в Firewall или DameWare ACL | Только от админ-ПК |
| Логи | Включите auditing в DRS → Monitor sessions | Аудит подключений |
| Если не подключается | Проверьте службу (services.msc > DameWare > Start), порты (netstat -an | find «6129»), антивирус не блокирует |
Тест: После настройки перезагрузите киоск, войдите в Assigned Access, подключитесь удаленно — экран виден, управление возможно (reboot, file transfer). Для продакшена купите лицензию (~$300/техник)
DameWare в рабочей группе (без домена/AD)
Да, DameWare полностью работает в рабочей группе — использует прямое подключение по IP/имени хоста, аутентификация агента через встроенный пароль/ключ, не требует Active Directory или домена. Идеально для изолированных киосков.
Установка и настройка без домена
Установка агента на киоск (под админом):
Скачайте DameWare MRC с solarwinds.com → Установите → Install Mode: «Install as a service» (служба dwrcs.exe запускается от SYSTEM).textC:\Program Files (x86)\DameWare Development\DWRCS\MRC.exe /INSTALL /ALLOWREMOTE
Настройка агента:
Запустите MRC.exe → Tools > Options > Security:Установите Admin password (для подключения)
Encryption: 256-bit AES
Permissions: Full control (или View only)
Startup: Automatic
Firewall (обязательно):
textnetsh advfirewall firewall add rule name="DameWare" dir=in action=allow protocol=TCP localport=6129,6130,6132,6133
netsh advfirewall firewall add rule name="DameWareUDP" dir=in action=allow protocol=UDP localport=6129
Автозапуск службы:
services.msc→ DameWare Mini Remote Control → Startup type: Automatic → Start. Работает до/во время Assigned Access.
Подключение из рабочей группы
| Клиент | Как подключиться | Требования |
|---|---|---|
| DameWare Console | IP киоска:192.168.1.100 → Connect → Введите agent password | Полный контроль (платный) |
| MRC.exe (standalone) | Запустите MRC → введите IP → пароль агента | Бесплатный trial |
| По имени хоста | Если DNS/hosts настроен: kiosk-pc.local | Локальная сеть |
PowerShell-автоматизация установки
# Установка DameWare службы
Copy-Item "DameWare\MRC.exe" "C:\DameWare\" -Recurse
& "C:\DameWare\MRC.exe" /INSTALL /SERVICE /ALLOWREMOTE /PASSWORD "SecurePass123!"netsh advfirewall firewall add rule name=«DameWare» dir=in action=allow protocol=TCP localport=6129,6130,6132,6133 enable=yes
sc config «DameWare Mini Remote Control» start=auto
sc start «DameWare Mini Remote Control»
Проверка работоспособности
# С киоска (локально)
netstat -an | findstr 6129
# Должно показать LISTENINGTest-NetConnection 192.168.1.100 -Port 6129
Готово за 5 минут: После настройки подключитесь по IP с любого ПК в сети — увидите киоск-экран без прерывания Assigned Access. Бесплатный trial 14 дней, затем $300/техник.
Нужен ли админский доступ для DameWare
Для установки агента DameWare — ДА, нужен админский доступ.
Агент (служба dwrcs.exe) устанавливается от SYSTEM/админа, настраивается firewall и автозапуск — это делается один раз под администратором ДО активации киоска.
Для подключения/управления киоском — НЕТ, админ не требуется.
После установки DameWare использует встроенный пароль агента для аутентификации — подключаетесь по IP с обычного ПК без ввода учетных данных Windows.
Сравнение доступа
| Этап | Требуется админ на киоске? | Что делается |
|---|---|---|
| Установка агента | ✅ ДА (локально, 1 раз) | Установка службы, firewall, пароль |
| Подключение | ❌ НЕТ (удаленно) | IP + пароль агента |
| Управление | ❌ НЕТ | Screen share/control через DameWare |
| Assigned Access | ❌ НЕТ | Работает поверх киоск-режима |
Практический workflow
1. Админ логинится → Устанавливает DameWare агент → Настраивает Assigned Access
2. Админ выходит → Киоск активируется (KioskUser)
3. Техник с любого ПК: DameWare → IP киоска → Пароль агента → Полный доступ
Исключения (без админа совсем)
Если нет физического доступа к киоску для установки:
PDQ Deploy (если агент уже есть)
PSRemoting (
Enable-PSRemoting -SkipNetworkProfileCheck)Group Policy (только домен)
Для рабочей группы стандарт: Установите агент под админом заранее → управляйте киоском без админ-доступа бесконечно.
