Of u nu verantwoordelijk bent voor één enkele Windows 10-pc of voor duizenden, de uitdagingen bij het beheren van updates zijn dezelfde. Uw doel is om snel beveiligingsupdates te installeren, slimmer te werken met functie-updates en productiviteitsverlies als gevolg van onverwacht opnieuw opstarten te voorkomen.
Heeft uw bedrijf een uitgebreid plan voor het verwerken van Windows 10-updates? Het is verleidelijk om deze downloads te beschouwen als periodieke overlast die moet worden aangepakt zodra ze verschijnen. Een reactieve benadering van updates is echter een recept voor frustratie en verminderde productiviteit.
In plaats daarvan kunt u een beheerstrategie opstellen om updates te testen en te implementeren, zodat het proces net zo routinematig wordt als het versturen van facturen of het invullen van maandelijkse boekhoudkundige saldi.
Dit artikel biedt alle informatie die u nodig hebt om te begrijpen hoe Microsoft updates pusht naar apparaten met Windows 10, evenals details over de tools en technieken die u kunt gebruiken om deze updates slim te beheren op apparaten met Windows 10 Pro, Enterprise of Education. (Windows 10 Home ondersteunt alleen zeer eenvoudig updatebeheer en is niet geschikt voor gebruik in een zakelijke omgeving.)
Maar voordat u een van deze tools gebruikt, heeft u een plan nodig.
Wat zegt uw updatebeleid?
Het doel van upgraderegels is om het upgradeproces voorspelbaar te maken, procedures te definiëren om gebruikers te waarschuwen, zodat ze hun werk dienovereenkomstig kunnen plannen en onverwachte downtime kunnen voorkomen. De regels omvatten ook protocollen voor het omgaan met onverwachte problemen, waaronder het terugdraaien van niet-succesvolle updates.
Redelijke updateregels voorzien elke maand een bepaalde hoeveelheid tijd om met updates te werken. In een kleine organisatie kan een speciaal venster in het onderhoudsschema voor elke pc hiervoor dienen. In grote organisaties is het onwaarschijnlijk dat one-size-fits-all oplossingen zullen werken, en zullen ze de hele pc-populatie moeten verdelen in updategroepen (Microsoft noemt ze “ringen”), die elk hun eigen updatestrategie zullen hebben.
De regels moeten verschillende soorten updates beschrijven. Het meest begrijpelijke type zijn maandelijkse cumulatieve beveiligings- en betrouwbaarheidsupdates, die op de tweede dinsdag van elke maand worden uitgebracht (“Patch Tuesday”). Deze release bevat doorgaans de Windows Malicious Software Removal Tool, maar kan ook een van de volgende typen updates bevatten:
- Beveiligingsupdates voor het .NET Framework
- Beveiligingsupdates voor Adobe Flash Player
- Servicing stack-updates (die vanaf het begin moeten worden geïnstalleerd).
U kunt de installatie van deze updates maximaal 30 dagen uitstellen.
Afhankelijk van de pc-fabrikant kunnen hardwarestuurprogramma's en firmware ook via het Windows Update-kanaal worden gedistribueerd. U kunt dit weigeren of beheren volgens dezelfde schema's als andere updates.
Ten slotte worden functie-updates ook gedistribueerd via Windows Update. Deze grote pakketten updaten Windows 10 naar de nieuwste versie en worden elke zes maanden uitgebracht voor alle edities van Windows 10, met uitzondering van het Long Term Servicing Channel (LTSC). U kunt de installatie van functie-updates maximaal 365 dagen uitstellen door Windows Update for Business te gebruiken; Voor Enterprise- en Education-edities kan de installatie nog eens maximaal 30 maanden worden uitgesteld.
Met dit alles rekening houdend, kunt u beginnen met het opstellen van updateregels, die voor elk van de onderhouden pc's de volgende elementen moeten bevatten:
- Installatieperiode voor maandelijkse updates. Standaard downloadt en installeert Windows 10 maandelijkse updates binnen 24 uur na de release op Patch Tuesday. U kunt het downloaden van deze updates voor sommige of alle pc's van uw bedrijf uitstellen, zodat u tijd heeft om de compatibiliteit te controleren; Door deze vertraging kun je ook problemen voorkomen in het geval dat Microsoft na de release een probleem met de update ontdekt, zoals al vaak is gebeurd met Windows 10.
- Installatieperiode voor halfjaarlijkse componentupdates. Standaard worden functie-updates gedownload en geïnstalleerd wanneer Microsoft denkt dat ze gereed zijn. Op een apparaat dat volgens Microsoft in aanmerking komt voor een update, kan het enkele dagen duren voordat functie-updates na de release arriveren. Op andere apparaten kan het enkele maanden duren voordat functie-updates verschijnen, of ze worden mogelijk helemaal geblokkeerd vanwege compatibiliteitsproblemen. U kunt een vertraging instellen voor sommige of alle pc's in uw organisatie, zodat u tijd heeft om een nieuwe release te beoordelen. Vanaf versie 1903 krijgen pc-gebruikers componentupdates aangeboden, maar alleen de gebruikers zelf zullen opdrachten geven om deze te downloaden en te installeren.
