Lab 3: Configurare le impostazioni dei criteri nei dispositivi IoT

  • Articolo
  • Si applica a:
    ✅ Windows 11, ✅ Windows 10

Nel lab 2 sono abilitate le funzionalità di blocco dei dispositivi nell'immagine personalizzata. Oltre alle funzionalità di blocco di Windows IoT Enterprise, i partner di dispositivi possono usare una combinazione di criteri di gruppo e personalizzazioni delle funzionalità per ottenere l'esperienza utente desiderata.

In questo lab è consigliabile usare alcune impostazioni di configurazione comuni che i partner di dispositivi IoT tendono a usare. Valutare se ogni singola impostazione di configurazione si applica allo scenario del dispositivo.

Controllare gli aggiornamenti di Windows

Una delle richieste più comuni dei partner di dispositivi è centrata sul controllo degli aggiornamenti automatici nei dispositivi Windows IoT. La natura dei dispositivi IoT è tale che interruzioni impreviste, tramite un aggiornamento non pianificato, possono creare un'esperienza di dispositivo non valida. Domande da porre quando si valuta come controllare gli aggiornamenti di Windows:

  • Lo scenario del dispositivo è tale che un'interruzione del flusso di lavoro non è accettabile?
  • Come vengono convalidati gli aggiornamenti prima della distribuzione?
  • Qual è l'esperienza utente di aggiornamento nel dispositivo stesso?

Se si dispone di un dispositivo in cui l'interruzione dell'esperienza utente non è accettabile, è necessario:

  • Prendere in considerazione la limitazione degli aggiornamenti solo a determinate ore
  • Valutare la possibilità di disabilitare gli aggiornamenti automatici
  • Valutare la possibilità di distribuire gli aggiornamenti manualmente o tramite una soluzione di terze parti controllata.

Limitare i riavvii dagli aggiornamenti

Puoi usare i Criteri di gruppo ore di attività, la gestione dei dispositivi mobili (MDM) o l'impostazione del Registro di sistema per limitare gli aggiornamenti solo a determinate ore.

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update\Gestisci esperienza utente finale e aprire l'impostazione disattiva il riavvio automatico per gli aggiornamenti durante l'orario di attività.
  2. Impostare il criterio su Abilitato.
  3. Impostare l'ora di inizio e di fine sulla finestra Ore di attività. Ad esempio, impostare Orario di attività per iniziare alle 4:00 e terminare le 2:00. Ciò consente al sistema di riavviare gli aggiornamenti tra le ore 2:00 e le 4:00.

Controllare le notifiche dell'interfaccia utente dal client Windows Update

Un dispositivo può essere configurato in modo da nascondere l'esperienza dell'interfaccia utente per Windows Update, consentendo al servizio stesso di eseguire in background e aggiornare il sistema. Il client Windows Update rispetta ancora i criteri impostati per la configurazione degli aggiornamenti automatici, questo criterio controlla la parte dell'interfaccia utente di tale esperienza.

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update\Gestisci esperienza utente finale e aprire le opzioni di visualizzazione per l'impostazione dei criteri di aggiornamento delle notifiche .
  2. Impostare il criterio su Abilitato.
  3. Impostare Specificare le opzioni di visualizzazione delle notifiche di aggiornamento su 1 - Disabilitare tutte le notifiche, escludendo gli avvisi di riavvio o 2 - Disabilitare tutte le notifiche, inclusi gli avvisi di riavvio.

Disabilitare completamente gli aggiornamenti automatici di Windows

La sicurezza e la stabilità sono alla base di un progetto IoT riuscito e Windows Update fornisce aggiornamenti per garantire che Windows IoT Enterprise abbia gli aggiornamenti di sicurezza e stabilità applicabili più recenti. Tuttavia, potresti avere uno scenario del dispositivo in cui l'aggiornamento di Windows deve essere gestito manualmente. Per questo tipo di scenario, è consigliabile disabilitare l'aggiornamento automatico tramite Windows Update. Nelle versioni precedenti dei partner di dispositivi Windows potrebbe arrestare e disabilitare il servizio Windows Update, ma questo non è più il metodo supportato per disabilitare gli aggiornamenti automatici. Windows offre molti criteri che consentono di configurare gli aggiornamenti di Windows in diversi modi.

