Laboratório 3: definir configurações de política em dispositivos IoT
No laboratório 2, habilitamos os recursos de bloqueio de dispositivo em nossa imagem personalizada. Além dos recursos de bloqueio do Windows IoT Enterprise, os parceiros de dispositivo podem usar uma combinação de Políticas de Grupo e personalizações de recursos para obter a experiência do usuário desejada.
Neste laboratório, recomendamos algumas definições de configuração comuns que os parceiros de dispositivos IoT tendem a usar. Considere se cada definição de configuração individual se aplica ao seu cenário de dispositivo.
Controlar atualizações do Windows
Uma das solicitações mais comuns de parceiros de dispositivos está centrada no controle de atualizações automáticas em dispositivos Windows IoT. A natureza dos dispositivos IoT é tal que interrupções inesperadas, por meio de algo como uma atualização não planejada, podem criar uma experiência de dispositivo ruim. Perguntas que você deve fazer ao considerar como controlar as atualizações do Windows:
- O cenário do dispositivo é tal que qualquer interrupção do fluxo de trabalho é inaceitável?
- Como as atualizações são validadas antes da implantação?
- Qual é a experiência do usuário de atualização no próprio dispositivo?
Se você tiver um dispositivo em que a interrupção da experiência do usuário não é aceitável, você deve:
- Considere limitar as atualizações a apenas algumas horas
- Considere desabilitar as atualizações automáticas
- Considere implantar atualizações manualmente ou por meio de uma solução de terceiros controlada.
Limitar reinicializações de atualizações
Você pode usar a Política de Grupo de Horas Ativas, o gerenciamento de dispositivos móveis (MDM) ou a configuração do Registro para limitar as atualizações a apenas determinadas horas.
- Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final e abra a configuração de política Desativar reinicialização automática para atualizações durante o horário ativo.
- Defina a política como Habilitada.
- Defina a hora de Início e de Término como a janela Horário Ativo. Por exemplo, defina o Horário Ativo para iniciar às 4h e terminar às 2h. Isso permite que o sistema reinicialize após as atualizações entre 2h e 4h.
Controlar notificações de interface do usuário do cliente do Windows Update
Um dispositivo pode ser configurado de forma a ocultar a experiência da interface do usuário para Windows Update, permitindo que o próprio serviço seja executado em segundo plano e atualize o sistema. O cliente do Windows Update ainda respeita as políticas definidas para configurar as Atualizações Automáticas, essa política controla a parte da interface do usuário dessa experiência.
- Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final e abra a configuração de política Opções de exibição para notificações de atualização.
- Defina a política como Habilitada.
- Defina Especificar as opções de exibição de notificações de atualização como 1 - Desabilitar todas as notificações, excluindo avisos de reinicialização ou 2 - Desabilitar todas as notificações, incluindo avisos de reinicialização.
Desabilitar totalmente as atualizações automáticas do Windows
A segurança e a estabilidade estão no centro de um projeto de IoT bem-sucedido, e o Windows Update fornece atualizações para garantir que o Windows IoT Enterprise tenha as atualizações de segurança e estabilidade aplicáveis mais recentes. No entanto, você pode ter um cenário de dispositivo em que a atualização do Windows precisa ser tratada manualmente. Para esse tipo de cenário, recomendamos desabilitar a atualização automática por meio do Windows Update. Em versões anteriores de parceiros de dispositivo do Windows, era possível parar e desabilitar o serviço Windows Update, mas esse não é mais o método com suporte para desabilitar atualizações automáticas. O Windows tem muitas políticas que permitem configurar as atualizações do Windows de várias maneiras.
Para desativar completamente a atualização automática do Windows com o Windows Update:
- Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final e abra a configuração de política Definir Atualizações Automáticas .
- Defina explicitamente a política como Desabilitado. Quando essa configuração é definida como Desabilitada, todas as atualizações disponíveis do Windows Update devem ser baixadas e instaladas manualmente, o que você pode fazer no aplicativo Configurações no Windows Update.
