랩 3: IoT 디바이스에서 정책 설정 구성

  • 아티클
  • 읽는 데 25분 걸림

랩 2에서는 사용자 지정 이미지에서 디바이스 잠금 기능을 사용하도록 설정했습니다. 디바이스 파트너는 Windows IoT Enterprise 잠금 기능 외에도 그룹 정책 및 기능 사용자 지정을 혼합하여 원하는 사용자 환경을 구현할 수 있습니다.

이 랩에서는 IoT 디바이스 파트너가 사용하는 몇 가지 일반적인 구성 설정을 권장합니다. 각 개별 구성 설정이 디바이스 시나리오에 적용되는지 여부를 고려합니다.

Windows 업데이트 제어

디바이스 파트너의 가장 일반적인 요청 중 하나는 Windows 10 IoT 디바이스에서 자동 업데이트 제어를 중심으로 합니다. IoT 디바이스의 특성은 계획되지 않은 업데이트와 같은 예기치 않은 중단으로 인해 잘못된 디바이스 환경이 만들어질 수 있다는 것입니다. Windows 업데이트를 제어하는 방법을 고려할 때 질문해야 하는 질문:

  • 워크플로 중단이 허용되지 않는 디바이스 시나리오인가요?
  • 배포 전에 업데이트의 유효성을 검사하려면 어떻게 해야 합니까?
  • 디바이스 자체의 업데이트 사용자 환경은 무엇인가요?

사용자 환경의 중단이 허용되지 않는 디바이스가 있는 경우 업데이트를 특정 시간에만 제한하거나, 자동 업데이트를 사용하지 않도록 설정하거나, 수동으로 또는 제어된 타사 솔루션을 통해 업데이트를 배포하는 것을 고려해야 합니다.

업데이트에서 다시 부팅 제한

활성 시간 그룹 정책, MDM 또는 레지스트리 설정을 사용하여 업데이트를 특정 시간에만 제한할 수 있습니다.

  1. 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트로 이동하고 활성 시간 동안 업데이트에 대한 자동 다시 시작 끄기 정책 설정을 엽니다. 활성 시간에 대한 시작 및 종료 시간을 설정할 수 있도록 정책을 사용하도록 설정합니다.
  2. 시작종료 시간을 활성 시간 창으로 설정합니다. 예를 들어 활성 시간을 오전 4시에 시작하고 오전 2:00에 종료하도록 설정합니다. 이렇게 하면 오전 2시에서 오전 4시 사이의 업데이트에서 시스템을 다시 부팅할 수 있습니다.

Windows 업데이트 클라이언트에서 UI 알림 제어

서비스 자체가 백그라운드에서 실행되고 시스템을 업데이트하도록 하면서 Windows 업데이트에 대한 UI 환경을 숨기는 방식으로 디바이스를 구성할 수 있습니다. Windows 업데이트 클라이언트는 자동 업데이트를 구성하기 위해 설정된 정책을 계속 받아들입니다. 이 정책은 해당 환경의 UI 부분을 제어합니다.

  1. 그룹 정책 편집기(gpedit.msc)를 열고 업데이트 알림에 대한 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\표시 옵션으로 이동합니다.
  2. 정책을 사용으로 설정합니다.
  3. 설정 업데이트 알림 표시 옵션을 1 또는 2로 지정합니다.

참고

다시 시작 경고를 제외한 모든 알림을 숨기려면 값을 1로 설정하고 다시 시작 경고를 포함하여 모든 알림을 숨기려면 2로 설정합니다.