Per disabilitare completamente l'aggiornamento automatico di Windows con Windows Update:

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows update\Gestisci esperienza utente finale e aprire l'impostazione dei criteri Configura aggiornamenti automatici.
  2. Impostare in modo esplicito il criterio su Disabilitato. Quando questa impostazione è impostata su Disabilitato, tutti gli aggiornamenti disponibili da Windows Update devono essere scaricati e installati manualmente, operazione che è possibile eseguire nell'app Impostazioni in Windows Update.

Disabilitare l'accesso all'esperienza utente di Windows Update

In alcuni scenari, la configurazione degli aggiornamenti automatici non è sufficiente per mantenere un'esperienza del dispositivo desiderata. Ad esempio, un utente finale potrebbe avere ancora accesso alle impostazioni di Windows Update, che consentirebbe gli aggiornamenti manuali tramite Windows Update. È possibile configurare Criteri di gruppo per impedire l'accesso a Windows Update tramite le impostazioni.

Per impedire l'accesso a Windows Update:

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows update\Gestisci esperienza utente finale e aprire l'impostazione Rimuovi accesso per usare tutte le funzionalità di Windows Update.
  2. Impostare questo criterio su Abilitato per impedire l'opzione "Controlla aggiornamenti" per gli utenti. Nota: tutte le analisi, i download e le installazioni degli aggiornamenti in background continuano a funzionare come configurato. Questo criterio impedisce semplicemente all'utente di accedere alle impostazioni di controllo manuale. Usare i passaggi della sezione precedente per disabilitare anche analisi, download e installazioni.

Importante

Assicurarsi di avere una strategia di manutenzione ben progettata per il dispositivo. La disabilitazione delle funzionalità di Windows Update lascia il dispositivo in uno stato vulnerabile se il dispositivo non riceve gli aggiornamenti in un altro modo.

Impedire l'installazione dei driver tramite Windows Update

A volte i driver installati da Windows Update possono causare problemi con un'esperienza del dispositivo. I passaggi seguenti impediscono a Windows Update di scaricare e installare nuovi driver nel dispositivo.

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows update\Gestisci aggiornamenti offerti da Windows Update e aprire l'impostazione Non includere driver con Windows Updates .
  2. Abilitare questo criterio, che indica a Windows di non includere driver con gli aggiornamenti qualitativi di Windows.

Riepilogo di Windows Update

È possibile configurare Windows Update in diversi modi e non tutti i criteri sono applicabili a tutti i dispositivi. Come regola generale, i dispositivi IoT richiedono particolare attenzione alla strategia di manutenzione e gestione da usare nei dispositivi. Se la strategia di manutenzione consiste nel disabilitare tutte le funzionalità di Windows Update tramite i criteri, i passaggi seguenti forniscono un elenco combinato di criteri da configurare.

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Sistema\Installazione del dispositivo e impostare i criteri seguenti:
    1. Specificare il server di ricerca per gli aggiornamenti dei driver di dispositivo su Abilitato, con Selezionare il server di aggiornamento impostato su Search Managed Server
    2. Specificare l'ordine di ricerca per i percorsi di origine del driver di dispositivo su Abilitato, con Selezionare l'ordine di ricerca impostato su Non cercare Windows Update
  2. Nell'Editor Criteri di gruppo passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update e impostare i criteri seguenti:
    1. Configurare gli aggiornamenti automatici su Disabilitato
    2. Non includere driver con Gli aggiornamenti di Windows su Abilitato
  3. Nell'Editor Criteri di gruppo passare a Configurazione computer\Modelli amministrativi\Sistema\Gestione comunicazioni Internet\Impostazioni di comunicazione Internet e impostare Disattiva l'accesso a tutte le funzionalità di Windows Update su Abilitato
  4. Nell'Editor Criteri di gruppo passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Update\Opzioni di visualizzazione per le notifiche di aggiornamento e impostare i criteri su Abilitato con Specificare le opzioni di visualizzazione delle notifiche di aggiornamento su 2

Configurare il sistema per nascondere le schermate blu

I controlli di bug nel sistema (Schermata blu o BSOD) possono verificarsi per molti motivi. Per i dispositivi IoT, è importante nascondere questi errori se si verificano. Il sistema può comunque raccogliere un dump della memoria per il debug, ma l'esperienza utente dovrebbe evitare di visualizzare la schermata di errore del controllo errori. È possibile configurare il sistema per sostituire "schermata blu" con una schermata vuota per gli errori del sistema operativo.

