Surface hub что это
Компьютер, заточенный в телевизоре ‑ Microsoft Surface Hub 2S
Компьютер — штука универсальная, вы можете запустить на нем практически любой софт, от редактора картинок и игрушек до мессенджера с видеосвязью. В широкой продаже нет компьютеров для выполнения исключительно одной функции, например, ноутбука только для Skype или Zoom. Покупая графическую станцию для работы с видео, вы все равно получаете универсальный компьютер, в котором усилили одну из составляющих.
Но в последние годы создатели софта стали творить также и железо, как следствие, они стараются построить решения, которые подчеркивают их софт, но в меньшей степени такие устройства можно назвать универсальными. Мы видели экраны, созданные под видеоконференции, все чаще появляются большие интерактивные доски для корпораций, такие ожидаешь увидеть в переговорках, где бурлит жизнь.
В Microsoft всегда любили ощущение будущего, которое давали большие экраны. В 2015 году компания анонсировала первое поколение Surface Hub, большой интерактивной доски для корпораций, это был первый продукт компании в этой области. Заказов, по словам представителей Microsoft, было так много, что пришлось начало продаж перенести на полгода, первые покупатели получили Surface Hub только в январе 2016 года. Компания выпустила две модели, диагональю 55 и 84 дюйма, стоимость младшей составляла 8 999 долларов, старшей — 22 700 долларов. Комплект поставки не включал в себя стойку, ее нужно было покупать отдельно — 1 449 и 2 922 доллара соответственно. Впервые в привязке к Surface Hub мы услышали про Windows 10 Team, это урезанная версия Windows 10 Enterprise, которая позволяла работать в группах. Но так как внутри Hub был полноценный компьютер, то предполагалась и установка обычной версии Windows.
Надо вспомнить, что в то время уже вовсю использовались проекторы, которые позволяли получать более-менее яркую картинку на стене, управлять с помощью стилуса тем, что происходит, а транслировать можно было что угодно, хоть Windows и софт из-под системы, хоть картинку из других операционных систем. Относительная дешевизна таких решений подкупала многих, на этом фоне тот же Surface Hub смотрелся пришельцем с другой планеты — громоздкий, дорогой, требующий много места. Но преимущество решения от Microsoft было очевидным, это был продукт от компании, которая производит Windows, тут была максимальная интеграция всех сервисов плюс яркая, качественная картинка на экране. Такие интерактивные доски стали хороши в небольших пространствах переговорных комнат, где качество картинки играет роль, а проектор не всегда уместен и требует изменения освещения. Для корпораций стоимость устройства отошла на второй план, а вот его возможности стали крайне интересными.
Ниша, в которой играет Surface Hub, относительно невелика, говорить о том, что такие интерактивные экраны могут появиться в каждом офисе, нельзя. Это рынок, на который вышли и другие игроки — Huawei, Samsung, ряд американских производителей и китайских компаний. Все пытаются дать свое прочтение интерактивной доски, каждый производитель подходит к продукту исходя из своих сильных сторон.
Обзор безопасности Surface Hub
Surface Hub предоставляет заблокированный интерфейс, похожий на устройство, со встроенным ПО для платформы под управлением операционной системы Windows 10 для совместной работы. Итоговое устройство использует традиционный «одноразовый» безопасный киоск, принцип «запуск только необходимого» и обеспечивает современный подход. Разработанный для поддержки широкого взаимодействия пользователей, Surface Hub защищен от постоянно развивающихся угроз безопасности.
Основанный на Windows 10, Surface Hub обеспечивает современную защиту корпоративного уровня, позволяя ИТ-администраторам обеспечивать защиту данных с помощью BitLocker, Trusted Platform Module 2.0 (TPM), а также облачную защиту с помощью Защитника Windows (также известного как Microsoft Defender).