자동 Windows 업데이트를 완전히 사용하지 않도록 설정

보안 및 안정성은 성공적인 IoT 프로젝트의 핵심이며, Windows 업데이트는 Windows 10 IoT Enterprise 적용 가능한 최신 보안 및 안정성 업데이트를 갖도록 업데이트를 제공합니다. 그러나 업데이트 Windows 완전히 수동으로 처리해야 하는 디바이스 시나리오가 있을 수 있습니다. 이 유형의 시나리오에서는 Windows 업데이트를 통해 자동 업데이트를 사용하지 않도록 설정하는 것이 좋습니다. 이전 버전의 Windows 디바이스 파트너는 Windows 업데이트 서비스를 중지하고 사용하지 않도록 설정할 수 있었지만 자동 업데이트를 사용하지 않도록 설정하는 데 더 이상 지원되는 방법은 아닙니다. Windows 10 여러 가지 방법으로 Windows 업데이트를 구성할 수 있는 여러 정책이 있습니다.

Windows 업데이트를 사용하여 Windows 10 자동 업데이트를 완전히 사용하지 않도록 설정합니다.

  1. 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\자동 업데이트 구성으로이동합니다.
  2. 명시적으로 정책을 사용 함으로 설정합니다. 이 설정을 사용 안 함으로 설정하면 Windows 업데이트에서 사용 가능한 모든 업데이트를 수동으로 다운로드하고 설치해야 하며, 업데이트 보안 Windows > 업데이트아래의 설정 앱에서 수행할 수 있습니다.

Windows 업데이트 사용자 환경 액세스 사용 안 함

일부 시나리오에서는 자동 업데이트를 구성하는 것만으로는 원하는 디바이스 환경을 유지할 수 없습니다. 예를 들어 최종 사용자는 Windows 업데이트를 통해 수동 업데이트를 허용하는 Windows 업데이트 설정에 계속 액세스할 수 있습니다. 설정을 통해 Windows 업데이트에 대한 액세스를 금지하도록 그룹 정책을 구성할 수 있습니다.

Windows 업데이트에 대한 액세스를 금지하려면 다음을 수행합니다.

  1. 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\액세스 제거로 이동하여 모든 Windows 업데이트 기능을 사용합니다.
  2. 사용자에 대한 "업데이트 확인" 옵션을 방지하려면 이 정책을 사용으로 설정합니다. 참고: 백그라운드 업데이트 검색, 다운로드 및 설치는 구성된 대로 계속 작동합니다. 이 정책은 사용자가 설정을 통해 수동 검사에 액세스하지 못하도록 차단합니다. 이전 섹션의 단계를 사용하여 검사, 다운로드 및 설치도 사용하지 않도록 설정합니다.

중요

디바이스에 대해 잘 디자인된 서비스 전략을 갖추어야 합니다. Windows 업데이트 기능을 사용하지 않으면 디바이스가 다른 방식으로 업데이트를 받지 못하는 경우 디바이스가 취약한 상태가 됩니다.

Windows 업데이트를 통해 드라이버가 설치되지 않도록 방지

Windows 업데이트에서 설치된 드라이버로 인해 디바이스 환경 문제가 발생할 수 있습니다. 아래 단계에서는 Windows 업데이트가 디바이스에 새 드라이버를 다운로드하고 설치하는 것을 금지합니다.

  1. 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\Windows 업데이트가 있는 드라이버를 포함하지 않음으로이동합니다.
  2. Windows 품질 업데이트가 있는 드라이버를 포함하지 않도록 Windows 지시하는 이 정책을 사용하도록 설정합니다.

Windows 업데이트 요약

Windows 업데이트를 여러 가지 방법으로 구성할 수 있으며 모든 정책이 모든 디바이스에 적용되는 것은 아닙니다. 일반적으로 IoT 디바이스는 디바이스에서 사용할 서비스 및 관리 전략에 특별히 주의해야 합니다. 서비스 전략이 정책을 통해 모든 Windows 업데이트 기능을 사용하지 않도록 설정하는 경우 아래 단계에서는 구성할 정책의 결합된 목록을 제공합니다.

