ProHoster > blog > amministrazione > La guida completa all'aggiornamento a Windows 10 per aziende di qualsiasi dimensione

La guida completa all'aggiornamento a Windows 10 per aziende di qualsiasi dimensione

Che tu sia responsabile di un singolo PC Windows 10 o di migliaia, le sfide legate alla gestione degli aggiornamenti sono le stesse. Il tuo obiettivo è installare rapidamente gli aggiornamenti di sicurezza, lavorare in modo più intelligente con gli aggiornamenti delle funzionalità e prevenire perdite di produttività dovute a riavvii imprevisti.

La tua azienda dispone di un piano completo per la gestione degli aggiornamenti di Windows 10? È forte la tentazione di considerare questi download come fastidi periodici che devono essere affrontati non appena compaiono. Tuttavia, un approccio reattivo agli aggiornamenti è la ricetta per la frustrazione e la diminuzione della produttività.

È invece possibile creare una strategia di gestione per testare e implementare gli aggiornamenti in modo che il processo diventi una routine quanto l'invio di fatture o il completamento dei saldi contabili mensili.

Questo articolo fornisce tutte le informazioni necessarie per comprendere in che modo Microsoft invia gli aggiornamenti ai dispositivi che eseguono Windows 10, nonché dettagli sugli strumenti e le tecniche che puoi utilizzare per gestire in modo intelligente questi aggiornamenti sui dispositivi che eseguono Windows 10 Pro, Enterprise o Education. (Windows 10 Home supporta solo una gestione degli aggiornamenti di base e non è adatto all'uso in un ambiente aziendale.)

Ma prima di utilizzare uno di questi strumenti, avrai bisogno di un piano.

Cosa dice la tua politica di aggiornamento?

Lo scopo delle regole di aggiornamento è rendere prevedibile il processo di aggiornamento, definire procedure per avvisare gli utenti in modo che possano pianificare il proprio lavoro di conseguenza ed evitare tempi di inattività imprevisti. Le regole includono anche protocolli per la gestione di problemi imprevisti, incluso il rollback degli aggiornamenti non riusciti.

Regole di aggiornamento ragionevoli assegnano una certa quantità di tempo ogni mese per lavorare con gli aggiornamenti. In una piccola organizzazione, una finestra speciale nel programma di manutenzione di ciascun PC può servire a questo scopo. Nelle grandi organizzazioni, è improbabile che soluzioni valide per tutti funzionino e sarà necessario dividere l'intera popolazione di PC in gruppi di aggiornamento (Microsoft li chiama "anelli"), ciascuno dei quali avrà la propria strategia di aggiornamento.

Le regole dovrebbero descrivere diversi tipi di aggiornamenti. Il tipo più comprensibile sono gli aggiornamenti cumulativi mensili di sicurezza e affidabilità, che vengono rilasciati il ​​secondo martedì di ogni mese (“Patch Tuesday”). Questa versione in genere include lo strumento di rimozione malware di Windows, ma può includere anche uno dei seguenti tipi di aggiornamenti:

  • Aggiornamenti della sicurezza per .NET Framework
  • Aggiornamenti di sicurezza per Adobe Flash Player
  • Manutenzione degli aggiornamenti dello stack (che devono essere installati dall'inizio).

È possibile ritardare l'installazione di uno qualsiasi di questi aggiornamenti fino a 30 giorni.

A seconda del produttore del PC, i driver hardware e il firmware possono essere distribuiti anche tramite il canale Windows Update. Puoi rifiutarli o gestirli secondo gli stessi schemi degli altri aggiornamenti.

Infine, gli aggiornamenti delle funzionalità vengono distribuiti anche tramite Windows Update. Questi pacchetti principali aggiornano Windows 10 alla versione più recente e vengono rilasciati ogni sei mesi per tutte le edizioni di Windows 10 ad eccezione di Long Term Servicing Channel (LTSC). Puoi posticipare l'installazione degli aggiornamenti delle funzionalità utilizzando Windows Update for Business per un massimo di 365 giorni; Per le edizioni Enterprise ed Education, l'installazione può essere ulteriormente posticipata fino a 30 mesi.

