實驗室 3：在 IoT 裝置上設定原則設定

在實驗室 2 中，我們已在自定義映像上啟用裝置鎖定功能。 除了 Windows IoT 企業版鎖定功能之外，裝置合作夥伴還可以混合使用組策略和功能自定義，以達到所需的用戶體驗。

在此實驗室中，我們建議IoT裝置合作夥伴通常會使用的一些常見組態設定。 請考慮每個個別組態設定是否適用於您的裝置案例。

控制 Windows 更新

裝置合作夥伴最常見的其中一個要求是以控制 Windows IoT 裝置上的自動更新為中心。 IoT 裝置的本質在於，透過類似非計畫性更新的意外中斷，可能會造成不正確的裝置體驗。 考慮如何控制 Windows 更新時，您應該詢問的問題：

• 裝置案例是否使工作流程中斷是無法接受的？
• 部署前如何驗證更新？
• 裝置本身的更新用戶體驗為何？

如果您有無法接受使用者體驗中斷的裝置，您應該：

• 請考慮將更新限制為僅特定時數
• 請考慮停用自動更新
• 請考慮手動或透過受控制的第三方解決方案部署更新。

限制更新的重新啟動

您可以使用 Active Hours 組策略、行動裝置管理 （MDM） 或登錄設定，將更新限制為只有特定時間。

1. 開啟組策略編輯器 （gpedit.msc） 並流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update\管理終端用戶體驗 ]，然後開啟 [關閉使用時間 期間更新的自動重新啟動] 原則設定。
2. 將原則設定為 [已啟用]。
3. 將 [ 開始 ] 和 [結束 時間] 設定為 [使用時間] 視窗。 例如，將 [使用時間] 設定為從上午 4：00 開始，並結束上午 2：00。 這可讓系統從上午 2：00 到上午 4：00 之間的更新重新啟動。

從 Windows Update 用戶端控制 UI 通知

裝置可以設定為隱藏 Windows Update 的 UI 體驗，同時讓服務本身在背景執行並更新系統。 Windows Update 用戶端仍然接受設定自動更新的原則，此原則會控制該體驗的 UI 部分。

1. 開啟組策略編輯器 （gpedit.msc），並流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update\管理終端用戶體驗]，然後開啟更新通知原則設定的 [顯示選項]。
2. 將原則設定為 [已啟用]。
3. 將 [指定更新通知顯示選項] 設為 1 - 停用所有通知，不包括重新啟動警告或 2 - 停用所有通知，包括重新啟動警告。

完全停用自動 Windows 更新

安全性與穩定性是成功IoT專案的核心，而Windows Update提供更新，以確保 Windows IoT 企業版有最新的適用安全性和穩定性更新。 不過，您可能會有一個裝置案例，其中必須手動處理更新 Windows。 針對這種類型的案例，建議您透過 Windows Update 停用自動更新。 在舊版 Windows 裝置合作夥伴中，可以停止和停用 Windows Update 服務，但這不是停用自動更新的支援方法。 Windows 有許多原則可讓您以數種方式設定 Windows Update。

若要使用 Windows Update 完全停用 Windows 自動更新：

1. 開啟組策略編輯器 （gpedit.msc），並流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update\管理終端用戶體驗 ]，然後開啟 [ 設定自動更新] 原則設定。
2. 將原則明確設定為 [已停用]。 當此設定設定設定為 [已停用] 時，必須手動下載並安裝 Windows Update 中任何可用的更新，您可以在 [Windows Update] 下的 [設定] 應用程式中執行。

停用 Windows Update 用戶體驗的存取

在某些情況下，設定自動更新不足以保留所需的裝置體驗。 例如，終端使用者可能仍然可以存取 Windows Update 設定，以允許透過 Windows Update 進行手動更新。 您可以設定組策略，禁止透過設定存取 Windows Update。

若要禁止存取 Windows Update：

1. 開啟組策略編輯器 （gpedit.msc），並流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update\管理終端用戶體驗 ]，然後開啟 [移除存取權] 以使用所有 Windows Update 功能 原則設定。
2. 將此原則設定為 [已啟用 ] 以防止使用者的 [檢查更新] 選項。 注意：任何背景更新掃描、下載和安裝會繼續如設定般運作。 此原則只會防止使用者存取手動檢查設定。 使用上一節中的步驟，也停用掃描、下載和安裝。

