Partager via

Atelier 3 : configurer les paramètres de stratégie sur les périphériques IoT

  • Article
  • S’applique à:
    ✅ Windows 11, ✅ Windows 10

Dans le labo 2, nous avons activé les fonctionnalités de verrouillage des appareils sur notre image personnalisée. Outre les fonctionnalités de verrouillage de Windows IoT Entreprise, les partenaires de périphériques peuvent utiliser une combinaison de stratégies de groupe et de personnalisations de fonctionnalités pour garantir l’expérience utilisateur souhaitée.

Dans ce laboratoire, nous vous recommandons d’utiliser certains paramètres de configuration courants que les partenaires d’appareils IoT utilisent. Déterminez si chaque paramètre de configuration individuel s’applique au scénario de votre périphérique.

Contrôler les mises à jour Windows

L’une des demandes les plus courantes des partenaires d’appareils est centrée sur le contrôle des mises à jour automatiques sur les appareils Windows IoT. La nature des périphériques IoT est telle que les interruptions inattendues, résultant par exemple d’une mise à jour non planifiée, peuvent créer une mauvaise expérience d’utilisation du périphérique. Vous devez vous poser les questions suivantes lorsque vous envisagez de contrôler les mises à jour Windows :

  • Le scénario du périphérique est-il tel qu’une interruption du flux de travail est inacceptable ?
  • Comment les mises à jour sont-elles validées avant le déploiement ?
  • Qu’est-ce que l’expérience utilisateur de mise à jour sur le périphérique lui-même ?

Si vous disposez d’un appareil où l’interruption de l’expérience utilisateur n’est pas acceptable, vous devez :

  • Envisagez de limiter les mises à jour à certaines heures seulement
  • Envisagez de désactiver les mises à jour automatiques
  • Envisagez de déployer des mises à jour manuellement ou via une solution tierce contrôlée.

Limiter les redémarrages à partir des mises à jour

Vous pouvez utiliser la stratégie de groupe Active Hours, la gestion des appareils mobiles (GPM) ou le paramètre de Registre pour limiter les mises à jour à certaines heures seulement.

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final et ouvrez le redémarrage automatique pour les mises à jour pendant le paramètre de stratégie d’heures actives.
  2. Définissez la stratégie sur Activé.
  3. Définissez l’heure de début et de fin sur la fenêtre Heures d’activité. Par exemple, définissez l’heure de début des activités à 4 h et l’heure de fin à 2 h. Cela permet au système de redémarrer en cas de mises à jour entre 2 h et 4 h.

Contrôler les notifications de l’interface utilisateur (IU) à partir du client Windows Update

Un périphérique peut être configuré de manière à masquer l’expérience IU pour Windows Update tout en laissant le service lui-même s’exécuter en arrière-plan et mettre à jour le système. Le client Windows Update respecte toujours les stratégies définies pour configurer les mises à jour automatiques. Cette stratégie contrôle la partie IU de cette expérience.

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final et ouvrez les options d’affichage pour le paramètre de stratégie de notifications de mise à jour.
  2. Définissez la stratégie sur Activé.
  3. Définissez les options d’affichage des notifications de mise à jour sur 1 - Désactiver toutes les notifications, à l’exclusion des avertissements de redémarrage ou 2 - Désactiver toutes les notifications, y compris les avertissements de redémarrage.

Complètement désactiver les mises à jour Windows automatiques

La sécurité et la stabilité sont au cœur d’un projet IoT réussi, et Windows Update fournit des mises à jour pour garantir que Windows IoT Enterprise dispose des dernières mises à jour de sécurité et de stabilité applicables. Toutefois, vous pouvez avoir un scénario d’appareil dans lequel la mise à jour de Windows doit être gérée manuellement. Pour ce type de scénario, nous vous recommandons de désactiver la mise à jour automatique par le biais de Windows Update. Dans les versions précédentes de Windows, les partenaires de périphériques pouvaient arrêter et désactiver le service Windows Update, mais cette méthode pour désactiver les mises à jour automatiques n’est plus prise en charge. Windows dispose de nombreuses stratégies qui vous permettent de configurer les mises à jour Windows de plusieurs façons.

Pour désactiver complètement la mise à jour automatique de Windows avec Windows Update :

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows update\Gérer l’expérience utilisateur final et ouvrez le paramètre de stratégie Configurer les mises à jour automatiques.
  2. Définissez explicitement la stratégie sur Désactivé. Lorsque ce paramètre est défini sur Désactivé, toutes les mises à jour disponibles à partir de Windows Update doivent être téléchargées et installées manuellement, que vous pouvez effectuer dans l’application Paramètres sous Windows Update.