Настройка Assigned Access (Single-App Kiosk)
Assigned Access блокирует пользователя на одном UWP-приложении или Edge — настраивается локально за 3 минуты в Windows 11 Pro/IoT Enterprise без домена.
Пошаговая настройка
Создайте киоск-пользователя:
textПараметры > Accounts > Other users > Добавить учетную запись
> "У меня нет данных для входа этого человека" > "Добавить пользователя без учетной записи Microsoft"
Имя:
KioskUser, пароль:SecurePass123!Установите приложение:
Под админом установите UWP-приложение из Microsoft Store или Microsoft Edge. Запустите 1 раз для регистрации.Получите AppID (для PowerShell):
powershellGet-StartApps | Where-Object {$_.Name -like "*Edge*" -or $_.Name -like "*YourApp*"}
Скопируйте
AppID(например:Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge).Настройте Assigned Access:
textПараметры > Accounts > Семья и другие пользователи > Назначенный доступ
> "Выбрать приложение для киоска" > KioskUser > Выберите приложение из списка
Или PowerShell:
powershell$Config = @"
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
<Profiles>
<Profile Id="{A5D1F3E7-1234-5678-9ABC-DEF012345678}">
<AllAppsList>
<AllowedApps>
<App DesktopAppPath="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
</AllowedApps>
</AllAppsList>
<Taskbar ShowTaskbar="false" />
</Profile>
</Profiles>
<Configs>
<Config>
<Account>.\KioskUser</Account>
<DefaultProfile Id="{A5D1F3E7-1234-5678-9ABC-DEF012345678}" />
</Config>
</Configs>
</AssignedAccessConfiguration>
"@
$Config | Out-File -FilePath "$env:LOCALAPPDATA\Microsoft\Windows\Shell\AssignedAccessConfiguration.xml" -Encoding UTF8
Активация: Выйдите из админа, войдите под
KioskUser— киоск запустится. Выход:Ctrl+Alt+Shift+ пароль админа.
Проверка и усиление
| Проверка | Команда/Действие | Результат |
|---|---|---|
| Статус киоска | Get-AssignedAccess | Показывает активный профиль |
| Логи | Event Viewer > Applications > AssignedAccess | Ошибки запуска |
| Блокировка TaskMgr | gpedit.msc > User Config > Admin Templates > System > Ctrl+Alt+Del Options > Remove Task Manager | Нет Ctrl+Shift+Esc |
Готово: Киоск работает изолированно. DameWare/Intune подключаются поверх без прерывания. Тестируйте на виртуалке!
Настройка киоска на один сайт (Edge + Firewall)
Да, можно ограничить киоск на один сайт комбинацией Edge в режиме киоска (Assigned Access) и Windows Firewall. Edge автоматически работает в режиме InPrivate с защитой, а firewall блокирует весь трафик кроме разрешенного IP-адреса.
Способ 1: Edge Kiosk Mode (самый простой)
Создайте киоск-пользователя и установите Edge:
textПараметры > Accounts > Other users > Добавить КиоскUser
Edge установится автоматически
Настройте Assigned Access с Edge:
textПараметры > Accounts > Семья и другие пользователи > Назначенный доступ
> Выберите KioskUser > Microsoft Edge
Конфигурация Edge в режиме киоска (PowerShell под админом):
powershell# Установите URL для киоска
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v KioskModeNavigation /t REG_SZ /d "https://example.com"
# Отключите новые табы (Digital Signage режим)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v RestrictOnInstanceLevel /t REG_DWORD /d 1
# Включите выход через End Session button
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v ShowHomeButton /t REG_DWORD /d 1
Тест: Выйдите из админа, войдите под KioskUser — Edge откроет только один сайт в полноэкранном режиме.
