Share via

Лаборатория 3. Настройка параметров политики на устройствах Интернета вещей

  • Статья

В лаборатории 2 мы включили функции блокировки устройств на пользовательском образе. Помимо функций блокировки Windows IoT Enterprise партнеры устройств могут использовать сочетание групповых политик и настроек компонентов для достижения требуемого пользовательского интерфейса.

В этой лаборатории рекомендуется использовать некоторые распространенные параметры конфигурации, используемые партнерами устройств Интернета вещей. Рассмотрите, применяется ли каждый отдельный параметр конфигурации к сценарию устройства.

Управление Обновл. Windows

Одним из наиболее распространенных запросов от партнеров устройств является управление автоматическими обновлениями на устройствах Windows 10 IoT. Характер устройств Интернета вещей такой, что непредвиденные нарушения, через что-то подобное незапланированное обновление, могут создать плохой интерфейс устройства. Вопросы, которые следует задать при рассмотрении управления обновлениями Windows:

  • Является ли сценарий устройства таким, что любое нарушение рабочего процесса неприемлемо?
  • Как проверяются обновления до развертывания?
  • Что такое взаимодействие с пользователем обновления на самом устройстве?

Если у вас есть устройство, в котором нарушение взаимодействия с пользователем неприемлемо, следует:

  • Рассмотрите возможность ограничения обновлений только в определенные часы
  • Рассмотрите возможность отключения автоматических обновлений
  • Рассмотрите возможность развертывания обновлений вручную или с помощью управляемого стороннего решения.

Ограничение перезагрузки от обновлений

Вы можете использовать групповую политику active Hours, MDM или реестр, чтобы ограничить обновления только определенными часами.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Администратор istrative Templates\Windows Components\Обновл. Windows" и откройте параметр автоматического перезапуска для обновлений в течение активных часов политики. Включите политику, чтобы можно было задать время начала и окончания в течение активных часов.
  2. Задайте время начала и окончания в окне "Активные часы". Например, задайте для активных часов значение 4:00AM и конец 2:00AM. Это позволяет системе перезагружаться от обновлений в период с 2:00 до 4:00.

Управление уведомлениями пользовательского интерфейса из клиента Обновл. Windows

Устройство можно настроить таким образом, чтобы скрыть интерфейс пользовательского интерфейса для Обновл. Windows, позволяя службе запускаться в фоновом режиме и обновлять систему. Клиент Обновл. Windows по-прежнему учитывает политики для настройки автоматического Обновления, эта политика управляет частью пользовательского интерфейса этого интерфейса.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите в раздел "Конфигурация компьютера\Администратор istrative Templates\Windows Components\Обновл. Windows\Display options for update notifications (Параметры обновления)
  2. Установите для политики значение "Включено".
  3. Задайте для параметра "Задать параметры отображения уведомлений об обновлении" значение 1 или 2.

Примечание.

Задайте значение 1, чтобы скрыть все уведомления, кроме предупреждений перезапуска, или значение 2, чтобы скрыть все уведомления, включая предупреждения перезапуска.

Полностью отключить автоматические Обновл. Windows

Безопасность и стабильность находятся в основе успешного проекта Интернета вещей, и Обновл. Windows предоставляет обновления, чтобы гарантировать, что Windows 10 IoT Корпоративная имеет последние применимые обновления безопасности и стабильности. Однако у вас может быть сценарий устройства, в котором обновление Windows должно обрабатываться вручную. Для этого типа сценария рекомендуется отключить автоматическое обновление с помощью Обновл. Windows. В предыдущих версиях партнеров устройств Windows может остановить и отключить службу Обновл. Windows, но это больше не поддерживаемый метод отключения автоматических обновлений. Windows 10 имеет множество политик, которые позволяют настраивать Обновл. Windows несколькими способами.

