Compartir a través de

Laboratorio 3: Configuración de directivas en dispositivos IoT

  • Artículo
  • Se aplica a:
    ✅ Windows 11, ✅ Windows 10

En el laboratorio 2 hemos habilitado las características de bloqueo de dispositivos en nuestra imagen personalizada. Además de las características de bloqueo de Windows IoT Enterprise, los asociados de dispositivos pueden usar una combinación de directivas de grupo y personalizaciones de características para lograr la experiencia del usuario deseada.

En este laboratorio, recomendamos algunas opciones de configuración comunes que suelen usar los partners de dispositivos IoT. Tenga en cuenta si cada opción de configuración individual se aplica al escenario del dispositivo.

Control de las actualizaciones de Windows

Una de las solicitudes más comunes de los partners de dispositivos se centra en controlar las actualizaciones automáticas en los dispositivos IoT con Windows. La naturaleza de los dispositivos IoT es tal que las interrupciones inesperadas, a través de algo como una actualización no planeada, pueden crear una mala experiencia de dispositivo. Preguntas que debe hacer al considerar cómo controlar las actualizaciones de Windows:

  • ¿El escenario del dispositivo es tal que cualquier interrupción del flujo de trabajo es inaceptable?
  • ¿Cómo se validan las actualizaciones antes de la implementación?
  • ¿Cuál es la experiencia del usuario de la actualización en el propio dispositivo?

Si tienes un dispositivo en el que la interrupción de la experiencia del usuario no sea aceptable, debes:

  • Considerar la posibilidad de limitar las actualizaciones solo a determinadas horas
  • Considerar la posibilidad de deshabilitar las actualizaciones automáticas
  • Considera la posibilidad de implementar actualizaciones manualmente o a través de una solución de terceros controlada.

Limitación de los arranques de las actualizaciones

Puedes usar la directiva de grupo de horas activas, la administración de dispositivos móviles (MDM) o la configuración de registro para limitar las actualizaciones solo a determinadas horas.

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\ Plantillas administrativas\ Componentes de Windows\ Windows Update\ Administrar la experiencia del usuario final y abre la configuración de directiva Desactivar el arranque automático para las actualizaciones durante las horas activas.
  2. Establezca la directiva como Habilitada.
  3. Configure la hora de Inicio y Finalización en la ventana Horas activas. Por ejemplo, configure las horas activas para que comiencen a las 4:00 a.m. y a finalicen a las 2:00 a. m. Esto permite que el sistema se arranque a partir de las actualizaciones entre las 2:00 a. m. y las 4:00 a. m.

Control de las notificaciones de la interfaz de usuario desde el cliente de Windows Update

Un dispositivo se puede configurar de forma que se oculte la experiencia de interfaz de usuario de Windows Update, al tiempo que se permite que el propio servicio se ejecute en segundo plano y actualice el sistema. El cliente de Windows Update sigue respetando las directivas establecidas para configurar actualizaciones automáticas; esta directiva controla la parte de la interfaz de usuario de esa experiencia.

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\ Plantillas administrativas\ Componentes de Windows\ Windows Update\ Administrar la experiencia del usuario final y abre la configuración de directiva Opciones de visualización para las notificaciones de actualización.
  2. Establezca la directiva como Habilitada.
  3. Establece Especificar las opciones de visualización de las notificaciones de actualización en 1: Deshabilitar todas las notificaciones, excepto las advertencias de reinicio o 2: Deshabilitar todas las notificaciones, incluyendo las advertencias de reinicio.

Desactivación completa de las actualizaciones automáticas de Windows

La seguridad y la estabilidad son el núcleo de un proyecto de IoT exitoso y Windows Update proporciona actualizaciones para garantizar que Windows IoT Enterprise tenga las actualizaciones de seguridad y estabilidad aplicables más recientes. Aunque es posible que tengas un escenario de dispositivo en el que la actualización de Windows tenga que gestionarse manualmente. Para este tipo de escenario, se recomienda desactivar la actualización automática mediante Windows Update. En versiones anteriores de Windows, los partners de dispositivos podían detener y desactivar el servicio Windows Update, pero este ya no es el método admitido para deshabilitar las actualizaciones automáticas. Windows tiene una serie de directivas que te permiten configurar las actualizaciones de Windows de varias maneras.

Para desactivar por completo la actualización automática de Windows con Windows Update.

