Laboratorio 3: Configuración de directivas en dispositivos IoT

  • Artículo

En el laboratorio 2, habilitamos las características de bloqueo de dispositivos en nuestra imagen personalizada. Además de las características de bloqueo de Windows IoT Enterprise, los asociados de dispositivos pueden usar una combinación de directivas de grupo y personalizaciones de características para lograr la experiencia del usuario deseada.

En este laboratorio, se recomiendan algunas opciones de configuración comunes que los asociados de dispositivos IoT suelen usar. Tenga en cuenta si cada opción de configuración individual se aplica al escenario del dispositivo.

Control de las actualizaciones de Windows

Una de las solicitudes más comunes de los partners de dispositivos se centra en controlar las actualizaciones automáticas en los dispositivos IoT con Windows 10. La naturaleza de los dispositivos IoT es tal que las interrupciones inesperadas, a través de algo como una actualización no planeada, pueden crear una mala experiencia de dispositivo. Preguntas que debe hacer al considerar cómo controlar las actualizaciones de Windows:

  • ¿El escenario del dispositivo es tal que cualquier interrupción del flujo de trabajo es inaceptable?
  • ¿Cómo se validan las actualizaciones antes de la implementación?
  • ¿Cuál es la experiencia del usuario de la actualización en el propio dispositivo?

Si tiene un dispositivo en el que la interrupción de la experiencia del usuario no es aceptable, debe:

  • Considere la posibilidad de limitar las actualizaciones solo a determinadas horas.
  • Considere la posibilidad de deshabilitar las actualizaciones automáticas
  • Considere la posibilidad de implementar actualizaciones manualmente o a través de una solución de terceros controlada.

Limitación de los arranques de las actualizaciones

Puede usar la directiva de grupo de horas activas, MDM o la configuración de registro para limitar las actualizaciones solo a determinadas horas.

  1. Abra el Editor de directiva de grupo (gpedit.msc) y vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update y abra la configuración de directiva Desactivar el arranque automático para las actualizaciones durante las horas activas. Habilite la directiva para poder configurar el inicio y el final de las horas activas.
  2. Configure la hora de Inicio y Finalización en la ventana Horas activas. Por ejemplo, configure las horas activas para que comiencen a las 4:00 a.m. y a finalicen a las 2:00 a. m. Esto permite que el sistema se arranque a partir de las actualizaciones entre las 2:00 a. m. y las 4:00 a. m.

Control de las notificaciones de la interfaz de usuario desde el cliente de Windows Update

Un dispositivo se puede configurar de forma que se oculte la experiencia de interfaz de usuario de Windows Update, al tiempo que se permite que el propio servicio se ejecute en segundo plano y actualice el sistema. El cliente de Windows Update sigue respetando las directivas establecidas para configurar actualizaciones automáticas; esta directiva controla la parte de la interfaz de usuario de esa experiencia.

  1. Abra el Editor de directiva de grupo (gpedit.msc) y vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Opciones de visualización para las notificaciones de actualización
  2. Habilite la directiva.
  3. Establezca Especifique las opciones de visualización de las notificaciones de actualización en 1 o 2.

Nota

Establezca el valor en 1 para ocultar todas las notificaciones excepto las advertencias de reinicio, o en 2 para ocultar todas las notificaciones, incluidas las advertencias de reinicio.

Desactivación completa de las actualizaciones automáticas de Windows

La seguridad y la estabilidad son el núcleo de un proyecto de IoT exitoso y Windows Update proporciona actualizaciones para garantizar que Windows 10 IoT Enterprise tenga las actualizaciones de seguridad y estabilidad aplicables más recientes. Sin embargo, es posible que tenga un escenario de dispositivo en el que la actualización de Windows tenga que controlarse manualmente. Para este tipo de escenario, se recomienda desactivar la actualización automática mediante Windows Update. En versiones anteriores de Windows, los partners de dispositivos podían detener y desactivar el servicio Windows Update, pero este ya no es el método admitido para deshabilitar las actualizaciones automáticas. Windows 10 tiene muchas directivas que permiten configurar Windows Novedades de varias maneras.

Para desactivar por completo la actualización automática de Windows 10 con Windows Update.

  1. Abra el Editor de directiva de grupo (gpedit.msc) y vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Configurar actualizaciones automáticas.
  2. Establezca explícitamente la directiva en Deshabilitada. Cuando esta configuración se establece en Deshabilitado, las actualizaciones disponibles de Windows Update deben descargarse e instalarse manualmente, lo que puede hacer en la aplicación Configuración en Actualización y seguridad > de Windows Update.