Защита в глубине безопасности
Протоколы безопасности начинаются, как только Surface Hub включен. Начиная с уровня встроенного программного обеспечения, Surface Hub загружает операционную систему и ее компоненты только в ответ на многочисленные проверки безопасности. Surface Hub использует стратегию под названием «Защита в глубине», которая включает в себя наложение независимых защитных подкомпонентов для защиты всей системы в случае частичного отказа. Эта отраслевая практика доказала свою высокую эффективность в борьбе с потенциальными узконаправленными эксплойтами и слабостью подкомпонентов.
Современный единый расширяемый интерфейс встроенного ПО (UEFI) статически и безопасно настроен корпорацией Майкрософт для загрузки только проверенной операционной системы Windows 10 для совместной работы из внутреннего хранилища. Подпись каждой строки кода, выполняемой на Surface Hub, проверяется перед выполнением. Только приложения, подписанные Microsoft, либо как часть операционной системы, либо установленные через Microsoft Store, могут работать на Surface Hub. Код или приложения, не соответствующие этим требованиям, блокируются.
Системы безопасности Surface Hub включают в себя следующее:
Защита при загрузке
SoC имеет процессор безопасности, который отделен от любого другого ядра. При первом запуске Surface Hub запускается только обработчик безопасности перед загрузкой других компонентов.
Безопасная загрузка
Безопасная загрузка используется для проверки того, что компоненты процесса загрузки, в том числе драйверы и операционная система, проверены по базе данных действительных и известных сигнатур. В Surface Hub сначала необходимо проверить подпись для конкретной платформы, прежде чем можно будет загрузить авторизованную операционную систему Windows Team. Это помогает предотвратить атаки со стороны клонированной или модифицированной системы, на которой запущен вредоносный код, скрытый в том, что кажется обычным для пользователя. Дополнительные сведения см. в статье общие сведения о безопасной загрузке.
Защита операционной системы
Как только операционная система подтверждена как исходящая от Microsoft, и Surface Hub успешно завершает процесс загрузки, устройство анализирует исполняемый код. Наш подход к защите операционной системы включает идентификацию подписи кода всех исполняемых файлов, позволяя загружать в среду выполнения только те из них, которые соответствуют нашим ограничениям. Этот метод подписи кода позволяет операционной системе проверять автора и подтверждать, что код не был изменен до запуска на устройстве.
Surface Hub использует функцию подписи кода, известную как целостность кода пользовательского режима (UMCI) в Windows Application Control (ранее известная как Device Guard). Параметры политики настроены так, чтобы разрешать только приложения, удовлетворяющие одному из следующих требований:
Файл конфигурации подписан с использованием Microsoft Production Root CA, разработанного для предотвращения удаления или изменения ограничений третьей стороной. Все остальные исполняемые файлы на этом этапе просто блокируются на уровне среды выполнения операционной системы и не имеют доступа к вычислительной мощности. Это уменьшение поверхности атаки обеспечивает следующие меры защиты:
Помимо блокировки неподписанного или неправильно подписанного кода с помощью UMCI, Surface Hub использует Windows Application Control для блокировки компонентов Windows, таких как командная строка, PowerShell и диспетчер задач. Эти меры безопасности отражают ключевую конструктивную особенность Surface Hub как защищенного вычислительного устройства. Дополнительные сведения см. в следующих разделах:
Защита интерфейса пользователя
В то время как средства защиты при загрузке и блокировки операционной системы обеспечивают основную безопасность, пользовательский интерфейс обеспечивает дополнительный уровень, разработанный для дальнейшего снижения риска. Чтобы предотвратить попадание вредоносного кода на устройство через драйверы, Surface Hub не загружает расширенные драйверы для устройств Plug and Play (PnP). Устройства, использующие базовые драйверы, такие как USB-устройства флэш-памяти или сертифицированные периферийные устройства Surface Hub (динамики, микрофоны, камеры), работают должным образом, но современные системы, такие как принтеры, не будут работать.
Защита пользовательского интерфейса также упрощает пользовательский интерфейс, дополнительно предотвращая выполнение вредоносного программного обеспечения или кода. Следующие элементы пользовательского интерфейса Surface Hub обеспечивают безопасность ядра, обеспечиваемую подписью кода:
Пуск и все приложения. Компоненты «Пуск» и «Все приложения» Surface Hub не предоставляют доступ к командной строке, PowerShell или другим компонентам Windows, заблокированным с помощью Application Control. Кроме того, функция запуска Windows, обычно доступная на ПК из поля поиска, отключена для Surface Hub.
