Compartilhar via

Laboratório 3: definir configurações de política em dispositivos IoT

  • Artigo

No laboratório 2, habilitamos os recursos de bloqueio de dispositivo em nossa imagem personalizada. Além dos recursos de bloqueio do Windows IoT Enterprise, os parceiros de dispositivo podem usar uma combinação de Políticas de Grupo e personalizações de recursos para obter a experiência do usuário desejada.

Neste laboratório, recomendamos algumas definições de configuração comuns que os parceiros de dispositivos IoT tendem a usar. Considere se cada definição de configuração individual se aplica ao seu cenário de dispositivo.

Controlar atualizações do Windows

Uma das solicitações mais comuns de parceiros de dispositivo é centrada no controle de atualizações automáticas em dispositivos IoT Windows 10. A natureza dos dispositivos IoT é tal que interrupções inesperadas, por meio de algo como uma atualização não planejada, podem criar uma experiência de dispositivo ruim. Perguntas que você deve fazer ao considerar como controlar as atualizações do Windows:

  • O cenário do dispositivo é tal que qualquer interrupção do fluxo de trabalho é inaceitável?
  • Como as atualizações são validadas antes da implantação?
  • Qual é a experiência do usuário de atualização no próprio dispositivo?

Se você tiver um dispositivo em que a interrupção da experiência do usuário não seja aceitável, você deve:

  • Considere limitar as atualizações a apenas determinadas horas
  • Considere desabilitar as atualizações automáticas
  • Considere a implantação de atualizações manualmente ou por meio de uma solução de terceiros controlada.

Limitar reinicializações de atualizações

Você pode usar a Política de Grupo Horário Ativo, MDM ou registro para limitar as atualizações a apenas determinadas horas.

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update e abra a configuração de política Desativar reinicialização automática para atualizações durante o horário ativo. Habilite a política para definir os horários de início e de término do horário ativo.
  2. Defina a hora de Início e de Término como a janela Horário Ativo. Por exemplo, defina o Horário Ativo para iniciar às 4h e terminar às 2h. Isso permite que o sistema reinicialize após as atualizações entre 2h e 4h.

Controlar notificações de interface do usuário do cliente do Windows Update

Um dispositivo pode ser configurado de forma a ocultar a experiência da interface do usuário para Windows Update, permitindo que o próprio serviço seja executado em segundo plano e atualize o sistema. O cliente do Windows Update ainda respeita as políticas definidas para configurar as Atualizações Automáticas, essa política controla a parte da interface do usuário dessa experiência.

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Exibir opções para notificações de atualização
  2. Defina a política como habilitada.
  3. Defina Especificar as opções de exibição de notificações de atualização como 1 ou 2.

Observação

Defina o valor como 1 para ocultar todas as notificações, exceto avisos de reinicialização, ou como 2 para ocultar todas as notificações, incluindo avisos de reinicialização.

Desabilitar totalmente as atualizações automáticas do Windows

A segurança e a estabilidade estão no centro de um projeto de IoT bem-sucedido, e o Windows Update fornece atualizações para garantir que o Windows 10 IoT Enterprise tenha as atualizações de segurança e estabilidade aplicáveis mais recentes. No entanto, você pode ter um cenário de dispositivo em que a atualização do Windows precisa ser tratada manualmente. Para esse tipo de cenário, recomendamos desabilitar a atualização automática por meio do Windows Update. Em versões anteriores de parceiros de dispositivo do Windows, era possível parar e desabilitar o serviço Windows Update, mas esse não é mais o método com suporte para desabilitar atualizações automáticas. O Windows 10 tem muitas políticas que permitem configurar as Atualizações do Windows de várias maneiras.

Para desabilitar completamente a atualização automática do Windows 10 com o Windows Update.

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Configurar Atualizações Automáticas.
  2. Defina explicitamente a política como Desabilitado. Quando essa configuração é definida como Desabilitada, todas as atualizações disponíveis do Windows Update devem ser baixadas e instaladas manualmente, o que você pode fazer no aplicativo Configurações em Atualização e segurança > do Windows Update.

