ProHoster > Blog > Administración > A guía completa para actualizar Windows 10 para empresas de calquera tamaño

A guía completa para actualizar Windows 10 para empresas de calquera tamaño

Tanto se es responsable dun único PC con Windows 10 como de miles, os retos de xestionar actualizacións son os mesmos. O teu obxectivo é instalar rapidamente actualizacións de seguranza, traballar de xeito máis intelixente coas actualizacións de funcións e evitar perdas de produtividade debido a reinicios inesperados.

A túa empresa ten un plan completo para xestionar as actualizacións de Windows 10? É tentador pensar nestas descargas como molestias periódicas que hai que tratar en canto aparecen. Non obstante, un enfoque reactivo das actualizacións é unha receita para a frustración e a diminución da produtividade.

Pola contra, pode crear unha estratexia de xestión para probar e implementar actualizacións para que o proceso se faga tan rutinario como enviar facturas ou completar saldos contables mensuais.

Este artigo ofrece toda a información que necesitas para comprender como Microsoft envía as actualizacións aos dispositivos que executan Windows 10, así como detalles sobre as ferramentas e técnicas que podes usar para xestionar estas actualizacións de forma intelixente en dispositivos con Windows 10 Pro, Enterprise ou Education. (Windows 10 Home só admite a xestión de actualizacións moi básica e non é axeitado para o seu uso nun entorno empresarial.)

Pero antes de entrar en calquera destas ferramentas, necesitarás un plan.

Que di a túa política de actualizacións?

O obxectivo das regras de actualización é facer previsible o proceso de actualización, definir procedementos para alertar aos usuarios para que poidan planificar o seu traballo en consecuencia e evitar tempo de inactividade inesperado. As regras tamén inclúen protocolos para xestionar problemas inesperados, incluíndo a recuperación das actualizacións sen éxito.

As regras de actualización razoables asignan unha determinada cantidade de tempo para traballar coas actualizacións cada mes. Nunha organización pequena, unha ventá especial no programa de mantemento de cada PC pode servir para este propósito. Nas grandes organizacións, é improbable que as solucións únicas funcionen e terán que dividir toda a poboación de PC en grupos de actualizacións (Microsoft chámalles "aneles"), cada un dos cales terá a súa propia estratexia de actualización.

As regras deben describir varios tipos diferentes de actualizacións. O tipo máis comprensible son as actualizacións de seguridade e fiabilidade acumuladas mensuais, que se publican o segundo martes de cada mes ("Patch Tuesday"). Esta versión inclúe normalmente a ferramenta de eliminación de software malicioso de Windows, pero tamén pode incluír algún dos seguintes tipos de actualizacións:

  • Actualizacións de seguranza para .NET Framework
  • Actualizacións de seguranza para Adobe Flash Player
  • Actualizacións da pila de servizos (que deben instalarse desde o principio).

Podes atrasar a instalación de calquera destas actualizacións ata 30 días.

Dependendo do fabricante do PC, os controladores de hardware e o firmware tamén se poden distribuír a través da canle de Windows Update. Pode rexeitar isto ou xestionalos segundo os mesmos esquemas que outras actualizacións.

Finalmente, as actualizacións de funcións tamén se distribúen a través de Windows Update. Estes paquetes principais actualizan Windows 10 á versión máis recente e lánzanse cada seis meses para todas as edicións de Windows 10, excepto a Canle de servizo a longo prazo (LTSC). Podes aprazar a instalación das actualizacións de funcións usando Windows Update for Business ata 365 días; Para as edicións Enterprise e Education, a instalación pode aprazarse ata 30 meses.

Tendo todo isto en conta, pode comezar a elaborar regras de actualización, que deberían incluír os seguintes elementos para cada un dos PCs atendidos:

