Share via

Lab 3: Richtlinieneinstellungen auf IoT-Geräten konfigurieren

  • Artikel

In Übung 2 haben wir gerätesperrungsfeatures für unser benutzerdefiniertes Image aktiviert. Zusätzlich zu den Sperrfunktionen von Windows IoT Enterprise können Gerätepartner eine Mischung aus Gruppenrichtlinien und Funktionsanpassungen verwenden, um die gewünschte Benutzererfahrung zu erzielen.

In dieser Übung wird empfohlen, einige allgemeine Konfigurationseinstellungen zu verwenden, die von IoT-Gerätepartnern häufig verwendet werden. Überlegen Sie, ob jede einzelne Konfigurationseinstellung für Ihr Geräteszenario gilt.

Steuern Sie Windows-Updates

Eine der häufigsten Anfragen von Gerätepartnern dreht sich um die Steuerung automatischer Updates auf Windows 10 IoT-Geräten. Es liegt in der Natur von IoT-Geräten, dass unerwartete Unterbrechungen, etwa durch ein ungeplantes Update, zu einem schlechten Geräteerlebnis führen können. Fragen, die Sie sich stellen sollten, wenn Sie überlegen, wie Sie Windows-Updates steuern können:

  • Ist das Geräteszenario so, dass eine Unterbrechung des Arbeitsablaufs nicht akzeptabel ist?
  • Wie werden Updates vor der Bereitstellung validiert?
  • Wie ist die Update-Benutzererfahrung auf dem Gerät selbst?

Wenn Sie über ein Gerät verfügen, auf dem eine Unterbrechung der Benutzererfahrung nicht akzeptabel ist, sollten Sie:

  • Erwägen Sie, Updates nur auf bestimmte Stunden zu beschränken.
  • Erwägen Sie, automatische Updates zu deaktivieren.
  • Erwägen Sie die Bereitstellung von Updates entweder manuell oder über eine kontrollierte Drittanbieterlösung.

Beschränken Sie Neustarts von Updates

Sie können die Gruppenrichtlinie für aktive Stunden, MDM oder die Registrierungseinstellung verwenden, um Updates auf bestimmte Stunden zu beschränken.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows Update und öffnen Sie die Richtlinieneinstellung Automatischen Neustart für Updates während aktiver Stunden deaktivieren. Aktivieren Sie die Richtlinie, damit Sie die Start- und Endzeiten für aktive Stunden festlegen können.
  2. Legen Sie die Start- und End-Zeiten im Fenster „Aktive Stunden“ fest. Legen Sie beispielsweise fest, dass die aktiven Stunden um 4:00 Uhr beginnen und um 2:00 Uhr enden. Dadurch kann das System zwischen 2:00 und 4:00 Uhr von Aktualisierungen neu gestartet werden.

Steuern Sie UI-Benachrichtigungen vom Windows Update-Client

Ein Gerät kann so konfiguriert werden, dass die Benutzeroberfläche für Windows Update ausgeblendet wird, während der Dienst selbst im Hintergrund ausgeführt und das System aktualisiert wird. Der Windows Update-Client berücksichtigt weiterhin die Richtlinien, die zum Konfigurieren automatischer Updates festgelegt wurden. Diese Richtlinie steuert den UI-Teil dieser Erfahrung.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Anzeigeoptionen für Update-Benachrichtigungen
  2. Setzen Sie die Richtlinie auf aktiviert.
  3. Legen Sie die Anzeigeoptionen für Update-Benachrichtigungen auf 1 oder 2 fest.

Hinweis

Setzen Sie den Wert auf 1, um alle Benachrichtigungen außer Neustartwarnungen auszublenden, oder auf 2, um alle Benachrichtigungen einschließlich Neustartwarnungen auszublenden.