Tenendo conto di tutto ciò, puoi iniziare a elaborare regole di aggiornamento, che dovrebbero includere i seguenti elementi per ciascuno dei PC serviti:

  • Periodo di installazione per gli aggiornamenti mensili. Per impostazione predefinita, Windows 10 scarica e installa gli aggiornamenti mensili entro 24 ore dal rilascio il Patch Tuesday. Puoi ritardare il download di questi aggiornamenti per alcuni o tutti i PC della tua azienda in modo da avere tempo per verificarne la compatibilità; questo ritardo permette anche di evitare problemi nel caso in cui Microsoft scopra un problema con l'aggiornamento dopo il rilascio, come è successo tante volte con Windows 10.
  • Periodo di installazione per gli aggiornamenti semestrali dei componenti. Per impostazione predefinita, gli aggiornamenti delle funzionalità vengono scaricati e installati quando Microsoft ritiene che siano pronti. Su un dispositivo che Microsoft ha ritenuto idoneo per un aggiornamento, gli aggiornamenti delle funzionalità potrebbero richiedere alcuni giorni per arrivare dopo il rilascio. Su altri dispositivi, gli aggiornamenti delle funzionalità potrebbero richiedere diversi mesi per essere visualizzati oppure potrebbero essere bloccati del tutto a causa di problemi di compatibilità. È possibile impostare un ritardo per alcuni o tutti i PC dell'organizzazione per avere il tempo di rivedere una nuova versione. A partire dalla versione 1903, agli utenti PC verranno offerti aggiornamenti dei componenti, ma solo gli utenti stessi daranno i comandi per scaricarli e installarli.
  • Quando consentire il riavvio del PC per completare l'installazione degli aggiornamenti: la maggior parte degli aggiornamenti richiede un riavvio per completare l'installazione. Questo riavvio avviene al di fuori del “periodo di attività” dalle 8:17 alle 18:XNUMX; Questa impostazione può essere modificata a piacimento, estendendo la durata dell'intervallo fino a XNUMX ore. Gli strumenti di gestione consentono di pianificare orari specifici per il download e l'installazione degli aggiornamenti.
  • Come avvisare gli utenti su aggiornamenti e riavvii: per evitare spiacevoli sorprese, Windows 10 avvisa gli utenti quando sono disponibili aggiornamenti. Il controllo di queste notifiche nelle impostazioni di Windows 10 è limitato. Molte più impostazioni sono disponibili in "politiche di gruppo".
  • A volte Microsoft rilascia aggiornamenti di sicurezza critici al di fuori del normale programma del Patch Tuesday. Questo di solito è necessario per correggere difetti di sicurezza sfruttati in modo dannoso da terze parti. Dovrei accelerare l'applicazione di tali aggiornamenti o attendere la finestra successiva del programma?
  • Gestione degli aggiornamenti non riusciti: se un aggiornamento non viene installato correttamente o causa problemi, cosa farai al riguardo?

Una volta identificati questi elementi, è il momento di scegliere gli strumenti per gestire gli aggiornamenti.

Gestione degli aggiornamenti manuali

Nelle aziende molto piccole, compresi i negozi con un solo dipendente, è abbastanza semplice configurare manualmente gli aggiornamenti di Windows. Impostazioni > Aggiornamento e sicurezza > Windows Update. Lì puoi regolare due gruppi di impostazioni.

Innanzitutto, seleziona "Cambia periodo di attività" e regola le impostazioni per adattarle alle tue abitudini lavorative. Se lavori abitualmente la sera, puoi evitare tempi di inattività configurando questi valori dalle 18:XNUMX a mezzanotte, facendo sì che i riavvii programmati avvengano al mattino.