Desabilitar o acesso à experiência do usuário do Windows Update
Em alguns cenários, configurar de Atualizações automática não é suficiente para preservar uma experiência de dispositivo desejada. Por exemplo, um usuário final ainda pode ter acesso às configurações do Windows Update, o que permitiria atualizações manuais por meio do Windows Update. Você pode configurar a Política de grupo para proibir o acesso ao Windows Update por meio das configurações.
Para proibir o acesso ao Windows Update:
- Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerenciar experiência do usuário final e abra a configuração de política Remover acesso para usar todos os recursos de atualização do Windows.
- Defina essa política como Habilitado para impedir a opção "Verificar se há atualizações" para os usuários. Observação: todas as verificações, downloads e instalações de atualização em segundo plano continuam funcionando conforme configurado. Essa política simplesmente impede que o usuário acesse a verificação manual por meio das configurações. Use as etapas na seção anterior para desabilitar também os exames, downloads e instalações.
Importante
Tenha uma estratégia de manutenção bem-projetada para seu dispositivo. Desabilitar as funcionalidades do Windows Update deixará o dispositivo em um estado vulnerável, se o dispositivo não estiver recebendo atualizações de outra maneira.
Impedir que os drivers sejam instalados por meio do Windows Update
Às vezes, os drivers instalados por meio do Windows Update podem causar problemas com uma experiência de dispositivo. As etapas a seguir proíbem o Windows Update de baixar e instalar novos drivers no dispositivo.
- Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Gerenciar atualizações oferecidas do Windows Update e abra a configuração de política Não incluir drivers com atualizações do Windows .
- Habilite essa política para instruir o Windows a não incluir drivers nas atualizações de qualidade.
Resumo do Windows Update
Você pode configurar o Windows Update de várias maneiras, e nem todas as políticas são aplicáveis a todos os dispositivos. Como regra geral, os dispositivos IoT exigem atenção especial à estratégia de manutenção e gerenciamento a ser usada nos dispositivos. Se sua estratégia de manutenção for desabilitar todos os recursos do Windows Update por meio da política, as etapas a seguir fornecerão uma lista combinada de políticas a serem configuradas.
- Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Sistema\Instalação do Dispositivo e defina as seguintes políticas:
- Especifique o servidor de pesquisa para atualizações de driver de dispositivo como Habilitado, com Selecionar servidor de atualização definido como Pesquisar Servidor Gerenciado
- Especifique a ordem de pesquisa para locais de origem do driver de dispositivo como Habilitado, com Selecionar ordem de pesquisa definido como Não pesquisar no Windows Update
- No Editor de Política de Grupo, navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update e defina as seguintes políticas:
- Configurar Atualizações Automáticas como Desabilitado
- Não incluir drivers com atualizações do Windows como Habilitado
- No Editor de Diretiva de Grupo, navegue até Configuração do Computador\Modelos Administrativos\Sistema\Gerenciamento de Comunicação da Internet\Configurações de Comunicação da Internet e defina Desativar o acesso a todos os recursos do Windows Update como Habilitado
- No Editor de Política de Grupo, navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Opções de exibição para notificações de atualização e defina a política como Habilitado com Especificar as opções de exibição de notificações de atualização como 2
Configurar o sistema para ocultar telas azuis
Verificações de bugs no sistema (Tela Azul ou BSOD) podem ocorrer por vários motivos. Para dispositivos IoT, é importante ocultar esses erros se eles ocorrerem. O sistema ainda pode coletar um despejo de memória para depuração, mas a experiência do usuário deve evitar mostrar a própria tela de erro de verificação de bugs. Você pode configurar o sistema para substituir a "tela azul" por uma tela em branco para erros do sistema operacional.
- Abra o Editor do Registro no dispositivo IoT e navegue até Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
- Adicione um novo registro chamado DisplayDisabled como tipo DWORD (32 bits) com um valor de dados de 1.
