Поделиться через

Лаборатория 3. Настройка параметров политики на устройствах Интернета вещей

  • Статья

В лаборатории 2 мы включили функции блокировки устройств на пользовательском образе. Помимо функций блокировки Windows IoT Enterprise партнеры устройств могут использовать сочетание групповых политик и настроек компонентов для достижения требуемого пользовательского интерфейса.

В этой лаборатории рекомендуется использовать некоторые распространенные параметры конфигурации, используемые партнерами устройств Интернета вещей. Рассмотрите, применяется ли каждый отдельный параметр конфигурации к сценарию устройства.

Управление Обновл. Windows

Одним из наиболее распространенных запросов от партнеров устройств является управление автоматическими обновлениями на устройствах Windows IoT. Характер устройств Интернета вещей такой, что непредвиденные нарушения, через что-то подобное незапланированное обновление, могут создать плохой интерфейс устройства. Вопросы, которые следует задать при рассмотрении управления обновлениями Windows:

  • Является ли сценарий устройства таким, что любое нарушение рабочего процесса неприемлемо?
  • Как проверяются обновления до развертывания?
  • Что такое взаимодействие с пользователем обновления на самом устройстве?

Если у вас есть устройство, в котором нарушение взаимодействия с пользователем неприемлемо, следует:

  • Рассмотрите возможность ограничения обновлений только в определенные часы
  • Рассмотрите возможность отключения автоматических обновлений
  • Рассмотрите возможность развертывания обновлений вручную или с помощью управляемого стороннего решения.

Ограничение перезагрузки от обновлений

Вы можете использовать групповую политику активных часов, управление мобильными устройствами (MDM) или параметр реестра, чтобы ограничить обновления только определенными часами.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows\Управление взаимодействием с конечным пользователем" и откройте параметр автоматического перезапуска для обновлений в течение активных часов политики.
  2. Задайте для политики значение "Включено".
  3. Задайте время начала и окончания в окне "Активные часы". Например, задайте для активных часов значение 4:00AM и конец 2:00AM. Это позволяет системе перезагружаться от обновлений в период с 2:00 до 4:00.

Управление уведомлениями пользовательского интерфейса из клиента Обновл. Windows

Устройство можно настроить таким образом, чтобы скрыть интерфейс пользовательского интерфейса для Обновл. Windows, позволяя службе запускаться в фоновом режиме и обновлять систему. Клиент Обновл. Windows по-прежнему учитывает политики для настройки автоматического обновления, эта политика управляет частью пользовательского интерфейса этого интерфейса.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows\Управление пользовательским интерфейсом" и откройте параметры отображения для параметра политики уведомлений об обновлении.
  2. Задайте для политики значение "Включено".
  3. Задайте для параметров отображения уведомлений об обновлении значение 1. Отключите все уведомления, за исключением предупреждений перезапуска или 2. Отключите все уведомления, включая предупреждения перезапуска.

Полностью отключить автоматические Обновл. Windows

Безопасность и стабильность находятся в основе успешного проекта Интернета вещей, и Обновл. Windows предоставляют обновления, чтобы обеспечить наличие последних применимых обновлений безопасности и стабильности Windows IoT Enterprise. Однако у вас может быть сценарий устройства, в котором обновление Windows должно обрабатываться вручную. Для этого типа сценария рекомендуется отключить автоматическое обновление с помощью Обновл. Windows. В предыдущих версиях партнеров устройств Windows может остановить и отключить службу Обновл. Windows, но это больше не поддерживаемый метод отключения автоматических обновлений. Windows имеет множество политик, которые позволяют настраивать Обновл. Windows несколькими способами.

Чтобы полностью отключить автоматическое обновление Windows с Обновл. Windows:

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление пользовательским интерфейсом " и откройте параметр политики "Настройка автоматического обновления ".
  2. Явно задайте для политики значение "Отключено". Если для этого параметра задано значение "Отключено", все доступные обновления из Обновл. Windows необходимо скачать и установить вручную, что можно сделать в приложении "Параметры" в Обновл. Windows.

Отключение доступа к пользовательскому интерфейсу Обновл. Windows

В некоторых сценариях настройки автоматического обновления недостаточно для сохранения требуемого интерфейса устройства. Например, конечный пользователь может по-прежнему иметь доступ к параметрам Обновл. Windows, что позволит вручную обновлять через Обновл. Windows. Групповую политику можно настроить, чтобы запретить доступ к Обновл. Windows с помощью параметров.

Запрет доступа к обновлению Windows:

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление пользовательским интерфейсом " и откройте окно "Удалить доступ для использования всех компонентов обновления Windows".
  2. Установите для этой политики значение "Включено ", чтобы запретить параметр "Проверить наличие обновлений" для пользователей. Примечание. Все проверки фонового обновления, загрузки и установки продолжают работать в соответствии с настроенными настройками. Эта политика просто запрещает пользователю получать доступ к ручной проверке с помощью параметров. Выполните действия, описанные в предыдущем разделе , чтобы также отключить сканирование, скачивание и установку.