Désactiver l’accès à l’expérience utilisateur Windows Update

Dans certains scénarios, la configuration des mises à jour automatiques ne suffit pas à préserver l’expérience d’utilisation du périphérique souhaitée. Par exemple, un utilisateur final peut toujours avoir accès aux paramètres de Windows Update, ce qui autoriserait les mises à jour manuelles par le biais de Windows Update. Vous pouvez configurer la stratégie de groupe pour interdire l’accès à Windows Update par le biais des paramètres.

Pour interdire l’accès à Windows Update :

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows update\Gérer l’expérience utilisateur final et ouvrez l’accès Supprimer pour utiliser tous les paramètres de stratégie de fonctionnalités windows update.
  2. Définissez cette stratégie sur Activé pour empêcher les utilisateurs d’utiliser l’option « Rechercher les mises à jour ». Remarque : toutes les analyses de mise à jour en arrière-plan, les téléchargements et les installations continuent de fonctionner comme configurés. Cette stratégie empêche simplement l’utilisateur d’accéder à la vérification manuelle par le biais des paramètres. Appliquez les étapes décrites dans la section précédente pour également désactiver les analyses, les téléchargements et les installations.

Important

Veillez à définir une stratégie de maintenance bien conçue pour votre périphérique. Si vous désactivez les fonctionnalités Windows Update, et si votre périphérique n’est pas mis à jour d’une autre manière, l’état du périphérique est vulnérable.

Empêcher l’installation de pilotes par le biais de Windows Update

Parfois, les pilotes installés à partir de Windows Update peuvent engendrer des problèmes en ce qui concerne l’expérience d’utilisation d’un périphérique. Les étapes suivantes empêchent Windows Update de télécharger et d’installer de nouveaux pilotes sur l’appareil.

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows update\Gérer les mises à jour proposées à partir de Windows Update et ouvrez les pilotes Ne pas inclure de pilotes avec le paramètre de stratégie Mises à jour Windows.
  2. Activez cette stratégie, qui indique à Windows de ne pas inclure de pilotes avec des mises à jour de qualité Windows.

Résumé sur Windows Update

Vous pouvez configurer Windows Update de diverses manières, et l’ensemble des stratégies ne s’appliquent pas à l’ensemble des périphériques. En règle générale, pour les périphériques IoT, une attention particulière à la stratégie de maintenance et de gestion à utiliser sur les périphériques est de mise. Si votre stratégie de maintenance consiste à désactiver toutes les fonctionnalités de Windows Update via la stratégie, les étapes suivantes fournissent une liste combinée de stratégies à configurer.

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\System\Installation de l’appareil et définissez les stratégies suivantes :
    1. Spécifier le serveur de recherche pour les mises à jour de pilote de périphérique sur Activé, l’option Sélectionner le serveur de mise à jour étant définie sur Rechercher le serveur géré.
    2. Spécifier l’ordre de recherche pour les emplacements sources des pilotes de périphérique sur Activé, l’option Sélectionner l’ordre de recherche étant définie sur Ne pas rechercher Windows Update.
  2. Dans l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update et définissez les stratégies suivantes :
    1. Configurer les mises à jour automatiques sur Désactivé.
    2. Ne pas inclure de pilotes avec Windows Update sur Activé.
  3. Dans l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur\Modèles d’administration\System\Internet Communication Management\Internet Communication Settings et désactivez l’accès à toutes les fonctionnalités windows Update activées
  4. Dans l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Display pour les notifications de mise à jour et définissez la stratégie sur Activé avec spécifier les options d’affichage des notifications de mise à jour sur 2

Configurer le système pour masquer les écrans bleus

Des vérifications de bogues sur le système (écran bleu ou BSOD) peuvent se produire pour de nombreuses raisons. Pour les appareils IoT, il est important de masquer ces erreurs si elles se produisent. Le système peut toujours collecter un vidage de mémoire à des fins de débogage, mais l’expérience utilisateur doit éviter de présenter l’écran d’erreur de vérification de bogue. Vous pouvez configurer le système pour remplacer l’« écran bleu » par un écran vide pour les erreurs de système d’exploitation.