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\ Plantillas administrativas\ Componentes de Windows\ Windows update\ Administrar la experiencia del usuario final y abre la configuración de directiva Configurar actualizaciones automáticas.
  2. Establezca explícitamente la directiva en Deshabilitada. Cuando esta opción se establece en Deshabilitado, las actualizaciones disponibles de Windows Update deben descargarse e instalarse manualmente, lo que puede hacerse en la aplicación Configuración en Windows Update.

Desactivación del acceso a la experiencia del usuario de Windows Update

En algunos escenarios, la configuración de actualizaciones automáticas no es suficiente para conservar una experiencia de dispositivo deseada. Por ejemplo, es posible que un usuario final todavía tenga acceso a la configuración de Windows Update, lo que permitiría actualizaciones manuales a través de Windows Update. Puede configurar la directiva de grupo para prohibir el acceso a Windows Update mediante la configuración.

Para prohibir el acceso a Windows Update:

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\ Plantillas administrativas\ Componentes de Windows\ Actualización de Windows\ Administrar la experiencia del usuario final y abre la configuración de directiva Quitar el acceso a usar todas las características de Windows Update.
  2. Establezca esta directiva en Habilitada para evitar que los usuarios usen la opción "Buscar actualizaciones". Nota: Los exámenes de actualizaciones en segundo plano, las descargas y las instalaciones seguirán funcionando según lo configurado. Esta directiva simplemente impide que el usuario acceda a la comprobación manual a través de la configuración. Sigue los pasos de la sección anterior para deshabilitar también exámenes, descargas e instalaciones.

Importante

Asegúrate de tener una estrategia de mantenimiento bien diseñada para el dispositivo. Al deshabilitar las funciones de Windows Update, el dispositivo queda en un estado vulnerable si no se actualiza de otra manera.

Cómo impedir la instalación de controladores a través de Windows Update

A veces, los controladores instalados a través de Windows Update pueden causar problemas con una experiencia de dispositivo. Los siguientes pasos prohíben que Windows Update descargue e instale nuevos controladores en el dispositivo.

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\Plantillas administrativas\Componentes de Windows\WindowsUpdate\Administrar actualizaciones que ofrece Windows Update y abre la configuración de directiva No incluir controladores con las actualizaciones de Windows
  2. Habilitar esta directiva le indica a Windows que no incluya controladores con actualizaciones de calidad de Windows.

Resumen de Windows Update

Puedes configurar Windows Update de varias maneras, y no todas las directivas son aplicables a todos los dispositivos. Como norma general, los dispositivos IoT requieren una atención especial a la estrategia de mantenimiento y administración que se usará en ellos. Si la estrategia de mantenimiento consiste en deshabilitar todas las características de Windows Update a través de la directiva, los siguientes pasos proporcionan una lista combinada de directivas para configurar.

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\Plantillas administrativas\Sistema\Instalación de dispositivos y establece las siguientes directivas:
    1. Especifica el servidor de búsqueda para las actualizaciones del controlador de dispositivo en Habilitado, con Seleccionar servidor de actualización establecido en Buscar servidor administrado
    2. Especifica el orden de búsqueda para las ubicaciones de origen del controlador de dispositivo en Habilitado, con Seleccionar el orden de búsqueda establecido en No buscar en Windows Update
  2. En el Editor de directiva de grupo, ve a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update y establece las siguientes directivas:
    1. Configurar actualizaciones automáticas en Deshabilitado
    2. No incluir controladores con actualizaciones de Windows en Habilitado
  3. En el editor de directiva de grupo, ve a Configuración del equipo\Plantillas administrativas\Sistema\Administración de comunicaciones de Internet\Configuración de comunicación de Internet y establece Desactivar el acceso a todas las características de Windows Update en Habilitado
  4. En el editor de directiva de grupo, ve a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Mostrar opciones para las notificaciones de actualización y establece la directiva en Habilitado con Especificar las opciones de visualización de notificaciones de actualización en 2

Configuración del sistema para ocultar pantallas azules

Las correcciones de errores en el sistema (pantalla azul o BSOD) pueden producirse por muchas razones. En el caso de los dispositivos IoT, es importante ocultar estos errores si se producen. El sistema todavía puede recopilar un volcado de memoria para la depuración, pero la experiencia del usuario debe evitar mostrar la propia pantalla de error de comprobación de errores. Puedes configurar el sistema para reemplazar la "pantalla azul" por una pantalla en blanco para los errores del sistema operativo.