Seleziona quindi “Opzioni avanzate” e l’impostazione “Scegli quando installare gli aggiornamenti”, impostandola secondo le tue regole:

  • Seleziona quanti giorni ritardare l'installazione degli aggiornamenti delle funzionalità. Il valore massimo è 365.
  • Scegli quanti giorni ritardare l'installazione degli aggiornamenti qualitativi, inclusi gli aggiornamenti di sicurezza cumulativi rilasciati il ​​Patch Tuesday. Il valore massimo è 30 giorni.

Altre impostazioni in questa pagina controllano se vengono visualizzate le notifiche di riavvio (abilitate per impostazione predefinita) e se gli aggiornamenti possono essere scaricati su connessioni sensibili al traffico (disabilitate per impostazione predefinita).

Prima di Windows 10 versione 1903, esisteva anche un'impostazione per la selezione di un canale: semestrale o semestrale target. È stato rimosso nella versione 1903 e nelle versioni precedenti semplicemente non funziona.

Naturalmente, lo scopo di ritardare gli aggiornamenti non è semplicemente quello di sottrarsi al processo per poi sorprendere gli utenti un po’ più tardi. Se pianifichi un ritardo degli aggiornamenti qualitativi di 15 giorni, ad esempio, dovresti sfruttare questo tempo per verificare la compatibilità degli aggiornamenti e pianificare una finestra di manutenzione in un momento opportuno prima della fine di tale periodo.

Gestione degli aggiornamenti tramite Criteri di gruppo

Tutte le impostazioni manuali menzionate possono essere applicate anche tramite criteri di gruppo e nell'elenco completo dei criteri associati agli aggiornamenti di Windows 10 sono presenti molte più impostazioni rispetto a quelle disponibili nelle normali impostazioni manuali.

Possono essere applicati a singoli PC utilizzando l'editor dei criteri di gruppo locale Gpedit.msc o utilizzando script. Ma nella maggior parte dei casi vengono utilizzati in un dominio Windows con Active Directory, dove è possibile gestire combinazioni di policy su gruppi di PC.

Un numero significativo di criteri viene utilizzato esclusivamente in Windows 10. I più importanti sono relativi a "Windows Updates for Business", che si trovano in Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows Update > Windows Update for Business.

  • Scegli quando ricevere le build di anteprima: canale e ritardi per gli aggiornamenti delle funzionalità.
  • Scegli quando ricevere aggiornamenti qualitativi: ritarda gli aggiornamenti cumulativi mensili e altri aggiornamenti relativi alla sicurezza.
  • Gestisci build di anteprima: quando un utente può registrare una macchina nel programma Windows Insider e definire un anello Insider.

Un ulteriore gruppo di criteri si trova in Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows Update, dove è possibile:

  • Rimuovere l'accesso alla funzione di pausa degli aggiornamenti, che impedirà agli utenti di interferire con le installazioni ritardandole di 35 giorni.
  • Rimuovere l'accesso a tutte le impostazioni di aggiornamento.
  • Consenti il ​​download automatico degli aggiornamenti sulle connessioni in base al traffico.
  • Non scaricare insieme agli aggiornamenti dei driver.

Le seguenti impostazioni sono solo su Windows 10 e si riferiscono a riavvii e notifiche:

  • Disabilita il riavvio automatico per gli aggiornamenti durante il periodo attivo.
  • Specificare l'intervallo di periodi attivi per il riavvio automatico.
  • Specificare la scadenza per il riavvio automatico per installare gli aggiornamenti (da 2 a 14 giorni).
  • Imposta notifiche per ricordarti del riavvio automatico: aumenta il tempo in cui l'utente viene avvisato di questo (da 15 a 240 minuti).
  • Disattiva le notifiche di riavvio automatico per installare gli aggiornamenti.
  • Configura la notifica di riavvio automatico in modo che non scompaia automaticamente dopo 25 secondi.
  • Non consentire ai criteri di ritardo dell'aggiornamento di attivare le scansioni di Windows Update: questo criterio impedisce al PC di verificare la disponibilità di aggiornamenti se viene assegnato un ritardo.
  • Consenti agli utenti di gestire i tempi di riavvio e posticipare le notifiche.
  • Configura le notifiche sugli aggiornamenti (comparsa delle notifiche, da 4 a 24 ore) e gli avvisi su un riavvio imminente (da 15 a 60 minuti).
  • Aggiorna la politica di risparmio energia per riavviare il cestino (un'impostazione per i sistemi didattici che consente gli aggiornamenti anche quando è alimentato a batteria).
  • Mostra impostazioni di notifica di aggiornamento: consente di disabilitare le notifiche di aggiornamento.