Чтобы полностью отключить автоматическое обновление Windows 10 с Обновл. Windows.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите в раздел "Конфигурация компьютера\Администратор istrative Templates\Windows Components\Windows update\Configure Automatic Обновления".
  2. Явно задайте для политики значение "Отключено". Если для этого параметра задано значение "Отключено", все доступные обновления из Обновл. Windows необходимо скачать и установить вручную, что можно сделать в приложении Параметры в разделе "Обновление и безопасность > Обновл. Windows".

Отключение доступа к пользовательскому интерфейсу Обновл. Windows

В некоторых сценариях настройка автоматического Обновления недостаточно для сохранения требуемого интерфейса устройства. Например, конечный пользователь может по-прежнему иметь доступ к параметрам Обновл. Windows, что позволит вручную обновлять через Обновл. Windows. Групповую политику можно настроить, чтобы запретить доступ к Обновл. Windows с помощью параметров.

Запрет доступа к обновлению Windows:

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Администратор istrative templates\Windows Components\Windows update\Remove access to use all Windows update features.
  2. Установите для этой политики значение "Включено ", чтобы запретить параметр "Проверить наличие обновлений" для пользователей. Примечание. Все проверки фонового обновления, загрузки и установки продолжают работать в соответствии с настроенными настройками. Эта политика просто запрещает пользователю получать доступ к ручному проверка с помощью параметров. Выполните действия, описанные в предыдущем разделе , чтобы также отключить сканирование, скачивание и установку.

Важно!

Убедитесь, что у вас есть хорошо разработанная стратегия обслуживания для вашего устройства. Отключение возможностей Обновл. Windows оставляет устройство в уязвимом состоянии, если устройство не получает обновления другим способом.

Запрет установки драйверов с помощью Обновл. Windows

Иногда драйверы, установленные из Обновл. Windows, могут вызвать проблемы с взаимодействием с устройством. Следующие действия запрещают Обновл. Windows скачивание и установка новых драйверов на устройстве.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Администратор istrative templates\Windows Components\Windows update\Do not include drivers with Обновл. Windows s".
  2. Включите эту политику, которая сообщает Windows, что не включает драйверы с обновлениями качества Windows.

Сводка по Обновл. Windows

Вы можете настроить Обновл. Windows несколькими способами, и не все политики применимы ко всем устройствам. Как правило, устройства Интернета вещей требуют особого внимания к стратегии обслуживания и управления, которые будут использоваться на устройствах. Если стратегия обслуживания заключается в отключении всех Обновл. Windows функций с помощью политики, выполните следующие действия, чтобы предоставить объединенный список политик для настройки.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к конфигурации компьютера - Администратор istrative Templates -> System ->> Device Installation и задайте следующие политики:
    1. Укажите сервер поиска для обновлений драйверов устройств в режиме "Включено", а для параметра "Выбор сервера обновления" задано значение "Поиск управляемого сервера"
    2. Укажите порядок поиска для расположенийисточника драйвера устройства в режиме "Включено", а для параметра "Выбор порядка поиска" задано значение "Не искать Обновл. Windows
  2. В редакторе групповой политики перейдите в раздел "Конфигурация компьютера "> Администратор истивные шаблоны -> компоненты Windows -> Обновл. Windows и задайте следующие политики:
    1. Настройка автоматического Обновления для отключенного
    2. Не включать драйверы с Обновл. Windows в включено
  3. В редакторе групповой политики перейдите в раздел "Конфигурация компьютера"> Администратор istrative templates - System ->> Internet Communication Management -> Internet Communication settings and set Off access to all Обновл. Windows features to Enabled
  4. В редакторе групповой политики перейдите к разделу "Конфигурация компьютера "> Администратор истивные шаблоны -> компоненты Windows-> Обновл. Windows .> Отображение параметров уведомлений об обновлении и настройка политики включено с указанием параметровотображения уведомлений об обновлении 2

Настройка системы для скрытия синих экранов

Ошибка проверка в системе (синий экран или BSOD) может произойти по многим причинам. Для устройств Интернета вещей важно скрыть эти ошибки при их возникновении. Система по-прежнему может собирать дамп памяти для отладки, но пользовательский интерфейс должен избежать отображения ошибки проверка самого экрана ошибки. Вы можете настроить систему, чтобы заменить "синий экран" пустым экраном для ошибок ОС.