Desabilitar o acesso à experiência do usuário do Windows Update

Em alguns cenários, configurar de Atualizações automática não é suficiente para preservar uma experiência de dispositivo desejada. Por exemplo, um usuário final ainda pode ter acesso às configurações do Windows Update, o que permitiria atualizações manuais por meio do Windows Update. Você pode configurar a Política de grupo para proibir o acesso ao Windows Update por meio das configurações.

Para proibir o acesso ao Windows Update:

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Remover acesso para uso de todos os recursos do Windows Update.
  2. Defina essa política como Habilitado para impedir a opção "Verificar se há atualizações" para os usuários. Nota: Todas as varreduras, downloads e instalações de atualização em segundo plano continuam a funcionar conforme configurado. Essa política simplesmente impede que o usuário acesse a verificação manual por meio das configurações. Use as etapas na seção anterior para desabilitar também os exames, downloads e instalações.

Importante

Tenha uma estratégia de manutenção bem-projetada para seu dispositivo. Desabilitar as funcionalidades do Windows Update deixará o dispositivo em um estado vulnerável, se o dispositivo não estiver recebendo atualizações de outra maneira.

Impedir que os drivers sejam instalados por meio do Windows Update

Às vezes, os drivers instalados por meio do Windows Update podem causar problemas com uma experiência de dispositivo. As etapas a seguir proíbem o Windows Update de baixar e instalar novos drivers no dispositivo.

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Não incluir drivers com as atualizações do Windows.
  2. Habilite essa política para instruir o Windows a não incluir drivers nas atualizações de qualidade.

Resumo do Windows Update

Você pode configurar o Windows Update de várias maneiras, e nem todas as políticas são aplicáveis a todos os dispositivos. Como regra geral, os dispositivos IoT exigem atenção especial à estratégia de manutenção e gerenciamento a ser usada nos dispositivos. Se sua estratégia de manutenção for desabilitar todos os recursos do Windows Update por meio da política, as etapas a seguir fornecem uma lista combinada de políticas a serem configuradas.

  1. Abra o Editor de Diretiva de Grupo (gpedit.msc) e navegue até Configuração do Computador - Modelos Administrativos - Sistema ->>> Instalação de Dispositivo e defina as seguintes diretivas:
    1. Especifique o servidor de pesquisa para atualizações de driver de dispositivo como Habilitado, com Selecionar servidor de atualização definido como Pesquisar Servidor Gerenciado
    2. Especifique a ordem de pesquisa para locais de origem do driver de dispositivo como Habilitado, com Selecionar ordem de pesquisa definido como Não pesquisar no Windows Update
  2. No Editor de Diretiva de Grupo, navegue até Configuração do Computador - Modelos Administrativos ->> Componentes do Windows -> Windows Update e defina as seguintes diretivas:
    1. Configurar Atualizações Automáticas como Desabilitado
    2. Não incluir drivers com atualizações do Windows como Habilitado
  3. No Editor de Política de Grupo, navegue até Configuração do Computador –> Modelos Administrativos –> Sistema –> Gerenciamento de Comunicação da Internet –> Configurações de Comunicação da Internet e defina Desativar o acesso a todos os recursos do Windows Update como Habilitado
  4. No Editor de Política de Grupo, navegue até Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Windows Update -> Exibir opções para notificações de atualização e defina a política como Habilitado com Especificar as opções de exibição de notificações de atualização como 2

Configurar o sistema para ocultar telas azuis

Verificações de bugs no sistema (Tela Azul ou BSOD) podem ocorrer por vários motivos. Para dispositivos IoT, é importante ocultar esses erros se eles ocorrerem. O sistema ainda pode coletar um despejo de memória para depuração, mas a experiência do usuário deve evitar mostrar a própria tela de erro de verificação de bugs. Você pode configurar o sistema para substituir a "tela azul" por uma tela em branco para erros do sistema operacional.

  1. Abra o Editor do Registro no dispositivo IoT e navegue até HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Adicione um novo valor de registro chamado DisplayDisabled como tipo DWORD (32 bits) com um valor de 1.