  1. 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성 - 관리 템플릿 - 시스템 - 디바이스 >> 설치로 이동하여 다음 정책을 설정합니다.
    1. 업데이트 서버 선택을 관리되는 서버 검색으로 설정하여 디바이스 드라이버 업데이트에 대한 검색 서버를 사용으로지정합니다.
    2. 검색 순서 선택을 Windows 업데이트 검색 안 됨으로 설정하여 디바이스 드라이버 원본 위치의 검색 순서를사용으로지정합니다.
  2. 그룹 정책 편집기에서 컴퓨터 구성 - 관리 템플릿 - > Windows 구성 요소 - Windows > 업데이트로이동하여   다음 정책을 설정합니다. 
    1. 자동 업데이트를 사용 안 함으로 구성
    2. Windows 업데이트가사용으로 설정된 드라이버를 포함하지 않습니다.
  3. 그룹 정책 편집기에서 컴퓨터 구성 - 관리 템플릿 - 시스템 > - > 인터넷 통신 관리 - > 인터넷 통신 설정으로 이동하고 >> 설정합니다.
  4. 그룹 정책 편집기에서 컴퓨터 구성 - 관리 템플릿 - Windows 구성 요소 - Windows 업데이트 - 업데이트 알림 표시 >>> 옵션으로 이동하고 업데이트 알림 표시 옵션을 >> 정책을 > 설정합니다.

파란색 화면을 숨기도록 시스템 구성

시스템의 버그 검사(Blue Screen 또는 BSOD)는 여러 가지 이유로 발생할 수 있습니다. IoT 디바이스의 경우 이러한 오류가 발생하면 숨기는 것이 중요합니다. 시스템은 디버깅을 위해 메모리 덤프를 수집할 수 있지만 사용자 환경은 버그 검사 오류 화면 자체를 표시하지 않아야 합니다. OS 오류에 대한 빈 화면으로 "파란색 화면"을 바꾸도록 시스템을 구성할 수 있습니다.

  1. IoT 디바이스에서 레지스트리 편집기를 열고 HKLM\SYSTEM\CurrentControlSet\Control\CrashControl로 이동합니다.
  2. 값이 1인 DWORD(32비트) 형식으로 DisplayDisabled라는 새 레지스트리 값을 추가합니다.

알림, 알림 메시지 및 팝업 구성

IoT 디바이스는 일반적으로 PC 시나리오에서 의미가 있지만 IoT 디바이스의 사용자 환경을 방해할 수 있는 일반적인 Windows 대화 상자를 표시하지 않습니다. 원치 않는 대화를 사용하지 않도록 설정하는 가장 간단한 방법은 Shell 시작 관리자 또는 할당된 액세스를 사용하여 사용자 지정 셸을 사용하는 것입니다. 사용자 지정 셸이 적합한 선택이 아닌 경우 원치 않는 팝업 및 알림을 사용하지 않도록 설정할 수 있는 정책, 설정 및 레지스트리 조정의 조합을 설정할 수 있습니다.

알림

일부 시나리오에서는 개별 알림을 사용하지 않도록 하는 것이 좋습니다. 예를 들어 디바이스가 태블릿 디바이스인 경우 배터리 절약 알림은 사용자에게 표시되어야 하는 것일 수 있지만 OneDrive 또는 사진 같은 다른 알림은 숨겨야 합니다. 디바이스를 제공하는 OS 구성 요소에 관계없이 디바이스에서 모든 알림을 표시하지 않을 수도 있습니다.

모든 알림 숨기기

알림을 사용하지 않도록 설정하는 한 가지 방법은 Windows 자동 시간 기능을 사용하는 것입니다. Quiet Hours는 일반적으로 야간 시간 동안 특정 시간 동안 알림을 표시하지 않는 많은 스마트폰에 있는 기능과 유사하게 작동합니다. Windows 10 알림이 표시되지 않도록 Quiet Hours를 24x7로 설정할 수 있습니다.