  1. Откройте редактор реестра на устройстве Интернета вещей и перейдите к HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Добавьте новое значение реестра с именем DisplayDisabled в виде типа DWORD (32-разрядная версия) со значением 1.

Настройка уведомлений, всплывающих элементов и всплывающих окон

Устройства Интернета вещей обычно подавляют распространенные диалоговые окна Windows, которые используются в сценариях пк, но могут нарушить взаимодействие с пользователем устройства Интернета вещей. Самый простой способ отключить нежелательные диалоги — использовать пользовательскую оболочку с помощью средства запуска оболочки или назначенного доступа. Если настраиваемая оболочка не является правильным выбором, можно задать сочетание политик, параметров и настроек реестра, которые могут отключить нежелательные всплывающие окна и уведомления.

Notifications

Отключение отдельных уведомлений полезно в некоторых сценариях. Например, если устройство является планшетным устройством, уведомление о сохранении батареи может быть чем-то, что пользователь должен видеть, а другие уведомления, такие как OneDrive или Фотографии, должны быть скрыты. Вы также можете решить, что устройство должно отключать все уведомления независимо от компонента ОС, предоставляющего их.

Скрытие всех уведомлений

Одним из способов отключения уведомлений является использование функции "Тихие часы Windows". Тихие часы работают аналогично функциям, найденным на многих смартфонах, которые подавляют уведомления в определенные часы, обычно в течение ночных часов. В Windows 10 для тихих часов можно задать значение 24x7, чтобы уведомления никогда не отображались.

Включение 24x7 тихих часов

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к пользовательской конфигурации — Администратор истативные шаблоны —>> уведомления
  2. Включите политику для задания времени, которое начинается каждый день, и задайте значение 0.
  3. Включите политику для задания времени окончания тихих часов каждый день и задайте значение 1439 (1440 минут в день)

Примечание.

Существуют другие политики в пользовательской конфигурации —> Администратор istrative Templates —> уведомления, которые позволяют получить более подробные сведения об отключаемых уведомлениях. Эти параметры могут быть полезны в некоторых сценариях устройства.

Ответ в поле сообщения по умолчанию

Это изменение реестра, которое отключает всплывающие окна классов MessageBox, установив систему автоматически нажмите кнопку по умолчанию в диалоговом окне (ОК или отмена). Это может быть полезно, если сторонние приложения, которые партнер устройства не контролирует, отображают диалоги стилей MessageBox. Вы можете узнать об этом значении реестра в ответе по умолчанию в поле сообщений.

Отключение полей классов MessageBox
  1. Открытие редактора реестра от имени администратора
  2. Создайте новое значение реестра Dword в разделе HKLM\System\CurrentControlSet\Control\Error Message Instrument с именем EnableDefaultReply
  3. Задайте для значения EnableDefaultReply значение 0
  4. Проверьте сценарий, чтобы убедиться, что он работает должным образом

Базовые показатели системы безопасности

Начиная с первого выпуска Windows 10, в каждом выпуске Windows были предоставлены соответствующие наборы политик, называемых базовыми показателями безопасности. Базовый план безопасности — это группа рекомендуемых корпорацией Майкрософт параметров конфигурации на основе отзывов от команд разработчиков безопасности Майкрософт, групп продуктов, партнеров и клиентов. Базовый план безопасности — это хороший способ быстро включить рекомендуемые параметры безопасности на устройствах Интернета вещей.

Примечание. Устройства, требующие сертификации, такие как STIG, будут использовать базовые показатели безопасности в качестве отправной точки. Базовые показатели безопасности предоставляются в рамках набор средств соответствия требованиям безопасности

Вы можете скачать набор средств соответствия требованиям безопасности из Центра загрузки.

  1. Выберите "Скачать " по приведенной выше ссылке. Выберите версию Windows 10 version xxxx Security Baseline.zip и LGPO.zip. Обязательно выберите версию, соответствующую развернутой версии Windows 10.