Улучшения безопасности в Surface Hub 2S
Хотя Surface Hub и Surface Hub 2S работают под управлением одного и того же программного обеспечения операционной системы, некоторые функции, уникальные для Surface Hub 2S, обеспечивают дополнительные возможности управления и безопасности, позволяющие ИТ-администраторам выполнять следующие задачи:
Управление настройками UEFI с помощью SEMM
На высоком уровне, в процессе подготовки к работе на заводе-изготовителе Surface Hub UEFI предварительно настроен для включения безопасной загрузки и настроен на загрузку только с внутреннего твердотельного накопителя (SSD), при этом доступ к меню UEFI заблокирован, а ярлыки удалены. Это закрывает доступ к UEFI и гарантирует, что устройство может загружаться только в операционной системе Windows Team, установленной на Surface Hub.
При управлении через Microsoft Surface Enterprise Management Mode (SEMM) ИТ-администраторы могут развертывать параметры UEFI на устройствах-концентраторах в организации. Это включает в себя возможность включать или отключать встроенные компоненты оборудования, защищать настройки UEFI от несанкционированного изменения пользователями и настраивать параметры загрузки.
Администраторы могут внедрять SEMM и зарегистрированные устройства Surface Hub 2S, используя загружаемый конфигуратор Microsoft Surface UEFI. Для получения дополнительной информации см. Защита и управление Surface Hub 2S с помощью SEMM и UEFI. Защищенный с помощью сертификата для защиты конфигурации от несанкционированного вмешательства или удаления, SEMM позволяет управлять следующими компонентами:
Восстановите концентратор с загрузочным USB
Surface Hub 2S позволяет администраторам переустанавливать устройство до заводских настроек, используя образ для восстановления всего за 20 минут. Как правило, вам нужно будет это сделать, только если ваш Surface Hub больше не работает. Восстановление также полезно, если вы потеряли ключ Bitlocker или у вас больше нет учетных данных администратора в приложении «Настройки».
Укрепить учетную запись устройства с ротацией пароля
Surface Hub использует учетную запись устройства, также известную как «учетная запись помещения», для аутентификации в Exchange, Microsoft Teams и других службах. Когда вы включаете ротацию паролей, Hub 2S автоматически генерирует новый пароль каждые 7 дней, состоящий из 15-32 символов с комбинацией прописных и строчных букв, цифр и специальных символов. Поскольку никто не знает пароль, ротация пароля учетной записи устройства эффективно снижает риск, связанный с человеческими ошибками и потенциальными атаками на социальную инженерию.
Windows 10 корпоративного уровня безопасности
В дополнение к конкретным конфигурациям и функциям Surface Hub, описанным в этом документе, Surface Hub также использует стандартные функции безопасности Windows 10. К ним можно отнести следующие.
Беспроводная безопасность для Surface Hub
Surface Hub использует технологию Wi-Fi Direct / Miracast и соответствующие стандарты 802.11, Wi-Fi Protected Access (WPA2) и Wireless Protected Setup (WPS). Поскольку данное устройство поддерживает только WPS (в отличие от предварительного ключа (PSK) WPA2 или WPA2 Enterprise), проблемы, традиционно связываемые с шифрованием 802.11, намеренно упрощены.
Miracast является частью стандарта Wi-Fi Display, который в свою очередь поддерживается протоколом Wi-Fi Direct. Эти стандарты поддерживаются в современных мобильных устройствах для совместного использования экрана и совместной работы.
Безопасность для Wi-Fi Direct обеспечивается технологией WPA2 с помощью стандарта WPS. Устройства могут быть аутентифицированы с использованием цифрового контакта, физической или виртуальной кнопки или внеполосного сообщения с использованием связи ближнего поля. По умолчанию Surface Hub поддерживает как кнопки, так и методы PIN. Дополнительную информацию смотрите в разделе Как Surface Hub решает проблемы безопасности Wi-Fi Direct.