  • Período de instalación para actualizacións mensuais. De forma predeterminada, Windows 10 descarga e instala actualizacións mensuais dentro das 24 horas posteriores ao lanzamento do Patch Tuesday. Podes atrasar a descarga destas actualizacións para algúns ou todos os ordenadores da túa empresa para que teñas tempo para comprobar a compatibilidade; este atraso tamén permite evitar problemas no caso de que Microsoft descubra algún problema coa actualización despois do lanzamento, como ocorreu moitas veces con Windows 10.
  • Período de instalación para actualizacións semestrais de compoñentes. De forma predeterminada, as actualizacións de funcións descárganse e instálanse cando Microsoft cre que están listas. Nun dispositivo que Microsoft considerou apto para unha actualización, as actualizacións de funcións poden tardar uns días en chegar despois do lanzamento. Noutros dispositivos, as actualizacións de funcións poden tardar varios meses en aparecer ou poden bloquearse por completo por problemas de compatibilidade. Podes establecer un atraso para algúns ou todos os ordenadores da túa organización para que teñas tempo para revisar unha nova versión. A partir da versión 1903, os usuarios de PC recibirán actualizacións de compoñentes, pero só os propios usuarios darán comandos para descargalos e instalalos.
  • Cando permitir que o seu PC se reinicie para completar a instalación das actualizacións: a maioría das actualizacións requiren un reinicio para completar a instalación. Este reinicio prodúcese fóra do "período de actividade" de 8 a.m. a 17 p.m.; Esta configuración pódese cambiar segundo o desexa, ampliando a duración do intervalo ata 18 horas. As ferramentas de xestión permítenche programar horarios específicos para descargar e instalar actualizacións.
  • Como notificar aos usuarios sobre actualizacións e reinicios: para evitar sorpresas desagradables, Windows 10 notifica aos usuarios cando hai actualizacións dispoñibles. O control destas notificacións na configuración de Windows 10 é limitado. Hai moitas máis opcións dispoñibles en "políticas de grupo".
  • Ás veces, Microsoft lanza actualizacións de seguranza críticas fóra da súa programación normal de Patch Tuesday. Isto adoita ser necesario para corrixir fallos de seguridade que son explotados de forma maliciosa por terceiros. Debo acelerar a aplicación de tales actualizacións ou esperar á seguinte xanela na programación?
  • Xestionar as actualizacións erradas: se unha actualización non se instala correctamente ou está a causar problemas, que fará ao respecto?

Unha vez identificados estes elementos, é hora de escoller as ferramentas para xestionar as actualizacións.

Xestión manual de actualizacións

Nas empresas moi pequenas, incluíndo tendas cun só empregado, é bastante sinxelo configurar manualmente as actualizacións de Windows. Configuración > Actualización e seguridade > Windows Update. Alí podes axustar dous grupos de configuración.

En primeiro lugar, selecciona "Cambiar período de actividade" e axusta a configuración para que se adapte aos teus hábitos de traballo. Se normalmente traballas pola noite, podes evitar o tempo de inactividade configurando estes valores desde as 18:XNUMX ata a medianoite, o que fai que os reinicios programados se produzan pola mañá.

A continuación, seleccione "Opcións avanzadas" e a opción "Escolla cando instalar as actualizacións", configurándoo de acordo coas súas regras:

  • Seleccione cantos días quere atrasar a instalación das actualizacións de funcións. O valor máximo é 365.
  • Escolle cantos días queres atrasar a instalación de actualizacións de calidade, incluídas as actualizacións de seguranza acumuladas publicadas os martes de parches. O valor máximo é de 30 días.

Outras opcións de configuración desta páxina controlan se se mostran as notificacións de reinicio (activadas de forma predeterminada) e se se poden descargar actualizacións nas conexións que permiten o tráfico (desactivadas por defecto).

Antes de Windows 10 versión 1903, tamén había unha configuración para seleccionar unha canle: semestral ou semestral de destino. Eliminouse na versión 1903, e nas versións máis antigas simplemente non funciona.

Por suposto, o punto de atrasar as actualizacións non é simplemente eludir o proceso e sorprender aos usuarios un pouco máis tarde. Se programas que as actualizacións de calidade se atrasen 15 días, por exemplo, deberías utilizar ese tempo para comprobar a compatibilidade das actualizacións e programar unha xanela de mantemento nun momento conveniente antes de que remate ese período.

Xestionar actualizacións mediante Políticas de grupo

Todas as configuracións manuais mencionadas tamén se poden aplicar mediante políticas de grupo e, na lista completa de políticas asociadas ás actualizacións de Windows 10, hai moitas máis opcións que as dispoñibles nas configuracións manuais habituais.

Pódense aplicar a ordenadores individuais mediante o editor de políticas de grupo local Gpedit.msc ou mediante scripts. Pero a maioría das veces úsanse nun dominio de Windows con Active Directory, onde se poden xestionar combinacións de políticas en grupos de PC.

Un número importante de políticas úsanse exclusivamente en Windows 10. As máis importantes están relacionadas con "Actualizacións de Windows para empresas", situadas en Configuración do ordenador > Modelos administrativos > Compoñentes de Windows > Windows Update > Windows Update para empresas.

  • Escolle cando recibir versións previas: canle e atrasos para as actualizacións de funcións.
  • Escolle cando recibir actualizacións de calidade: atrasa as actualizacións acumuladas mensuais e outras actualizacións relacionadas coa seguridade.
  • Xestionar compilacións de vista previa: cando un usuario pode rexistrar unha máquina no programa Windows Insider e definir un anel Insider.