I seguenti criteri esistono sia in Windows 10 che in alcune versioni precedenti di Windows:

  • Impostazioni di aggiornamento automatico: questo gruppo di impostazioni consente di selezionare un programma di aggiornamento settimanale, bisettimanale o mensile, incluso il giorno della settimana e l'ora in cui scaricare e installare automaticamente gli aggiornamenti.
  • Specificare il percorso del servizio Microsoft Update sulla intranet: configurare un server Windows Server Update Services (WSUS) nel dominio.
  • Consenti al client di unirsi al gruppo di destinazione: gli amministratori possono utilizzare i gruppi di sicurezza di Active Directory per definire gli anelli di distribuzione WSUS.
  • Non connettersi ai percorsi di Windows Update su Internet: impedisce ai PC che eseguono il server di aggiornamento locale di contattare server di aggiornamento esterni.
  • Consenti al risparmio energia di Windows Update di riattivare il sistema per installare gli aggiornamenti pianificati.
  • Riavvia sempre automaticamente il sistema all'ora pianificata.
  • Non riavviare automaticamente se sono presenti utenti in esecuzione sul sistema.

Strumenti per lavorare in grandi organizzazioni (Enterprise)

Le grandi organizzazioni con un'infrastruttura di rete Windows possono ignorare i server di aggiornamento Microsoft e distribuire gli aggiornamenti da un server locale. Ciò richiede una maggiore attenzione da parte del reparto IT aziendale, ma aggiunge flessibilità all'azienda. Le due opzioni più popolari sono Windows Server Update Services (WSUS) e System Center Configuration Manager (SCCM).

Il server WSUS è più semplice. Viene eseguito nel ruolo Windows Server e fornisce l'archiviazione centralizzata degli aggiornamenti di Windows in un'organizzazione. Utilizzando i criteri di gruppo, un amministratore indirizza un PC Windows 10 a un server WSUS, che funge da unica fonte di file per l'intera organizzazione. Dalla sua console di amministrazione puoi approvare gli aggiornamenti e scegliere quando installarli su singoli PC o gruppi di PC. I PC possono essere assegnati manualmente a gruppi diversi oppure è possibile utilizzare il targeting lato client per distribuire gli aggiornamenti in base ai gruppi di sicurezza Active Directory esistenti.

Poiché gli aggiornamenti cumulativi di Windows 10 crescono sempre di più con ogni nuova versione, possono occupare una parte significativa della larghezza di banda. I server WSUS risparmiano traffico utilizzando i file di installazione rapida: ciò richiede più spazio libero nel server, ma riduce significativamente la dimensione dei file di aggiornamento inviati ai PC client.

Sui server che eseguono WSUS 4.0 e versioni successive, puoi anche gestire gli aggiornamenti delle funzionalità di Windows 10.

La seconda opzione, System Center Configuration Manager, utilizza Configuration Manager per Windows, ricco di funzionalità, insieme a WSUS per distribuire aggiornamenti qualitativi e aggiornamenti delle funzionalità. La dashboard consente agli amministratori di rete di monitorare l'utilizzo di Windows 10 nell'intera rete e di creare piani di manutenzione basati su gruppi che includono informazioni per tutti i PC che si stanno avvicinando alla fine del ciclo di supporto.

Se nella tua organizzazione è già installato Configuration Manager per funzionare con le versioni precedenti di Windows, aggiungere il supporto per Windows 10 è abbastanza semplice.

Fonte: habr.com

Aggiungi un commento