Режим киоска в Windows 11 — настройка и безопасность

Важно: приведённые шаги подходят для устройств с Windows 11 и похожи на Windows 10. Некоторые параметры могут быть доступны только в профессиональных и корпоративных редакциях Windows.

Изображение рабочего стола ноутбука с Windows

Что такое режим киоска

Windows — режим киоска (Assigned Access) — это административная конфигурация, которая ограничивает доступ пользователя к одному приложению или набору заранее разрешённых приложений. Цель — минимизировать возможности пользователя: нельзя открывать лишние программы, смотреть файлы или менять системные настройки.

Коротко:

Одно-приложный киоск — устройство запускает только одно приложение автоматически при входе в систему.
Много-приложный киоск — допускает запуск заранее заданного набора приложений при сохранённой жёсткой политике доступа.

Куда подходит:

Публичные терминалы (библиотеки, музеи, информационные стенды).
Розничные точки продаж и стенды с интерактивной информацией.
Рабочие станции с минимальными правами для сторонних сотрудников.

Когда не использовать: если пользователям нужен полный доступ к рабочему окружению, или если приложение требует привилегий администратора для запуска — в таком случае киоск может работать некорректно.

Когда выбирать одно-приложный или много-приложный режим

Одно-приложный режим: прост в настройке и надёжен для наружных терминалов. Подходит, если требуется абсолютно жёсткая изоляция.
Много-приложный режим: удобен для внутренних рабочих мест с ограниченным набором инструментов (например, калькулятор, браузер для локальных ресурсов и внутренняя база знаний).

Как включить режим киоска в Windows 11 — пошагово

Следующие шаги объясняют стандартный способ через «Параметры». Сохраняйте имена учётных записей и приложения заранее.

1. Включение режима киоска

Нажмите Win + I, чтобы открыть Параметры.
Выберите Учётные записи > Семья и другие пользователи.

Раздел Учётные записи Семья и другие пользователи

В разделе «Настроить киоск» нажмите Получить начальное.

Кнопка Начать настройку киоска

Создайте локальную учётную запись для киоска: укажите имя и нажмите Далее.

Диалог создания учётной записи киоска

Выберите приложение, которое будет доступно пользователю, и нажмите Далее.

Выбор приложения для киоска

Укажите способ взаимодействия (сенсорный/клавиатура/мышь), время перезапуска приложения и завершите настройку.
Нажмите Далее > Закрыть.

После этого при входе в созданную учётную запись выбранное приложение будет запускаться автоматически, а другие возможности будут заблокированы.

2. Отключение режима киоска

Откройте Параметры > Учётные записи > Семья и другие пользователи.
В разделе Настроить киоск выберите активный киоск.
Выберите приложение и нажмите Удалить киоск.

Кнопка Удалить киоск

Это вернёт систему в обычный режим для этой учётной записи.

Усиление безопасности киоска

Режим киоска ограничивает возможности пользователей, но для публичных терминалов стоит дополнительно настроить систему. Ниже — набор практик и конкретных шагов.

Включите режим планшета (если есть сенсорный экран)

Откройте Параметры > Система > Режим планшета и включите соответствующий переключатель. Это ограничит работу через клавиатуру и сочетания клавиш на некоторых устройствах.

Отключите действие кнопки питания

Чтобы пользователи не могли выключить или перезагрузить устройство со страницы входа:

Откройте Панель управления > Параметры электропитания > Действие при нажатии кнопки питания.
Выберите Не выполнять никаких действий и сохраните.

Дополнительно — через Редактор локальной групповой политики (gpedit.msc) можно спрятать кнопку питания на экране входа:

Нажмите Win + R, введите gpedit.msc и нажмите Enter.
Перейдите по пути:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Shutdown

Параметры безопасности в локальной групповой политике

Откройте политику Allow system to be shut down without having to log on.

Политика разрешения завершения работы системы без входа

Выберите Disabled, нажмите Apply > OK.

После этого кнопка питания не будет доступна на экране входа.

Отключите уведомления на экране входа

Хотя режим киоска блокирует уведомления для запущенного приложения, уведомления могут появляться на экране входа. Отключите их через Редактор локальной групповой политики:

Откройте gpedit.msc и перейдите к:

Computer Configuration > Administrative Templates > System > Logon

Политики входа в систему

Откройте Turn off app notifications on the lock screen и выберите Enabled, Apply > OK.

Управление обновлениями и перезагрузками

Автоматические обновления и перезагрузки могут прервать работу киоска. Рассмотрите варианты:

Настроить «часы активности» и отложенные перезагрузки в Windows Update для корпоративных устройств.
Использовать централизованное управление обновлениями через WSUS или Microsoft Endpoint Manager.

Важно планировать окна обслуживания и уведомлять операторов киосков заранее.

Ограничьте права учётной записи

Создавайте локальные учётные записи для киоска без административных прав. Проверьте, что учётная запись не входит в группы Administrators или Power Users. Это снижает риск изменения политик и конфигураций пользователем.

Сетевые и брандмауэрные ограничения

Отключите/ограничьте доступ к сетевым ресурсам, которые не нужны киоску.
Для браузерных киосков заблокируйте доступ к нежелательным доменам через прокси или DNS-фильтрацию.
Настройте брандмауэр для ограничений входящих и исходящих соединений по необходимости.

Логи и мониторинг

Организуйте сбор логов (Event Viewer, централизованные агенты) и периодическую проверку состояния устройств. Регулярные аудиты помогут выявить попытки обхода ограничений.