Desactivación del acceso a la experiencia del usuario de Windows Update

En algunos escenarios, la configuración de actualizaciones automáticas no es suficiente para conservar una experiencia de dispositivo deseada. Por ejemplo, es posible que un usuario final todavía tenga acceso a la configuración de Windows Update, lo que permitiría actualizaciones manuales a través de Windows Update. Puede configurar la directiva de grupo para prohibir el acceso a Windows Update mediante la configuración.

Para prohibir el acceso a Windows Update:

  1. Abra el Editor de directiva de grupo (gpedit.msc) y vaya a Configuración del equipo\Plantillas administrativas\Quitar el acceso a usar todas las funciones de Windows Update.
  2. Establezca esta directiva en Habilitada para evitar que los usuarios usen la opción "Buscar actualizaciones". Nota: Los exámenes de actualizaciones en segundo plano, las descargas y las instalaciones siguen funcionando según lo configurado. Esta directiva simplemente impide que el usuario acceda a la comprobación manual a través de la configuración. Siga los pasos de la sección anterior para deshabilitar también exámenes, descargas e instalaciones.

Importante

Asegúrese de tener una estrategia de mantenimiento bien diseñada para el dispositivo. Al deshabilitar las funciones de Windows Update, el dispositivo queda en un estado vulnerable si no se actualiza de otra manera.

Cómo impedir la instalación de controladores a través de Windows Update

A veces, los controladores instalados a través de Windows Update pueden causar problemas con una experiencia de dispositivo. Los pasos siguientes prohíben que Windows Update descargue e instale nuevos controladores en el dispositivo.

  1. Abra el Editor de directiva de grupo (gpedit.msc) y vaya a Configuración del equipo\Plantillas administrativas\Componentes de Windows\WindowsUpdate\No incluir controladores con las actualizaciones de Windows.
  2. Habilitar esta directiva le indica a Windows que no incluya controladores con actualizaciones de calidad de Windows.

Resumen de Windows Update

Puede configurar Windows Update de varias maneras, y no todas las directivas son aplicables a todos los dispositivos. Como norma general, los dispositivos IoT requieren una atención especial a la estrategia de mantenimiento y administración que se usará en ellos. Si la estrategia de mantenimiento es deshabilitar todas las características de Windows Update a través de la directiva, los pasos siguientes proporcionan una lista combinada de directivas que configurar.

  1. Abra el Editor de directivas de grupo (gpedit.msc) y vaya a Configuración del equipo -> Administración Plantillasistrative - System ->> Device Installation y establezca las siguientes directivas:
    1. Especifique el servidor de búsqueda para las actualizaciones del controlador de dispositivo en Habilitado, con Seleccionar servidor de actualización establecido en Buscar servidor administrado
    2. Especifique el orden de búsqueda para las ubicaciones de origen del controlador de dispositivo en Habilitado, con Seleccionar el orden de búsqueda establecido en No buscar en Windows Update
  2. En el Editor de directivas de grupo, vaya a Configuración del equipo :> Administración Plantillasistrative Templates -> Componentes de Windows -> Windows Update y establezca las siguientes directivas:
    1. Configurar actualizaciones automáticas en Deshabilitado
    2. No incluir controladores con actualizaciones de Windows en Habilitado
  3. En el editor de directiva de grupo, vaya a Configuración del equipo -> Plantillas administrativas -> Sistema -> Administración de comunicaciones de Internet -> Configuración de comunicación de Internet y establezca Desactivar el acceso a todas las características de Windows Update en Habilitado
  4. En el editor de directiva de grupo, vaya a Configuración del equipo -> Plantillas administrativas -> Componentes de Windows-> Windows Update -> Mostrar opciones para las notificaciones de actualización y establezca la directiva en Habilitado con Especificar las opciones de visualización de notificaciones de actualización en 2

Configuración del sistema para ocultar pantallas azules

Las correcciones de errores en el sistema (pantalla azul o BSOD) pueden producirse por muchas razones. En el caso de los dispositivos IoT, es importante ocultar estos errores si se producen. El sistema todavía puede recopilar un volcado de memoria para la depuración, pero la experiencia del usuario debe evitar mostrar la propia pantalla de error de comprobación de errores. Puede configurar el sistema para reemplazar la "pantalla azul" por una pantalla en blanco para los errores del sistema operativo.