  1. Ouvrez l’Éditeur de Registre sur l’appareil IoT et accédez à Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
  2. Ajoutez un nouveau registre nommé DisplayDisabled en tant que type DWORD (32 bits) avec une valeur de 1.

Configurer des notifications, des notifications toasts et des fenêtres contextuelles

Les périphériques IoT suppriment généralement les boîtes de dialogue Windows courantes, qui ont raison d’être dans les scénarios PC, mais qui peuvent perturber l’expérience utilisateur d’un périphérique IoT. La façon la plus simple de désactiver les dialogues indésirables consiste à utiliser un interpréteur de commandes personnalisé à l’aide du lanceur d’interpréteur de commandes ou de l’accès affecté. Si le shell personnalisé n’est pas approprié, vous pouvez définir une combinaison de stratégies, de paramètres et d’adaptations de registre qui peuvent désactiver les fenêtres contextuelles et les notifications indésirables.

Notifications

La désactivation des notifications individuelles est bénéfique dans certains scénarios. Par exemple, si le périphérique est une tablette, l’utilisateur doit pouvoir recevoir la notification Économiseur de batterie, tandis que d’autres notifications telles que OneDrive ou Photos doivent être masquées. Vous pouvez également configurer votre périphérique pour qu’il supprime toutes les notifications, quel que soit le composant du système d’exploitation à l’origine.

Masquer toutes les notifications

Pour désactiver les notifications, vous pouvez utiliser la fonctionnalité Heures creuses de Windows. La fonctionnalité Heures creuses fonctionne de la même façon que celles de nombreux smartphones qui suppriment les notifications pendant certaines heures, généralement pendant la nuit. Dans Windows, les heures silencieuses peuvent être définies sur 24 x 7 pour que les notifications ne soient jamais affichées.

Activer les heures silencieuses 24 x 7

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches\Notifications
  2. Activez la stratégie Définir l’heure de début des heures creuses chaque jour et définissez la valeur sur 0.
  3. Activez la stratégie Définir l’heure de fin des heures creuses chaque jour et définissez la valeur sur 1 439 (un jour compte 1 440 minutes).

Conseil

Il existe d’autres stratégies dans Configuration utilisateur\Modèles d’administration\Menu Démarrer et barre des tâches\Notifications qui vous permettent d’obtenir plus de précision sur les notifications exactes à désactiver. Ces options peuvent être utiles dans certains scénarios.

Réponse par défaut de la zone de message

Il s’agit d’une modification de Registre qui désactive les zones de classes MessageBox de s’afficher, en faisant en sorte que le système sélectionne automatiquement le bouton par défaut dans la boîte de dialogue (OK ou Annuler). Cela peut être utile si des applications tierces, que le partenaire d’appareil ne contrôle pas, affichent les boîtes de dialogue de style MessageBox. Pour en savoir plus sur cette valeur de registre, consultez Réponse par défaut de la zone de message.

Activer la réponse par défaut messageBox
  1. Ouvrez l’éditeur de registre en tant qu’administrateur.
  2. Créez une valeur de registre Dword sous HKLM\Système\CurrentControlSet\Contrôle\Instrument de message d’erreur, selon une valeur nommée EnableDefaultReply.
  3. Définir les données de la valeur EnableDefaultReply sur 1
  4. Testez le scénario pour vous assurer qu’il fonctionne comme prévu

Base de référence de la sécurité

À compter de la première version de Windows, un ensemble de stratégies associé appelé Base de référence de sécurité a été fourni avec chaque version de Windows. Une solution de référence de sécurité est un groupe de paramètres de configuration recommandés par Microsoft basés sur les commentaires des équipes d’ingénierie de sécurité, des groupes responsables des produits, des partenaires et des clients de Microsoft. La solution de référence de sécurité permet d’activer rapidement les paramètres de sécurité recommandés sur les périphériques IoT.

Remarque

Les appareils nécessitant une certification telle que STIG tirent parti de l’utilisation de la base de référence de sécurité comme point de départ. La solution de référence de sécurité fait partie du kit de ressources de conformité en matière de sécurité.

Vous pouvez télécharger le kit de ressources de conformité en matière de sécurité depuis le centre des téléchargements.

  1. Sélectionnez Télécharger dans le lien ci-dessus. Sélectionnez le Baseline.zip de sécurité de windows version xxxx et le LGPO.zip. Veillez à choisir la version qui correspond à la version de Windows que vous déployez.