Основы операционной системы (Surface Hub)
Операционная система Surface Hub, Windows 10 для совместной работы, основана на Windows 10 Корпоративная и обеспечивает мощную поддержку корпоративного управления, механизмов безопасности и других функций. Однако между ними имеются существенные различия. Выпуск «Корпоративная» предназначен для ПК, а Windows 10 для совместной работы специально разработан для больших экранов и конференц-залов. Оценивая требования безопасности и управления для Surface Hub, целесообразно рассматривать ее как новую операционную систему. В этой статье перечислены основные различия между Windows 10 для совместной работы на Surface Hub и Windows 10 Корпоративная, а также значение этих различий для вашей организации.
Начиная с сентября 2020 г. клиенты могут перейти в Windows 10 Pro или Enterprise на Surface Hub 2S. Подробнее см. в следующих разделах:
Пользовательский интерфейс
Оболочка (пользовательский интерфейс ОС)
Оболочка Surface Hub изначально создана для больших экранов и поддерживает сенсорный ввод. В Windows 10 Корпоративная используется другая оболочка.
Это может повлиять на следующие политики организации:
Экран блокировки и экранная заставка
В Surface Hub нет экрана блокировки или экранной заставки, однако имеется схожая функция— экран приветствия. На экране приветствия выводятся запланированные собрания из календаря учетной записи устройства и удобные точки входа в основные приложения Surface Hub— Skype для бизнеса, доска и Connect.
Это может повлиять на следующие политики организации:
Вход пользователя в систему
Устройства Surface Hub предназначены для использования в общественных местах, например конференц-залах. В отличие от компьютеров с Windows, пользоваться Surface Hub может любой пользователь, не выполняя вход в систему. Для обеспечения работы этой функции общего пользования в Surface Hub поддержка входа в Windows отличается от поддержки входа в Windows 10 Корпоративная (вход пользователя в операционную систему и использование этих учетных данных во всей операционной системе). Вместо этого всегда существует локальный пользователь с автоматическим входом в систему Surface Hub c низким уровнем прав. Вход дополнительных пользователей, включая администраторов, не поддерживается (например, если администратор выполняет вход, он не входит в операционную систему).
Пользователи могут выполнять вход в Surface Hub, но они не будут авторизованы в операционной системе. Например, когда пользователь входит в «Приложения» или «Мои собрания и файлы», он выполняет вход только в приложения или службы, но не в операционную систему. В результате вошедший в систему пользователь может извлечь свои файлы в облаке и личные встречи, сохраненные в облаке, и его учетные данные удаляются при активации функции Завершить сеанс.
Это может повлиять на следующие политики организации:
Сохранение и поиск файлов
Пользователи имеют доступ к ограниченному набору каталогов на Surface Hub:
Файлы, сохраненные локально в этих каталогах, удаляются при нажатии пользователем кнопки Завершить сеанс. Чтобы сохранить содержимое, созданное во время собрания, пользователи должны сохранить файлы на USB-накопитель или диск OneDrive.
Приложения
Приложения по умолчанию
С некоторыми исключениями приложения универсальной платформы Windows (UWP) по умолчанию на Surface Hub также доступны на компьютерах с Windows 10.
Предварительно установленные на Surface Hub приложения UWP:
Это может повлиять на следующие политики организации:
Установка приложений, драйверов и служб
Чтобы сохранить аппаратные функции и внешний вид на устройстве, Surface Hub поддерживает только установку приложений универсальной платформы Windows (UWP) и не поддерживает установку классических приложений, служб и драйверов Win32. Кроме того, устанавливать приложения UWP могут только администраторы.