Automatische Windows-Updates vollständig deaktivieren

Sicherheit und Stabilität sind der Kern eines erfolgreichen IoT-Projekts, und Windows Update stellt Updates bereit, um sicherzustellen, dass Windows 10 IoT Enterprise über die neuesten anwendbaren Sicherheits- und Stabilitätsupdates verfügt. Möglicherweise verfügen Sie jedoch über ein Geräteszenario, in dem das Aktualisieren von Windows manuell behandelt werden muss. Für diese Art von Szenario empfehlen wir, die automatische Aktualisierung über Windows Update zu deaktivieren. In früheren Versionen von Windows konnten Gerätepartner den Windows Update-Dienst beenden und deaktivieren, aber dies ist nicht mehr die unterstützte Methode zum Deaktivieren automatischer Updates. Windows 10 verfügt über viele Richtlinien, mit denen Sie Windows-Updates auf verschiedene Arten konfigurieren können.

Um die automatische Aktualisierung von Windows 10 mit Windows Update vollständig zu deaktivieren.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows update\Configure Automatic Updates.
  2. Legen Sie die Richtlinie explizit auf Deaktiviert fest. Wenn diese Einstellung auf "Deaktiviert" festgelegt ist, müssen alle verfügbaren Updates von Windows Update heruntergeladen und manuell installiert werden, die Sie in der Einstellungen-App unter Update & Sicherheitsupdate > ausführen können.

Deaktivieren Sie den Zugriff auf die Benutzeroberfläche von Windows-Update

In manchen Szenarien reicht das Konfigurieren automatischer Updates nicht aus, um eine gewünschte Geräteerfahrung beizubehalten. Beispielsweise kann ein Endbenutzer weiterhin Zugriff auf die Windows Update-Einstellungen haben, was manuelle Updates über Windows-Update ermöglichen würde. Sie können Gruppenrichtlinien konfigurieren, um den Zugriff auf Windows-Update über die Einstellungen zu verbieten.

So verbieten Sie den Zugriff auf das Windows-Update:

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computer Configuration\Administrative Templates\Windows Components\Windows Update\Remove um alle Windows-Update-Funktionen zu nutzen.
  2. Legen Sie diese Richtlinie auf Aktiviert fest, um die Option „Nach Updates suchen“ für Benutzer zu verhindern. Hinweis: Alle Überprüfungen, Downloads und Installationen im Hintergrund funktionieren weiterhin wie konfiguriert. Diese Richtlinie hindert den Benutzer einfach daran, auf die manuellen Check-Through-Einstellungen zuzugreifen. Verwenden Sie die Schritte im vorherigen Abschnitt, um auch Scans, Downloads und Installationen zu deaktivieren.

Wichtig

Stellen Sie sicher, dass Sie eine gut durchdachte Wartungsstrategie für Ihr Gerät haben. Durch das Deaktivieren der Windows Update-Funktionen bleibt das Gerät in einem anfälligen Zustand, wenn Ihr Gerät keine Updates auf andere Weise erhält.

Verhindern Sie, dass Treiber über Windows Update installiert werden

Manchmal können von Windows Update installierte Treiber Probleme mit der Geräteerfahrung verursachen. Mit den folgenden Schritten wird verhindert, dass Windows Update neue Treiber auf dem Gerät herunter- und installiert.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows-Update\Treiber nicht in Windows-Updates einbeziehen.
  2. Aktivieren Sie diese Richtlinie, die Windows anweist, keine Treiber in Windows-Qualitätsupdates aufzunehmen.