  2. Extrayez le fichier Baseline.zip de sécurité de windows version xxxx et le fichier LGPO.zip sur l’appareil IoT.

  3. Copiez LGPO.exe dans le dossier Scripts\Tools de la base de référence de sécurité xxxx de la version Windows. Le fichier LGPO est nécessaire pour le script d’installation de la solution de référence de sécurité, mais il doit être téléchargé séparément.

  4. Sur une invite de commande d’administration, exécutez :

    Client_Install_NonDomainJoined.cmd

    ou, si le périphérique IoT fait partie d’un domaine Active Directory :

    Client_Install_DomainJoined.cmd

  5. Appuyez sur Entrée lorsque vous êtes invité à exécuter le script, puis redémarrez le périphérique IoT.

Attentes

De nombreux paramètres sont inclus dans la solution de référence de sécurité. Dans le dossier Documentation, vous trouverez une feuille de calcul Excel qui présente toutes les stratégies définies par la base de référence. Vous pouvez immédiatement constater que la complexité du mot de passe du compte utilisateur a été modifiée et n’est plus une valeur par défaut. Il est donc possible que vous deviez mettre à jour les mots de passe des comptes utilisateur sur le système ou dans le cadre de votre déploiement. En outre, les stratégies sont configurées pour conférer un accès aux données de lecteur USB. La copie de données depuis le système est désormais protégée par défaut. Continuez à explorer les autres paramètres inhérents à la solution de référence de sécurité.

Microsoft Defender

La protection antivirus est requise dans de nombreux scénarios d’appareils IoT, en particulier les appareils qui sont plus complets et exécutant un système d’exploitation comme Windows IoT Enterprise. Pour les appareils tels que les kiosques, les points de vente au détail, atM, etc. Microsoft Defender est inclus et activé par défaut dans le cadre de l’installation de Windows IoT Enterprise. Il est possible que vous souhaitiez modifier l’expérience utilisateur de Microsoft Defender par défaut. Par exemple, vous pouvez désactiver les notifications relatives aux analyses effectuées, ou même désactiver les analyses approfondies planifiées pour uniquement appliquer l’analyse en temps réel. Les stratégies ci-dessous permettent d’empêcher la création d’une interface utilisateur indésirable par Microsoft Defender.

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Analyse et définissez :

    1. Rechercher les dernières définitions de virus et de logiciels espions avant d’exécuter une analyse planifiée sur Désactivé.
    2. Spécifier le pourcentage maximal d’utilisation du processeur pendant une analyse sur 5.
    3. Activer l’analyse complète de rattrapage sur Désactivé.
    4. Activer l’analyse rapide de rattrapage sur Désactivé.
    5. Créer un point de restauration du système sur Désactivé.
    6. Définir le nombre de jours après lesquels une analyse de rattrapage est forcée sur 20 (il s’agit d’un « paramètre de prévision » qui n’est pas nécessaire si les analyses de rattrapage sont activées).
    7. Spécifier le type d’analyse pour une analyse planifiée sur Analyse rapide.
    8. Spécifier le jour de la semaine pour exécuter une analyse planifiée sur 0 x 8 (jamais).

  2. Dans l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Mises à jour Security Intelligence et définissez :

    1. Définir le nombre de jours avant que le renseignement de sécurité des logiciels espions soit considéré comme obsolète à 30
    2. Définir le nombre de jours avant que le renseignement de sécurité antivirus soit considéré comme obsolète à 30
    3. Activer l’analyse après la mise à jour d’intelligence de sécurité sur Désactivé
    4. Lancer la mise à jour du renseignement de sécurité au démarrage sur Désactivé
    5. Spécifier le jour de la semaine pour vérifier les mises à jour du renseignement de sécurité à 0x8 (jamais)
    6. Définir le nombre de jours après lesquels une mise à jour du renseignement de sécurité de rattrapage est nécessaire à 30

Composants Windows\Antivirus Microsoft Defender a des stratégies supplémentaires, vérifiez chaque description de paramètre pour voir s’il s’applique à votre appareil IoT.

Étapes suivantes

Maintenant que vous avez créé une image adaptée à l’expérience utilisateur que vous souhaitez proposer, vous pouvez capturer votre image afin qu’elle puisse être déployée sur autant de périphériques que vous le souhaitez. L’atelier 4 explique comment préparer une image à des fins de capture et comment la déployer sur un périphérique.

Accéder à l’atelier 4