Encóntrase un grupo de políticas adicional en Configuración do equipo > Modelos administrativos > Compoñentes de Windows > Actualización de Windows, onde pode:

  • Elimina o acceso á función de pausa das actualizacións, que evitará que os usuarios interfiran coas instalacións atrasándoas durante 35 días.
  • Elimina o acceso a todas as configuracións de actualización.
  • Permitir a descarga automática de actualizacións de conexións en función do tráfico.
  • Non descargue xunto coas actualizacións de controladores.

As seguintes opcións só están en Windows 10 e están relacionadas con reinicios e notificacións:

  • Desactiva o reinicio automático das actualizacións durante o período activo.
  • Especifique o intervalo de período activo para o reinicio automático.
  • Especifique a data límite para o reinicio automático para instalar actualizacións (de 2 a 14 días).
  • Configura notificacións para recordarche o reinicio automático: aumenta o tempo no que se avisa ao usuario sobre isto (de 15 a 240 minutos).
  • Desactiva as notificacións de reinicio automático para instalar actualizacións.
  • Configure a notificación de reinicio automático para que non desapareza automaticamente despois de 25 segundos.
  • Non permita que as políticas de atraso das actualizacións desencadeen análises de Windows Update: esta política impide que o PC comprobe as actualizacións se se asigna un atraso.
  • Permite aos usuarios xestionar os tempos de reinicio e adiar as notificacións.
  • Configura notificacións sobre actualizacións (aparición de notificacións, de 4 a 24 horas) e avisos sobre un reinicio inminente (de 15 a 60 minutos).
  • Actualiza a política de enerxía para reiniciar a papeleira (unha configuración para sistemas educativos que permite actualizacións aínda que teñas a batería).
  • Mostrar configuración de notificacións de actualización: permíteche desactivar as notificacións de actualización.

As seguintes políticas existen tanto en Windows 10 como en algunhas versións anteriores de Windows:

  • Configuración de actualización automática: este grupo de configuración permítelle seleccionar unha programación de actualización semanal, quincenal ou mensual, incluíndo o día da semana e a hora para descargar e instalar actualizacións automaticamente.
  • Especifique a localización do servizo Microsoft Update na intranet: configure un servidor de Windows Server Update Services (WSUS) no dominio.
  • Permitir que o cliente se una ao grupo de destino: os administradores poden usar grupos de seguranza de Active Directory para definir os aneis de implantación de WSUS.
  • Non te conectes ás localizacións de Windows Update en Internet: evita que os ordenadores que executan o servidor de actualización local se poñan en contacto con servidores de actualización externos.
  • Permitir que a xestión de enerxía de Windows Update active o sistema para instalar actualizacións programadas.
  • Reinicie sempre automaticamente o sistema á hora programada.
  • Non reinicie automaticamente se hai usuarios en execución no sistema.

Ferramentas para traballar en grandes organizacións (Empresa)

As grandes organizacións cunha infraestrutura de rede de Windows poden evitar os servidores de actualización de Microsoft e implementar actualizacións desde un servidor local. Isto require unha maior atención do departamento de TI corporativo, pero engade flexibilidade á empresa. As dúas opcións máis populares son Windows Server Update Services (WSUS) e System Center Configuration Manager (SCCM).

O servidor WSUS é máis sinxelo. Execútase no rol de Windows Server e ofrece almacenamento centralizado de actualizacións de Windows en toda unha organización. Usando políticas de grupo, un administrador dirixe unha PC con Windows 10 a un servidor WSUS, que serve como fonte única de ficheiros para toda a organización. Desde a súa consola de administración, pode aprobar actualizacións e escoller cando instalalas en ordenadores individuais ou en grupos de ordenadores. Os ordenadores pódense asignar manualmente a diferentes grupos ou a orientación do lado do cliente pódese utilizar para implementar actualizacións en función dos grupos de seguranza de Active Directory existentes.

A medida que as actualizacións acumuladas de Windows 10 crecen cada vez máis con cada nova versión, poden ocupar unha parte importante do teu ancho de banda. Os servidores WSUS aforran tráfico mediante o uso de ficheiros de instalación rápida: isto require máis espazo libre no servidor, pero reduce significativamente o tamaño dos ficheiros de actualización enviados aos ordenadores cliente.

Nos servidores que executan WSUS 4.0 e posteriores, tamén pode xestionar as actualizacións de funcións de Windows 10.

A segunda opción, System Center Configuration Manager usa o Xestor de configuración rico en funcións para Windows xunto con WSUS para implementar actualizacións de calidade e funcións. O panel permite aos administradores de rede supervisar o uso de Windows 10 en toda a súa rede e crear plans de mantemento baseados en grupos que inclúan información para todos os ordenadores que se achegan ao final do seu ciclo de soporte.

Se a túa organización xa ten o xestor de configuración instalado para traballar con versións anteriores de Windows, engadir soporte para Windows 10 é bastante sinxelo.

Fonte: www.habr.com

Engadir un comentario