共用方式為

實驗室 3:在 IoT 裝置上設定原則設定

  • 發行項

在實驗室 2 中,我們已在自定義映像上啟用裝置鎖定功能。 除了 Windows IoT 企業版鎖定功能之外,裝置合作夥伴還可以混合使用組策略和功能自定義,以達到所需的用戶體驗。

在此實驗室中,我們建議IoT裝置合作夥伴通常會使用的一些常見組態設定。 請考慮每個個別組態設定是否適用於您的裝置案例。

控制 Windows 更新

裝置合作夥伴最常見的其中一個要求是以控制 Windows 10 IoT 裝置上的自動更新為中心。 IoT 裝置的本質在於,透過類似非計畫性更新的意外中斷,可能會造成不正確的裝置體驗。 考慮如何控制 Windows 更新時,您應該詢問的問題:

  • 裝置案例是否使工作流程中斷是無法接受的?
  • 部署前如何驗證更新?
  • 裝置本身的更新用戶體驗為何?

如果您有無法接受使用者體驗中斷的裝置,您應該:

  • 請考慮將更新限制為僅特定時數
  • 請考慮停用自動更新
  • 請考慮手動或透過受控制的第三方解決方案部署更新。

限制更新的重新啟動

您可以使用 [使用時間組策略]、[MDM] 或 [登錄] 設定,將更新限特定小時。

  1. 開啟組策略編輯器 (gpedit.msc) 並流覽至 [計算機設定]\管理員 istrative Templates\Windows Components\Windows Update,然後開啟 [關閉作用時間期間更新的自動重新啟動] 原則設定。 啟用 原則,讓您可以設定使用時間的開始和結束時間。
  2. 將 [ 開始 ] 和 [結束 時間] 設定為 [使用時間] 視窗。 例如,將 [使用時間] 設定為從上午 4:00 開始,並結束上午 2:00。 這可讓系統從上午 2:00 到上午 4:00 之間的更新重新啟動。

從 Windows Update 用戶端控制 UI 通知

裝置可以設定為隱藏 Windows Update 的 UI 體驗,同時讓服務本身在背景執行並更新系統。 Windows Update 用戶端仍然接受設定自動 更新 的原則,此原則會控制該體驗的 UI 部分。

  1. 開啟組策略編輯器 (gpedit.msc), 並流覽至 [計算機設定]\管理員 istrative Templates\Windows Components\Windows Update\Display 選項以取得更新通知
  2. 將原則設定為已啟用。
  3. 將 [指定更新通知顯示選項] 設定為 1 或 2。

注意

將值設定為 1 以隱藏重新啟動警告以外的所有通知,或設定為 2 來隱藏所有通知,包括重新啟動警告。

完全停用自動 Windows 更新

安全性與穩定性是成功IoT專案的核心,而Windows Update會提供更新,以確保 Windows 10 IoT 企業版 有最新的適用安全性和穩定性更新。 不過,您可能會有一個裝置案例,其中必須手動處理更新 Windows。 針對這種類型的案例,建議您透過 Windows Update 停用自動更新。 在舊版 Windows 裝置合作夥伴中,可以停止和停用 Windows Update 服務,但這不是停用自動更新的支援方法。 Windows 10 有許多原則可讓您以數種方式設定 Windows 更新。

若要使用 Windows Update 完全停用 Windows 10 的自動更新。

  1. 開啟組策略編輯器 (gpedit.msc), 並流覽至 [計算機設定]\管理員 istrative Templates\Windows Components\Windows update\Configure Automatic 更新
  2. 將原則明確設定為 [已停用]。 當此設定設定設定為 [已停用] 時,必須手動下載並安裝 Windows Update 中任何可用的更新,您可以在 [更新與安全性 > Windows Update] 底下的 [設定 應用程式中執行此動作。

停用 Windows Update 用戶體驗的存取

在某些情況下,設定自動 更新 不足以保留所需的裝置體驗。 例如,終端使用者可能仍然可以存取 Windows Update 設定,以允許透過 Windows Update 進行手動更新。 您可以設定組策略,禁止透過設定存取 Windows Update。

若要禁止存取 Windows Update:

  1. 開啟組策略編輯器 (gpedit.msc), 並流覽至 [計算機設定]\管理員 istrative Templates\Windows Components\Windows update\Remove access 以使用所有 Windows Update 功能
  2. 將此原則設定為 [已啟用 ] 以防止使用者的 [檢查更新] 選項。 注意:任何背景更新掃描、下載和安裝會繼續如設定般運作。 此原則只會防止使用者存取手動檢查設定。 使用上一節中的步驟,也停用掃描、下載和安裝。

