ProHoster > Blog > administración > La guía completa para actualizar Windows 10 para empresas de cualquier tamaño

La guía completa para actualizar Windows 10 para empresas de cualquier tamaño

Ya sea que sea responsable de una sola PC con Windows 10 o de miles, los desafíos de administrar las actualizaciones son los mismos. Su objetivo es instalar rápidamente actualizaciones de seguridad, trabajar de forma más inteligente con actualizaciones de funciones y evitar pérdidas de productividad debido a reinicios inesperados.

¿Su empresa tiene un plan integral para manejar las actualizaciones de Windows 10? Es tentador pensar en estas descargas como molestias periódicas que deben solucionarse tan pronto como aparecen. Sin embargo, un enfoque reactivo ante las actualizaciones es una receta para la frustración y la disminución de la productividad.

En su lugar, puede crear una estrategia de gestión para probar e implementar actualizaciones para que el proceso se vuelva tan rutinario como enviar facturas o completar saldos contables mensuales.

Este artículo proporciona toda la información que necesita para comprender cómo Microsoft envía actualizaciones a los dispositivos que ejecutan Windows 10, así como detalles sobre las herramientas y técnicas que puede utilizar para administrar inteligentemente estas actualizaciones en dispositivos que ejecutan Windows 10 Pro, Enterprise o Education. (Windows 10 Home solo admite una gestión de actualizaciones muy básica y no es adecuado para su uso en un entorno empresarial).

Pero antes de utilizar cualquiera de estas herramientas, necesitará un plan.

¿Qué dice su política de actualización?

El objetivo de las reglas de actualización es hacer que el proceso de actualización sea predecible, definir procedimientos para alertar a los usuarios para que puedan planificar su trabajo en consecuencia y evitar tiempos de inactividad inesperados. Las reglas también incluyen protocolos para manejar problemas inesperados, incluida la reversión de actualizaciones fallidas.

Las reglas de actualización razonables asignan una cierta cantidad de tiempo para trabajar con las actualizaciones cada mes. En una organización pequeña, una ventana especial en el programa de mantenimiento para cada PC puede servir para este propósito. En organizaciones grandes, es poco probable que funcionen soluciones únicas y será necesario dividir toda la población de PC en grupos de actualización (Microsoft los llama "anillos"), cada uno de los cuales tendrá su propia estrategia de actualización.

Las reglas deben describir varios tipos diferentes de actualizaciones. El tipo más comprensible son las actualizaciones mensuales acumulativas de seguridad y confiabilidad, que se publican el segundo martes de cada mes (“martes de parches”). Esta versión generalmente incluye la herramienta de eliminación de software malicioso de Windows, pero también puede incluir cualquiera de los siguientes tipos de actualizaciones:

  • Actualizaciones de seguridad para .NET Framework
  • Actualizaciones de seguridad para Adobe Flash Player
  • Actualizaciones de la pila de mantenimiento (que deben instalarse desde el principio).

Puede retrasar la instalación de cualquiera de estas actualizaciones hasta por 30 días.

Dependiendo del fabricante de la PC, los controladores de hardware y el firmware también pueden distribuirse a través del canal Windows Update. Puedes rechazar esto o gestionarlas según los mismos esquemas que otras actualizaciones.

Finalmente, las actualizaciones de funciones también se distribuyen a través de Windows Update. Estos paquetes principales actualizan Windows 10 a la última versión y se lanzan cada seis meses para todas las ediciones de Windows 10 excepto el Long Term Servicing Channel (LTSC). Puede posponer la instalación de actualizaciones de funciones utilizando Windows Update for Business hasta por 365 días; Para las ediciones Enterprise y Education, la instalación puede posponerse por hasta 30 meses.

Teniendo todo esto en cuenta, puede comenzar a elaborar reglas de actualización, que deben incluir los siguientes elementos para cada una de las PC reparadas:

