ProHoster > блог > адміністраванне > Поўнае кіраўніцтва па абнаўленні Windows 10 для прадпрыемстваў любога памеру

Поўнае кіраўніцтва па абнаўленні Windows 10 для прадпрыемстваў любога памеру

Адказваеце вы за адзіны ПК з Windows 10, ці за тысячы, цяжкасці з кіраваннем абнаўленнямі ў вас адны і тыя ж. Ваша мэта - хутка ўсталёўваць абнаўленні, звязаныя з бяспекай, па-разумнаму працаваць з абнаўленнямі кампанентаў, і прадухіляць падзенне прадуктыўнасці з-за нечаканых перазагрузак

Ці ёсць у вашага прадпрыемства ўсёабдымны план працы з абнаўленнямі Windows 10? Ёсць спакуса лічыць гэтыя спампоўкі перыядычнымі перашкодамі, ад якіх трэба пазбаўляцца адразу, як толькі яны з'яўляюцца. Аднак рэактыўны падыход да абнаўленняў - гэта рэцэпт расчараванняў і зніжэння прадуктыўнасці.

Замест гэтага можна стварыць стратэгію кіравання для тэсціравання і ўкаранення абнаўленняў, каб гэты працэс стаў настолькі ж паўсядзённым, як адпраўка рахункаў або штомесячнае падвядзенне бухгалтарскіх вынікаў.

У артыкуле пазначана ўся інфармацыя, неабходная для разумення таго, як Microsoft адпраўляе абнаўленні на прылады пад кіраваннем Windows 10, а таксама дэталі з нагоды прылад і тэхнік, якія можна выкарыстоўваць для разумнага кіравання гэтымі абнаўленнямі на прыладах пад кіраваннем Windows 10 версій Pro, Enterprise або Education. (Windows 10 Home падтрымлівае толькі самыя базавыя магчымасці кіравання абнаўленнямі і непрыдатная для выкарыстання ў бізнэс-асяроддзі).

Але перад тым, як перайсці да любой з гэтых прылад, вам спатрэбіцца план.

Што напісана ў вашых правілах абнаўлення?

Сэнс правілаў абнаўлення ў тым, каб зрабіць працэс абнаўлення прадказальным, вызначыць працэдуры папярэджання карыстальнікаў, каб тыя маглі адпаведна планаваць сваю працу і пазбегнуць нечаканага прастою. Таксама ў правілы ўваходзяць пратаколы апрацоўкі нечаканых праблем, у тым ліку адкат з няўдала якія ўсталі абнаўленняў.

Разумныя правілы абнаўленняў адводзяць пэўны час на працу з абнаўленнямі штомесяц. У невялікай арганізацыі гэтай мэты можа служыць спецыяльнае акенца ў графіцы абслугоўвання кожнага ПК. У буйных арганізацыях універсальныя рашэнні ўжо ці наўрад спрацуюць, і ў іх трэба будзе дзяліць усю папуляцыю ПК на групы абнаўленняў (у Microsoft іх завуць "кольцамі"), у кожнай з якіх будзе свая стратэгія абнаўленняў.

Правілы павінны апісваць некалькі розных тыпаў абнаўленняў. Найбольш зразумелы тып – штомесячныя кумулятыўныя абнаўленні бяспекі і надзейнасці, якія выходзяць у другі аўторак кожнага месяца («аўторак патчаў»). У гэтым рэлізе звычайна прысутнічае Windows Malicious Software Removal Tool, а таксама могуць быць і любыя з наступных тыпаў абнаўленняў:

  • Абнаўленні бяспекі для .NET Framework
  • Абнаўленні бяспекі для Adobe Flash Player
  • Абнаўленні стэка абслугоўвання (якія трэба ўсталёўваць з самага пачатку).

Устаноўку любога з гэтых абнаўленняў можна адкласці на тэрмін да 30 дзён.

У залежнасці ад вытворцы ПК, драйверы абсталявання і прашыўкі таксама могуць распаўсюджвацца па канале Windows Update. Можна адмовіцца ад гэтага ці ж кіравацца з імі па тых жа схемах, што і з іншымі абнаўленнямі.

Нарэшце, праз Windows Update распаўсюджваюцца і абнаўленні кампанентаў [feature updates]. Гэтыя буйныя пакеты абнаўляюць Windows 10 да апошняй версіі, і выходзяць кожныя шэсць месяцаў для ўсіх рэдакцый Windows 10, акрамя доўгатэрміновага канала абслугоўвання Long Term Servicing Channel (LTSC). Адкласці ўсталёўку абнаўленняў кампанентаў можна пры дапамозе Windows Update for Business на тэрмін да 365 дзён; для рэдакцый Enterprise і Education магчыма далейшая адтэрміноўка ўстаноўкі на тэрмін да 30 месяцаў.