防止驅動程式透過 Windows Update 安裝

有時候從 Windows Update 安裝的驅動程式可能會導致裝置體驗發生問題。 下列步驟禁止 Windows Update 在裝置上下載並安裝新的驅動程式。

1. 開啟組策略編輯器 （gpedit.msc） 並流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update\管理從 Windows Update 提供的更新]，然後開啟 [不包含具有 Windows Update 原則設定的驅動程式]。
2. 啟用 此原則，告知 Windows 不要包含 Windows 品質更新的驅動程式。

Windows Update 摘要

您可以使用數種方式來設定 Windows Update，並非所有原則都適用於所有裝置。 一般情況下，IoT 裝置需要特別注意裝置上使用的服務和管理策略。 如果您的服務策略是透過原則停用所有 Windows Update 功能，下列步驟會提供要設定的原則組合清單。

1. 開啟組策略編輯器 （gpedit.msc） 並流覽至 [計算機設定\系統範本\系統\裝置安裝 ]，並設定下列原則：
   1. 將裝置驅動程式更新的搜尋伺服器指定為 [已啟用]，並將 [選取更新伺服器] 設定為 [搜尋受控伺服器]
   2. 將設備驅動器來源位置的搜尋順序指定為 [已啟用]，並將 [選取搜尋順序] 設定為 [不要搜尋 Windows Update]
2. 在組策略編輯器中，流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update ]，並設定下列原則：
   1. 將自動更新 設定為 停用
   2. 請勿將驅動程式與 Windows Update 一起納入啟用
3. 在組策略編輯器中，流覽至 [計算機設定\系統管理範本\系統\因特網通訊管理\因特網通訊設定]，並將 [關閉所有 Windows Update 功能的存取權] 設定為 [已啟用]
4. 在組策略編輯器中，流覽至 [計算機設定\系統管理範本\Windows 元件\Windows Update\顯示] 選項以更新通知 ，並將原則設定為 [ 啟用] ，並將 [指定更新通知顯示選項 ] 設定為 2

設定系統以隱藏藍色畫面

系統上的錯誤檢查（藍色畫面或 BSOD）可能會因為許多原因而發生。 針對IoT裝置，如果發生這些錯誤，請務必隱藏這些錯誤。 系統仍然可以收集記憶體轉儲以進行偵錯，但用戶體驗應該避免顯示錯誤檢查錯誤畫面本身。 您可以設定系統，將「藍色畫面」取代為OS錯誤的空白畫面。

1. 在IoT裝置上開啟註冊表編輯器，並流覽至 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
2. 新增名為 DisplayDisabled 的新登錄作為 DWORD （32 位） 類型，其值為 1。

設定通知、快顯通知和快顯

IoT 裝置通常會隱藏在計算機案例中有意義的常見 Windows 對話框，但可能會中斷 IoT 裝置的用戶體驗。 停用垃圾對話最簡單的方式是使用殼層啟動器或指派的存取權來使用自定義殼層。 如果自定義殼層不是正確的選擇，您可以設定原則、設定和登錄調整的組合，以停用不必要的快顯和通知。

通知

在某些情況下，停用個別通知會很有説明。 例如，如果裝置是平板電腦裝置，省電模式通知可能是用戶應該看到的內容，而 OneDrive 或相片等其他通知應該隱藏。 您也可以決定您的裝置應該隱藏所有通知，而不論提供通知的 OS 元件為何。

隱藏所有通知

停用通知的其中一種方法是使用 Windows 的「無訊息時數」功能。 安靜時間的運作方式類似於許多智慧手機上發現的功能，這些智能手機通常會在特定時段內抑制通知，通常是在夜間。 在 Windows 中，[無訊息時數] 可以設定為 24x7，如此一來就不會顯示通知。

啟用 24x7 無訊息時數

1. 開啟組策略編輯器 （gpedit.msc） 並流覽至 [使用者設定\系統管理範本\開始] 功能表和任務列\通知
2. 啟用 [ 設定時間無訊息時數] 每天開始的原則，並將值設定為 0
3. 啟用 [ 設定每日無訊息時數結束時間] 的原則，並將值設定為 1439 （每天有 1440 分鐘）

消息框預設回復

這是一項登錄變更，可讓系統自動選取對話框上的預設按鈕（確定或取消），來停用 MessageBox 類別方塊的快顯。 如果裝置夥伴無法控制的第三方應用程式顯示 MessageBox 樣式對話框，這非常有用。 您可以在訊息框預設回復瞭解此登入值。

