Freigeben über

Lab 3: Richtlinieneinstellungen auf IoT-Geräten konfigurieren

  • Artikel
  • Gilt für::
    ✅ Windows 11, ✅ Windows 10

In Übung 2 haben wir die Funktionen zur Gerätesperrung in unserem benutzerdefinierten Image aktiviert. Zusätzlich zu den Sperrfunktionen von Windows IoT Enterprise können Gerätepartner eine Mischung aus Gruppenrichtlinien und Funktionsanpassungen verwenden, um die gewünschte Benutzererfahrung zu erzielen.

In dieser Übung empfehlen wir einige gängige Konfigurationseinstellungen, die von IoT-Gerätepartnern häufig verwendet werden. Überlegen Sie, ob jede einzelne Konfigurationseinstellung für Ihr Geräteszenario gilt.

Steuern Sie Windows-Updates

Eine der häufigsten Anfragen von Gerätepartnern dreht sich um die Steuerung automatischer Updates auf Windows IoT-Geräten. Es liegt in der Natur von IoT-Geräten, dass unerwartete Unterbrechungen, etwa durch ein ungeplantes Update, zu einem schlechten Geräteerlebnis führen können. Fragen, die Sie sich stellen sollten, wenn Sie überlegen, wie Sie Windows-Updates steuern können:

  • Ist das Geräteszenario so, dass eine Unterbrechung des Arbeitsablaufs nicht akzeptabel ist?
  • Wie werden Updates vor der Bereitstellung validiert?
  • Wie ist die Update-Benutzererfahrung auf dem Gerät selbst?

Wenn Sie ein Gerät haben, bei dem eine Unterbrechung der Benutzerfreundlichkeit nicht akzeptabel ist, sollten Sie das tun:

  • Erwägen Sie, Aktualisierungen nur auf bestimmte Stunden zu beschränken
  • Erwägen Sie die Deaktivierung automatischer Aktualisierungen
  • Erwägen Sie die Bereitstellung von Aktualisierungen entweder manuell oder über eine kontrollierte Lösung eines Drittanbieters.

Beschränken Sie Neustarts von Updates

Sie können die Gruppenrichtlinie „Aktivitätsstunden“, die Mobilgeräteverwaltung (MDM) oder die Registrierungseinstellung verwenden, um Aktualisierungen auf bestimmte Stunden zu beschränken.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage end user experience und öffnen Sie die Richtlinieneinstellung Automatischen Neustart für Updates während der aktiven Stunden deaktivieren.
  2. Legen Sie die Richtlinie auf Aktiviert fest.
  3. Legen Sie die Start- und End-Zeiten im Fenster „Aktive Stunden“ fest. Legen Sie beispielsweise fest, dass die aktiven Stunden um 4:00 Uhr beginnen und um 2:00 Uhr enden. Dadurch kann das System zwischen 2:00 und 4:00 Uhr von Aktualisierungen neu gestartet werden.

Steuern Sie UI-Benachrichtigungen vom Windows Update-Client

Ein Gerät kann so konfiguriert werden, dass die Benutzeroberfläche für Windows Update ausgeblendet wird, während der Dienst selbst im Hintergrund ausgeführt und das System aktualisiert wird. Der Windows Update-Client berücksichtigt weiterhin die Richtlinien, die zum Konfigurieren automatischer Updates festgelegt wurden. Diese Richtlinie steuert den UI-Teil dieser Erfahrung.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage end user experience und öffnen Sie die Richtlinieneinstellung Anzeigeoptionen für Updatebenachrichtigungen.
  2. Legen Sie die Richtlinie auf Aktiviert fest.
  3. Setzen Sie Geben Sie die Anzeigeoptionen für Update-Benachrichtigungen an auf 1 – Alle Benachrichtigungen deaktivieren, außer Neustartwarnungen oder 2 – Alle Benachrichtigungen deaktivieren, einschließlich Neustartwarnungen.