Способ 2: Edge + Windows Firewall (максимальная защита)
Найдите IP-адрес сайта:
nslookup example.com
Скопируйте IP (например, 93.184.216.34).
Настройте Firewall — блокируйте всё, кроме одного IP:
# Удалите старые правила (если есть)
Remove-NetFirewallRule -DisplayName "Block All Outbound" -ErrorAction SilentlyContinue
# Блокируйте всё исходящее (по умолчанию)
New-NetFirewallRule -DisplayName "Block All Outbound" -Direction Outbound `
-Action Block -Profile Any -Program "%SystemRoot%\System32\svchost.exe" `
-RemoteAddress Any -Enabled $true
# Разрешите одного производителя (Edge/msedge.exe)
New-NetFirewallRule -DisplayName "Allow Edge to Site" -Direction Outbound `
-Action Allow -Program "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" `
-RemoteAddress "93.184.216.34" -RemotePort 443 -Protocol TCP -Enabled $true
# Разрешите Windows Update и DNS (обязательно)
New-NetFirewallRule -DisplayName "Allow Windows Update" -Direction Outbound `
-Action Allow -RemoteAddress "185.199.110.0-185.199.113.255" -RemotePort 80,443 -Protocol TCP—Action Allow —RemotePort 53 —Protocol UDP
Способ 3: Hosts File (простой, без доменов)
# Откройте как администратор: C:\Windows\System32\drivers\etc\hosts
# Добавьте в конец файла:
127.0.0.1 example.com
127.0.0.1 www.example.com
# Всё остальное — редирект на localhost
Способ 4: Edge URL Block Policy (для Intune/локально)
# Блокируйте все сайты (*), разрешите только нужный
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v URLBlocklist /t REG_MULTI_SZ /d "*"
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v URLAllowlist /t REG_MULTI_SZ /d "https://example.com"
Сравнение методов
| Метод | Сложность | Защита | Для киоска |
|---|---|---|---|
| Edge Kiosk Mode | ⭐ (5 мин) | ✅ InPrivate + блокировка UI | ✅ Лучший (встроенный) |
| Firewall Rules | ⭐⭐ (15 мин) | ✅✅ Полная блокировка | ✅ Плюс к Edge, надежно |
| Hosts File | ⭐ (5 мин) | ✅ Базовая | ⚠ Может сломать обновления |
| URL Block Policy | ⭐⭐ (10 мин) | ✅✅ Точная | ✅ Для Intune/GPO |
Откроется ли PDF в Edge Kiosk
Да, PDF откроется — Edge встроенный PDF viewer позволяет просматривать PDF прямо в браузере без отдельного приложения (Adobe Reader и т.д.). Киоск-режим не блокирует встроенные функции Edge.
Как работает PDF в Edge Kiosk
| Сценарий | Что происходит | Безопасность |
|---|---|---|
| PDF на сайте | Нажимаете ссылку → Edge открывает viewer в новой вкладке (в режиме киоска) | ✅ Остается в Edge, не выходит |
| Скачивание PDF | По умолчанию скачивается в Downloads (если разрешено) | ⚠ Может быть доступен через файловую систему |
| Многостраничный PDF | Все страницы доступны, можно листать/искать текст | ✅ Работает нормально |
| PDF с javascript | Edge блокирует scripts в режиме киоска (InPrivate) | ✅ Безопасно |
Что нужно сделать для полной защиты
Отключите скачивание файлов (реестр):
powershell# Блокируйте скачивание всех типов файловreg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v DefaultDownloadDirectory /t REG_SZ /d ""
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v PromptForDownloadLocation /t REG_DWORD /d 0
# Отключите возможность скачиватьreg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v AllowFileSelectionDialogs /t REG_DWORD /d 0
Отключите Print/Save As (если нужно):
powershellreg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v PrintingEnabled /t REG_DWORD /d 0
Разрешите только просмотр PDF:
powershell# Включите встроенный PDF viewer (по умолчанию включен)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v AlwaysOpenPdfExternally /t REG_DWORD /d 0
Полный реестр для безопасного Edge Kiosk
# Применить все правила сразу$KioskEdgeSettings = @{"KioskModeNavigation" = "https://example.com""RestrictOnInstanceLevel" = 1
"AllowFileSelectionDialogs" = 0
"PromptForDownloadLocation" = 0 "PrintingEnabled" = 0
"AlwaysOpenPdfExternally" = 0
}foreach ($Setting in $KioskEdgeSettings.GetEnumerator()) {
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v $Setting.Key /t REG_DWORD /d $Setting.Value}Тест PDF
Создайте тестовый сайт с PDF-ссылкой (например, embedded на странице).
