Поделиться через

Лаборатория 3. Настройка параметров политики на устройствах Интернета вещей

  • Статья
  • Применяется к:
    ✅ Windows 11, ✅ Windows 10

Во второй лабораторной работе мы включили функции блокировки устройств на нашем пользовательском образе. Помимо функций блокировки Windows IoT Enterprise партнеры устройств могут использовать сочетание групповых политик и настроек компонентов для достижения требуемого пользовательского интерфейса.

В этой лаборатории рекомендуется использовать некоторые распространенные параметры конфигурации, используемые партнерами устройств Интернета вещей. Рассмотрите, применяется ли каждый отдельный параметр конфигурации к сценарию устройства.

Управление обновлениями Windows

Одним из наиболее распространенных запросов от партнеров устройств является управление автоматическими обновлениями на устройствах Windows IoT. Характер устройств Интернета вещей таков, что непредвиденные сбои, например, незапланированное обновление, могут ухудшить опыт использования устройства. Вопросы, которые следует задать при рассмотрении управления обновлениями Windows:

  • Является ли сценарий устройства таким, что любое нарушение рабочего процесса неприемлемо?
  • Как проверяются обновления до развертывания?
  • Каков пользовательский опыт обновления на самом устройстве?

Если у вас есть устройство, в котором нарушение взаимодействия с пользователем неприемлемо, следует:

  • Рассмотрите возможность ограничения обновлений только в определенные часы
  • Рассмотрите возможность отключения автоматических обновлений
  • Рассмотрите возможность развертывания обновлений вручную или с помощью управляемого стороннего решения.

Ограничение перезагрузок в результате обновлений

Вы можете использовать групповую политику активных часов, управление мобильными устройствами (MDM) или параметр реестра, чтобы ограничить обновления только определенными часами.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows\Управление взаимодействием с конечным пользователем" и откройте политику Отключить автоматический перезапуск для обновлений в активные часы.
  2. Задайте для политики значение "Включено".
  3. Задайте время начала и окончания в окне "Активные часы". Например, задайте для активных часов значение 4:00AM и конец 2:00AM. Это позволяет системе перезагружаться для обновлений в период с 2:00 до 4:00.

Управление уведомлениями интерфейса клиента обновления Windows

Устройство можно настроить так, чтобы скрыть пользовательский интерфейс для Обновления Windows, позволяя службе работать в фоновом режиме и обновлять систему. Клиент Обновл. Windows по-прежнему соблюдает политики для настройки автоматических обновлений, эта политика управляет пользовательским интерфейсом этого процесса.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows\Управление пользовательским интерфейсом" и откройте параметры отображения для параметра политики уведомлений об обновлении.
  2. Задайте для политики значение "Включено".
  3. Задайте для параметров отображения уведомлений об обновлении значение 1. Отключите все уведомления, за исключением предупреждений перезапуска или 2. Отключите все уведомления, включая предупреждения перезапуска.

Полностью отключить автоматическое обновление Windows

Безопасность и стабильность находятся в основе успешного IoT-проекта, и обновление Windows предоставляет обновления, обеспечивая наличие последних применимых обновлений безопасности и стабильности Windows IoT Enterprise. Однако у вас может быть сценарий устройства, в котором обновление Windows должно обрабатываться вручную. Для такого типа сценария мы рекомендуем отключить автоматическое обновление через Центр обновления Windows. В предыдущих версиях партнеры устройств Windows могли остановить и отключить службу обновления Windows, но это больше не поддерживаемый способ отключения автоматических обновлений. Windows имеет множество политик, которые позволяют настраивать обновления Windows несколькими способами.

Чтобы полностью отключить автоматическое обновление Windows через Центр обновления Windows:

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление пользовательским интерфейсом " и откройте параметр политики "Настройка автоматического обновления ".
  2. Явно задайте для политики значение "Отключено". Если для этого параметра задано значение "Отключено", все доступные обновления из Обновл. Windows необходимо скачать и установить вручную, что можно сделать в приложении "Параметры" в Обновл. Windows.