Это может повлиять на следующие политики организации:
Безопасность и блокировка
Чтобы Surface Hub можно было использовать в общественных местах, таких как конференц-залы, в настраиваемой ОС устройства реализовано множество доступных в Windows10 функций безопасности и блокировки. Дополнительные сведения см. в Surface Hub Обзор безопасности
Surface Hub реализует следующие функции безопасности Windows 10:
Дополнительную безопасность обеспечивают следующие функции Surface Hub:
Это может повлиять на следующие политики организации:
Управление
Параметры устройств
Параметры устройства можно настроить с помощью приложения «Параметры». Приложение «Параметры» настраивается для Surface Hub, но содержит множество знакомых параметров из Windows 10 Desktop. При открытии приложения «Параметры» для проверки учетных данных администратора отображается запрос системы контроля учетных записей, однако это не позволяет администратору автоматически выполнить вход.
Это может повлиять на следующие политики организации:
Административные функции
Административные функции в Windows 10 Корпоративная, например консоль управления Microsoft, выполнение команд, командная строка, PowerShell, редактор реестра, средство просмотра событий и диспетчер задач не поддерживаются на Surface Hub. Приложение «Параметры» содержит все административные функции, которые доступны локально на Surface Hub.
Удаленное управление и мониторинг
Surface Hub поддерживает удаленное управление с помощью решений управления мобильными устройствами (MDM), таких как Microsoft Intune и мониторинга через Azure Monitor.
Это может повлиять на следующие политики организации:
Групповая политика
Surface Hub не поддерживает Windows групповой политики, включая аудит. Вместо этого для применения политик на Surface Hub следует использовать систему MDM. Дополнительные сведения о системе MDM см. в разделе Управление параметрами Surface Hub с использованием поставщика MDM.
Это может повлиять на следующие политики организации:
Удаленная помощь
Surface Hub не поддерживает удаленную помощь.
Это может повлиять на следующие политики организации:
Присоединение к домену и присоединение к Azure Active Directory (Azure AD)
Surface Hub использует присоединение к домену и присоединение к Azure AD в основном для обеспечения группы администрирования, которая резервируется в каталоге. Гибридное участие не поддерживается. Пользователи не могут выполнить вход в систему с учетной записью домена. Дополнительные сведения см. в разделе Управление группой администраторов.
Это может повлиять на следующие политики организации:
Доступ к ресурсам домена
Пользователи могут войти в Microsoft Edge для работы с сайтами интрасети и онлайн-ресурсами (например, Office 365). Если Surface Hub настраивается с учетной записью устройства, система использует ее для доступа к Exchange и Skype для бизнеса. Однако Surface Hub не поддерживает доступ к доменным ресурсам, например общим папкам и принтерам.
Это может повлиять на следующие политики организации:
Диагностические данные
Операционная система Surface Hub использует компонент Windows 10 Connected User Experience and Telemetry для сбора и передачи данных диагностики. Дополнительные сведения см. в разделе Настройка диагностических данных Windows в организации.
Это может повлиять на следующие политики организации:
Техническая документация Майкрософт
Домашняя страница документации и учебных ресурсов Майкрософт для разработчиков и технических специалистов.
Документация
Выполняйте поиск по обширным ресурсам документации для продуктов Майкрософт.
Learn
Найдите пути обучения по роли, тематике или технологии.
Вопросы и ответы
Задавайте вопросы и учитесь на опыте специалистов технического сообщества.
Примеры кода
Изучите наши примеры и узнайте, какие можно создавать решения.
Каталог продуктов
Microsoft Learn
Если вы только начинаете работу или являетесь уже опытным профессионалом, наш практический подход поможет вам быстрее и увереннее достичь своих целей, обучаясь в удобном темпе.
Обучайтесь по удобному графику
Изучите выбранную тему подробно с помощью пошаговых схем или узнайте, как выполнить конкретную задачу, используя отдельные модули.
Получите сертификат Майкрософт
Простимулируйте свою карьеру и продемонстрируйте свои достижения, пройдя отраслевую сертификацию Майкрософт.
Просматривайте мероприятия в прямом эфире и в записи
Просматривайте потоковое техническое содержимое о продуктах Майкрософт от специалистов, которые создают эти продукты и ежедневно используют их.
Рекомендуемые ресурсы
Майкрософт для стартапов
Вместе мы сильнее: приглашаем социальных предпринимателей со всего мира, разрабатывающих решения для борьбы с COVID-19.