  1. Abra el editor del registro en el dispositivo IoT y vaya a HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Agregue un nuevo valor de registro denominado DisplayDisabled de tipo DWORD (32 bits) con un valor de 1.

Configuración de notificaciones, notificaciones del sistema y elementos emergentes

Normalmente, los dispositivos IoT suprimen los cuadros de diálogo comunes de Windows que tienen sentido en escenarios de PC, pero que podrían interrumpir la experiencia del usuario de un dispositivo IoT. La manera más sencilla de deshabilitar los diálogos no deseados es usar un shell personalizado mediante el indicador de shell o el acceso asignado. Si el shell personalizado no es la opción adecuada, puede establecer una combinación de directivas, configuraciones y ajustes de registro que pueden deshabilitar las notificaciones y los elementos emergentes no deseados.

Notificaciones

Deshabilitar las notificaciones individuales es beneficiosa en algunos escenarios. Por ejemplo, si el dispositivo es un dispositivo de tableta, la notificación de ahorro de batería puede ser algo que el usuario debería ver, mientras que otras notificaciones, como las de OneDrive o Fotos deberían estar ocultas. También puede decidir que el dispositivo debe suprimir todas las notificaciones, independientemente del componente del sistema operativo que las proporcione.

Cómo ocultar todas las notificaciones

Un método para deshabilitar las notificaciones es usar la función de Windows Horas tranquilas. Horas tranquilas funciona de forma similar a las características que se encuentran en muchos smartphones que suprimen las notificaciones durante determinadas horas, normalmente durante las horas de noche. En Windows 10, Horas tranquilas se puede establecer en 24/7 para que nunca se muestren las notificaciones.

Habilitar 24 horas silenciosas 24x7

  1. Abra el editor de directiva de grupo (gpedit.msc) y vaya a Configuración de usuario -> Plantillas administrativas -> Notificaciones
  2. Habilite la directiva para Establecer la hora en que comienza cada día Horas tranquilas y establezca el valor en 0
  3. Habilite la directiva para Establecer la hora en que termina cada día Horas tranquilas y establezca el valor en 1439 (un día tiene 1440 minutos)

Nota

Hay otras directivas en Configuración de usuario -> plantillas administrativas -> Notificaciones que permiten obtener más granulares sobre las notificaciones exactas que se deshabilitarán. Estas opciones pueden ser útiles en algunos escenarios de dispositivo.

Respuesta predeterminada del cuadro de mensajes

Se trata de un cambio en el registro que deshabilita los cuadros de clase MessageBox para que aparezcan, haciendo que el sistema seleccione automáticamente el botón predeterminado en el cuadro de diálogo (Aceptar o Cancelar). Esto puede ser útil si las aplicaciones de terceros, que el asociado de dispositivo no controla, muestran cuadros de diálogo de estilo cuadro de mensaje. Puede obtener información sobre este valor del registro en Respuesta predeterminada del cuadro de mensajes.

Cómo deshabilitar cuadros de la clase MessageBox
  1. Abra el Editor del Registro como administrador
  2. Cree un nuevo valor del registro Dword en HKLM\System\CurrentControlSet\Control\Error Message Instrument, con un valor denominado EnableDefaultReply
  3. Establezca los datos del valor EnableDefaultReply en 0
  4. Pruebe el escenario para asegurarse de que funciona según lo previsto.

Línea de base de seguridad

A partir de la primera versión de Windows 10, se ha proporcionado un conjunto de directivas adjunto denominado base de referencia de seguridad con cada versión de Windows. Una base de referencia de seguridad es un grupo de opciones de configuración recomendadas por Microsoft en función de los comentarios de los equipos de ingeniería de seguridad de Microsoft, grupos de productos, socios y clientes. La base de referencia de seguridad es una buena manera de habilitar rápidamente la configuración de seguridad recomendada en dispositivos IoT.

Nota: Los dispositivos que requieren certificación como la STIG se beneficiarían del uso de la base de referencia de seguridad como punto de partida. La línea base de seguridad se entrega como parte del Kit de herramientas de cumplimiento de seguridad

Puede descargar el Kit de herramientas de cumplimiento de seguridad del Centro de descarga.

  1. Seleccione Descargar en el vínculo anterior. Seleccione el archivo Windows 10 Version xxxx Security Baseline.zip y el LGPO.zip. Asegúrese de elegir la versión que coincida con la versión de Windows 10 que va a implementar.