Отключить доступ к пользовательскому интерфейсу обновлений Windows

В некоторых сценариях настройки автоматического обновления недостаточно для сохранения требуемого интерфейса устройства. Например, конечный пользователь может по-прежнему иметь доступ к параметрам обновления Windows, что позволит выполнять обновление вручную через Windows Update. Настройки Группы политик можно изменить, чтобы запретить доступ к Обновлениям Windows через настройки.

Запрет доступа к обновлению Windows:

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление пользовательским интерфейсом " и откройте окно "Удалить доступ для использования всех компонентов обновления Windows".
  2. Установите для этой политики значение "Включено ", чтобы запретить параметр "Проверить наличие обновлений" для пользователей. Примечание. Все проверки фонового обновления, загрузки и установки продолжают работать в соответствии с настроенными настройками. Эта политика просто запрещает пользователю получать доступ к ручной проверке с помощью параметров. Выполните действия, описанные в предыдущем разделе , чтобы также отключить сканирование, скачивание и установку.

Внимание

Убедитесь, что у вас есть хорошо разработанная стратегия обслуживания для вашего устройства. Отключение возможностей обновлений Windows оставляет устройство в уязвимом состоянии, если оно не получает обновления другим способом.

Запретить установку драйверов через Обновление Windows

Иногда драйверы, установленные через Обновление Windows, могут вызвать проблемы с опытом использования устройства. Следующие действия предотвращают загрузку и установку новых драйверов в Центре обновления Windows на устройстве.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows\Управление обновлениями из Обновл. Windows" и откройте параметр политики "Не включать драйверы с параметрами политики Обновл. Windows".
  2. Включите эту политику, которая сообщает Windows, что не включает драйверы с обновлениями качества Windows.

Сводка обновлений Windows

Вы можете настроить Обновление Windows различными способами, и не все политики обновления применимы ко всем устройствам. Как правило, устройства Интернета вещей требуют особого внимания к стратегии обслуживания и управления, которые будут использоваться на устройствах. Если ваша стратегия обслуживания заключается в отключении всех функций обновления Windows через политику, выполните следующие шаги, чтобы получить объединенный список политик для настройки.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу "Конфигурация компьютера\Административные шаблоны\System\Device Installation " и задайте следующие политики:
    1. Укажите сервер поиска для обновлений драйверов устройств в режиме "Включено", а для параметра "Выбор сервера обновления" задано значение "Поиск управляемого сервера"
    2. Укажите "Включено" для порядка поиска расположений источника драйвера устройства, а для "Выбор порядка поиска" выберите "Не искать Обновления Windows"
  2. В редакторе групповой политики перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows" и задайте следующие политики:
    1. Настроить автоматические обновления на Выключено
    2. Не включать драйверы с обновлениями Windows в включено
  3. В редакторе групповой политики перейдите в раздел "Конфигурация компьютера\Административные шаблоны\Система\Управление интернет-связью\Настройки интернет-связи и установите Отключить доступ ко всем функциям обновления Windows в положение Включено.
  4. В редакторе групповой политики перейдите в раздел "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновл. Windows\Параметры отображения уведомлений об обновлении" и установите для политики значение "Включить" с указанием параметровотображения уведомлений об обновлении 2

Настройка системы для скрытия синих экранов

Ошибки в системе (синий экран или BSOD) могут произойти по многим причинам. Для устройств Интернета вещей важно скрыть эти ошибки при их возникновении. Система по-прежнему может собирать дамп памяти для отладки, но опыт работы пользователя должен избежать отображения самого экрана ошибки. Вы можете настроить систему, чтобы заменить "синий экран" пустым экраном для ошибок ОС.

  1. Откройте редактор реестра на устройстве Интернета вещей и перейдите к Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Добавьте новый реестр с именем DisplayDisabled как тип DWORD (32-разрядная версия) со значением 1.