  1. Abre el editor del registro en el dispositivo IoT y ve a Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Agrega un nuevo registro denominado DisplayDisabled de tipo DWORD (32 bits) con un valor de 1.

Configuración de notificaciones, notificaciones del sistema y elementos emergentes

Normalmente, los dispositivos IoT suprimen los cuadros de diálogo comunes de Windows que tienen sentido en escenarios de PC, pero que podrían interrumpir la experiencia del usuario de un dispositivo IoT. La manera más sencilla de deshabilitar los diálogos no deseados es usar un Shell personalizado mediante el Launcher de Shell o el acceso asignado. Si el Shell personalizado no es la opción adecuada, puedes establecer una combinación de directivas, configuraciones y ajustes de registro que pueden deshabilitar las notificaciones y los elementos emergentes no deseados.

Notificaciones

En algunos escenarios, deshabilitar las notificaciones individuales es beneficioso. Por ejemplo, si el dispositivo es un dispositivo de tableta, la notificación de ahorro de batería puede ser algo que el usuario debería ver, mientras que otras notificaciones, como las de OneDrive o Fotos deberían estar ocultas. También puedes decidir que el dispositivo debe suprimir todas las notificaciones, independientemente del componente del sistema operativo que las proporcione.

Cómo ocultar todas las notificaciones

Un método para deshabilitar las notificaciones es usar la función de Windows Horas tranquilas. Horas tranquilas funciona de forma similar a las características que se encuentran en muchos smartphones que suprimen las notificaciones durante determinadas horas, normalmente durante las horas de noche. En Windows, Horas tranquilas se puede establecer en 24/7 para que nunca se muestren las notificaciones.

Habilitación de Horas tranquilas 24/7:

  1. Abre el editor de directiva de grupo (gpedit.msc) y ve a Configuración de usuario\Plantillas administrativas\Menú de inicio y barra de tareas\Notificaciones
  2. Habilita la directiva para Establecer la hora en que comienza cada día Horas tranquilas y establece el valor en 0
  3. Habilita la directiva para Establecer la hora en que termina cada día Horas tranquilas y establece el valor en 1439 (un día tiene 1440 minutos)

Sugerencia

Hay otras directivas en Configuración de usuario\Plantillas administrativas\Menú de inicio y barra de tareas\Notificaciones que permiten obtener más granulares sobre las notificaciones exactas que se deshabilitarán. Estas opciones pueden ser útiles en algunos escenarios de dispositivo.

Respuesta predeterminada del cuadro de mensajes

Se trata de un cambio en el registro que deshabilitará la aparición de cuadros de clase MessageBox, haciendo que el sistema seleccione automáticamente en el botón predeterminado del diálogo (Aceptar o Cancelar). Esto puede ser útil si las aplicaciones de terceros, que el partner del dispositivo no controla, muestran cuadros de diálogo del estilo de MessageBox. Puedes obtener información sobre este valor del registro en Respuesta predeterminada del cuadro de mensajes.

Habilitación de la respuesta predeterminada del cuadro de mensajes
  1. Abre el Editor del registro como administrador
  2. Crea un nuevo valor del registro Dword en HKLM\System\CurrentControlSet\Control\Error Message Instrument, con un valor denominado EnableDefaultReply
  3. Establece los datos del valor EnableDefaultReply en 1
  4. Prueba el escenario para asegurarte de que funciona según lo previsto

Línea de base de seguridad

A partir de la primera versión de Windows, se ha proporcionado un conjunto de directivas adjunto denominado base de referencia de seguridad con cada versión de Windows. Una base de referencia de seguridad es un grupo de opciones de configuración recomendadas por Microsoft en función de los comentarios de los equipos de ingeniería de seguridad de Microsoft, grupos de productos, socios y clientes. La base de referencia de seguridad es una buena manera de habilitar rápidamente la configuración de seguridad recomendada en dispositivos IoT.

Nota:

Los dispositivos que requieren certificación como la STIG se beneficiarían del uso de la base de referencia de seguridad como punto de partida. La base de referencia de seguridad se entrega como parte del Kit de herramientas de cumplimiento de seguridad

Puedes descargar el Kit de herramientas de cumplimiento de seguridad del Centro de descarga.

  1. Selecciona Descargar en el vínculo anterior. Selecciona el archivo Windows Version xxxx Security Baseline.zip y el LGPO.zip. Asegúrate de elegir la versión que coincide con la versión de Windows que vas a implementar.