Configurar notificações, notificações do sistema e pop-ups
Os dispositivos IoT normalmente suprimem caixas de diálogo comuns do Windows que fazem sentido em cenários de computador, mas podem interromper a experiência do usuário de um dispositivo IoT. A maneira mais simples de desabilitar caixas de diálogo indesejadas é usar um shell personalizado usando o Shell Launcher ou o Acesso Atribuído. Se o shell personalizado não for a escolha certa, você poderá definir uma combinação de políticas, configurações e ajustes do Registro que podem desabilitar pop-ups e notificações indesejadas.
Notificações
Desabilitar notificações individuais é benéfico em alguns cenários. Por exemplo, se o dispositivo for um tablet, a notificação de Economia de Bateria poderá ser algo que o usuário deve ver, enquanto outras notificações, como do OneDrive ou de Fotos, devem ficar ocultas. Você também pode decidir que seu dispositivo deve suprimir todas as notificações, independentemente do componente do sistema operacional que as está fornecendo.
Ocultar todas as notificações
Um método para desabilitar as notificações é usar o recurso Horas Silenciosas do Windows. Horas Silenciosas funciona de forma semelhante aos recursos encontrados em muitos smartphones que suprimem notificações durante determinadas horas, geralmente durante a noite. No Windows, o Horário de Silêncio pode ser definido como 24 horas por dia, 7 dias por semana, para que as notificações nunca sejam mostradas.
Ativar horas de silêncio 24 horas por dia, 7 dias por semana
- Abra o Editor de Diretiva de Grupo (gpedit.msc) e navegue até Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Notificações
- Habilite a política para Definir a hora em que as Horas Silenciosas começam todos os dias e defina o valor como 0
- Habilite a política para Definir a hora em que as Horas Silenciosas terminam todos os dias e defina o valor como 1439 (há 1440 minutos por dia)
Dica
Há outras políticas em Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Notificações que permitem que você obtenha mais granularidade sobre as notificações exatas a serem desabilitadas. Essas opções podem ser úteis em alguns cenários de dispositivo.
Resposta padrão da caixa de mensagem
Essa é uma alteração no Registro que desabilita a exibição de caixas de classe MessageBox, fazendo com que o sistema selecione automaticamente o botão padrão na caixa de diálogo (OK ou Cancelar). Isso pode ser útil se aplicativos de terceiros, que o parceiro de dispositivo não controla, mostrarem caixas de diálogo no estilo MessageBox. Saiba mais sobre esse valor do Registro em Resposta Padrão da Caixa de Mensagem.
Ativar resposta padrão do MessageBox
- Abrir o Editor do Registro como administrador
- Crie um novo valor de registro Dword em HKLM\System\CurrentControlSet\Control\Error Message Instrument, com um valor chamado EnableDefaultReply
- Defina os dados do valor EnableDefaultReply como 1
- Teste o cenário para garantir que ele esteja funcionando conforme o esperado
Linha de base de segurança
A partir da primeira versão do Windows, um conjunto de políticas que o acompanha, chamado Linha de Base de Segurança, foi fornecido com cada versão do Windows. Uma linha de base de segurança é um grupo de configurações recomendadas pela Microsoft com base em comentários de equipes de engenharia de segurança da Microsoft, grupos de produtos, parceiros e clientes. A Linha de Base de Segurança é uma boa maneira de habilitar rapidamente as configurações de segurança recomendadas em dispositivos IoT.
Observação
Os dispositivos que exigem certificação, como o STIG, se beneficiariam do uso da Linha de Base de Segurança como ponto de partida. A linha de base de segurança é entregue como parte do Kit de Ferramentas de Conformidade de Segurança
Baixe o Kit de Ferramentas de Conformidade de Segurança do Centro de Download.
Selecione Baixar no link acima. Selecione o Baseline.zip de Segurança Versão xxxx do Windows e o LGPO.zip. Certifique-se de escolher a versão que corresponde à versão do Windows que você está implantando.