重要

請務必為您的裝置提供設計完善的維護策略。 如果裝置未以另一種方式取得更新,則停用 Windows Update 功能會讓裝置處於易受攻擊的狀態。

防止驅動程式透過 Windows Update 安裝

有時候從 Windows Update 安裝的驅動程式可能會導致裝置體驗發生問題。 下列步驟禁止 Windows Update 在裝置上下載並安裝新的驅動程式。

  1. 開啟組策略編輯器 (gpedit.msc),並流覽至 [計算機設定]\管理員 istrative Templates\Windows Components\Windows update\[不包含 Windows 更新 驅動程式。
  2. 啟用 此原則,告知 Windows 不要包含 Windows 品質更新的驅動程式。

Windows Update 摘要

您可以使用數種方式來設定 Windows Update,並非所有原則都適用於所有裝置。 一般情況下,IoT 裝置需要特別注意裝置上使用的服務和管理策略。 如果您的服務策略是透過原則停用所有 Windows Update 功能,下列步驟會提供要設定的原則組合清單。

  1. 開啟群組策略編輯器 (gpedit.msc) 並流覽至 [電腦設定 -> 管理員 原則 - 系統 ->> 裝置安裝並設定下列原則:
    1. 將裝置驅動程式更新的搜尋伺服器指定為 [已啟用],並將 [選取更新伺服器] 設定為 [搜尋受控伺服器]
    2. 將設備驅動器來源位置的搜尋順序指定為 [已啟用],並將 [選取搜尋順序] 設定為 [不要搜尋 Windows Update]
  2. 在 [組策略編輯器] 中,流覽至 [計算機設定 -> 管理員 範本 -> Windows 元件 -> Windows Update 並設定下列原則:
    1. 將自動 更新 設定為 Disabled
    2. 請勿包含 Windows 更新Enabled 的驅動程式
  3. 在組策略編輯器中,流覽至 [計算機設定 -> 管理員 原則範本 - 系統 ->> 因特網通訊管理 -> 因特網通訊設定],並將 [關閉所有 Windows Update 功能的存取權] 設定[已啟用]
  4. 在組策略編輯器中,流覽至 [計算機設定 -> 管理員 範本 -> Windows 元件 -> Windows Update -> 更新通知的顯示選項,並將原則設定為 [啟用],並將 [指定更新通知顯示選項] 設定為 2

設定系統以隱藏藍色畫面

系統上的錯誤檢查(藍色畫面或 BSOD)可能會因為許多原因而發生。 針對IoT裝置,如果發生這些錯誤,請務必隱藏這些錯誤。 系統仍然可以收集記憶體轉儲以進行偵錯,但用戶體驗應該避免顯示錯誤檢查錯誤畫面本身。 您可以設定系統,將「藍色畫面」取代為OS錯誤的空白畫面。

  1. 在IoT裝置上開啟註冊表編輯器,並流覽至 HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
  2. 將名為 DisplayDisabled 的新登錄值新增為 DWORD (32 位) 類型,其值為 1。

設定通知、快顯通知和快顯

IoT 裝置通常會隱藏在計算機案例中有意義的常見 Windows 對話框,但可能會中斷 IoT 裝置的用戶體驗。 停用垃圾對話最簡單的方式是使用殼層啟動器或指派的存取權來使用自定義殼層。 如果自定義殼層不是正確的選擇,您可以設定原則、設定和登錄調整的組合,以停用不必要的快顯和通知。

Notifications

在某些情況下,停用個別通知會很有説明。 例如,如果裝置是平板電腦裝置,省電模式通知可能是用戶應該看到的內容,而 OneDrive 或相片等其他通知應該隱藏。 您也可以決定您的裝置應該隱藏所有通知,而不論提供通知的 OS 元件為何。

隱藏所有通知

停用通知的其中一種方法是使用 Windows 的「無訊息時數」功能。 安靜時間的運作方式類似於許多智慧手機上發現的功能,這些智能手機通常會在特定時段內抑制通知,通常是在夜間。 在 Windows 10 中,[無訊息時數] 可以設定為 24x7,讓通知永遠不會顯示。

啟用 24x7 無訊息時數

  1. 開啟組策略編輯器 (gpedit.msc) 並瀏覽至使用者設定 -> 管理員 原則範本 -> 通知
  2. 啟用 [ 設定時間無訊息時數] 每天開始的原則,並將值設定為 0
  3. 啟用 [ 設定每日無訊息時數結束時間] 的原則,並將值設定為 1439 (每天有 1440 分鐘)

注意

用戶設定中還有其他原則 -> 管理員 範本 -> 通知可讓您更細微地瞭解要停用的確切通知。 在某些裝置案例中,這些選項可能很有用。

消息框預設回復

這是一項登錄變更,可讓系統自動選取對話框上的預設按鈕(確定或取消),來停用 MessageBox 類別方塊的快顯。 如果裝置夥伴無法控制的第三方應用程式顯示 MessageBox 樣式對話框,這非常有用。 您可以在訊息框預設回復瞭解此登入值