- Wanneer moet u uw pc opnieuw laten opstarten om de installatie van updates te voltooien: Voor de meeste updates is opnieuw opstarten vereist om de installatie te voltooien. Deze heropstart vindt plaats buiten de “activiteitsperiode” van 8 tot 17 uur; Deze instelling kan naar wens worden gewijzigd, waardoor de intervalduur wordt verlengd tot maximaal 18 uur. Met beheertools kunt u specifieke tijden plannen voor het downloaden en installeren van updates.
- Hoe gebruikers op de hoogte te stellen van updates en opnieuw opstarten: Om onaangename verrassingen te voorkomen, waarschuwt Windows 10 gebruikers wanneer er updates beschikbaar zijn. De controle over deze meldingen in de instellingen van Windows 10 is beperkt. Er zijn veel meer instellingen beschikbaar in “groepsbeleid”.
- Soms brengt Microsoft kritieke beveiligingsupdates uit buiten het normale Patch Tuesday-schema. Dit is meestal nodig om beveiligingsfouten op te lossen die kwaadwillig door derden worden misbruikt. Moet ik de toepassing van dergelijke updates versnellen of wachten op het volgende venster in de planning?
- Omgaan met mislukte updates: Als een update niet correct wordt geïnstalleerd of problemen veroorzaakt, wat gaat u eraan doen?
Zodra u deze elementen heeft geïdentificeerd, is het tijd om de tools te kiezen om updates af te handelen.
Handmatig updatebeheer
In zeer kleine bedrijven, inclusief winkels met slechts één medewerker, is het vrij eenvoudig om Windows-updates handmatig te configureren. Instellingen > Update en beveiliging > Windows Update. Daar kunt u twee groepen instellingen aanpassen.
Selecteer eerst 'Activiteitsperiode wijzigen' en pas de instellingen aan uw werkgewoonten aan. Als u doorgaans in de avonduren werkt, kunt u downtime voorkomen door deze waarden van 18 uur tot middernacht te configureren, waardoor een geplande herstart in de ochtend plaatsvindt.
Selecteer vervolgens “Geavanceerde opties” en de instelling “Kies wanneer u updates wilt installeren” en stel deze in in overeenstemming met uw regels:
- Selecteer hoeveel dagen de installatie van functie-updates moet worden uitgesteld. De maximale waarde is 365.
- Kies hoeveel dagen u de installatie van kwaliteitsupdates wilt uitstellen, inclusief cumulatieve beveiligingsupdates die op Patch Tuesday worden uitgebracht. De maximale waarde is 30 dagen.
Andere instellingen op deze pagina bepalen of herstartmeldingen worden getoond (standaard ingeschakeld) en of updates kunnen worden gedownload op verkeersbewuste verbindingen (standaard uitgeschakeld).
Vóór Windows 10 versie 1903 was er ook een instelling voor het selecteren van een kanaal: halfjaarlijks of halfjaarlijks doel. Het is verwijderd in versie 1903 en in oudere versies werkt het simpelweg niet.
Het doel van het uitstellen van updates is natuurlijk niet om simpelweg het proces te omzeilen en gebruikers een beetje later te verrassen. Als u bijvoorbeeld plant dat kwaliteitsupdates vijftien dagen worden uitgesteld, moet u die tijd gebruiken om updates op compatibiliteit te controleren en op een geschikt tijdstip een onderhoudsperiode plannen voordat die periode afloopt.
Updates beheren via groepsbeleid
Alle genoemde handmatige instellingen kunnen ook worden toegepast via groepsbeleid, en in de volledige lijst met beleidsregels die zijn gekoppeld aan Windows 10-updates zijn er veel meer instellingen dan die beschikbaar zijn in de reguliere handmatige instellingen.
Ze kunnen op individuele pc's worden toegepast met behulp van de lokale groepsbeleid-editor Gpedit.msc of met behulp van scripts. Maar meestal worden ze gebruikt in een Windows-domein met Active Directory, waar combinaties van beleid op groepen pc's kunnen worden beheerd.
Een aanzienlijk aantal beleidsregels wordt uitsluitend in Windows 10 gebruikt. De belangrijkste hebben betrekking op “Windows Updates for Business”, te vinden in Computerconfiguratie > Beheersjablonen > Windows-componenten > Windows Update > Windows Update for Business.
- Kies wanneer u preview-builds wilt ontvangen: kanaal en vertragingen voor functie-updates.
- Kies wanneer u kwaliteitsupdates wilt ontvangen - stel maandelijkse cumulatieve updates en andere beveiligingsgerelateerde updates uit.
- Preview-builds beheren: wanneer een gebruiker een machine kan inschrijven in het Windows Insider-programma en een Insider-ring kan definiëren.
Er bevindt zich een extra beleidsgroep in Computerconfiguratie > Beheersjablonen > Windows-componenten > Windows Update, waar u het volgende kunt doen:
- Verwijder de toegang tot de functie voor het onderbreken van updates, die voorkomt dat gebruikers zich met installaties bemoeien door deze 35 dagen uit te stellen.