Майкрософт для учащихся
Предоставьте преподавателям и учащимся профессиональные инструменты и программное обеспечение для разработчиков.
Learn TV
Видеоматериалы от разработчиков и технических энтузиастов, в обсуждении которых вы можете поучаствовать.
Интересуетесь последними объявлениями и обновлениями Документации Майкрософт? Читайте блог команды разработчиков
Руководство по подготовке узла Surface Hub
Это руководство по подготовке к работе на сайте поможет вам спланировать установку Surface Hub. В этом руководстве вы найдете:
Планирование готовности сайта
Для обеспечения удобного просмотра углов комната должна быть достаточно большой, но достаточно мала для того, чтобы микрофон Выбери четкие сигналы от людей в комнате. Большинство комнат в течение 22 метров (семь метров) обеспечивают хорошее качество собраний. В области Конференции Подключите Surface Hub, где:
Рекомендации по оборудованию
Surface Hub поступают с:
Необходимо предоставить следующие возможности:
Microsoft Surface Hub имеет внутренний компьютер и не нуждается в внешней системе.
Данные и другие соединения
Для использования Surface Hub требуется активный порт Ethernet и стандартную розетку питания. Кроме того, вы можете сделать следующее:
Когда поступает Surface HUB
Surface Hub крупная и тяжелая, поэтому вы можете получать информацию о том, когда она будет доставлена, и что нужно сделать для безопасного управления. Подробные сведения о весах и других спецификациях можно найти в 55 «Техническая информация о Microsoft Surface Hub или 84» Техническая информация о Surface Hub Microsoft.
Перемещение Surface HUB
Перед перемещением Surface Hub убедитесь в том, что все doorways, пороговые значения, hallways и Elevators достаточно велики для размещения. Сведения об измерениях и весе Surface Hub в ее контейнере отгрузки можно найти в 55 «Техническая информация Microsoft Surface Hub или 84» Техническая информация о Surface Hub Microsoft.
Распаковать Surface HUB
Сведения о распаковке данных можно найти в руководстве по распаковке, которое входит в состав контейнера отгрузки. Вы можете открыть инструкции распаковки, прежде чем открывать контейнер отгрузки. Эти инструкции также можно найти здесь:https://www.microsoft.com/surface/support/surface-hub
Сохраняйте и сохраняйте все учебные материалы Surface Hub (в том числе палета, контейнеры и винты) на случай, если вам нужно отгрузить Surface Hub в новое место или отправить его для ремонта. Для Surface Hub 84 не заменяйте дескрипторы подъема.
Подъемный Surface HUB
Монтирование и настройка
Подключить Surface Hub можно тремя способами:
Спецификации для доступных подключений для исходного Surface Hub описаны ниже.
Связь с пользователем
Connect позволяет другим пользователям проецировать свой портативный компьютер, планшет или телефон на экран Surface Hub. Connect допускает типы беспроводных и беспроводных подключений.
Беспроводное соединение
Поскольку беспроводное соединение основано на Miracast, вам не нужны кабели или дополнительное планирование настройки для ее использования. Пользователи могут загрузить Miracast на большинстве устройств с поддержкой Miracast для Windows 8,1 и Windows 10. После этого они смогут проецировать свой экран с компьютера или телефона на экран Surface Hub.
Проводное подключение
С помощью проводного подключения кабель передает информацию с компьютеров, планшетов и телефонов на Surface Hub. Вы используете три варианта видеокабеля, и все они используют один и тот же USB-разъем 2,0. Комплект кабелей может включать один или несколько из этих вариантов подключения.
Например, чтобы обеспечить поддержку звука, видео и touchback для всех трех параметров видеосвязи, необходимо включить в комплект кабелей для проводного подключения:
Когда вы создаете комплекты кабелей для проводной связи, ознакомьтесь с разделом 55 «Техническая информация о Surface Hub Microsoft или 84» для получения конкретных технических и физических данных и местоположений портов для каждого типа Surface Hub. Убедитесь, что кабели достаточно длинны для Surface Hub, где будет находиться докладчик.