Extraia o arquivo de Baseline.zip de segurança xxxx do Windows versão e o arquivo LGPO.zip no dispositivo IoT.
Copie LGPO.exe para a pasta Scripts\Tools da Linha de Base de Segurança xxxx da Versão do Windows. O LGPO é necessário para o script de instalação da linha de base de segurança, mas deve ser baixado separadamente.
Em uma execução do Prompt de Comando Administrativo:
Client_Install_NonDomainJoined.cmd
ou, se o dispositivo IoT fizer parte de um domínio do Active Directory:
Client_Install_DomainJoined.cmd
Pressione Enter quando receber a solicitação para executar o script e reinicie o dispositivo IoT.
O que você pode esperar
Muitas configurações estão incluídas como parte da linha de base de segurança. Na pasta Documentação, você encontra uma planilha do Excel que descreve todas as políticas definidas pela linha de base. Você notará imediatamente que a complexidade da senha da conta de usuário deixou de ser a padrão, portanto, talvez seja necessário atualizar as senhas da conta de usuário no sistema ou como parte de sua implantação. Além disso, as políticas são configuradas para acesso a dados da unidade USB. Agora, a cópia de dados do sistema está protegida por padrão. Continue explorando as outras configurações adicionadas pela linha de base de segurança.
Microsoft Defender
A proteção antivírus é necessária em muitos cenários de dispositivos IoT, especialmente dispositivos com mais recursos e que executam um sistema operacional como o Windows IoT Enterprise. Para dispositivos como quiosques, PDV de varejo, caixa eletrônico etc. O Microsoft Defender está incluído e habilitado por padrão como parte da instalação do Windows IoT Enterprise. Você pode ter um cenário em que deseja modificar o padrão de experiência do usuário do Microsoft Defender. Por exemplo, desabilitar notificações sobre exames executados, ou até mesmo desabilitar exames avançados agendados, usando, em vez disso, apenas o exame em tempo real. As políticas abaixo são úteis para evitar que a interface do usuário indesejada seja criada pelo Microsoft Defender.
Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Verificar e defina:
- Verifique as definições de vírus e spyware mais recentes antes de executar um exame agendado como Desabilitado
- Especificar o percentual máximo de utilização da CPU durante uma verificação como 5
- Ativar a verificação de atualização completa como Desabilitado
- Ativar a verificação rápida de atualização como Desabilitado
- Criar um ponto de restauração do sistema como Desabilitado
- Defina o número de dias após o qual uma verificação de atualização é forçada como 20 (essa é uma "configuração de precaução" e não deve ser necessária se as verificações de atualização estiverem habilitadas)
- Especifique o tipo de verificação a ser usado para uma verificação agendada como Exame rápido
- Especifique o dia da semana para executar uma verificação agendada como 0x8 (nunca)
No Editor de Política de Grupo, navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Antivírus\Atualizações de Inteligência de Segurança e defina:
- Defina o número de dias antes que a inteligência de segurança de spyware seja considerada desatualizada para 30
- Defina o número de dias antes que a inteligência de segurança contra vírus seja considerada desatualizada para 30
- Ativar a verificação após a atualização das informações de segurança para Desabilitado
- Iniciar atualização de inteligência de segurança na inicialização para Desabilitado
- Especifique o dia da semana para verificar se há atualizações de inteligência de segurança para 0x8 (nunca)
- Defina o número de dias após os quais uma atualização de inteligência de segurança de atualização é necessária para 30
Componentes do Windows\Microsoft Defender Antivírus tem políticas adicionais, verifique cada descrição de configuração para ver se ela se aplica ao seu dispositivo IoT.
Próximas etapas
Agora que você criou uma imagem adaptada à sua experiência de usuário desejada, capture a imagem para que ela possa ser implantada em quantos dispositivos desejar. O Laboratório 4 aborda como preparar uma imagem para captura e implantá-la em um dispositivo.