Windows-Update-Zusammenfassung

Sie können Windows-Update auf verschiedene Arten konfigurieren, und nicht alle Richtlinien gelten für alle Geräte. In der Regel erfordern IoT-Geräte besondere Aufmerksamkeit für die Wartungs- und Verwaltungsstrategie, die auf den Geräten verwendet werden soll. Wenn Ihre Wartungsstrategie darin besteht, alle Windows Update-Features über eine Richtlinie zu deaktivieren, stellen die folgenden Schritte eine kombinierte Liste der zu konfigurierenden Richtlinien bereit.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), und navigieren Sie zu Computerkonfiguration –> Administrative Vorlagen - System –>> Geräteinstallation, und legen Sie die folgenden Richtlinien fest:
    1. Suchserver für Gerätetreiber-Updates angeben auf Aktiviert, wobei Update-Server auswählen auf Verwalteten Server suchen gesetzt ist
    2. Suchreihenfolge für Quellspeicherorte von Gerätetreibern angeben auf Aktiviert, wobei Suchreihenfolge auswählen auf Windows Update nicht durchsuchen eingestellt ist
  2. Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Windows Update , und legen Sie die folgenden Richtlinien fest:
    1. Konfigurieren Sie Automatische Updates auf Deaktiviert
    2. Keine Treiber in Windows-Updates einbeziehen auf Aktiviert
  3. Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration – >Administrative Vorlagen – > System – > Internetkommunikationsverwaltung –> Internetkommunikationseinstellungen und setzen Sie Zugriff auf alle Windows Update-Funktionen deaktivieren auf Aktiviert
  4. Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration – > Administrative Vorlagen –> Windows-Komponenten – > Windows Update –> Anzeigeoptionen für Updatebenachrichtigungen und setzen Sie die Richtlinie auf Aktiviert mit Geben Sie die Anzeigeoptionen für Updatebenachrichtigungen auf 2 an

Konfigurieren Sie das System so, dass Bluescreens ausgeblendet werden

Bugchecks auf dem System (Blue Screen oder BSOD) können aus vielen Gründen auftreten. Bei IoT-Geräten ist es wichtig, diese Fehler auszublenden, wenn sie auftreten. Das System kann immer noch einen Speicherauszug zum Debuggen sammeln, aber die Benutzererfahrung sollte vermeiden, den Bugcheck-Fehlerbildschirm selbst anzuzeigen. Sie können das System so konfigurieren, dass bei Betriebssystemfehlern der „blaue Bildschirm“ durch einen leeren Bildschirm ersetzt wird.

  1. Öffnen Sie den Registrierungseditor auf dem IoT-Gerät und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Fügen Sie einen neuen Registrierungswert namens DisplayDisabled als DWORD-Typ (32-Bit) mit dem Wert 1 hinzu.

Konfigurieren Sie Benachrichtigungen, Toasts und Popups

IoT-Geräte unterdrücken normalerweise allgemeine Windows-Dialoge, die in PC-Szenarien sinnvoll sind, aber die Benutzererfahrung eines IoT-Geräts stören könnten. Die einfachste Möglichkeit, unerwünschte Dialoge zu deaktivieren, ist die Verwendung einer benutzerdefinierten Shell mit Shell Launcher oder Assigned Access. Wenn die benutzerdefinierte Shell nicht die richtige Wahl ist, können Sie eine Kombination aus Richtlinien, Einstellungen und Registrierungs-Optimierungen festlegen, die unerwünschte Popups und Benachrichtigungen deaktivieren können.

Benachrichtigungen

Das Deaktivieren einzelner Benachrichtigungen ist in einigen Szenarien von Vorteil. Wenn es sich bei dem Gerät beispielsweise um ein Tablet handelt, sollte die Benachrichtigung zum Energiesparmodus möglicherweise etwas sein, das der Benutzer sehen sollte, während andere Benachrichtigungen wie OneDrive oder Fotos ausgeblendet werden sollten. Sie können auch entscheiden, dass Ihr Gerät alle Benachrichtigungen unterdrücken soll, unabhängig von der Betriebssystemkomponente, die sie bereitstellt.

Alle Benachrichtigungen ausblenden

Eine Methode zum Deaktivieren von Benachrichtigungen ist die Verwendung der Ruhezeiten-Funktion von Windows. Ruhezeiten funktionieren ähnlich wie Funktionen vieler Smartphones, die Benachrichtigungen zu bestimmten Zeiten unterdrücken, normalerweise während der Nachtstunden. In Windows 10 können Ruhezeiten auf 24x7 eingestellt werden, sodass Benachrichtigungen nie angezeigt werden.