Automatische Windows-Updates vollständig deaktivieren

Sicherheit und Stabilität sind das Herzstück eines erfolgreichen IoT-Projekts, und Windows Update stellt Aktualisierungen bereit, um sicherzustellen, dass Windows IoT Enterprise über die neuesten anwendbaren Sicherheits- und Stabilitätsupdates verfügt. Möglicherweise gibt es jedoch ein Geräteszenario, bei dem die Aktualisierung von Windows manuell verarbeitet werden muss. Für diese Art von Szenario empfehlen wir, die automatische Aktualisierung über Windows Update zu deaktivieren. In früheren Versionen von Windows konnten Gerätepartner den Windows Update-Dienst beenden und deaktivieren, aber dies ist nicht mehr die unterstützte Methode zum Deaktivieren automatischer Updates. Windows verfügt über viele Richtlinien, mit denen Sie Windows-Updates auf verschiedene Weise konfigurieren können.

So deaktivieren Sie die automatische Aktualisierung von Windows mit Windows Update vollständig:

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Endbenutzererfahrung verwalten und öffnen Sie die Richtlinieneinstellung Automatische Updates konfigurieren.
  2. Legen Sie die Richtlinie explizit auf Deaktiviert fest. Wenn diese Einstellung auf „Deaktiviert“ gesetzt ist, müssen alle verfügbaren Updates von Windows Update manuell heruntergeladen und installiert werden. Dies können Sie in der App „Einstellungen“ unter Windows Update tun.

Deaktivieren Sie den Zugriff auf die Benutzeroberfläche von Windows-Update

In manchen Szenarien reicht das Konfigurieren automatischer Updates nicht aus, um eine gewünschte Geräteerfahrung beizubehalten. Beispielsweise kann ein Endbenutzer weiterhin Zugriff auf die Windows Update-Einstellungen haben, was manuelle Updates über Windows-Update ermöglichen würde. Sie können Gruppenrichtlinien konfigurieren, um den Zugriff auf Windows-Update über die Einstellungen zu verbieten.

So verbieten Sie den Zugriff auf das Windows-Update:

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Endbenutzererfahrung verwalten und öffnen Sie die Richtlinieneinstellung Zugriff auf alle Windows Update-Funktionen entfernen.
  2. Legen Sie diese Richtlinie auf Aktiviert fest, um die Option „Nach Updates suchen“ für Benutzer zu verhindern. Beachten Sie: Alle Scans, Downloads und Installationen von Aktualisierungen im Hintergrund funktionieren weiterhin wie konfiguriert. Diese Richtlinie hindert den Benutzer einfach daran, auf die manuellen Check-Through-Einstellungen zuzugreifen. Verwenden Sie die Schritte im vorherigen Abschnitt, um auch Scans, Downloads und Installationen zu deaktivieren.

Wichtig

Stellen Sie sicher, dass Sie eine gut durchdachte Wartungsstrategie für Ihr Gerät haben. Durch das Deaktivieren der Windows Update-Funktionen bleibt das Gerät in einem anfälligen Zustand, wenn Ihr Gerät keine Updates auf andere Weise erhält.

Verhindern Sie, dass Treiber über Windows Update installiert werden

Manchmal können von Windows Update installierte Treiber Probleme mit der Geräteerfahrung verursachen. Die folgenden Schritte verhindern, dass Windows Update neue Treiber auf das Gerät herunterlädt und installiert.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows update\Manage updates offered from Windows Update und öffnen Sie die Richtlinieneinstellung Treiber nicht in Windows Updates einbeziehen.
  2. Aktivieren Sie diese Richtlinie, die Windows anweist, keine Treiber in Windows-Qualitätsupdates aufzunehmen.