  • Período de instalación para actualizaciones mensuales. De forma predeterminada, Windows 10 descarga e instala actualizaciones mensuales dentro de las 24 horas posteriores a su lanzamiento el martes de parches. Puede retrasar la descarga de estas actualizaciones para algunas o todas las PC de su empresa para tener tiempo de verificar la compatibilidad; Este retraso también permite evitar problemas en caso de que Microsoft descubra un problema con la actualización después del lanzamiento, como ha sucedido muchas veces con Windows 10.
  • Período de instalación para actualizaciones semestrales de componentes. De forma predeterminada, las actualizaciones de funciones se descargan e instalan cuando Microsoft cree que están listas. En un dispositivo que Microsoft ha considerado elegible para una actualización, las actualizaciones de funciones pueden tardar algunos días en llegar después del lanzamiento. En otros dispositivos, las actualizaciones de funciones pueden tardar varios meses en aparecer o pueden bloquearse por completo debido a problemas de compatibilidad. Puede establecer un retraso para algunas o todas las PC de su organización para tener tiempo de revisar una nueva versión. A partir de la versión 1903, a los usuarios de PC se les ofrecerán actualizaciones de componentes, pero sólo los propios usuarios darán comandos para descargarlas e instalarlas.
  • Cuándo permitir que su PC se reinicie para completar la instalación de las actualizaciones: la mayoría de las actualizaciones requieren un reinicio para completar la instalación. Este reinicio se produce fuera del “período de actividad” de 8 a 17 horas; Esta configuración se puede cambiar según se desee, ampliando la duración del intervalo hasta 18 horas. Las herramientas de administración le permiten programar horarios específicos para descargar e instalar actualizaciones.
  • Cómo notificar a los usuarios sobre actualizaciones y reinicios: para evitar sorpresas desagradables, Windows 10 notifica a los usuarios cuando hay actualizaciones disponibles. El control de estas notificaciones en la configuración de Windows 10 es limitado. Hay muchas más configuraciones disponibles en "políticas de grupo".
  • A veces, Microsoft publica actualizaciones de seguridad críticas fuera de su programación normal del martes de parches. Esto suele ser necesario para corregir fallos de seguridad que terceros aprovechan maliciosamente. ¿Debo acelerar la aplicación de dichas actualizaciones o esperar a la siguiente ventana del cronograma?
  • Cómo lidiar con actualizaciones fallidas: si una actualización no se instala correctamente o causa problemas, ¿qué hará al respecto?

Una vez que haya identificado estos elementos, es hora de elegir las herramientas para manejar las actualizaciones.

Gestión de actualizaciones manuales

En empresas muy pequeñas, incluidas tiendas con un solo empleado, es bastante fácil configurar manualmente las actualizaciones de Windows. Configuración > Actualización y seguridad > Actualización de Windows. Allí puede ajustar dos grupos de configuraciones.

Primero, seleccione "Cambiar período de actividad" y ajuste la configuración para adaptarla a sus hábitos de trabajo. Si normalmente trabaja por las noches, puede evitar el tiempo de inactividad configurando estos valores desde las 18 p. m. hasta la medianoche, lo que provoca que se produzcan reinicios programados por la mañana.

Luego seleccione "Opciones avanzadas" y la configuración "Elegir cuándo instalar las actualizaciones", configurándola de acuerdo con sus reglas:

  • Seleccione cuántos días retrasar la instalación de las actualizaciones de funciones. El valor máximo es 365.
  • Elija cuántos días retrasar la instalación de actualizaciones de calidad, incluidas las actualizaciones de seguridad acumulativas publicadas los martes de parches. El valor máximo es de 30 días.

Otras configuraciones en esta página controlan si se muestran las notificaciones de reinicio (habilitadas de manera predeterminada) y si las actualizaciones se pueden descargar en conexiones sensibles al tráfico (deshabilitadas de manera predeterminada).

Antes de Windows 10 versión 1903, también había una configuración para seleccionar un canal: semestral o semestral objetivo. Se eliminó en la versión 1903 y en versiones anteriores simplemente no funciona.

Por supuesto, el objetivo de retrasar las actualizaciones no es simplemente eludir el proceso y luego sorprender a los usuarios un poco más tarde. Si programa que las actualizaciones de calidad se retrasen durante 15 días, por ejemplo, debe usar ese tiempo para verificar la compatibilidad de las actualizaciones y programar una ventana de mantenimiento en un momento conveniente antes de que finalice ese período.

Administrar actualizaciones a través de políticas de grupo

Todas las configuraciones manuales mencionadas también se pueden aplicar a través de políticas de grupo, y en la lista completa de políticas asociadas con las actualizaciones de Windows 10, hay muchas más configuraciones que las disponibles en las configuraciones manuales habituales.

Se pueden aplicar a PC individuales utilizando el editor de políticas de grupo local Gpedit.msc o mediante scripts. Pero la mayoría de las veces se utilizan en un dominio de Windows con Active Directory, donde se pueden administrar combinaciones de políticas en grupos de PC.

Una cantidad importante de políticas se utilizan exclusivamente en Windows 10. Las más importantes están relacionadas con “Actualizaciones de Windows para empresas”, ubicadas en Configuración del equipo > Plantillas administrativas > Componentes de Windows > Actualización de Windows > Actualización de Windows para empresas.

  • Elija cuándo recibir versiones preliminares: canal y retrasos para las actualizaciones de funciones.
  • Elija cuándo recibir actualizaciones de calidad: retrase las actualizaciones acumulativas mensuales y otras actualizaciones relacionadas con la seguridad.
  • Administrar compilaciones de vista previa: cuando un usuario puede inscribir una máquina en el programa Windows Insider y definir un anillo Insider.