Aktivieren von 24 x 7 Ruhezeiten

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc) und navigieren Sie zu Benutzerkonfiguration –> Administrative Vorlagen –> Benachrichtigungen
  2. Aktivieren Sie die Richtlinie für Festlegen, wann die Ruhezeiten jeden Tag beginnen, und legen Sie den Wert auf 0 fest
  3. Aktivieren Sie die Richtlinie für Festlegen, wann Ruhezeiten jeden Tag enden und legen Sie den Wert auf 1439 fest (es gibt 1440 Minuten pro Tag)

Hinweis

Es gibt andere Richtlinien in Benutzerkonfiguration – >Administrative Vorlagen –> Benachrichtigungen, mit denen Sie die genauen zu deaktivierenden Benachrichtigungen genauer bestimmen können. Diese Optionen können in einigen Geräteszenarien nützlich sein.

Standardantwort des Nachrichtenfelds

Dies ist eine Registrierungsänderung, mit der MessageBox-Klassenfelder nicht angezeigt werden, indem das System automatisch die Standardschaltfläche im Dialogfeld (OK oder Abbrechen) auswählt. Dies kann hilfreich sein, wenn Anwendungen von Drittanbietern, die der Gerätepartner nicht steuert, Dialogfelder im MessageBox-Stil anzeigen. Informationen zu diesem Registrierungswert finden Sie unter Message Box Default Reply.

Deaktivieren von MessageBox-Klassenfeldern
  1. Öffnen Sie den Registrierungseditor als Administrator
  2. Erstellen Sie einen neuen Dword-Registrierungswert unter HKLM\System\CurrentControlSet\Control\Error Message Instrument mit einem Wert namens EnableDefaultReply
  3. Legen Sie die Daten für den EnableDefaultReply-Wert auf 0 fest
  4. Testen Sie das Szenario, um sicherzustellen, dass es erwartungsgemäß funktioniert

Sicherheitsbaseline

Beginnend mit der ersten Version von Windows 10 wurde mit jeder Windows-Version ein begleitender Richtliniensatz namens Security Baseline bereitgestellt. Eine Sicherheitsbaseline ist eine Gruppe von von Microsoft empfohlenen Konfigurationseinstellungen, die auf Feedback von Microsoft-Sicherheitstechnikteams, Produktgruppen, Partnern und Kunden basieren. Die Sicherheitsbaseline ist eine gute Möglichkeit, empfohlene Sicherheitseinstellungen auf IoT-Geräten schnell zu aktivieren.

Hinweis: Geräte, die eine Zertifizierung erfordern, wie z. B. STIG, würden von der Verwendung der Sicherheitsbaseline als Ausgangspunkt profitieren. Die Sicherheitsbaseline wird als Teil des Security Compliance Toolkit bereitgestellt

Sie können das Security Compliance Toolkit aus dem Download Center herunterladen.

  1. Wählen Sie "Herunterladen " auf dem obigen Link aus. Wählen Sie die Windows 10 Version xxxx Security Baseline.zip und die LGPO.zip aus. Wählen Sie unbedingt die Version aus, die der Version von Windows 10 entspricht, die Sie bereitstellen.

  2. Extrahieren Sie die Datei Windows 10 Version xxxx Security Baseline.zip und die Datei LGPO.zip auf dem IoT-Gerät.

  3. Kopieren Sie LGPO.exe in den Ordner Local_Script\Tools der Windows 10 Version xxxx Security Baseline. LGPO wird vom Sicherheitsbaseline-Installationsskript benötigt, muss aber separat heruntergeladen werden.

  4. Von einer administrativen Eingabeaufforderung aus:

    Client_Install_NonDomainJoined.cmd

    oder, wenn das IoT-Gerät Teil einer Active Directory-Domäne sein wird:

    Client_Install_DomainJoined.cmd

  5. Drücken Sie die Eingabetaste, wenn Sie dazu aufgefordert werden, das Skript auszuführen, und starten Sie das IoT-Gerät dann neu.