- Verwijder de toegang tot alle update-instellingen.
- Sta het automatisch downloaden van updates op verbindingen toe op basis van verkeer.
- Niet downloaden samen met stuurprogramma-updates.
De volgende instellingen zijn alleen van toepassing op Windows 10 en hebben betrekking op opnieuw opstarten en meldingen:
- Schakel automatisch opnieuw opstarten uit voor updates tijdens de actieve periode.
- Geef het actieve periodebereik voor automatische herstart op.
- Geef de deadline op voor automatisch opnieuw opstarten om updates te installeren (van 2 tot 14 dagen).
- Stel notificaties in die je herinneren aan automatisch herstarten: verhoog de tijd waarin de gebruiker hiervoor gewaarschuwd wordt (van 15 naar 240 minuten).
- Schakel automatische herstartmeldingen uit om updates te installeren.
- Configureer de automatische herstartmelding zo dat deze niet automatisch na 25 seconden verdwijnt.
- Sta niet toe dat beleid voor vertraging bij updates Windows Update-scans activeert: dit beleid voorkomt dat de pc op updates controleert als er een vertraging is toegewezen.
- Sta gebruikers toe de herstarttijden te beheren en meldingen te snoozen.
- Configureer meldingen over updates (weergave van meldingen, van 4 tot 24 uur) en waarschuwingen over een aanstaande herstart (van 15 tot 60 minuten).
- Update het energiebeleid om de prullenbak opnieuw te starten (een instelling voor onderwijssystemen die updates toestaat, zelfs als ze op batterijvoeding werken).
- Instellingen voor updatemeldingen weergeven: Hiermee kunt u updatemeldingen uitschakelen.
Het volgende beleid bestaat zowel in Windows 10 als in sommige oudere versies van Windows:
- Instellingen voor automatische updates: Met deze groep instellingen kunt u een wekelijks, tweewekelijks of maandelijks updateschema selecteren, inclusief de dag van de week en het tijdstip waarop updates automatisch worden gedownload en geïnstalleerd.
- Geef de locatie op van de Microsoft Update-service op het intranet: Configureer een Windows Server Update Services (WSUS)-server in het domein.
- Client toestaan lid te worden van de doelgroep: beheerders kunnen Active Directory-beveiligingsgroepen gebruiken om WSUS-implementatieringen te definiëren.
- Maak geen verbinding met Windows Update-locaties op internet: Voorkom dat pc's waarop de lokale updateserver draait, contact maken met externe updateservers.
- Laat het energiebeheer van Windows Update het systeem uit de slaapstand halen om geplande updates te installeren.
- Start het systeem altijd automatisch opnieuw op het geplande tijdstip.
- Start niet automatisch opnieuw op als er gebruikers op het systeem actief zijn.
Tools voor het werken in grote organisaties (Enterprise)
Grote organisaties met een Windows-netwerkinfrastructuur kunnen Microsoft-updateservers omzeilen en updates vanaf een lokale server implementeren. Dit vereist meer aandacht van de IT-afdeling van het bedrijf, maar voegt flexibiliteit toe aan het bedrijf. De twee populairste opties zijn Windows Server Update Services (WSUS) en System Center Configuration Manager (SCCM).
De WSUS-server is eenvoudiger. Het draait in de Windows Server-rol en biedt gecentraliseerde opslag van Windows-updates in de hele organisatie. Met behulp van groepsbeleid stuurt een beheerder een Windows 10-pc naar een WSUS-server, die fungeert als de enige bron van bestanden voor de hele organisatie. Vanuit de beheerdersconsole kunt u updates goedkeuren en kiezen wanneer u deze op individuele pc's of groepen pc's wilt installeren. Pc's kunnen handmatig aan verschillende groepen worden toegewezen, of targeting aan de clientzijde kan worden gebruikt om updates te implementeren op basis van bestaande Active Directory-beveiligingsgroepen.
Naarmate de cumulatieve updates van Windows 10 met elke nieuwe release steeds groter worden, kunnen ze een aanzienlijk deel van uw bandbreedte in beslag nemen. WSUS-servers besparen verkeer door het gebruik van Express Installation Files. Dit vereist meer vrije ruimte op de server, maar verkleint aanzienlijk de grootte van de updatebestanden die naar client-pc's worden verzonden.
Op servers met WSUS 4.0 en hoger kunt u ook onderdelenupdates voor Windows 10 beheren.
De tweede optie, System Center Configuration Manager, maakt gebruik van de veelzijdige Configuration Manager voor Windows in combinatie met WSUS om kwaliteitsupdates en functie-updates te implementeren. Met het dashboard kunnen netwerkbeheerders het gebruik van Windows 10 in hun hele netwerk monitoren en op groepen gebaseerde onderhoudsplannen maken met informatie voor alle pc's die het einde van hun ondersteuningscyclus naderen.
Als uw organisatie al Configuration Manager heeft geïnstalleerd om met eerdere versies van Windows te werken, is het toevoegen van ondersteuning voor Windows 10 vrij eenvoudig.
Bron: www.habr.com