Windows-Update-Zusammenfassung

Sie können Windows-Update auf verschiedene Arten konfigurieren, und nicht alle Richtlinien gelten für alle Geräte. In der Regel erfordern IoT-Geräte besondere Aufmerksamkeit für die Wartungs- und Verwaltungsstrategie, die auf den Geräten verwendet werden soll. Wenn Ihre Wartungsstrategie darin besteht, alle Windows Update-Funktionen über eine Richtlinie zu deaktivieren, stellen die folgenden Schritte eine kombinierte Liste der zu konfigurierenden Richtlinien bereit.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\System\Device Installation und legen Sie die folgenden Richtlinien fest:
    1. Suchserver für Gerätetreiber-Updates angeben auf Aktiviert, wobei Update-Server auswählen auf Verwalteten Server suchen gesetzt ist
    2. Suchreihenfolge für Quellspeicherorte von Gerätetreibern angeben auf Aktiviert, wobei Suchreihenfolge auswählen auf Windows Update nicht durchsuchen eingestellt ist
  2. Navigieren Sie im Gruppenrichtlinien-Editor zu Computer Configuration\Administrative Templates\Windows Components\Windows Update und legen Sie die folgenden Richtlinien fest:
    1. Konfigurieren Sie Automatische Updates auf Deaktiviert
    2. Keine Treiber in Windows-Updates einbeziehen auf Aktiviert
  3. Navigieren Sie im Gruppenrichtlinien-Editor zu Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings und legen Sie Zugriff auf alle Windows Update-Funktionen ausschalten auf Aktiviert fest
  4. Navigieren Sie im Gruppenrichtlinien-Editor zu Computer Configuration\Administrative Templates\Windows Components\Windows Update\Display options for update notifications und legen Sie die Richtlinie auf Aktiviert mit Anzeigeoptionen für Update-Benachrichtigungen festlegen auf 2 fest.

Konfigurieren Sie das System so, dass Bluescreens ausgeblendet werden

Bugchecks auf dem System (Blue Screen oder BSOD) können aus vielen Gründen auftreten. Für IoT-Geräte ist es wichtig, diese Fehler zu verbergen, wenn sie auftreten. Das System kann immer noch einen Speicherauszug zum Debuggen sammeln, aber die Benutzererfahrung sollte vermeiden, den Bugcheck-Fehlerbildschirm selbst anzuzeigen. Sie können das System so konfigurieren, dass bei Betriebssystemfehlern der „blaue Bildschirm“ durch einen leeren Bildschirm ersetzt wird.

  1. Öffnen Sie den Registrierungseditor auf dem IoT-Gerät und navigieren Sie zu Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Fügen Sie eine neue Registrierung mit dem Namen DisplayDisabled vom Typ DWORD (32-Bit) mit einem Wert von 1 hinzu.

Konfigurieren Sie Benachrichtigungen, Toasts und Popups

IoT-Geräte unterdrücken normalerweise allgemeine Windows-Dialoge, die in PC-Szenarien sinnvoll sind, aber die Benutzererfahrung eines IoT-Geräts stören könnten. Der einfachste Weg, unerwünschte Dialoge zu deaktivieren, ist die Verwendung einer benutzerdefinierten Shell mit Shell Launcher oder Zugewiesener Zugriff. Wenn die benutzerdefinierte Shell nicht die richtige Wahl ist, können Sie eine Kombination aus Richtlinien, Einstellungen und Registrierungs-Optimierungen festlegen, die unerwünschte Popups und Benachrichtigungen deaktivieren können.

Benachrichtigungen

Die Deaktivierung einzelner Benachrichtigungen ist in einigen Szenarien von Vorteil. Wenn es sich bei dem Gerät beispielsweise um ein Tablet handelt, sollte die Benachrichtigung zum Energiesparmodus möglicherweise etwas sein, das der Benutzer sehen sollte, während andere Benachrichtigungen wie OneDrive oder Fotos ausgeblendet werden sollten. Sie können auch entscheiden, dass Ihr Gerät alle Benachrichtigungen unterdrücken soll, unabhängig von der Betriebssystemkomponente, die sie bereitstellt.

Alle Benachrichtigungen ausblenden

Eine Methode zum Deaktivieren von Benachrichtigungen ist die Verwendung der Ruhezeiten-Funktion von Windows. Ruhezeiten funktionieren ähnlich wie Funktionen vieler Smartphones, die Benachrichtigungen zu bestimmten Zeiten unterdrücken, normalerweise während der Nachtstunden. In Windows können Ruhezeiten auf 24x7 eingestellt werden, sodass Benachrichtigungen nie angezeigt werden.