停用 MessageBox 類別方塊
  1. 以系統管理員身分開啟註冊表編輯器
  2. 使用名為 EnableDefaultReply 的值,在 HKLM\System\CurrentControlSet\Control\Error Message Instrument建立新的 Dword 登錄值
  3. 將 EnableDefaultReply 值的數據設定為 0
  4. 測試案例以確保其如預期般運作

安全性基準

從 Windows 10 的第一個版本開始,每個 Windows 版本都提供了一組稱為「安全性基準」的隨附原則。 安全性基準是以 Microsoft 安全性工程小組、產品群組、合作夥伴和客戶的意見反應為基礎的 Microsoft 建議組態設定群組。 安全性基準是快速在IoT裝置上啟用建議安全性設定的好方法。

注意:需要 STIG 等認證的裝置將受益於使用安全性基準作為起點。 安全性基準會作為安全性合規性工具組的 一部分傳遞

您可以從下載中心下載 安全性合規性工具組

  1. 選取上方連結上的 [ 下載 ]。 選取 Windows 10 版本 xxxx Security Baseline.zip 和 LGPO.zip。 請務必選擇與您部署之 Windows 10 版本相符的版本。

  2. 擷取 Windows 10 版本 xxxx Security Baseline.zip 檔案和 IoT 裝置上的 LGPO.zip 檔案。

  3. 將 LGPO.exe 複製到 Windows 10 版本 xxxx 安全性基準的 Local_Script\Tools 資料夾。 安全性基準安裝腳本需要 LGPO,但必須個別下載。

  4. 從 管理員 命令提示字元執行:

    Client_Install_NonDomainJoined.cmd

    或者,如果IoT裝置將成為Active Directory網域的一部分:

    Client_Install_DomainJoined.cmd

  5. 當系統提示您執行文稿,然後重新啟動IoT裝置時,請按Enter鍵。

您可以預期的內容

許多設定都包含在安全性基準中。 在 [檔] 資料夾中,您會找到一個 Excel 電子表格,其中概述基準所設定的所有原則。 您會立即注意到使用者帳戶密碼複雜度已從預設值變更,因此您可能需要更新系統上的使用者帳戶密碼,或作為部署的一部分。 此外,系統會針對USB磁碟驅動器數據存取設定原則。 從系統複製數據現在預設會受到保護。 繼續探索安全性基準新增的其他設定。

Microsoft Defender

許多IoT裝置案例都需要防毒防護,尤其是功能更完整且執行操作系統的裝置,例如 Windows 10 IoT 企業版。 對於 kiosk、零售 POS、ATM 等裝置,預設會包含並啟用 Microsoft Defender,作為安裝 Windows 10 IoT 企業版 的一部分。 您可能有想要修改預設 Microsoft Defender 用戶體驗的案例。 例如,停用執行之掃描的相關通知,或甚至停用排程深度掃描,而只使用實時掃描。 下列原則有助於防止 Microsoft Defender 建立不必要的 UI。

  1. 開啟群組策略編輯器 (gpedit.msc) 並流覽至 [電腦設定] -> 管理員 istrative 樣本 - Windows 元件 ->> Microsoft Defender 防毒軟體 -> 掃描並設定:
    1. 在執行排程掃描[已停用] 之前,請先檢查最新的病毒和間諜軟體定義
    2. 在掃描 期間指定 CPU 使用率的百分比上限為 5
    3. 開啟完整掃描[已停用]
    4. 開啟快速掃描[已停用]
    5. 建立系統還原點[已停用]
    6. 定義追補掃描強制20 的天數(這是「以防情況設定」,如果啟用追趕掃描,就不應該需要)
    7. 指定要用於排程掃描到快速掃描的掃描類型
    8. 指定要執行排程掃描0x8的星期幾(永不)
  2. 在 [組策略編輯器] 中,流覽至 [計算機設定 -> 管理員 範本 - Windows 元件 ->> Microsoft Defender 防毒軟體 -> 簽章 更新 並設定:
    1. 定義間諜軟體定義過期至 30 之前的天數
    2. 定義將病毒定義視為過期30 之前的天數
    3. 在簽章更新[已停用] 之後開啟掃描
    4. 在啟動時 起始定義更新至 Disabled
    5. 指定一週的一天,以檢查0x8的定義更新(永不)
    6. 定義需要 30 個追補定義更新的天數

Windows 元件 ->Microsoft Defender 防毒軟體 具有其他原則。 檢查每個設定描述,以查看它是否適用於您的IoT裝置。

下一步

既然您已建立專為您所需用戶體驗量身打造的映像,您可以擷取映射,使其可以部署至您想要的裝置數量。 實驗室 4 說明如何準備映射以進行擷取,然後將它部署至裝置。

移至實驗室 4