Улічваючы ўсё гэта, можна пачынаць складаць правілы абнаўленняў, куды павінны ўваходзіць наступныя элементы для кожнага з абслугоўваных ПК:

  • Тэрмін усталёўкі штомесячных абнаўленняў. Па змаўчанні ў Windows 10 штомесячныя абнаўленні спампоўваюцца і ўсталёўваюцца на працягу 24 гадзін пасля іх вынахаду ў "аўторак патчаў". Можна адкладаць запампоўку гэтых абнаўленняў для некаторых ці ўсіх ПК у кампаніі, каб у вас быў час праверыць іх на сумяшчальнасць; гэтая затрымка таксама дазваляе вам пазбегнуць праблем у выпадку, калі Microsoft выяўляе праблему з абнаўленнем пасля выхаду, як гэта ўжо шмат разоў здаралася з Windows 10.
  • Тэрмін усталёўкі паўгадавых абнаўленняў кампанентаў. Пры наладах па змаўчанні абнаўлення кампанентаў спампоўваюцца і ўсталёўваюцца тады, калі Microsoft лічыць, што яны гатовыя. На прыладзе, якое Microsoft палічылі прыдатным для абнаўлення, абнаўленні кампанентаў могуць з'явіцца праз некалькі дзён пасля выйсця. На іншых прыладах абнаўлення кампанентаў могуць з'явіцца праз некалькі месяцаў, ці іх наогул могуць заблакаваць з-за праблем з сумяшчальнасцю. Можна ўсталяваць затрымку для некаторых ці для ўсіх ПК у арганізацыі, каб атрымаць час на праверку новага рэлізу. Пачынальна з версіі 1903, карыстачам ПК прапануюць абнаўленні кампанентаў, аднак каманды на запампоўку і ўсталёўку іх будуць даваць толькі самі карыстачы.
  • Калі дазваляць ПК перазапускацца для завяршэння ўстаноўкі абнаўленняў: большая частка абнаўленняў патрабуе перазапуску для завяршэння ўстаноўкі. Гэты перазапуск адбываецца па-за прамежкам "перыяду актыўнасці" з 8 да 17 гадзін; гэтую наладу можна памяняць па жаданні, падоўжыўшы працягласць інтэрвалу да 18 гадзін. Інструменты кіравання дазваляюць прызначыць пэўны час для спампоўкі і ўстаноўкі абнаўленняў.
  • Як апавяшчаць карыстачоў аб наяўнасці абнаўленняў і перазапуску: у пазбяганне непрыемных неспадзевак, Windows 10 паведамляе карыстачоў аб наяўнасці абнаўленняў. Кіраванне гэтымі апавяшчэннямі ў наладах Windows 10 абмежавана. Значна больш настроек даступна ў "групавых палітыках".
  • Часам Microsoft выпускае крытычна важныя абнаўленні бяспекі па-за звычайным графікам "аўторкаў патчаў". Звычайна гэта трэба для выпраўлення недахопаў у бяспецы, якімі зламысна карыстаюцца трэція асобы. Ці паскараць ужыванне такіх абнаўленняў ці чакаць наступнага акна ў графіцы?
  • Што рабіць з няўдалымі абнаўленнямі: калі абнаўленню не ўдалося ўстаць правільна, ці яно выклікае праблемы, што вы будзеце рабіць у гэтым выпадку?

Вызначыўшы гэтыя элементы, сітавіна абраць прылады для працы з абнаўленнямі.

Ручное кіраванне абнаўленнямі

На зусім малых прадпрыемствах, у тым ліку крамы з адзіным працаўніком, даволі лёгка ажыццявіць ручную наладу абнаўленняў Windows. Параметры > Абнаўленне і бяспека > Цэнтр абнаўлення Windows. Тамака можна падправіць дзве групы налад.

Спачатку абярыце «Змяніць перыяд актыўнасці» і падпраўце налады, каб яны адпавядалі вашым працоўным звычакам. Калі вы звычайна працуеце па вечарах, можна пазбегнуць прастою, наладзіўшы гэтыя значэння з 18 да паўночы, у выніку чаго запланаваныя перазапускі будуць адбывацца па раніцах.