Was Sie erwarten können

Viele Einstellungen sind Teil der Sicherheitsbaseline. Im Ordner "Dokumentation" finden Sie eine Excel-Kalkulationstabelle, die alle vom Basisplan festgelegten Richtlinien umschreibt. Sie werden sofort feststellen, dass die Komplexität des Benutzerkontokennworts von der Standardeinstellung geändert wurde, sodass Sie die Benutzerkontokennwörter möglicherweise auf dem System oder als Teil Ihrer Bereitstellung aktualisieren müssen. Außerdem werden Richtlinien für den Datenzugriff auf USB-Laufwerke konfiguriert. Das Kopieren von Daten aus dem System ist jetzt standardmäßig geschützt. Fahren Sie mit der Erkundung der anderen Einstellungen fort, die durch die Sicherheitsbaseline hinzugefügt wurden.

Microsoft Defender

Virenschutz ist in vielen IoT-Geräteszenarien erforderlich, insbesondere bei Geräten mit umfassenderen Funktionen, auf denen ein Betriebssystem wie Windows 10 IoT Enterprise ausgeführt wird. Für Geräte wie Kioske, Einzelhandels-POS, Geldautomaten usw. ist Microsoft Defender enthalten und standardmäßig als Teil der Windows 10 IoT Enterprise-Installation aktiviert. Möglicherweise haben Sie ein Szenario, in dem Sie die standardmäßige Microsoft Defender-Benutzeroberfläche ändern möchten. Beispielsweise das Deaktivieren von Benachrichtigungen über durchgeführte Scans oder sogar das Deaktivieren geplanter tiefer Scans zugunsten der ausschließlichen Verwendung von Echtzeit-Scans. Die folgenden Richtlinien sind nützlich, um zu verhindern, dass unerwünschte Benutzeroberflächen von Microsoft Defender erstellt werden.

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc), und navigieren Sie zu Computerkonfiguration –> Administrative Vorlagen - Windows-Komponenten ->> Microsoft Defender Antivirus –> Scannen und festlegen:
    1. Suchen Sie nach den neuesten Viren- und Spyware-Definitionen, bevor Sie einen geplanten Scan auf Deaktiviert setzen
    2. Legen Sie den maximalen Prozentsatz der CPU-Auslastung während eines Scans auf 5 fest
    3. Schalten Sie den vollständigen Scan aufholen auf Deaktiviert ein
    4. Schalten Sie den Schnellscan aufholen auf Deaktiviert ein
    5. Erstellen Sie einen Systemwiederherstellungspunkt auf Deaktiviert
    6. Definieren Sie die Anzahl der Tage, nach denen ein Catch-up-Scan auf 20 gezwungen wird (dies ist eine „nur für den Fall“-Einstellung und sollte nicht benötigt werden, wenn Catch-up-Scans aktiviert sind)
    7. Legen Sie den für einen geplanten Scan zu verwendenden Scantyp auf Schnellscan fest
    8. Geben Sie den Wochentag, an dem ein geplanter Scan ausgeführt werden soll, auf 0x8 (nie) an
  2. Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten – Microsoft Defender Antivirus –>> Signaturupdates und -satz:
    1. Definieren der Anzahl von Tagen, bevor Spyware-Definitionen veraltet gelten auf 30
    2. Definieren der Anzahl von Tagen, bevor Virus-Definitionen veraltet gelten auf 30
    3. Scan nach Signaturaktualisierung einschalten auf Deaktiviert
    4. Definitionsaktualisierung beim Start auf Deaktiviert einleiten
    5. Wochentag angeben, um nach Definitionsaktualisierungen zu suchen in 0x8 (nie)
    6. Definieren Sie die Anzahl der Tage, nach denen eine Aktualisierung der Nachholdefinition erforderlich ist auf 30

Windows-Komponenten –>Microsoft Defender Antivirus verfügt über zusätzliche Richtlinien. Überprüfen Sie jede Einstellungsbeschreibung, um festzustellen, ob sie für Ihr IoT-Gerät gilt.

Nächste Schritte

Nachdem Sie nun ein Image erstellt haben, das auf Ihre gewünschte Benutzererfahrung zugeschnitten ist, können Sie Ihr Image erfassen, damit es auf beliebig vielen Geräten bereitgestellt werden kann. Lab 4 behandelt, wie Sie ein Image für die Erfassung vorbereiten und es dann auf einem Gerät bereitstellen.

Gehen Sie zu Lab 4