Внимание

Убедитесь, что у вас есть хорошо разработанная стратегия обслуживания для вашего устройства. Отключение возможностей Обновл. Windows оставляет устройство в уязвимом состоянии, если устройство не получает обновления другим способом.

Запрет установки драйверов с помощью Обновл. Windows

Иногда драйверы, установленные из Обновл. Windows, могут вызвать проблемы с взаимодействием с устройством. Следующие действия запрещают Обновл. Windows скачивание и установка новых драйверов на устройстве.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление обновлениями из Обновл. Windows" и откройте параметр политики "Не включать драйверы с параметрами политики Обновл. Windows".
  2. Включите эту политику, которая сообщает Windows, что не включает драйверы с обновлениями качества Windows.

Сводка по Обновл. Windows

Вы можете настроить Обновл. Windows несколькими способами, и не все политики применимы ко всем устройствам. Как правило, устройства Интернета вещей требуют особого внимания к стратегии обслуживания и управления, которые будут использоваться на устройствах. Если стратегия обслуживания заключается в отключении всех Обновл. Windows функций с помощью политики, выполните следующие действия, чтобы предоставить объединенный список политик для настройки.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\System\Device Installation " и задайте следующие политики:
    1. Укажите сервер поиска для обновлений драйверов устройств в режиме "Включено", а для параметра "Выбор сервера обновления" задано значение "Поиск управляемого сервера"
    2. Укажите порядок поиска для расположений источника драйвера устройства в режиме "Включено", а для параметра "Выбор порядка поиска" задано значение "Не искать Обновл. Windows
  2. В редакторе групповой политики перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows" и задайте следующие политики:
    1. Настройка автоматического обновления для отключенного
    2. Не включать драйверы с Обновл. Windows в включено
  3. В редакторе групповой политики перейдите в раздел "Конфигурация компьютера\Административные шаблоны\System\Internet Communication Management\Internet Communication Settings and set Off access to all Обновл. Windows features to Enabled/>.
  4. В редакторе групповой политики перейдите в раздел "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows\Параметры отображения уведомлений об обновлении" и установите для политики значение "Включить" с указанием параметров отображения уведомлений об обновлении 2

Настройка системы для скрытия синих экранов

Ошибки в системе (синий экран или BSOD) могут произойти по многим причинам. Для устройств Интернета вещей важно скрыть эти ошибки при их возникновении. Система по-прежнему может собирать дамп памяти для отладки, но пользовательский интерфейс должен избежать отображения самого экрана ошибки ошибки. Вы можете настроить систему, чтобы заменить "синий экран" пустым экраном для ошибок ОС.

  1. Откройте редактор реестра на устройстве Интернета вещей и перейдите к компьютеру\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControlControl
  2. Добавьте новый реестр с именем DisplayDisabled как тип DWORD (32-разрядная версия) со значением 1.

Настройка уведомлений, всплывающих элементов и всплывающих окон

Устройства Интернета вещей обычно подавляют распространенные диалоговые окна Windows, которые используются в сценариях пк, но могут нарушить взаимодействие с пользователем устройства Интернета вещей. Самый простой способ отключить нежелательные диалоги — использовать пользовательскую оболочку с помощью средства запуска оболочки или назначенного доступа. Если настраиваемая оболочка не является правильным выбором, можно задать сочетание политик, параметров и настроек реестра, которые могут отключить нежелательные всплывающие окна и уведомления.

Notifications

Отключение отдельных уведомлений полезно в некоторых сценариях. Например, если устройство является планшетным устройством, уведомление о сохранении батареи может быть чем-то, что пользователь должен видеть, а другие уведомления, такие как OneDrive или Фотографии, должны быть скрыты. Вы также можете решить, что устройство должно отключать все уведомления независимо от компонента ОС, предоставляющего их.

Скрытие всех уведомлений

Одним из способов отключения уведомлений является использование функции "Тихие часы Windows". Тихие часы работают аналогично функциям, найденным на многих смартфонах, которые подавляют уведомления в определенные часы, обычно в течение ночных часов. В Windows для тихих часов можно задать значение 24x7, чтобы уведомления никогда не отображались.

Включение 24x7 тихих часов

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите в раздел "Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач\Уведомления
  2. Включите политику для задания времени, которое начинается каждый день, и задайте значение 0.
  3. Включите политику для задания времени окончания тихих часов каждый день и задайте значение 1439 (1440 минут в день)

Совет

Существуют другие политики в пользовательской конфигурации\Административные шаблоны\Меню "Пуск" и "Панель задач"\Уведомления, которые позволяют получить более подробные сведения об отключенных уведомлениях. Эти параметры могут быть полезны в некоторых сценариях устройства.

Ответ в поле сообщения по умолчанию

Это изменение реестра, которое отключает всплывающие окна классов MessageBox, установив систему автоматически нажмите кнопку по умолчанию в диалоговом окне (ОК или отмена). Это может быть полезно, если сторонние приложения, которые партнер устройства не контролирует, отображают диалоги стилей MessageBox. Вы можете узнать об этом значении реестра в ответе по умолчанию в поле сообщений.

