操作系统更新

一般信息

为了确保 Brainlab 系统按照预期持续运行且保持符合 CE 认证和/或 FDA 审核要求，Brainlab 建议遵守这些关于 Windows 更新和防病毒软件的指导原则。本策略适用于：

Brainlab 计划系统（不在患者治疗期间使用）
Brainlab 导航和定位系统（在患者治疗期间使用）

Windows 更新

按照默认要求，Brainlab 系统通过本地 Group Policy（组策略）设置进行配置。如果您的组织在安装有 Brainlab 软件的任何服务器上使用 Windows Group Policy（组策略）设置，请勿更改配置。

仅安装 Microsoft 安全 更新；允许 每月更新汇总 和 纯安全补丁 。不要安装服务包和可选更新。医疗设备法规规定，服务包应由医疗设备制造商测试并发布。如果您将 Brainlab 系统添加到医院域，确保设置有效。

虽然 Microsoft 安全 更新可在 Microsoft 发布之后立即安装，但是 Brainlab 建议将安装推迟五个工作日。对 Microsoft 安全 更新的任何修订都在此时间期限内进行。

对于 Windows 7 及更高版本：

禁用 Turn on recommended updates viaAutomatic Updates（启用通过自动更新建议的更新）。
禁用 Allow Automatic Updates immediate installation（允许自动更新立即安装）。
启用 No auto-restart with logged on users for scheduled automatic updates installations（对于有已登录用户的计算机，计划的自动更新安装不执行重新启动）。
将 Configure Automatic Updates（配置自动更新） 设置为 Disabled（已禁用）。

切勿在患者治疗过程中安装更新。

不能安装下列安全更新：

KB2823324：Vulnerabilities in Kernel-Mode Driver Could Allow Elevation Of Privilege（内核模式驱动程序中的漏洞可能允许特权提升）(2829996)：MS13-036
KB2984615：Vulnerabilities in Kernel-Mode Driver Could Allow Elevation Of Privilege（内核模式驱动程序中的漏洞可能允许特权提升）(2984615)：MS14-045
KB4577051：2020-09 基于 x64 系统的 Windows Embedded Standard 7 系统安全月度质量汇总

驱动程序更新

不要在 Brainlab 平台上更新驱动程序。

不要通过手动设置或 Windows 更新来更新 Brainlab 平台上的驱动程序。下列 Group Policy（组策略）设置可确保本策略得到实施，因此不应更改。

对于 Windows 7 和 Windows 8.1：

将 Specify search order for device driver source locations（指定设备驱动程序源位置的搜索顺序） 设置为 Do not search Windows Update（不搜索 Windows 更新）。
启用 Turn off Windows Update device driver（关闭 Windows 更新设备驱动程序） 搜索提示。

For Windows 10:

将 Specify search order for device driver source locations（指定设备驱动程序源位置的搜索顺序） 设置为 Enabled（已启用） 并选中 Do not search Windows Update（不搜索 Windows 更新） 复选框。
在本地 Group Policy（组策略）编辑器中，将 Do not include drivers with Windows 更新（Windows 更新不包括驱动程序） 设置为 Enabled（已启用）。

适用的 Group Policy（组策略）设置

如果您的组织在安装有 Brainlab 软件的任何服务器上使用 Windows Group Policy（组策略）设置，请勿更改配置。

Computer Configuration（计算机配置）> Policies（策略）> Administrative Templates（管理模板）> Windows Components（Windows 组件）> Remote Desktop Services（远程桌面服务)*
Computer Configuration（计算机配置）> Policies（策略）> Administrative Templates（管理模板）> Windows Components（Windows 组件）> Windows PowerShell*
Computer Configuration（计算机配置）> Policies（策略）> Windows Settings（Windows 设置）> Security Settings（安全设置）> Software Restriction Policies（软件限制策略)*
User Configuration（用户配置）> Policies（策略）> Administrative Templates（管理模板）> Windows Components（Windows 组件）> Remote Desktop Services（远程桌面服务)*
User Configuration（用户配置）> Policies（策略）> Administrative Templates（管理模板）> Windows Components（Windows 组件）> Windows PowerShell*
User Configuration（用户配置）> Policies（策略）> Windows Settings（Windows 设置）> Security Settings（安全设置）> Software Restriction Policies（软件限制策略)*

防病毒

Brainlab 建议使用最新的防病毒软件来保护系统。首次安装防病毒软件后，Brainlab 服务工程师必须验证系统性能。请注意，有些恶意软件防护软件（例如，病毒扫描程序）设置会对系统性能产生负面影响。例如，如果执行实时扫描和监控每个文件的访问情况，则对患者数据的访问可能受限。为了获得最佳结果：

禁用任何额外的防病毒软件功能（例如，浏览器或电子邮件扫描程序、附加防火墙）。
禁用防病毒软件弹出消息。

配置防病毒软件（例如，通过添加到文件夹例外），使其不扫描或修改下列位置：

C:Brainlab、D:Brainlab 和 F:Brainlab 等。
C:PatientData、D:PatientData 和 F:PatientData 等。
例外情况：必须扫描 MediaStorageService 文件夹，此文件夹位于 PatientData 文件夹内。如果使用 C:PatientDataMediaStorageService、D:PatientDataMediaStorageService、F:PatientDataMediaStorageService 等文件夹，请将本软件设置为扫描此文件夹。

对于计划系统（除 iPlan RT 安装之外）： 永久激活按访问/实时扫描，并正确地设置此处所列的文件夹例外。
对于 iPlan RT 安装以及导航和定位系统：禁用按访问/实时扫描。安排在系统关机或非临床时间执行按需/计划扫描

第三方软件

除了防病毒和 Microsoft 安全更新外，未获 Brainlab 批准，不要安装任何第三方软件。如果安装了非 Brainlab 软件，那么 CE 认证和 FDA 审核将会失效，除非 Brainlab 专门以书面形式批准了此类安装并确认其兼容性；无法再确保医疗设备的安全性和有效性；任何保修权也将丧失。

第三方硬件

如果通过 Brainlab 购买了 HPE ProLiant DL360 Gen9 或 Gen10 服务器，则可以为它们安装 HPE SPP 而无需 Brainlab 预先批准。可以安装 HPE SPP 包含的所有组件，包括：固件、驱动程序和系统软件。

Intel 崩溃缺陷

与崩溃有关的 Microsoft 更新可视为安全并部署到所有 Brainlab 平台。

最佳做法

为了获得最佳结果，Brainlab 建议：

创建域组织单位 (OU)，所有 Brainlab 系统都在此注册以确保遵守上述策略。
使用存储设备和媒体（例如，CD-ROM、DVD-ROM、USB HDD 和 USB 闪存驱动器）之前，扫描它们是否受到恶意软件污染并清除恶意软件。
为 C: 盘启用 System Restore （系统还原），以便于将系统还原到先前状态。
安排在系统关机时下载和安装 Windows 和防病毒更新。特别注意服务器和 VM，确保系统随后完全重新启动。
如果未激活按访问/实时扫描，安排在系统关机时进行按需/计划扫描。