Share via

Lab 3: Configurare le impostazioni dei criteri nei dispositivi IoT

  • Articolo

Nel lab 2 sono abilitate le funzionalità di blocco dei dispositivi nell'immagine personalizzata. Oltre alle funzionalità di blocco di Windows IoT Enterprise, i partner di dispositivi possono usare una combinazione di criteri di gruppo e personalizzazioni delle funzionalità per ottenere l'esperienza utente desiderata.

In questo lab è consigliabile usare alcune impostazioni di configurazione comuni che i partner di dispositivi IoT tendono a usare. Valutare se ogni singola impostazione di configurazione si applica allo scenario del dispositivo.

Controllare Windows Aggiornamenti

Una delle richieste più comuni dei partner di dispositivi è centrata sul controllo degli aggiornamenti automatici nei dispositivi Windows 10 IoT. La natura dei dispositivi IoT è tale che interruzioni impreviste, tramite un aggiornamento non pianificato, possono creare un'esperienza di dispositivo non valida. Domande da porre quando si valuta come controllare gli aggiornamenti di Windows:

  • Lo scenario del dispositivo è tale che un'interruzione del flusso di lavoro non è accettabile?
  • Come vengono convalidati gli aggiornamenti prima della distribuzione?
  • Qual è l'esperienza utente di aggiornamento nel dispositivo stesso?

Se si dispone di un dispositivo in cui l'interruzione dell'esperienza utente non è accettabile, è necessario:

  • Prendere in considerazione la limitazione degli aggiornamenti solo a determinate ore
  • Valutare la possibilità di disabilitare gli aggiornamenti automatici
  • Valutare la possibilità di distribuire gli aggiornamenti manualmente o tramite una soluzione di terze parti controllata.

Limitare i riavvii dagli aggiornamenti

È possibile usare l'impostazione Criteri di gruppo, MDM o Registro di sistema ore di attività per limitare gli aggiornamenti solo a determinate ore.

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Amministrazione modelli amministrativi\Componenti di Windows\Windows Update e aprire l'impostazione dei criteri Disattiva riavvio automatico per gli aggiornamenti durante l'orario di attività. Abilitare il criterio in modo da poter impostare l'ora di inizio e di fine per l'orario di attività.
  2. Impostare l'ora di inizio e di fine sulla finestra Ore di attività. Ad esempio, impostare Orario di attività per iniziare alle 4:00 e terminare le 2:00. Ciò consente al sistema di riavviare gli aggiornamenti tra le ore 2:00 e le 4:00.

Controllare le notifiche dell'interfaccia utente dal client Windows Update

Un dispositivo può essere configurato in modo da nascondere l'esperienza dell'interfaccia utente per Windows Update, consentendo al servizio stesso di eseguire in background e aggiornare il sistema. Il client Windows Update rispetta ancora i criteri impostati per la configurazione di Aggiornamenti automatici, questo criterio controlla la parte dell'interfaccia utente di tale esperienza.

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Amministrazione Modelli amministrativi\Componenti di Windows\Windows Update\Opzioni di visualizzazione per le notifiche di aggiornamento
  2. Impostare il criterio su abilitato.
  3. Impostare Specificare le opzioni di visualizzazione delle notifiche di aggiornamento su 1 o 2.

Nota

Impostare il valore su 1 per nascondere tutte le notifiche ad eccezione degli avvisi di riavvio o su 2 per nascondere tutte le notifiche, inclusi gli avvisi di riavvio.

Disabilitare completamente l'Aggiornamenti automatica di Windows

La sicurezza e la stabilità sono alla base di un progetto IoT riuscito e Windows Update fornisce aggiornamenti per garantire che Windows 10 IoT Enterprise abbia gli aggiornamenti di sicurezza e stabilità applicabili più recenti. Tuttavia, potresti avere uno scenario del dispositivo in cui l'aggiornamento di Windows deve essere gestito manualmente. Per questo tipo di scenario, è consigliabile disabilitare l'aggiornamento automatico tramite Windows Update. Nelle versioni precedenti dei partner di dispositivi Windows potrebbe arrestare e disabilitare il servizio Windows Update, ma questo non è più il metodo supportato per disabilitare gli aggiornamenti automatici. Windows 10 include molti criteri che consentono di configurare Windows Aggiornamenti in diversi modi.

Per disabilitare completamente l'aggiornamento automatico di Windows 10 con Windows Update.