  1. Aprire l'editor del Registro di sistema nel dispositivo IoT e passare a Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Aggiungere un nuovo Registro di sistema denominato DisplayDisabled come tipo DWORD (32 bit) con un valore pari a 1.

Configurare notifiche, avvisi popup e popup

I dispositivi IoT in genere eliminano le finestre di dialogo di Windows comuni che hanno senso negli scenari di PC, ma potrebbero compromettere l'esperienza utente di un dispositivo IoT. Il modo più semplice per disabilitare le finestre di dialogo indesiderate consiste nell'usare una shell personalizzata usando l'utilità di avvio della shell o l'accesso assegnato. Se la shell personalizzata non è la scelta giusta, è possibile impostare una combinazione di criteri, impostazioni e modifiche del Registro di sistema che possono disabilitare popup e notifiche indesiderate.

Notifications

La disabilitazione delle singole notifiche è utile in alcuni scenari. Ad esempio, se il dispositivo è un dispositivo tablet, la notifica di risparmio batteria potrebbe essere qualcosa che l'utente dovrebbe visualizzare, mentre altre notifiche, ad esempio OneDrive o Foto, devono essere nascoste. È anche possibile decidere che il dispositivo debba eliminare tutte le notifiche, indipendentemente dal componente del sistema operativo che li fornisce.

Nascondi tutte le notifiche

Un metodo per disabilitare le notifiche consiste nell'usare la funzionalità Ore non interattiva di Windows. Le ore silenziose funzionano in modo analogo alle funzionalità trovate su molti smartphone che soppresse le notifiche durante determinate ore, di solito durante le ore notturne. In Windows è possibile impostare Ore non in modalità non interattiva su 24x7 in modo che le notifiche non vengano mai visualizzate.

Abilitare 24 ore su 24 ore non silenziose

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni\Notifiche
  2. Abilitare i criteri per Impostare l'ora di inizio orario non interattiva ogni giorno e impostare il valore su 0
  3. Abilitare i criteri per Impostare l'orario di chiusura oraria ogni giorno e impostare il valore su 1439 (sono presenti 1440 minuti al giorno)

Suggerimento

Esistono altri criteri in Configurazione utente\Modelli amministrativi\Menu Start e barra delle applicazioni\Notifiche che consentono di ottenere una maggiore granularità sulle notifiche esatte da disabilitare. Queste opzioni possono essere utili in alcuni scenari di dispositivo.

Risposta predefinita della finestra di messaggio

Si tratta di una modifica del Registro di sistema che disabilita la visualizzazione delle caselle di classe MessageBox, facendo in modo che il sistema selezioni automaticamente il pulsante predefinito nella finestra di dialogo (OK o Annulla). Ciò può essere utile se le applicazioni di terze parti, che il partner del dispositivo non controlla, mostrano finestre di dialogo di stile MessageBox. È possibile ottenere informazioni su questo valore del Registro di sistema in Risposta predefinita di Message Box.

Abilitare la risposta predefinita di MessageBox
  1. Aprire l'editor del Registro di sistema come amministratore
  2. Creare un nuovo valore del Registro di sistema Dword in HKLM\System\CurrentControlSet\Control\Error Message Instrument, con un valore denominato EnableDefaultReply
  3. Impostare i dati per il valore EnableDefaultReply su 1
  4. Testare lo scenario per assicurarsi che funzioni come previsto

Baseline di sicurezza

A partire dalla prima versione di Windows, è stato fornito un set di criteri associato denominato Baseline di sicurezza con ogni versione di Windows. Una baseline di sicurezza è un gruppo di impostazioni di configurazione consigliate da Microsoft in base al feedback dei team di progettazione della sicurezza Microsoft, gruppi di prodotti, partner e clienti. La baseline di sicurezza è un buon modo per abilitare rapidamente le impostazioni di sicurezza consigliate nei dispositivi IoT.

Nota

I dispositivi che richiedono la certificazione, ad esempio STIG, traggono vantaggio dall'uso della baseline di sicurezza come punto di partenza. La baseline di sicurezza viene fornita come parte di Security Compliance Toolkit

È possibile scaricare Security Compliance Toolkit dall'Area download.

  1. Selezionare Scarica nel collegamento precedente. Selezionare il Baseline.zip di sicurezza della versione xxxx di Windows e il LGPO.zip. Assicurarsi di scegliere la versione corrispondente alla versione di Windows che si sta distribuendo.