Aktivieren Sie 24x7 Ruhezeiten

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu User Configuration\Administrative Templates\Start Menu and Taskbar\Notifications
  2. Aktivieren Sie die Richtlinie für Festlegen, wann die Ruhezeiten jeden Tag beginnen, und legen Sie den Wert auf 0 fest
  3. Aktivieren Sie die Richtlinie für Festlegen, wann Ruhezeiten jeden Tag enden und legen Sie den Wert auf 1439 fest (es gibt 1440 Minuten pro Tag)

Tipp

Es gibt weitere Richtlinien in „User Configuration\Administrative Templates\Start Menu and Taskbar\Notifications“, mit denen Sie die genauen Benachrichtigungen, die deaktiviert werden sollen, genauer festlegen können. Diese Optionen können in einigen Geräteszenarien nützlich sein.

Standardantwort des Nachrichtenfelds

Dies ist eine Registrierungsänderung, die das Auftauchen von MessageBox-Klassenfeldern verhindert, indem das System automatisch die Standardschaltfläche des Dialogs (OK oder Abbrechen) auswählt. Dies kann nützlich sein, wenn Anwendungen von Drittanbietern, die der Gerätepartner nicht kontrolliert, Dialoge im MessageBox-Stil anzeigen. Informationen zu diesem Registrierungswert finden Sie unter Standardantwort des Nachrichtenfelds.

MessageBox-Standardantwort aktivieren
  1. Öffnen Sie den Registrierungseditor als Administrator
  2. Erstellen Sie einen neuen Dword-Registrierungswert unter HKLM\System\CurrentControlSet\Control\Error Message Instrument mit einem Wert namens EnableDefaultReply
  3. Die Daten für den Wert EnableDefaultReply auf 1 festlegen
  4. Testen Sie das Szenario, um sicherzustellen, dass es wie erwartet funktioniert.

Sicherheitsbaseline

Beginnend mit der ersten Version von Windows wurde mit jeder Windows-Version ein begleitender Richtliniensatz namens Security Baseline bereitgestellt. Eine Sicherheitsbaseline ist eine Gruppe von von Microsoft empfohlenen Konfigurationseinstellungen, die auf Feedback von Microsoft-Sicherheitstechnikteams, Produktgruppen, Partnern und Kunden basieren. Die Sicherheitsbaseline ist eine gute Möglichkeit, empfohlene Sicherheitseinstellungen auf IoT-Geräten schnell zu aktivieren.

Hinweis

Geräte, die eine Zertifizierung erfordern, wie STIG, würden von der Verwendung der Security Baseline als Ausgangspunkt profitieren. Die Sicherheitsbaseline wird als Teil des Security Compliance Toolkit bereitgestellt

Sie können das Security Compliance Toolkit aus dem Download Center herunterladen.

  1. Wählen Sie Download auf dem obigen Link. Wählen Sie die Windows Version xxxx Security Baseline.zip und die LGPO.zip aus. Achten Sie darauf, die Version auszuwählen, die der Version von Windows entspricht, die Sie bereitstellen.

  2. Extrahieren Sie die Datei Windows Version xxxx Security Baseline.zip und die Datei LGPO.zip auf dem IoT-Gerät.

  3. Kopieren Sie LGPO.exe in den Ordner Scripts\Tools der Windows Version xxxx Security Baseline. LGPO wird vom Sicherheitsbaseline-Installationsskript benötigt, muss aber separat heruntergeladen werden.

  4. Von einer administrativen Eingabeaufforderung aus:

    Client_Install_NonDomainJoined.cmd

    oder, wenn das IoT-Gerät Teil einer Active Directory-Domäne sein wird:

    Client_Install_DomainJoined.cmd

  5. Drücken Sie die Eingabetaste, wenn Sie dazu aufgefordert werden, das Skript auszuführen, und starten Sie das IoT-Gerät dann neu.