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Amministrazione Modelli amministrativi\Componenti di Windows\Windows update\Configura Aggiornamenti automatica.
  2. Impostare in modo esplicito il criterio su Disabilitato. Quando questa impostazione è impostata su Disabilitato, tutti gli aggiornamenti disponibili da Windows Update devono essere scaricati e installati manualmente, operazione che è possibile eseguire nell'app Impostazioni in Update & security > Windows Update.

Disabilitare l'accesso all'esperienza utente di Windows Update

In alcuni scenari, la configurazione dell'Aggiornamenti automatica non è sufficiente per mantenere un'esperienza del dispositivo desiderata. Ad esempio, un utente finale potrebbe avere ancora accesso alle impostazioni di Windows Update, che consentirebbe gli aggiornamenti manuali tramite Windows Update. È possibile configurare Criteri di gruppo per impedire l'accesso a Windows Update tramite le impostazioni.

Per impedire l'accesso a Windows Update:

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Amministrazione Modelli amministrativi\Componenti di Windows\Windows update\Rimuovi accesso per usare tutte le funzionalità di windows update.
  2. Impostare questo criterio su Abilitato per impedire l'opzione "Controlla aggiornamenti" per gli utenti. Nota: tutte le analisi, i download e le installazioni degli aggiornamenti in background continuano a funzionare come configurato. Questo criterio impedisce semplicemente all'utente di accedere alle impostazioni di controllo manuale. Usare i passaggi della sezione precedente per disabilitare anche analisi, download e installazioni.

Importante

Assicurarsi di avere una strategia di manutenzione ben progettata per il dispositivo. La disabilitazione delle funzionalità di Windows Update lascia il dispositivo in uno stato vulnerabile se il dispositivo non riceve gli aggiornamenti in un altro modo.

Impedire l'installazione dei driver tramite Windows Update

A volte i driver installati da Windows Update possono causare problemi con un'esperienza del dispositivo. I passaggi seguenti impediscono a Windows Update di scaricare e installare nuovi driver nel dispositivo.

  1. Aprire Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer\Amministrazione modelli amministrativi\Componenti di Windows\Windows update\Non includere driver con Windows Aggiornamenti.
  2. Abilitare questo criterio, che indica a Windows di non includere driver con gli aggiornamenti qualitativi di Windows.

Riepilogo di Windows Update

È possibile configurare Windows Update in diversi modi e non tutti i criteri sono applicabili a tutti i dispositivi. Come regola generale, i dispositivi IoT richiedono particolare attenzione alla strategia di manutenzione e gestione da usare nei dispositivi. Se la strategia di manutenzione consiste nel disabilitare tutte le funzionalità di Windows Update tramite i criteri, i passaggi seguenti forniscono un elenco combinato di criteri da configurare.

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer -> modelli Amministrazione istrativi - Sistema ->> Installazione del dispositivo e impostare i criteri seguenti:
    1. Specificare il server di ricerca per gli aggiornamenti dei driver di dispositivo su Abilitato, con Selezionare il server di aggiornamento impostato su Search Managed Server
    2. Specificare l'ordine di ricerca per i percorsi di origine del driver di dispositivo su Abilitato, con Selezionare l'ordine di ricerca impostato su Non cercare Windows Update
  2. Nell'Editor Criteri di gruppo passare a Configurazione computer -> modelli Amministrazione istrativi -> Componenti di Windows -> Windows Update e impostare i criteri seguenti:
    1. Configurare il Aggiornamenti automatico su Disabilitato
    2. Non includere driver con Windows Aggiornamenti su Abilitato
  3. Nell'Editor Criteri di gruppo passare a Configurazione computer -> modelli Amministrazione istrative - Sistema ->> Gestione delle comunicazioni Internet -> Impostazioni di comunicazione Internet e impostare Disattiva l'accesso a tutte le funzionalità di Windows Update su Abilitato
  4. Nell'Editor Criteri di gruppo passare a Configurazione computer -> modelli Amministrazione istrativi -> Componenti di Windows -> Windows Update -> Opzioni di visualizzazione per le notifiche di aggiornamento e impostare i criteri su Abilitato con Specificare le opzioni di visualizzazione delle notifiche di aggiornamento su 2

Configurare il sistema per nascondere le schermate blu

I controlli di bug nel sistema (Schermata blu o BSOD) possono verificarsi per molti motivi. Per i dispositivi IoT, è importante nascondere questi errori se si verificano. Il sistema può comunque raccogliere un dump della memoria per il debug, ma l'esperienza utente dovrebbe evitare di visualizzare la schermata di errore del controllo errori. È possibile configurare il sistema per sostituire "schermata blu" con una schermata vuota per gli errori del sistema operativo.