Настройка уведомлений, всплывающих элементов и всплывающих окон

Устройства IoT обычно подавляют распространенные диалоговые окна Windows, которые имеют смысл в сценариях использования ПК, но могут нарушить взаимодействие с пользователем устройства IoT. Самый простой способ отключить нежелательные диалоги — использовать пользовательскую оболочку через Shell Launcher или Назначенный доступ. Если настраиваемая оболочка не является правильным выбором, можно задать сочетание политик, параметров и настроек реестра, которые могут отключить нежелательные всплывающие окна и уведомления.

Уведомления

Отключение отдельных уведомлений полезно в некоторых сценариях. Например, если устройство является планшетным устройством, уведомление о сохранении батареи может быть чем-то, что пользователь должен видеть, а другие уведомления, такие как OneDrive или Фотографии, должны быть скрыты. Вы также можете решить, что устройство должно отключать все уведомления независимо от компонента ОС, предоставляющего их.

Скрытие всех уведомлений

Одним из способов отключения уведомлений является использование функции "Тихие часы Windows". Тихие часы работают аналогично функциям, найденным на многих смартфонах, которые подавляют уведомления в определенные часы, обычно в течение ночных часов. В Windows для тихих часов можно задать значение 24x7, чтобы уведомления никогда не отображались.

Включение 24x7 тихих часов

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите в раздел "Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач\Уведомления
  2. Включите политику для установки времени начала режима Не беспокоить каждый день и задайте значение 0
  3. Включите политику для установки времени окончания тихих часов каждый день и задайте значение 1439 (1440 минут в день)

Совет

Существуют другие политики в пользовательской конфигурации\Административные шаблоны\Меню "Пуск" и "Панель задач"\Уведомления, которые позволяют получить более подробные сведения об отключенных уведомлениях. Эти параметры могут быть полезны в некоторых сценариях устройства.

Ответ по умолчанию в окне сообщения

Это изменение реестра отключает диалоговые окна класса MessageBox от автоматического появления путем настройки системы на автоматический выбор кнопки по умолчанию в диалоговом окне (ОК или Отмена). Это может быть полезно, если сторонние приложения, которые партнер устройства не контролирует, отображают диалоги стилей MessageBox. Вы можете узнать об этом значении реестра на странице Message Box Default Reply.

Включить ответ по умолчанию для MessageBox
  1. Открытие редактора реестра от имени администратора
  2. Создайте новое значение реестра Dword в разделе HKLM\System\CurrentControlSet\Control\Error Message Instrument с именем EnableDefaultReply
  3. Задайте для значения EnableDefaultReply значение 1
  4. Проверьте сценарий, чтобы убедиться, что он работает должным образом

Базовые показатели системы безопасности

Начиная с первого выпуска Windows, сопровождающий набор политик, называемых базовой базой безопасности, был предоставлен с каждым выпуском Windows. Базовый план безопасности — это группа рекомендуемых корпорацией Майкрософт параметров конфигурации на основе отзывов от команд разработчиков безопасности Майкрософт, групп продуктов, партнеров и клиентов. Базовый план безопасности — это хороший способ быстро включить рекомендуемые параметры безопасности на устройствах Интернета вещей.

Примечание.

Устройства, требующие сертификации, такие как STIG, будут использовать базовые показатели безопасности в качестве отправной точки. Базовые показатели безопасности предоставляются в составе набора средств обеспечения соответствия требованиям безопасности

Вы можете скачать набор средств для обеспечения соответствия требованиям безопасности из Центра загрузки.

  1. Выберите "Скачать " по приведенной выше ссылке. Выберите Windows Version xxxx Security Baseline.zip и LGPO.zip. Обязательно выберите версию, соответствующую развернутой версии Windows.

  2. Извлеките файл Windows Version xxxx Security Baseline.zip и файл LGPO.zip на устройстве Интернета вещей.