Затым абярыце "Дадатковыя параметры" і наладу "Абярыце, калі ўсталёўваць абнаўленні", прапісаўшы яе ў адпаведнасці з вашымі правіламі:

  • Выберыце, на колькі дзён затрымліваць усталёўку абнаўленняў кампанентаў. Максімальнае значэнне - 365.
  • Абярыце, на колькі дзён затрымліваць усталёўку абнаўленняў якасці, уключаючы кумулятыўныя абнаўленні бяспекі, якія выходзяць па «аўторках патчаў». Максімальнае значэнне - 30 дзён.

Іншыя налады на гэтай старонцы кіруюць дэманстрацыяй апавяшчэнняў аб перазапуску (уключана па змаўчанні) і дазволам спампоўваць абнаўленні на злучэннях з улікам трафіку (выключана па змаўчанні).

Да версіі Windows 10 1903 там была яшчэ настройка выбару канала – паўгадавога, ці ж мэтавага паўгадавога. Яе прыбралі ў версіі 1903, а ў больш старых версіях яна проста не працуе.

Вядома, сэнс затрымкі абнаўленняў не ў тым, каб проста адлыньваць ад гэтага працэсу, а потым здзівіць карыстальнікаў крыху пазней. Калі вы, да прыкладу, прызначаеце затрымку ўсталёўкі абнаўленняў якасці на 15 дзён, вам трэба выкарыстаць гэты час на праверку абнаўленняў на сумяшчальнасць, і запланаваць у графіцы акенца на тэхабслугоўванне на зручны час перад тым, як гэты перыяд скончыцца.

Упраўленне абнаўленнямі праз Групавыя палітыкі

Усе згаданыя ручныя налады можна ўжываць і праз групавыя палітыкі, а ў поўным спісе палітык, злучаных з абнаўленнямі Windows 10, налад куды як больш, чым тых, што даступныя ў звычайных ручных наладах.

Іх можна ўжываць да асобных ПК пры дапамозе рэдактара лакальнай групавой палітыкі Gpedit.msc, ці пры дапамозе скрыптоў. Але часцей за ўсё іх выкарыстоўваюць у дамене Windows з Active Directory, дзе можна кіраваць камбінацыямі палітык на групах ПК.

Значная колькасць палітык выкарыстоўваецца выключна ў Windows 10. Найбольш важныя з іх звязаны з "Абнаўленнямі Windows для бізнесу", размешчанымі ў Канфігурацыя кампутара > Адміністрацыйныя шаблоны > Кампаненты Windows > Цэнтр абнаўлення Windows > Цэнтр абнаўлення Windows для бізнэсу.

  • Выберыце, калі атрымліваць папярэднія зборкі - канал і затрымкі для абнаўленняў кампанентаў.
  • Выберыце, калі атрымліваць абнаўленні якасці - затрымкі штомесячных кумулятыўных абнаўленняў і іншых абнаўленняў, звязаных з бяспекай.
  • Кіруйце папярэднімі зборкамі: калі карыстач можа падлучыць машыну да праграмы Windows Insider і вызначыце кольца інсайдэраў.

Дадатковая група палітык знаходзіцца ў Канфігурацыя кампутара > Адміністрацыйныя шаблоны > Кампаненты Windows > Цэнтр абнаўлення Windows, дзе можна:

  • Выдаліць доступ да функцыі прыпынення абнаўленняў, што не дасць карыстальнікам перашкаджаць усталёўцы, затрымліваючы яе на 35 дзён.
  • Выдаліць доступ да ўсіх налад абнаўленняў.
  • Дазволіць аўтаматычнае спампоўванне абнаўленняў на злучэннях з улікам трафіку.
  • Не спампоўваць разам з абнаўленнямі драйвера.

Наступныя ўсталёўкі ёсць толькі ў Windows 10, і яны ставяцца да перазапускаў і апавяшчэнняў:

  • Адключыць аўтаматычную перазагрузку для абнаўленняў падчас перыяду актыўнасці.
  • пазначыць дыяпазон перыяду актыўнасці для аўтаматычнага перазапуску.
  • Указаць крайні тэрмін для аўтаматычнага перазапуску з мэтай усталёўкі абнаўленняў (ад 2 да 14 дзён).
  • Наладзіць апавяшчэння з напамінам аб аўтаматычным перазапуску: павялічыць час, за які карыстальніка папярэджваюць аб гэтым (ад 15 да 240 хвілін).
  • Адключыць апавяшчэння аб аўтаматычным перазапуску з мэтай ўстаноўкі абнаўленняў.
  • Наладзіць апавяшчэнне аб аўтаматычным перазапуску так, каб яно не знікала аўтаматычна праз 25 сек.
  • Не дазваляць палітыкам затрымкі атрымання абнаўленняў ініцыяваць сканаванне ў Цэнтры абнаўлення Windows: гэтая палітыка забараняе ПК правяраць абнаўленні, калі прызначаная затрымка.
  • Дазволіць карыстальнікам кіраваць часам перазапуску і адкладаць апавяшчэння.
  • Наладзіць апавяшчэння аб абнаўленнях (з'яўленне апавяшчэнняў, ад 4 да 24 гадзін), і папярэджанняў аб немінучым перазапуску (ад 15 да 60 хвілін).
  • Абнаўленне палітыкі электрасілкавання для перазапуску кошыка (налада для адукацыйных сістэм, якая дазваляе абнаўляцца нават пры сілкаванні ад батарэі).
  • Выводзіць налады апавяшчэнняў аб абнаўленнях: дазваляе забараніць апавяшчэнні аб абнаўленнях.