  1. Aprire l'editor del Registro di sistema nel dispositivo IoT e passare a HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Aggiungere un nuovo valore del Registro di sistema denominato DisplayDisabled come tipo DWORD (32 bit) con un valore pari a 1.

Configurare notifiche, avvisi popup e popup

I dispositivi IoT in genere eliminano le finestre di dialogo di Windows comuni che hanno senso negli scenari di PC, ma potrebbero compromettere l'esperienza utente di un dispositivo IoT. Il modo più semplice per disabilitare le finestre di dialogo indesiderate consiste nell'usare una shell personalizzata usando l'utilità di avvio della shell o l'accesso assegnato. Se la shell personalizzata non è la scelta giusta, è possibile impostare una combinazione di criteri, impostazioni e modifiche del Registro di sistema che possono disabilitare popup e notifiche indesiderate.

Notifications

La disabilitazione delle singole notifiche è utile in alcuni scenari. Ad esempio, se il dispositivo è un dispositivo tablet, la notifica di Risparmio batteria potrebbe essere qualcosa che l'utente dovrebbe visualizzare, mentre altre notifiche come OneDrive o Foto devono essere nascoste. È anche possibile decidere che il dispositivo debba eliminare tutte le notifiche, indipendentemente dal componente del sistema operativo che li fornisce.

Nascondi tutte le notifiche

Un metodo per disabilitare le notifiche consiste nell'usare la funzionalità Ore non interattiva di Windows. Le ore silenziose funzionano in modo analogo alle funzionalità trovate su molti smartphone che soppresse le notifiche durante determinate ore, di solito durante le ore notturne. In Windows 10, le ore non invisibile possono essere impostate su 24x7 in modo che le notifiche non vengano mai visualizzate.

Abilitare 24 ore su 24 ore non silenziose

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione utente -> Modelli Amministrazione istrativi -> Notifiche
  2. Abilitare i criteri per Impostare l'ora di inizio orario non interattiva ogni giorno e impostare il valore su 0
  3. Abilitare i criteri per Impostare l'orario di chiusura oraria ogni giorno e impostare il valore su 1439 (sono presenti 1440 minuti al giorno)

Nota

Esistono altri criteri in Configurazione utente-> modelli Amministrazione istrative -> Notifiche che consentono di ottenere una maggiore granularità sulle notifiche esatte da disabilitare. Queste opzioni possono essere utili in alcuni scenari di dispositivo.

Risposta predefinita della finestra di messaggio

Si tratta di una modifica del Registro di sistema che disabilita la visualizzazione delle caselle di classe MessageBox, facendo in modo che il sistema selezioni automaticamente il pulsante predefinito nella finestra di dialogo (OK o Annulla). Ciò può essere utile se le applicazioni di terze parti, che il partner del dispositivo non controlla, mostrano finestre di dialogo di stile MessageBox. È possibile ottenere informazioni su questo valore del Registro di sistema in Risposta predefinita di Message Box.

Disabilitare le caselle di classe MessageBox
  1. Aprire l'editor del Registro di sistema come amministratore
  2. Creare un nuovo valore del Registro di sistema Dword in HKLM\System\CurrentControlSet\Control\Error Message Instrument, con un valore denominato EnableDefaultReply
  3. Impostare i dati per il valore EnableDefaultReply su 0
  4. Testare lo scenario per assicurarsi che funzioni come previsto

Baseline di sicurezza

A partire dalla prima versione di Windows 10, è stato fornito un set di criteri associato denominato Baseline di sicurezza con ogni versione di Windows. Una baseline di sicurezza è un gruppo di impostazioni di configurazione consigliate da Microsoft in base al feedback dei team di progettazione della sicurezza Microsoft, gruppi di prodotti, partner e clienti. La baseline di sicurezza è un buon modo per abilitare rapidamente le impostazioni di sicurezza consigliate nei dispositivi IoT.

Nota: i dispositivi che richiedono la certificazione, ad esempio STIG, traggono vantaggio dall'uso della baseline di sicurezza come punto di partenza. La baseline di sicurezza viene fornita come parte di Security Compliance Toolkit

È possibile scaricare Security Compliance Toolkit dall'Area download.

  1. Selezionare Scarica nel collegamento precedente. Selezionare la versione xxxx baseline di sicurezza di Windows 10 e LGPO.zip. Assicurarsi di scegliere la versione corrispondente alla versione di Windows 10 che si sta distribuendo.