  2. Extraiga el archivo Windows 10 Version xxxx Security Baseline.zip y el LGPO.zip en el dispositivo IoT.

  3. Copie el LGPO.exe en la carpeta Local_Script\Tools de la línea de base de seguridad Windows 10 versión xxxx. El LGPO es necesario para el script de instalación de la base de referencia de seguridad, pero debe descargarse por separado.

  4. Desde un símbolo del sistema administrativo, ejecute:

    Client_Install_NonDomainJoined.cmd

    o bien, si el dispositivo IoT formará parte de un dominio de Active Directory:

    Client_Install_DomainJoined.cmd

  5. Presione Enter cuando se le pida que ejecute el script y reinicie el dispositivo IoT.

Lo que se puede esperar

Muchas configuraciones se incluyen como parte de la base de referencia de seguridad. En la carpeta Documentación, encontrará una hoja de cálculo de Excel que describa todas las directivas establecidas por la línea base. Observará inmediatamente que la complejidad de la contraseña de la cuenta de usuario ha cambiado su valor predeterminado, por lo que es posible que tenga que actualizar las contraseñas de cuenta de usuario en el sistema o como parte de la implementación. Además, las directivas se configuran para el acceso a datos de unidad USB. La copia de datos del sistema está protegida de forma predeterminada. Continúe explorando los demás valores agregados por la base de referencia de seguridad.

Microsoft Defender

La protección antivirus es necesaria en muchos escenarios de dispositivos IoT, especialmente los dispositivos que tienen más características y ejecutan un sistema operativo como Windows 10 IoT Enterprise. Para dispositivos como quioscos, tiendas de venta al por menor, cajeros automáticos, etc. Microsoft Defender se incluye y habilita de forma predeterminada como parte de la instalación de Windows 10 IoT Enterprise. Es posible que tenga un escenario en el que quiera modificar la experiencia predeterminada del usuario de Microsoft Defender. Por ejemplo, deshabilitar las notificaciones sobre los exámenes realizados o incluso deshabilitar los exámenes profundos programados en favor de usar solo el examen en tiempo real. Las siguientes directivas son útiles para evitar que Microsoft Defender cree una interfaz de usuario no deseada.

  1. Abra el Editor de directivas de grupo (gpedit.msc) y vaya a Configuración del equipo -> plantillas Administración istrative Templates -> Componentes de Windows -> Antivirus de Microsoft Defender -> Examinar y establecer:
    1. Buscar las definiciones más recientes de virus y spyware antes de ejecutar un examen programado en Deshabilitado
    2. Especificar el porcentaje máximo de uso de CPU durante un examen en 5
    3. Activar el examen completo de recuperación en Deshabilitado
    4. Activar el examen rápido de recuperación en Deshabilitado
    5. Crear un punto de restauración del sistema en Deshabilitado
    6. Defina el número de días tras los cuales se fuerza un examen de recuperación en20 (se trata de una configuración "por si acaso" y no debería ser necesaria si los exámenes de recuperación están habilitados)
    7. Especifique el tipo de examen que se va a usar para un examen programado en Examen rápido
    8. Especifique el día de la semana en el que se ejecutará un examen programado en 0x8 (nunca)
  2. En el Editor de directivas de grupo, vaya a Configuración del equipo :> plantillas Administración istrative Templates -> Windows Components -> Antivirus de Microsoft Defender -> Signature Novedades y establezca:
    1. Definir el número de días antes de que las definiciones de spyware se consideren obsoletas en 30
    2. Definir el número de días antes de que las definiciones de virus se consideren obsoletas en 30
    3. Activar el examen después de actualizar la firma en Deshabilitado
    4. Iniciar la actualización de definiciones al iniciarse enDeshabilitado
    5. Especificar el día de la semana para comprobar si hay actualizaciones de definiciones en 0x8 (nunca)
    6. Definir el número de días después de los cuales se requiere una actualización de definición de recuperación en 30

Componentes de Windows ->Antivirus de Microsoft Defender tiene directivas adicionales. compruebe cada descripción de configuración para ver si se aplica al dispositivo IoT.

Pasos siguientes

Ahora que ha creado una imagen que se adapta a la experiencia del usuario deseada, puede capturarla para que se pueda implementar en tantos dispositivos como desee. En el laboratorio 4 se explica cómo preparar una imagen para la captura y, a continuación, implementarla en un dispositivo.

Ir al laboratorio 4