Включение ответа MessageBox по умолчанию
  1. Открытие редактора реестра от имени администратора
  2. Создайте новое значение реестра Dword в разделе HKLM\System\CurrentControlSet\Control\Error Message Instrument с именем EnableDefaultReply
  3. Задайте для значения EnableDefaultReply значение 1
  4. Проверьте сценарий, чтобы убедиться, что он работает должным образом

Базовые показатели системы безопасности

Начиная с первого выпуска Windows, сопровождающий набор политик, называемых базовой базой безопасности, был предоставлен с каждым выпуском Windows. Базовый план безопасности — это группа рекомендуемых корпорацией Майкрософт параметров конфигурации на основе отзывов от команд разработчиков безопасности Майкрософт, групп продуктов, партнеров и клиентов. Базовый план безопасности — это хороший способ быстро включить рекомендуемые параметры безопасности на устройствах Интернета вещей.

Примечание.

Устройства, требующие сертификации, такие как STIG, будут использовать базовые показатели безопасности в качестве отправной точки. Базовые показатели безопасности предоставляются в составе набора средств обеспечения соответствия требованиям безопасности

Вы можете скачать набор средств для обеспечения соответствия требованиям безопасности из Центра загрузки.

  1. Выберите "Скачать " по приведенной выше ссылке. Выберите Baseline.zip системы безопасности windows xxxx и LGPO.zip. Обязательно выберите версию, соответствующую развернутой версии Windows.

  2. Извлеките файл Baseline.zip безопасности версии Windows и файл LGPO.zip на устройстве Интернета вещей.

  3. Скопируйте LGPO.exe в папку Scripts\Tools базового плана безопасности версии Windows xxxx. LGPO требуется скриптом установки базовых показателей безопасности, но его необходимо скачать отдельно.

  4. В командной строке администрирования выполните следующие действия:

    Client_Install_NonDomainJoined.cmd

    или, если устройство Интернета вещей будет частью домена Active Directory:

    Client_Install_DomainJoined.cmd

  5. Нажмите клавишу ВВОД, когда появится запрос на запуск скрипта, а затем перезагрузите устройство Интернета вещей.

Что можно ожидать

Многие параметры включены в состав базовых показателей безопасности. В папке документации вы найдете электронную таблицу Excel, которая описывает все политики, заданные базовым планом. Вы сразу же заметите, что сложность пароля учетной записи пользователя была изменена по умолчанию, поэтому может потребоваться обновить пароли учетных записей пользователей в системе или в рамках развертывания. Кроме того, политики настраиваются для доступа к данным USB-диска. Копирование данных из системы защищено по умолчанию. Продолжайте изучать другие параметры, добавленные базовыми показателями безопасности.

Microsoft Defender

Защита от вирусов требуется во многих сценариях устройств Интернета вещей, особенно на устройствах, которые более полно действуют и работают под управлением операционной системы, такой как Windows IoT Enterprise. Для таких устройств, как киоски, розничные POS,ATM и т. д. Microsoft Defender включен и включен по умолчанию в рамках установки Windows IoT Enterprise. Возможно, у вас есть сценарий, в котором требуется изменить пользовательский интерфейс Microsoft Defender по умолчанию. Например, отключение уведомлений о выполненных сканированиях или даже отключение запланированных глубоких проверок в пользу только использования сканирования в режиме реального времени. Приведенные ниже политики помогают предотвратить создание нежелательного пользовательского интерфейса в Microsoft Defender.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Сканирование и установка:

    1. Проверьте наличие последних определений вирусов и шпионских программ перед запуском проверки расписания на "Отключено"
    2. Укажите максимальный процент использования ЦП во время сканирования до 5
    3. Включение полной проверки в отключенном
    4. Включение быстрой проверки до отключения
    5. Создание точки восстановления системы в "Отключено"
    6. Определите количество дней, после которого сканирование перехвата принудительно выполняется в 20 (это "просто в случае" и не должно потребоваться, если включена проверка перехвата).
    7. Укажите тип сканирования, используемый для запланированного сканирования на быструю проверку
    8. Укажите день недели для запуска запланированной проверки , чтобы 0x8 (никогда не)

  2. В редакторе групповой политики перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Обновления аналитики безопасности" и задайте:

    1. Определите число дней до того, как аналитика шпионских программ безопасности считается устаревшей до 30
    2. Определение количества дней до того, как аналитика безопасности вирусов считается устаревшей до 30
    3. Включение проверки после обновления аналитики безопасности до "Отключено"
    4. Запуск обновления аналитики безопасности при запуске в "Отключено"
    5. Укажите день недели, чтобы проверить наличие обновлений аналитики безопасности для 0x8 (никогда)
    6. Определите количество дней, после которого требуется обновление аналитики безопасности для перехвата до 30

Компоненты Windows\антивирусная программа в Microsoft Defender имеют дополнительные политики, проверьте каждое описание параметра, чтобы узнать, применяется ли оно к устройству Интернета вещей.

Следующие шаги

Теперь, когда вы создали образ, адаптированный для требуемого пользовательского интерфейса, вы можете записать образ, чтобы его можно было развернуть на столько устройств, сколько вы хотите. Лаборатория 4 описывает, как подготовить образ для записи, а затем развернуть его на устройстве.

Перейти к лаборатории 4