  2. Estrarre il file Baseline.zip della versione xxxx di Windows 10 e il file LGPO.zip nel dispositivo IoT.

  3. Copiare LGPO.exe nella cartella Local_Script\Tools della baseline di sicurezza di Windows 10 versione xxxx. LGPO è necessario per lo script di installazione della baseline di sicurezza, ma deve essere scaricato separatamente.

  4. Da un prompt dei comandi Amministrazione istrative eseguire:

    Client_Install_NonDomainJoined.cmd

    oppure, se il dispositivo IoT farà parte di un dominio di Active Directory:

    Client_Install_DomainJoined.cmd

  5. Premere INVIO quando viene richiesto di eseguire lo script e quindi riavviare il dispositivo IoT.

Cosa ci si può aspettare

Molte impostazioni sono incluse come parte della baseline di sicurezza. Nella cartella Documentazione è disponibile un foglio di calcolo di Excel che delinea tutti i criteri impostati dalla linea di base. Si noterà immediatamente che la complessità delle password dell'account utente è stata modificata rispetto all'impostazione predefinita, pertanto potrebbe essere necessario aggiornare le password dell'account utente nel sistema o come parte della distribuzione. Inoltre, i criteri sono configurati per l'accesso ai dati delle unità USB. La copia dei dati dal sistema è protetta per impostazione predefinita. Continuare a esplorare le altre impostazioni aggiunte dalla baseline di sicurezza.

Microsoft Defender

La protezione antivirus è necessaria in molti scenari di dispositivi IoT, in particolare i dispositivi più completi e che eseguono un sistema operativo come Windows 10 IoT Enterprise. Per dispositivi come chioschi multimediali, POS al dettaglio, BANCOMAT e così via. Microsoft Defender è incluso e abilitato per impostazione predefinita come parte dell'installazione di Windows 10 IoT Enterprise. Potrebbe essere presente uno scenario in cui si vuole modificare l'esperienza utente predefinita di Microsoft Defender. Ad esempio, disabilitando le notifiche sulle analisi eseguite o anche disabilitando le analisi approfondite pianificate a favore dell'uso solo dell'analisi in tempo reale. I criteri seguenti sono utili per impedire la creazione di un'interfaccia utente indesiderata da Microsoft Defender.

  1. Aprire l'Editor Criteri di gruppo (gpedit.msc) e passare a Configurazione computer -> Modelli Amministrazione istrativi - Componenti di Windows ->> Antivirus Microsoft Defender -> Analisi e impostazione:
    1. Verificare la presenza delle definizioni di virus e spyware più recenti prima di eseguire un'analisi di pianificazione su Disabilitato
    2. Specificare la percentuale massima di utilizzo della CPU durante un'analisi su 5
    3. Attivare l'analisi completa su Disabilitato
    4. Attivare l'analisi rapida su Disabilitato
    5. Creare un punto di ripristino del sistema su Disabilitato
    6. Definire il numero di giorni dopo i quali viene forzata un'analisi di recupero a 20 (si tratta di un'impostazione "just in case" e non deve essere necessaria se le analisi di recupero sono abilitate)
    7. Specificare il tipo di analisi da usare per un'analisi pianificata per l'analisi rapida
    8. Specificare il giorno della settimana per eseguire un'analisi pianificata per 0x8 (mai)
  2. In Editor Criteri di gruppo passare a Configurazione computer -> Modelli Amministrazione istrativi -> Componenti di Windows -> Antivirus Microsoft Defender -> Firma Aggiornamenti e impostare:
    1. Definire il numero di giorni prima che le definizioni di spyware siano considerate non aggiornate a 30
    2. Definire il numero di giorni prima che le definizioni di virus siano considerate non aggiornate a 30
    3. Attivare l'analisi dopo l'aggiornamento della firma su Disabilitato
    4. Avviare l'aggiornamento delle definizioni all'avvio su Disabilitato
    5. Specificare il giorno della settimana per verificare la disponibilità di aggiornamenti delle definizioni per 0x8 (mai)
    6. Definire il numero di giorni dopo i quali è necessario un aggiornamento delle definizioni di recupero a 30

Componenti di Windows -> Antivirus Microsoft Defender dispone di criteri aggiuntivi. controllare ogni descrizione dell'impostazione per verificare se si applica al dispositivo IoT.

Passaggi successivi

Dopo aver creato un'immagine personalizzata per l'esperienza utente desiderata, è possibile acquisire l'immagine in modo che possa essere distribuita in tutti i dispositivi desiderati. Lab 4 illustra come preparare un'immagine per l'acquisizione e quindi distribuirla in un dispositivo.

Passare al lab 4