  3. Скопируйте LGPO.exe в папку Scripts\Tools базового плана безопасности версии Windows xxxx. LGPO требуется скриптом установки базовых показателей безопасности, но его необходимо скачать отдельно.

  4. В командной строке администрирования выполните следующие действия:

    Client_Install_NonDomainJoined.cmd

    или, если устройство Интернета вещей будет частью домена Active Directory:

    Client_Install_DomainJoined.cmd

  5. Нажмите клавишу ВВОД, когда появится приглашение к выполнению скрипта, а затем перезагрузите IoT-устройство.

Что можно ожидать

Многие параметры включены в состав базовых показателей безопасности. В папке документации вы найдете электронную таблицу Excel, которая описывает все политики, заданные базовым планом. Вы сразу заметите, что сложность пароля учетной записи пользователя была изменена с исходного уровня, поэтому, возможно, потребуется обновить пароли учетных записей пользователей в системе или в рамках развертывания. Кроме того, политики настраиваются для доступа к данным USB-диска. Копирование данных из системы защищено по умолчанию. Продолжайте изучать другие параметры, добавленные базовыми показателями безопасности.

Microsoft Defender

Защита от вирусов требуется во многих сценариях устройств Интернета вещей, особенно на устройствах, которые более полно действуют и работают под управлением операционной системы, такой как Windows IoT Enterprise. Для таких устройств, как киоски, розничные POS,ATM и т. д. Microsoft Defender включен и включен по умолчанию в рамках установки Windows IoT Enterprise. Возможно, у вас есть сценарий, в котором требуется изменить пользовательский интерфейс Microsoft Defender по умолчанию. Например, отключение уведомлений о выполненных сканированиях или даже отключение запланированных глубоких проверок в пользу только использования сканирования в режиме реального времени. Приведенные ниже политики помогают предотвратить создание нежелательного пользовательского интерфейса в Microsoft Defender.

  1. Откройте редактор групповой политики (gpedit.msc) и перейдите к разделу Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Microsoft Defender Антивирус\Сканирование и установите:

    1. Проверьте наличие последних определений вирусов и шпионских программ перед запуском проверки расписания на "Отключено"
    2. Укажите максимальный процент использования ЦП во время сканирования до 5
    3. Включение полной проверки в отключенном
    4. Включение быстрой проверки до отключения
    5. Создать точку восстановления системы в "Отключено"
    6. Определите количество дней, после которого компенсационное сканирование принудительно выполняется на 20-й день (это страховочная настройка и не должна потребоваться, если включены компенсационные сканирования).
    7. Укажите тип сканирования, используемый для запланированного сканирования на быструю проверку
    8. Укажите день недели для запуска запланированной проверки:0x8 (никогда)

  2. В редакторе групповой политики перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\антивирусная программа в Microsoft Defender\Обновления аналитики безопасности" и задайте:

    1. Определите количество дней, после которых информация безопасности о шпионских программах считается устаревшей на 30
    2. Определение количества дней до того, как аналитика безопасности вирусов считается устаревшей до 30
    3. Включить проверку после обновления компонентов безопасности на Отключено
    4. Запуск обновления аналитики безопасности при запуске в "Отключено"
    5. Укажите день недели, чтобы проверить наличие обновлений аналитики безопасности для 0x8 (никогда)
    6. Определите количество дней, после которого требуется обновление аналитики безопасности для устранения отставания до 30

Компоненты Windows\Microsoft Defender Антивирус имеют дополнительные политики, проверьте описание каждого параметра, чтобы узнать, применяется ли оно к вашему устройству Интернета вещей.

Следующие шаги

Теперь, когда вы создали образ, адаптированный для требуемого пользовательского интерфейса, вы можете записать образ, чтобы его можно было развернуть на столько устройств, сколько вы хотите. Лаборатория 4 описывает, как подготовить образ для записи, а затем развернуть его на устройстве.

Перейти к лаборатории 4