  2. Estrarre il file Baseline.zip sicurezza della versione xxxx di Windows e il file LGPO.zip nel dispositivo IoT.

  3. Copiare LGPO.exe nella cartella Scripts\Tools della baseline di sicurezza xxxx versione di Windows. LGPO è necessario per lo script di installazione della baseline di sicurezza, ma deve essere scaricato separatamente.

  4. Da un prompt dei comandi amministrativo eseguire:

    Client_Install_NonDomainJoined.cmd

    oppure, se il dispositivo IoT farà parte di un dominio di Active Directory:

    Client_Install_DomainJoined.cmd

  5. Premere INVIO quando viene richiesto di eseguire lo script e quindi riavviare il dispositivo IoT.

Cosa ci si può aspettare

Molte impostazioni sono incluse come parte della baseline di sicurezza. Nella cartella Documentazione è disponibile un foglio di calcolo di Excel che delinea tutti i criteri impostati dalla linea di base. Si noterà immediatamente che la complessità delle password dell'account utente è stata modificata rispetto all'impostazione predefinita, pertanto potrebbe essere necessario aggiornare le password dell'account utente nel sistema o come parte della distribuzione. Inoltre, i criteri sono configurati per l'accesso ai dati delle unità USB. La copia dei dati dal sistema è protetta per impostazione predefinita. Continuare a esplorare le altre impostazioni aggiunte dalla baseline di sicurezza.

Microsoft Defender

La protezione antivirus è necessaria in molti scenari di dispositivi IoT, in particolare i dispositivi più completi e che eseguono un sistema operativo come Windows IoT Enterprise. Per dispositivi come chioschi multimediali, POS al dettaglio, BANCOMAT e così via. Microsoft Defender è incluso e abilitato per impostazione predefinita come parte dell'installazione di Windows IoT Enterprise. Potrebbe essere presente uno scenario in cui si vuole modificare l'esperienza utente predefinita di Microsoft Defender. Ad esempio, disabilitando le notifiche sulle analisi eseguite o anche disabilitando le analisi approfondite pianificate a favore dell'uso solo dell'analisi in tempo reale. I criteri seguenti sono utili per impedire la creazione di un'interfaccia utente indesiderata da Microsoft Defender.

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Scan e impostare:

    1. Verificare la presenza delle definizioni di virus e spyware più recenti prima di eseguire un'analisi di pianificazione su Disabilitato
    2. Specificare la percentuale massima di utilizzo della CPU durante un'analisi su 5
    3. Attivare l'analisi completa su Disabilitato
    4. Attivare l'analisi rapida su Disabilitato
    5. Creare un punto di ripristino del sistema su Disabilitato
    6. Definire il numero di giorni dopo i quali viene forzata un'analisi di recupero a 20 (si tratta di un'impostazione "just in case" e non deve essere necessaria se le analisi di recupero sono abilitate)
    7. Specificare il tipo di analisi da usare per un'analisi pianificata per l'analisi rapida
    8. Specificare il giorno della settimana per eseguire un'analisi pianificata per 0x8 (mai)

  2. In Editor Criteri di gruppo passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Antivirus Microsoft Defender\Aggiornamenti di Intelligence per la sicurezza e impostare:

    1. Definire il numero di giorni prima che l'intelligence sulla sicurezza spyware venga considerata non aggiornata a 30
    2. Definire il numero di giorni prima che l'intelligence per la sicurezza dei virus venga considerata non aggiornata a 30
    3. Attivare l'analisi dopo l'aggiornamento di Intelligence per la sicurezza su Disabilitato
    4. Avviare l'aggiornamento di Intelligence per la sicurezza all'avvio su Disabilitato
    5. Specificare il giorno della settimana per verificare la presenza di aggiornamenti di Intelligence per la sicurezza in 0x8 (mai)
    6. Definire il numero di giorni dopo i quali è necessario un aggiornamento di intelligence per la sicurezza di recupero a 30

Componenti di Windows\Antivirus Microsoft Defender dispone di criteri aggiuntivi, controllare ogni descrizione delle impostazioni per verificare se si applica al dispositivo IoT.

Passaggi successivi

Dopo aver creato un'immagine personalizzata per l'esperienza utente desiderata, è possibile acquisire l'immagine in modo che possa essere distribuita in tutti i dispositivi desiderati. Lab 4 illustra come preparare un'immagine per l'acquisizione e quindi distribuirla in un dispositivo.

Passare al lab 4