Наступныя палітыкі ёсць як у Windows 10, так і ў некаторых больш старых версіях Windows:

  • Настройка аўтаматычнага абнаўлення: гэтая група налад дазваляе выбраць штотыднёвы, раз на два тыдні або штомесячны графік абнаўленняў, уключаючы дзень тыдні і час для аўтаматычнай запампоўкі і ўстаноўкі абнаўленняў.
  • Указаць размяшчэнне службы абнаўленняў Microsoft у інтрасетцы: наладзіць сервер Windows Server Update Services (WSUS) у дамене.
  • Дазволіць кліенту далучацца да мэтавай групы: адміністратары могуць выкарыстоўваць групы бяспекі Active Directory для вызначэння кольцаў разгортвання WSUS.
  • Не падлучацца да размяшчэння Цэнтра абнаўлення Windows у інтэрнэце: забараніць ПК, які працуе з мясцовым серверам абнаўлення, звязвацца з вонкавымі серверамі абнаўленняў.
  • Дазволіць кіраванню электрасілкаваннем цэнтра абнаўлення Windows выводзіць сістэму з спячага рэжыму для ўсталёўкі запланаваных абнаўленняў.
  • Заўсёды аўтаматычна перазапускаць сістэму ў запланаваны час.
  • Не выконваць аўтаматычную перазагрузку, калі ў сістэме працуюць карыстачы.

Інструменты працы ў буйных арганізацыях (Enterprise)

Буйныя арганізацыі з сеткавай інфраструктурай Windows могуць абыйсці сервера абнаўлення Microsoft і разгортваць абнаўленні з мясцовага сервера. Гэта патрабуе падвышанай увагі са боку карпаратыўнага IT-аддзела, але дадае кампаніі гнуткасці. Два самых папулярных варыянту - гэта Windows Server Update Services (WSUS) і System Center Configuration Manager (SCCM).

Сервер WSUS уладкованы прасцей. Ён працуе ў ролі Windows Server і забяспечвае цэнтралізаванае захоўванне абнаўленняў Windows у арганізацыі. Выкарыстоўваючы групавыя палітыкі, адміністратар накіроўвае ПК з Windows 10 на сервер WSUS, служачы адзінай крыніцай файлаў для ўсёй арганізацыі. З яго кансолі адміністратара можна ўхваляць абнаўленні, выбіраць, калі іх ставіць на асобныя ПК ці групы ПК. ПК можна ўручную прывязваць да розных груп, ці можна выкарыстоўваць выбар мэт на боку кліента для разгортвання абнаўленняў на аснове існых груп бяспекі Active Directory.

Паколькі кумулятыўныя абнаўленні Windows 10 растуць усё мацней з кожным новым выпускам, яны могуць займаць значную частку прапускной здольнасці каналаў сувязі. Сервера WSUS эканомяць трафік, выкарыстоўваючы Express Installation Files - гэта патрабуе больш вольнага месца на поўначы, але значна памяншае памер файлаў абнаўлення, якія адпраўляюцца на кліенцкія ПК.

На серверах версій WSUS 4.0 і далей можна таксама кіраваць абнаўленнямі кампанентаў Windows 10.

Другі варыянт, System Center Configuration Manager выкарыстоўвае багаты па магчымасцях Configuration Manager for Windows сумесна з WSUS для разгортвання абнаўленняў якасці і абнаўленняў кампанентаў. Панэль кіравання дазваляе адміністратарам сеткі адсочваць выкарыстанне Windows 10 ва ўсёй сетцы і ствараць планы абслугоўвання на аснове груп, улучальныя інфармацыю па ўсіх ПК, надыходзячым да завяршэння свайго цыклу падтрымкі.

Калі ў арганізацыі ўжо ўсталяваны Configuration Manager для працы з больш раннімі версіямі Windows, тое дадаць у яго падтрымку Windows 10 будзе досыць проста.

Крыніца: habr.com

Дадаць каментар