Пошаговый план внедрения киоска (мини-методология)

Оценка потребностей: определите сценарий использования, список приложений и уровень доступа.
Подготовка образа: соберите стандартный образ системы с установленными приложениями и политиками.
Настройка киоска: создайте локальную учётную запись, настройте Assigned Access.
Безопасность: настройте политики gpedit, брандмауэр, обновления и права.
Тестирование: прогоните тест-кейсы (см. ниже).
Развёртывание: установите на устройства и включите мониторинг.
Инцидентная готовность: подготовьте процедуру отката и восстановления.

Критерии приёмки и тест-кейсы

Критерии приёмки (основные):

Устройство автоматически запускает заданное приложение при входе в киоск-учётную запись.
Пользователь не может переключиться на другое приложение или рабочий стол.
Кнопки питания/перезагрузки/уведомления не доступны на экране входа.
Устройство возвращается в рабочее состояние после принудительной перезагрузки (если предусмотрено).

Пример тест-кейсов:

Войти под учётной записью киоска и проверить автозапуск приложения.
Попробовать Ctrl+Alt+Del, Alt+Tab и сочетания клавиш — они не должны открывать другие программы.
Нажать кнопку питания и проверить, что устройство не выключается (в зависимости от политики).
Смоделировать потерю сети и проверить поведение приложения в offline-режиме.
Протестировать обновления — убедиться, что они не прерывают основной сценарий в рабочее время.

Инцидентный план и откат

Если киоск перестаёт корректно работать:

Попытка удалённого перезапуска через MDM/инструмент управления.
Восстановление из контрольной точки Windows или образа, если доступен.
Локальная проверка учётных записей: вернуть ограничения для учётной записи киоска.
Откат конфигурации по чек-листу: удаление Assigned Access, проверка групповых политик.
После восстановления проведите ретроспективу и обновите образ/плейбук.

Краткий откатный сценарий:

Войдите под учётной записью администратора.
Параметры > Учётные записи > Семья и другие пользователи > Удалить киоск.
Проверьте системные журналы и восстановите файлы/реестр при необходимости.

Ролевые чек-листы

Администратор IT:

Подготовить образ системы; установить нужные приложения.
Настроить локальную учётную запись для киоска без прав администратора.
Прописать политики gpedit и параметры электропитания.
Настроить централизованные обновления и мониторинг.

Оператор площадки:

Проверить, что киоск стартует и приложение работает.
Перепроверить сетевое подключение и питание.
Вести журнал инцидентов и оповещать IT при сбоях.

Служба поддержки:

Иметь доступ к инструкциям по откату и восстановлению.
Проверять журналы ошибок и передавать отчёты ответственным.

Таблица настроек киоска — шаблон

Параметр	Значение/Варианты	Примечания
Тип киоска	Одно-приложный / Много-приложный	Выберите в зависимости от сценария
Учётная запись	Локальная (рекомендуется)	Без прав администратора
Приложения	Список разрешённых приложений	Указаны названия и версии
Поведение при перезапуске	Автозапуск приложения	Таймаут и время перезапуска
Обновления	Централизованные / По расписанию	Окна обслуживания
Блокировки клавиш	Да/Нет	Например, Ctrl+Alt+Del ограничен

Совместимость и миграция

Проверьте, поддерживает ли конкретная сборка Windows 11 необходимые политики (Enterprise/Pro зачастую имеют расширенные возможности управления). Если устройство использует специализированное ПО, протестируйте совместимость в контролируемой среде.
При миграции с Windows 10 на 11 проверьте различия в интерфейсе настроек и в поведении Assigned Access.

Короткий глоссарий

Assigned Access — английский термин для режима киоска, задаёт ограничение приложений.
Киоск — устройство с ограниченным пользовательским интерфейсом для одной или нескольких задач.
MDM — Mobile Device Management, система централизованного управления устройствами.

Примеры отказа и альтернативные подходы

Когда киоск не подходит:

Если пользователям требуется доступ к большим объёмам данных или к нескольким пользовательским рабочим столам.
Если приложение требует прав администратора для корректной работы.

Альтернативы:

Ограниченные учётные записи с заранее настроенной средой рабочего стола.
Виртуальные рабочие столы (VDI) с профилями, ограничивающими доступ.

Соображения по безопасности и конфиденциальности

Не храните в локальной учётной записи киоска чувствительные данные.
Ограничьте доступ к сетевым ресурсам и логам, содержащим персональные данные.
При обработке персональных данных убедитесь, что конфигурация соответствует местному законодательству о защите данных.

Важно: если киоск принимает и обрабатывает персональные данные пользователей, разработайте политику хранения и удаления данных в соответствии с требованиями региона.

Короткая аннотация для объявления (100–200 слов)

Режим киоска в Windows 11 позволяет превратить обычный ПК в безопасный терминал для публичного или корпоративного использования. Он ограничивает доступ к системе, запускает одно или несколько конкретных приложений и предотвращает выполнение неподходящих действий пользователями. В руководстве описаны шаги включения и отключения киоска через Параметры, методы усиления безопасности (режим планшета, отключение кнопки питания, политики уведомлений), тестовые сценарии, план отката и ролевые чек-листы для IT-администраторов и операторов площадки. Также приведены рекомендации по управлению обновлениями, сетевой фильтрации и мониторингу. Руководство помогает внедрить киоск надёжно и с минимальным риском просто для команд любой организации.

Резюме

Режим киоска полезен для публичных терминалов и контролируемых рабочих мест.
Настройка происходит через Параметры > Учётные записи > Семья и другие пользователи.
Усильте безопасность: ограничьте права, настройте политики gpedit, управьте обновлениями и сетью.
Протестируйте и подготовьте план отката перед развёртыванием в продуктив.

Примечание: всегда проверяйте совместимость конкретных приложений с режимом киоска на тестовом устройстве перед массовой установкой.