Hay un grupo de políticas adicional ubicado en Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update, donde puede:

  • Eliminar el acceso a la función de pausar actualizaciones, que evitará que los usuarios interfieran con las instalaciones retrasándolas durante 35 días.
  • Elimina el acceso a todas las configuraciones de actualización.
  • Permitir la descarga automática de actualizaciones en conexiones basadas en el tráfico.
  • No lo descargue junto con las actualizaciones de controladores.

Las siguientes configuraciones están solo en Windows 10 y se relacionan con reinicios y notificaciones:

  • Deshabilite el reinicio automático para actualizaciones durante el período activo.
  • Especifique el rango de período activo para el reinicio automático.
  • Especifique el plazo de reinicio automático para instalar actualizaciones (de 2 a 14 días).
  • Configura notificaciones para recordarte el reinicio automático: aumenta el tiempo en el que se avisa al usuario de ello (de 15 a 240 minutos).
  • Desactive las notificaciones de reinicio automático para instalar actualizaciones.
  • Configure la notificación de reinicio automático para que no desaparezca automáticamente después de 25 segundos.
  • No permitir que las políticas de retraso de actualización activen análisis de Windows Update: esta política evita que la PC busque actualizaciones si se asigna un retraso.
  • Permita a los usuarios administrar tiempos de reinicio y posponer notificaciones.
  • Configura notificaciones sobre actualizaciones (aparición de notificaciones, de 4 a 24 horas), y avisos sobre reinicio inminente (de 15 a 60 minutos).
  • Actualice la política de energía para reiniciar la papelera de reciclaje (una configuración para sistemas educativos que permite actualizaciones incluso cuando funciona con batería).
  • Mostrar configuración de notificaciones de actualización: le permite desactivar las notificaciones de actualización.

Las siguientes políticas existen tanto en Windows 10 como en algunas versiones anteriores de Windows:

  • Configuración de actualización automática: este grupo de configuraciones le permite seleccionar un programa de actualización semanal, quincenal o mensual, incluido el día de la semana y la hora para descargar e instalar actualizaciones automáticamente.
  • Especifique la ubicación del servicio Microsoft Update en la intranet: Configure un servidor de Windows Server Update Services (WSUS) en el dominio.
  • Permitir que el cliente se una al grupo de destino: los administradores pueden usar grupos de seguridad de Active Directory para definir anillos de implementación de WSUS.
  • No se conecte a ubicaciones de Windows Update en Internet: evite que las PC que ejecutan el servidor de actualización local entren en contacto con servidores de actualización externos.
  • Permita que la administración de energía de Windows Update active el sistema para instalar actualizaciones programadas.
  • Reinicie siempre automáticamente el sistema a la hora programada.
  • No reinicie automáticamente si hay usuarios ejecutándose en el sistema.

Herramientas para trabajar en grandes organizaciones (Enterprise)

Las grandes organizaciones con una infraestructura de red de Windows pueden evitar los servidores de actualización de Microsoft e implementar actualizaciones desde un servidor local. Esto requiere una mayor atención por parte del departamento de TI corporativo, pero agrega flexibilidad a la empresa. Las dos opciones más populares son Windows Server Update Services (WSUS) y System Center Configuration Manager (SCCM).

El servidor WSUS es más sencillo. Se ejecuta en la función de Windows Server y proporciona almacenamiento centralizado de actualizaciones de Windows en toda la organización. Mediante políticas de grupo, un administrador dirige una PC con Windows 10 a un servidor WSUS, que sirve como fuente única de archivos para toda la organización. Desde su consola de administración, puede aprobar actualizaciones y elegir cuándo instalarlas en PC individuales o en grupos de PC. Las PC se pueden asignar manualmente a diferentes grupos o se puede utilizar la orientación del lado del cliente para implementar actualizaciones basadas en grupos de seguridad de Active Directory existentes.

A medida que las actualizaciones acumulativas de Windows 10 crecen cada vez más con cada nueva versión, pueden consumir una parte importante de su ancho de banda. Los servidores WSUS ahorran tráfico mediante el uso de archivos de instalación rápida; esto requiere más espacio libre en el servidor, pero reduce significativamente el tamaño de los archivos de actualización enviados a las PC cliente.

En servidores que ejecutan WSUS 4.0 y versiones posteriores, también puede administrar las actualizaciones de funciones de Windows 10.

La segunda opción, System Center Configuration Manager, utiliza Configuration Manager para Windows, rico en funciones, junto con WSUS para implementar actualizaciones de calidad y funciones. El panel permite a los administradores de red monitorear el uso de Windows 10 en toda su red y crear planes de mantenimiento basados ​​en grupos que incluyen información para todas las PC que se acercan al final de su ciclo de soporte.

Si su organización ya tiene instalado Configuration Manager para funcionar con versiones anteriores de Windows, agregar soporte para Windows 10 es bastante fácil.

Fuente: habr.com

Añadir un comentario