啟用 MessageBox 預設回復

1. 以系統管理員身分開啟註冊表編輯器
2. 使用名為 EnableDefaultReply 的值，在 HKLM\System\CurrentControlSet\Control\Error Message Instrument 下建立新的 Dword 登錄值
3. 將 EnableDefaultReply 值的數據設定為 1
4. 測試案例以確保其如預期般運作

安全性基準

從第一個 Windows 版本開始，每個 Windows 版本都已提供一組稱為「安全性基準」的隨附原則。 安全性基準是根據來自Microsoft安全性工程小組、產品群組、合作夥伴和客戶的意見反應，Microsoft建議的組態設定。 安全性基準是快速在IoT裝置上啟用建議安全性設定的好方法。

您可以從下載中心下載 安全性合規性工具組 。

1. 選取上方連結上的 [ 下載 ]。 選取 Windows 版本 xxxx 安全性Baseline.zip 和 LGPO.zip。 請務必選擇與您部署之 Windows 版本相符的版本。

2. 擷取 Windows 版本 xxxx 安全性Baseline.zip檔案和 IoT 裝置上的LGPO.zip檔案。

3. 將LGPO.exe複製到 Windows 版本 xxxx 安全性基準的 Scripts\Tools 資料夾。 安全性基準安裝腳本需要 LGPO，但必須個別下載。

4. 從系統管理指令提示字元執行：

   Client_Install_NonDomainJoined.cmd
   

   或者，如果IoT裝置將成為Active Directory網域的一部分：

   Client_Install_DomainJoined.cmd
   

5. 當系統提示您執行文稿，然後重新啟動IoT裝置時，請按Enter鍵。

您可以預期的內容

許多設定都包含在安全性基準中。 在 [檔] 資料夾中，您會找到一個 Excel 電子表格，其中概述基準所設定的所有原則。 您會立即注意到使用者帳戶密碼複雜度已從預設值變更，因此您可能需要更新系統上的使用者帳戶密碼，或作為部署的一部分。 此外，系統會針對USB磁碟驅動器數據存取設定原則。 從系統複製數據現在預設會受到保護。 繼續探索安全性基準新增的其他設定。

Microsoft Defender

許多IoT裝置案例都需要防毒防護，尤其是功能更完整且執行Windows IoT企業版等操作系統的裝置。 針對 kiosk、零售 POS、ATM 等裝置，Microsoft Defender 預設會包含在 Windows IoT 企業版安裝期間並加以啟用。 您可能有想要修改預設Microsoft Defender 用戶體驗的案例。 例如，停用執行之掃描的相關通知，或甚至停用排程深度掃描，而只使用實時掃描。 下列原則適用於防止 Microsoft Defender 建立垃圾 UI。

1. 開啟元件編輯器 （gpedit.msc） 並流覽至 [電腦設定\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\掃描並設定：

   1. 在執行排程掃描 至 [已停用] 之前，請先檢查最新的病毒和間諜軟體定義
   2. 在掃描 期間指定 CPU 使用率的百分比上限為 5
   3. 開啟完整掃描 至 [已停用]
   4. 開啟快速掃描 至 [已停用]
   5. 建立系統還原點 至 [已停用]
   6. 定義追補掃描強制 為 20 的天數（這是「以防情況設定」，如果啟用追趕掃描，就不應該需要）
   7. 指定要用於排程掃描到快速掃描的掃描類型
   8. 指定要執行排程掃描 以 0x8的星期幾（永不）

2. 在 [組策略編輯器] 中，流覽至 [計算機設定\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\安全性智慧更新並設定：

   1. 定義間諜軟體安全性情報過期至 30 之前的天數
   2. 定義將病毒安全性情報視為過期 至 30 之前的天數
   3. 在安全性智慧更新 為 [已停用] 之後開啟掃描
   4. 在啟動時 起始安全性智慧更新至 [已停用]
   5. 指定一周中的一天，以檢查0x8的安全性情報更新（永不）
   6. 定義需要 30 個追趕安全性智慧更新的天數

Windows 元件\Microsoft Defender 防毒軟體 有其他原則，請檢查每個設定描述，以查看它是否適用於您的 IoT 裝置。

下一步

既然您已建立專為您所需用戶體驗量身打造的映像，您可以擷取映射，使其可以部署至您想要的裝置數量。 實驗室 4 說明如何準備映射以進行擷取，然後將它部署至裝置。