  2. Extrae el archivo Windows Version xxxx Security Baseline.zip y el LGPO.zip en el dispositivo IoT.

  3. Copia el archivo LGPO.exe en la carpeta Scripts\Tools de la base de referencia de seguridad Windows versión xxxx. El LGPO es necesario para el script de instalación de la base de referencia de seguridad, pero debe descargarse por separado.

  4. Desde un símbolo del sistema administrativo, ejecuta:

    Client_Install_NonDomainJoined.cmd

    o bien, si el dispositivo IoT formará parte de un dominio de Active Directory:

    Client_Install_DomainJoined.cmd

  5. Presiona Enterar cuando se te pida que ejecutes el script y reinicies el dispositivo IoT.

Lo que se puede esperar

Muchas configuraciones se incluyen como parte de la base de referencia de seguridad. En la carpeta Documentación encontrarás una hoja de Excel que describe todas las directivas establecidas por la línea base. Observarás inmediatamente que la complejidad de la contraseña de la cuenta de usuario ha cambiado su valor predeterminado, por lo que es posible que tengas que actualizar las contraseñas de cuenta de usuario en el sistema o como parte de la implementación. Además, las directivas se configuran para el acceso a datos de unidad USB. La copia de datos del sistema está protegida de forma predeterminada. Continúa explorando los demás valores agregados por la base de referencia de seguridad.

Microsoft Defender

La protección antivirus es necesaria en muchos escenarios de dispositivos IoT, especialmente los dispositivos que tienen más características y ejecutan un sistema operativo como Windows IoT Enterprise. Para dispositivos como pantallas completas, Retail POS, cajeros automáticos, etc. Microsoft Defender se incluye y habilita de forma predeterminada como parte de la instalación de Windows IoT Enterprise. Es posible que tengas un escenario en el que quieras modificar la experiencia predeterminada del usuario de Microsoft Defender. Por ejemplo, deshabilitar las notificaciones sobre los exámenes realizados o incluso deshabilitar los exámenes profundos programados en favor de usar solo el examen en tiempo real. Las siguientes directivas son útiles para evitar que Microsoft Defender cree una interfaz de usuario no deseada.

  1. Abre el Editor de directiva de grupo (gpedit.msc) y ve a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Antivirus Microsoft Defender\Examinar y establece:

    1. Buscar las definiciones más recientes de virus y spyware antes de ejecutar un examen programado en Deshabilitado
    2. Especificar el porcentaje máximo de uso de CPU durante un examen en 5
    3. Activar el examen completo de recuperación en Deshabilitado
    4. Activar el examen rápido de recuperación en Deshabilitado
    5. Crear un punto de restauración del sistema en Deshabilitado
    6. Define el número de días tras los cuales se fuerza un examen de recuperación en20 (se trata de una configuración "por si acaso" y no debería ser necesaria si los exámenes de recuperación están habilitados)
    7. Especificar el tipo de examen que se va a usar para un examen programado en Examen rápido
    8. Especificar el día de la semana en el que se ejecutará un examen programado en 0x8 (nunca)

  2. En el Editor de directiva de grupo, ve a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Antivirus Microsoft Defender\Actualizaciones de inteligencia de seguridad y establece:

    1. Definir el número de días antes de que la inteligencia de seguridad de spyware se considere obsoleta en 30
    2. Definir el número de días antes de que la inteligencia de seguridad de virus se considere obsoleta en 30
    3. Activar el examen después de actualizar la inteligencia de seguridad a Deshabilitado
    4. Iniciar la actualización de inteligencia de seguridad al iniciar en Deshabilitado
    5. Especificar día de la semana para comprobar si hay actualizaciones de inteligencia de seguridad en 0x8 (nunca)
    6. Definir el número de días después de los cuales se requiere una actualización de inteligencia de seguridad de recuperación en 30.

Componentes de Windows\Antivirus de Microsoft Defender tiene directivas adicionales, comprueba cada descripción de configuración para ver si se aplica al dispositivo IoT.

Pasos siguientes

Ahora que ha creado una imagen que se adapta a la experiencia del usuario deseada, puede capturarla para que se pueda implementar en tantos dispositivos como desee. En el laboratorio 4 se explica cómo preparar una imagen para la captura y, a continuación, implementarla en un dispositivo.

Ir al laboratorio 4