24x7 Quiet Hours 사용:

  1. 그룹 정책 편집기(gpedit.msc)를 열고 사용자 구성 - 관리 템플릿 - > 알림으로 이동합니다.
  2. 매일 Quiet Hours가 시작되는 시간 설정에대한 정책을 사용하도록 설정하고 값을 0으로 설정합니다.
  3. 매일 종료되는 시간 설정에대한 정책을 사용하도록 설정하고 값을 1439로 설정합니다(하루에 1440분이 있습니다).

참고

사용자 구성 - 관리 템플릿 > - > 알림에는 사용하지 않도록 설정할 정확한 알림을 보다 세부화할 수 있는 다른 정책이 있습니다. 이러한 옵션은 일부 디바이스 시나리오에서 유용할 수 있습니다.

메시지 상자 기본 회신

이는 시스템에서 대화 상자의 기본 단추(일반적으로 확인 또는 취소)를 자동으로 클릭하게 하여 MessageBox 클래스 상자가 팝업되는 것을 사용하지 않도록 설정하는 레지스트리 변경입니다. 이는 디바이스 파트너가 제어하지 않는 타사 애플리케이션이 MessageBox 스타일 대화 상자를 표시하는 경우에 유용할 수 있습니다. 메시지 상자 기본 회신에서 이 레지스트리 값에 대해 알아볼 수 있습니다.

MessageBox 클래스 상자 사용 안 함
  1. 관리자 권한으로 레지스트리 편집기를 엽니다.
  2. Enabledefaultreply 라는 값을 사용 하 여 HKLM\System\CurrentControlSet\Control\Error 메시지 계측아래에 새 Dword 레지스트리 값을 만듭니다.
  3. EnableDefaultReply 값에 대 한 데이터를 0으로 설정 합니다.
  4. 시나리오를 테스트 하 여 예상 대로 작동 하는지 확인 합니다.

보안 기준

Windows 10의 첫 번째 릴리스부터 보안 기준 이라고 하는 해당 정책 집합은 각 Windows 릴리스와 함께 제공 됩니다. 보안 기준은 microsoft 보안 엔지니어링 팀, 제품 그룹, 파트너 및 고객의 의견에 따라 Microsoft에서 권장 하는 구성 설정 그룹입니다. 보안 기준은 IoT 장치에서 권장 되는 보안 설정을 신속 하 게 사용 하는 좋은 방법입니다.

참고: STIG와 같은 인증을 요구 하는 장치는 보안 기준을 시작 점으로 사용 하는 이점을 누릴 수 있습니다. 보안 기준은 보안 준수 Toolkit 의 일부로 제공 됩니다.

다운로드 센터에서 보안 준수 Toolkit 를 다운로드할 수 있습니다.

  1. 위의 링크에서 다운로드 를 클릭 합니다. Windows 10 버전 xxxx Security Baseline.zip 및 LGPO.zip를 선택 합니다. 배포 하는 Windows 10 버전과 일치 하는 버전을 선택 해야 합니다.

  2. IoT 장치에서 Windows 10 버전 xxxx 보안 Baseline.zip 파일 및 LGPO.zip 파일의 압축을 풉니다.

  3. LGPO.exe를 Windows 10 버전 xxxx 보안 기준의 Local_Script \tools 폴더에 복사 합니다. LGPO는 보안 기준 설치 스크립트에 필요 하지만 별도로 다운로드 해야 합니다.

  4. 관리 명령 프롬프트에서 다음을 실행 합니다.

    Client_Install_NonDomainJoined.cmd

    또는 IoT 장치가 Active Directory 도메인의 일부가 되는 경우:

    Client_Install_DomainJoined.cmd

  5. 스크립트를 실행 하 라는 메시지가 표시 되 면 Enter 키를 누른 다음 IoT 장치를 다시 부팅 합니다.