Configurar notificações, notificações do sistema e pop-ups

Os dispositivos IoT normalmente suprimem caixas de diálogo comuns do Windows que fazem sentido em cenários de computador, mas podem interromper a experiência do usuário de um dispositivo IoT. A maneira mais simples de desabilitar caixas de diálogo indesejadas é usar um shell personalizado com o Iniciador de Shell ou o Acesso Atribuído. Se o shell personalizado não for a escolha certa, você poderá definir uma combinação de políticas, configurações e ajustes do Registro que podem desabilitar pop-ups e notificações indesejadas.

Notificações

Desabilitar notificações individuais é benéfico em alguns cenários. Por exemplo, se o dispositivo for um tablet, a notificação de Economia de Bateria poderá ser algo que o usuário deve ver, enquanto outras notificações, como do OneDrive ou de Fotos, devem ficar ocultas. Você também pode decidir que seu dispositivo deve suprimir todas as notificações, independentemente do componente do sistema operacional que as está fornecendo.

Ocultar todas as notificações

Um método para desabilitar as notificações é usar o recurso Horas Silenciosas do Windows. Horas Silenciosas funciona de forma semelhante aos recursos encontrados em muitos smartphones que suprimem notificações durante determinadas horas, geralmente durante a noite. No Windows 10, as Horas Silenciosas podem ser definidas como 24 horas por dia, sete dias por semana, para que as notificações nunca sejam mostradas.

Ativar horas de silêncio 24x7

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Usuário –> Modelos Administrativos –> Notificações
  2. Habilite a política para Definir a hora em que as Horas Silenciosas começam todos os dias e defina o valor como 0
  3. Habilite a política para Definir a hora em que as Horas Silenciosas terminam todos os dias e defina o valor como 1439 (há 1440 minutos por dia)

Observação

Há outras políticas em Configuração do Usuário –> Modelos Administrativos –> Notificações que permitem que você obtenha mais detalhes sobre as notificações exatas a serem desabilitadas. Essas opções podem ser úteis em alguns cenários de dispositivo.

Resposta padrão da caixa de mensagem

Esta é uma alteração do Registro que desabilita as caixas de classe MessageBox de aparecer, fazendo com que o sistema selecione automaticamente o botão padrão na caixa de diálogo (OK ou Cancelar). Isso pode ser útil se aplicativos de terceiros, que o parceiro de dispositivo não controla, mostrarem caixas de diálogo no estilo MessageBox. Saiba mais sobre esse valor do Registro em Resposta Padrão da Caixa de Mensagem.

Desabilitar caixas de classe MessageBox
  1. Abrir o Editor do Registro como administrador
  2. Crie um novo valor de registro Dword em HKLM\System\CurrentControlSet\Control\Error Message Instrument, com um valor chamado EnableDefaultReply
  3. Defina os dados do valor EnableDefaultReply como 0
  4. Teste o cenário para garantir que ele esteja funcionando conforme o esperado

Linha de base de segurança

A partir da primeira versão do Windows 10, um conjunto de políticas chamado Linha de Base de Segurança foi fornecido com cada versão do Windows. Uma linha de base de segurança é um grupo de configurações recomendadas pela Microsoft com base em comentários de equipes de engenharia de segurança da Microsoft, grupos de produtos, parceiros e clientes. A Linha de Base de Segurança é uma boa maneira de habilitar rapidamente as configurações de segurança recomendadas em dispositivos IoT.

Observação: os dispositivos que exigem certificação, como o STIG, se beneficiariam do uso da Linha de Base de Segurança como ponto de partida. A linha de base de segurança é entregue como parte do Kit de Ferramentas de Conformidade de Segurança

Baixe o Kit de Ferramentas de Conformidade de Segurança do Centro de Download.

  1. Selecione Download no link acima. Selecione Security Baseline.zip e LGPO.zip da Versão xxxx do Windows 10. Certifique-se de escolher a versão que corresponde à versão do Windows 10 que você está implantando.