  2. Извлеките zip-файл windows 10 версии xxxx Security Baseline.zip и LGPO.zip-файл на устройстве Интернета вещей.

  3. Скопируйте LGPO.exe в папку Local_Script\Tools базового плана безопасности Windows 10 версии xxxx. LGPO требуется скриптом установки базовых показателей безопасности, но его необходимо скачать отдельно.

  4. В командной строке Администратор istrative выполните следующую команду:

    Client_Install_NonDomainJoined.cmd

    или, если устройство Интернета вещей будет частью домена Active Directory:

    Client_Install_DomainJoined.cmd

  5. Нажмите клавишу ВВОД, когда появится запрос на запуск скрипта, а затем перезагрузите устройство Интернета вещей.

Что можно ожидать

Многие параметры включены в состав базовых показателей безопасности. В папке документации вы найдете электронную таблицу Excel, которая описывает все политики, заданные базовым планом. Вы сразу же заметите, что сложность пароля учетной записи пользователя была изменена по умолчанию, поэтому может потребоваться обновить пароли учетных записей пользователей в системе или в рамках развертывания. Кроме того, политики настраиваются для доступа к данным USB-диска. Копирование данных из системы защищено по умолчанию. Продолжайте изучать другие параметры, добавленные базовыми показателями безопасности.

Microsoft Defender

Защита от вирусов требуется во многих сценариях устройств Интернета вещей, особенно на устройствах с более полной функцией и запуском операционной системы, например Windows 10 IoT Корпоративная. Для таких устройств, как киоски, розничные POS,ATM и т. д. Microsoft Defender включен и включен по умолчанию как часть установки Windows 10 IoT Корпоративная. Возможно, у вас есть сценарий, в котором требуется изменить пользовательский интерфейс Microsoft Defender по умолчанию. Например, отключение уведомлений о выполненных сканированиях или даже отключение запланированных глубоких проверок в пользу только использования сканирования в режиме реального времени. Приведенные ниже политики помогают предотвратить создание нежелательного пользовательского интерфейса в Microsoft Defender.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к конфигурации компьютера — Администратор istrative Templates —>> компоненты> Windows — антивирусная программа в Microsoft Defender —> сканирование и установка:
    1. Проверьте наличие последних определений вирусов и шпионских программ перед запуском проверки расписания на "Отключено"
    2. Укажите максимальный процент использования ЦП во время сканирования до 5
    3. Включение полной проверки в отключенном
    4. Включение быстрой проверки до отключения
    5. Создание точки восстановления системы в "Отключено"
    6. Определите количество дней, после которого сканирование перехвата принудительно выполняется в 20 (это "просто в случае" и не должно потребоваться, если включена проверка перехвата).
    7. Укажите тип сканирования, используемый для запланированного сканирования на быструю проверку
    8. Укажите день недели для запуска запланированной проверки , чтобы 0x8 (никогда не)
  2. В редакторе групповой политики перейдите к конфигурации компьютера —> Администратор istrative templates —> компоненты> Windows — антивирусная программа в Microsoft Defender —> подпись Обновления и задать:
    1. Определение количества дней до определения шпионских программ считается устаревшим до 30
    2. Определение количества дней до определения вирусов считается устаревшим до 30
    3. Включение проверки после обновления подписи до "Отключено"
    4. Инициирование обновления определения при запуске до "Отключено"
    5. Укажите день недели, чтобы проверка обновления определений для 0x8 (никогда)
    6. Определите количество дней, после которого требуется обновление определения перехвата до 30

Компоненты Windows ->антивирусная программа в Microsoft Defender имеют дополнительные политики. проверка каждое описание параметра, чтобы узнать, применяется ли оно к устройству Интернета вещей.

Следующие шаги

Теперь, когда вы создали образ, адаптированный для требуемого пользовательского интерфейса, вы можете записать образ, чтобы его можно было развернуть на столько устройств, сколько вы хотите. Лаборатория 4 описывает, как подготовить образ для записи, а затем развернуть его на устройстве.

Перейти к лаборатории 4