예측할 수 있는 항목

많은 설정이 보안 기준의 일부로 포함 됩니다. 설명서 폴더에는 기준에 따라 설정 된 모든 정책을 설명 하는 Excel 스프레드시트가 있습니다. 사용자 계정 암호 복잡성이 기본값에서 변경 된 것을 즉시 알 수 있으므로 시스템 또는 배포의 일부로 사용자 계정 암호를 업데이트 해야 할 수 있습니다. 또한 USB 드라이브 데이터 액세스에 대 한 정책이 구성 되어 있습니다. 지금은 시스템에서 데이터를 복사 하는 것이 기본적으로 보호 됩니다. 보안 기준에 의해 추가 된 다른 설정을 계속 탐색 합니다.

Microsoft Defender

바이러스 백신 보호는 많은 IoT 장치 시나리오, 특히 더 완전 하 게 제공 되 고 Windows 10 IoT Enterprise 같은 운영 체제를 실행 하는 장치에 필요 합니다. 키오스크, 소매 POS, ATM 등의 장치 Microsoft Defender는 Windows 10 IoT Enterprise 설치의 일부로 기본적으로 포함 되 고 사용 하도록 설정 됩니다. 기본 Microsoft Defender 사용자 환경을 수정 하려는 시나리오가 있을 수 있습니다. 예를 들어, 수행 된 검색에 대 한 알림을 사용 하지 않도록 설정 하거나 예약 된 심층 검색을 사용 하지 않도록 설정 하 여 실시간 검색만 사용 합니다. 아래 정책은 Microsoft Defender에서 원치 않는 UI를 만들도록 방지 하는 데 유용 합니다.

  1. 그룹 정책 편집기 (gpedit.msc)를 열고 컴퓨터 구성- 관리 템플릿 > Windows 구성 요소- > Microsoft Defender 바이러스 백신- > 검색 으로 이동 하 여 다음을 설정 합니다.
    1. 일정 검색을 실행 하지 않도록 설정하기 전에 최신 바이러스 및 스파이웨어 정의를 확인 합니다 .
    2. 5 로 검색 하는 동안 CPU 사용률의 최대 비율을 지정 합니다 .
    3. 전체 검색사용 하지 않도록 설정
    4. 빠른 검색사용 하지 않도록 설정
    5. 사용 하지 않도록 설정된 시스템 복원 지점 만들기
    6. 보완 검색이 적용 되는 후의 일 수를 정의합니다 (이 는 "just-in-time 설정"이 고, 검색 검색을 사용 하는 경우 필요 하지 않음).
    7. 빠른 검색 을 위해 예약 된 검색에 사용할 검색 유형을 지정 합니다 .
    8. 예약 된 검사를 실행 하는 요일 지정 (안 함)
  2. 그룹 정책 편집기에서 컴퓨터 구성- 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 서명 업데이트 로 이동 하 여 다음을 설정 합니다.
    1. 스파이웨어 정의 를 만료 된 것으로 간주 하기 전까지 남은 일 수를 정의 합니다 .
    2. 바이러스 정의 를 만료 된 것으로 간주 하기 전까지 남은 일 수를 정의 합니다 .
    3. 서명 업데이트 후사용 안 함 으로 설정
    4. 시작 시 정의 업데이트 시작 사용 안 함
    5. 정의 업데이트0x8 (never) 으로 확인할 요일을 지정 합니다.
    6. 30일 후에 정의 업데이트를 업데이트 해야 하는 일 수를 정의 합니다.

Windows 구성 요소 - Microsoft Defender 바이러스 백신 에 추가 정책이 있습니다. 각 설정 설명을 확인 하 여 IoT 장치에 적용 되는지 확인 합니다.

다음 단계

이제 원하는 사용자 환경에 맞게 조정 된 이미지를 만들었으므로 원하는 만큼의 장치에 배포할 수 있도록 이미지를 캡처할 수 있습니다. 랩 4는 캡처할 이미지를 준비 하 고 장치에 배포 하는 방법을 설명 합니다.

랩 4로 이동