Запустите киоск, кликните на PDF → откроется viewer в браузере.
Попробуйте Ctrl+S (Save) — должно быть заблокировано.
Попробуйте Ctrl+P (Print) — должно быть заблокировано.
Результат: PDF просматривается в Edge, выход наружу заблокирован. Если сайт пытается открыть документ в отдельном приложении (Adobe) — киоск блокирует.
Выход из PDF на сенсорном экране в Edge Kiosk
На сенсорном экране без клавиатуры и мыши нужны сенсорные жесты или кнопки на экране для навигации и выхода. По умолчанию Edge Kiosk блокирует UI-элементы, но можно настроить кнопки выхода.
Способ 1: Сенсорные жесты в Edge
| Жест | Действие | Работает в Kiosk |
|---|---|---|
| Четыре пальца (свайп влево) | Назад на предыдущую страницу | ✅ Да |
| Четыре пальца (свайп вправо) | Вперед | ✅ Да |
| Двойной тап | Масштабирование | ✅ Да |
| Щипок | Уменьшить/увеличить масштаб | ✅ Да |
| Долгий тап | Контекстное меню (может быть заблокировано) | ⚠ Зависит от настроек |
Проблема: Эти жесты только для навигации по сайту, не выход из киоска.
Способ 2: Кнопка выхода на сайте (лучший)
Добавьте на ваш сайт (HTML) заметную кнопку выхода:
<!DOCTYPE html>
<html>
<head>
<title>Киоск</title>
<style>
body { margin: 0; overflow: hidden; }
#exit-button {
position: fixed;
bottom: 20px;
right: 20px;
width: 80px;
height: 80px;
background: red;
color: white;
font-size: 20px;
border: none;
border-radius: 10px;
cursor: pointer;
z-index: 9999;
touch-action: manipulation;
}
#exit-button:active { background: darkred; }
</style>
</head>
<body>
<h1>Содержимое киоска</h1>
<button id="exit-button" onclick="exitKiosk()">Выход</button>function exitKiosk() {
// Отправить команду на выход (требует backend-скрипт)
fetch(‘/api/exit-kiosk’, { method: ‘POST’ });
// Или: window.location.href = ‘ms-settings:assignedaccess’;
}
</script>
</body>
</html>
Способ 3: Горячая клавиша сенсорной панели (для клавиатур)
Если есть сенсорная клавиатура на экране (Onscreen Keyboard):
# Включите экранную клавиатуру в kiocsk-режиме
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Control Panel\International\User Input Method for each User" `
/v EnableTouchKeyboard /t REG_DWORD /d 1
Пользователь может вывести клавиатуру жестом (от нижнего края экрана) → ввести Ctrl+Alt+Shift → выход.
Способ 4: Shell Launcher с Exit Button (для полного контроля)
Если использовать Shell Launcher вместо Assigned Access:
# Переопределить Shell на пользовательское приложение с кнопкой выхода
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell `
/t REG_SZ /d "C:\KioskApp\KioskShell.exe"
Создайте приложение (C#/WPF) с кнопкой выхода на сенсорный экран.
Рекомендация для сенсорного киоска
Добавьте на сайт красную кнопку выхода (правый нижний угол, 80×80 пикселей) → при нажатии отправляет запрос на админский сервер или закрывает браузер.
Если нет доступа к сайту: Включите сенсорную клавиатуру + используйте
Ctrl+Alt+Shiftчерез нее.Для максимальной защиты: Используйте Shell Launcher с собственным приложением + сенсорная кнопка выхода.
Тест: На виртуалке с включенным сенсорным вводом (Hyper-V) протестируйте жесты и кнопку выхода перед деплоем на реальный киоск.
Полезные ссылки