Was Sie erwarten können

Viele Einstellungen sind Teil der Sicherheitsbaseline. Im Ordner Dokumentation finden Sie ein Excel-Arbeitsblatt, in dem alle in der Baseline festgelegten Richtlinien aufgeführt sind. Sie werden sofort feststellen, dass die Komplexität des Benutzerkontokennworts von der Standardeinstellung geändert wurde, sodass Sie die Benutzerkontokennwörter möglicherweise auf dem System oder als Teil Ihrer Bereitstellung aktualisieren müssen. Außerdem werden Richtlinien für den Datenzugriff auf USB-Laufwerke konfiguriert. Das Kopieren von Daten aus dem System ist jetzt standardmäßig geschützt. Fahren Sie mit der Erkundung der anderen Einstellungen fort, die durch die Sicherheitsbaseline hinzugefügt wurden.

Microsoft Defender

Virenschutz ist in vielen IoT-Geräteszenarien erforderlich, insbesondere bei Geräten mit umfassenderen Funktionen, auf denen ein Betriebssystem wie Windows IoT Enterprise ausgeführt wird. Für Geräte wie Kioske, Einzelhandels-POS, Geldautomaten usw. ist Microsoft Defender enthalten und standardmäßig als Teil der Windows IoT Enterprise-Installation aktiviert. Möglicherweise haben Sie ein Szenario, in dem Sie die standardmäßige Microsoft Defender-Benutzeroberfläche ändern möchten. Beispielsweise das Deaktivieren von Benachrichtigungen über durchgeführte Scans oder sogar das Deaktivieren geplanter tiefer Scans zugunsten der ausschließlichen Verwendung von Echtzeit-Scans. Die folgenden Richtlinien sind nützlich, um zu verhindern, dass unerwünschte Benutzeroberflächen von Microsoft Defender erstellt werden.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Scan und legen Sie Folgendes fest:

    1. Suchen Sie nach den neuesten Viren- und Spyware-Definitionen, bevor Sie einen geplanten Scan auf Deaktiviert setzen
    2. Legen Sie den maximalen Prozentsatz der CPU-Auslastung während eines Scans auf 5 fest
    3. Schalten Sie den vollständigen Scan aufholen auf Deaktiviert ein
    4. Schalten Sie den Schnellscan aufholen auf Deaktiviert ein
    5. Erstellen Sie einen Systemwiederherstellungspunkt auf Deaktiviert
    6. Definieren Sie die Anzahl der Tage, nach denen ein Catch-up-Scan auf 20 gezwungen wird (dies ist eine „nur für den Fall“-Einstellung und sollte nicht benötigt werden, wenn Catch-up-Scans aktiviert sind)
    7. Legen Sie den für einen geplanten Scan zu verwendenden Scantyp auf Schnellscan fest
    8. Geben Sie den Wochentag, an dem ein geplanter Scan ausgeführt werden soll, auf 0x8 (nie) an

  2. Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Defender Antivirus\Security Intelligence Updates und legen Sie Folgendes fest:

    1. Definieren der Anzahl von Tagen, bevor Spyware-Definitionen als veraltet gelten auf 30
    2. Definieren der Anzahl von Tagen, bevor Virus-Definitionen als veraltet gelten auf 30
    3. Scan nach Security Intelligence-Update aktivieren auf Deaktiviert
    4. Aktualisierung der Sicherheitsinformationen beim Starten einleiten bis Deaktiviert
    5. Wochentag angeben, um nach Security Intelligence-Updates zu suchen auf 0x8 (nie)
    6. Die Anzahl der Tage festlegen, nach denen eine Aktualisierung von Security Intelligence erforderlich ist auf 30

Windows-Komponenten\Microsoft Defender Antivirus verfügt über zusätzliche Richtlinien. Weitere Informationen finden Sie in den Beschreibungen der einzelnen Einstellungen, um zu sehen, ob sie auf Ihr IoT-Gerät zutreffen.

Nächste Schritte

Nachdem Sie nun ein Image erstellt haben, das auf Ihre gewünschte Benutzererfahrung zugeschnitten ist, können Sie Ihr Image erfassen, damit es auf beliebig vielen Geräten bereitgestellt werden kann. Lab 4 behandelt, wie Sie ein Image für die Erfassung vorbereiten und es dann auf einem Gerät bereitstellen.

Gehen Sie zu Lab 4