  2. Extraia os arquivos Security Baseline.zip e LGPO.zip do Windows 10 Versão xxxx no dispositivo IoT.

  3. Copie LGPO.exe para a pasta Local_Script\Tools da Linha de Base de Segurança do Windows 10 Versão xxxx. O LGPO é necessário para o script de instalação da linha de base de segurança, mas deve ser baixado separadamente.

  4. Em uma execução do Prompt de Comando Administrativo:

    Client_Install_NonDomainJoined.cmd

    ou, se o dispositivo IoT fizer parte de um domínio do Active Directory:

    Client_Install_DomainJoined.cmd

  5. Pressione Enter quando receber a solicitação para executar o script e reinicie o dispositivo IoT.

O que você pode esperar

Muitas configurações estão incluídas como parte da linha de base de segurança. Na pasta Documentação, você encontra uma planilha do Excel que descreve todas as políticas definidas pela linha de base. Você notará imediatamente que a complexidade da senha da conta de usuário deixou de ser a padrão, portanto, talvez seja necessário atualizar as senhas da conta de usuário no sistema ou como parte de sua implantação. Além disso, as políticas são configuradas para acesso a dados da unidade USB. Agora, a cópia de dados do sistema está protegida por padrão. Continue explorando as outras configurações adicionadas pela linha de base de segurança.

Microsoft Defender

A proteção antivírus é necessária em muitos cenários de dispositivo IoT, especialmente dispositivos que são mais completos e que executam um sistema operacional como Windows 10 IoT Enterprise. Para dispositivos como quiosques, POS de varejo, caixa eletrônico etc., o Microsoft Defender está incluído e habilitado por padrão como parte da instalação do Windows 10 IoT Enterprise. Você pode ter um cenário em que deseja modificar o padrão de experiência do usuário do Microsoft Defender. Por exemplo, desabilitar notificações sobre exames executados, ou até mesmo desabilitar exames avançados agendados, usando, em vez disso, apenas o exame em tempo real. As políticas abaixo são úteis para evitar que a interface do usuário indesejada seja criada pelo Microsoft Defender.

  1. Abra o Editor de Diretiva de Grupo (gpedit.msc) e navegue até Configuração do Computador - Modelos Administrativos - Componentes do Windows - Microsoft Defender Antivírus ->>>> Verificar e definir:
    1. Verifique as definições de vírus e spyware mais recentes antes de executar um exame agendado como Desabilitado
    2. Especificar o percentual máximo de utilização da CPU durante uma verificação como 5
    3. Ativar a verificação de atualização completa como Desabilitado
    4. Ativar a verificação rápida de atualização como Desabilitado
    5. Criar um ponto de restauração do sistema como Desabilitado
    6. Defina o número de dias após o qual uma verificação de atualização é forçada como 20 (essa é uma "configuração de precaução" e não deve ser necessária se as verificações de atualização estiverem habilitadas)
    7. Especifique o tipo de verificação a ser usado para uma verificação agendada como Exame rápido
    8. Especifique o dia da semana para executar uma verificação agendada como 0x8 (nunca)
  2. No Editor de Diretiva de Grupo, navegue até Configuração do Computador - Modelos Administrativos - Componentes do Windows - Microsoft Defender Antivírus ->>>> Atualizações de Assinatura e defina:
    1. Definir a quantidade de dias antes das definições de spyware serem consideradas desatualizadas como 30
    2. Definir a quantidade de dias antes das definições de vírus serem consideradas desatualizadas como 30
    3. Ativar a verificação após a atualização de assinatura como Desabilitado
    4. Iniciar atualização de definição durante a inicialização como Desabilitado
    5. Especificar o dia da semana para verificar se há atualizações de definição como 0x8 (nunca)
    6. Definir o número de dias após o qual a atualização de definição de atualização é necessária como 30

Componentes do Windows ->Microsoft Defender Antivírus tem políticas adicionais. verifique cada descrição de configuração para ver se ela se aplica ao dispositivo IoT.

Próximas etapas

Agora que você criou uma imagem adaptada à sua experiência de usuário desejada, capture a imagem para que ela possa ser implantada em quantos dispositivos desejar. O Laboratório 4 aborda como preparar uma imagem para captura e implantá-la em um dispositivo.

Acessar o laboratório 4