ProHoster > Blog > administracja > Kompletny przewodnik po uaktualnianiu systemu Windows 10 dla firm dowolnej wielkości

Kompletny przewodnik po uaktualnianiu systemu Windows 10 dla firm dowolnej wielkości

Niezależnie od tego, czy odpowiadasz za jeden komputer z systemem Windows 10, czy za tysiące, wyzwania związane z zarządzaniem aktualizacjami są takie same. Twoim celem jest szybkie instalowanie aktualizacji zabezpieczeń, mądrzejsza praca dzięki aktualizacjom funkcji i zapobieganie spadkom produktywności spowodowanym nieoczekiwanym ponownym uruchomieniem.

Czy Twoja firma ma kompleksowy plan obsługi aktualizacji systemu Windows 10? Kuszące jest myślenie o tych plikach do pobrania jako o okresowych uciążliwościach, z którymi należy sobie poradzić, gdy tylko się pojawią. Jednak reaktywne podejście do aktualizacji jest receptą na frustrację i zmniejszoną produktywność.

Zamiast tego możesz stworzyć strategię zarządzania w celu testowania i wdrażania aktualizacji, dzięki czemu proces stanie się tak rutynowy, jak wysyłanie faktur lub uzupełnianie miesięcznych sald księgowych.

W tym artykule znajdują się wszystkie informacje potrzebne do zrozumienia, w jaki sposób firma Microsoft przesyła aktualizacje do urządzeń z systemem Windows 10, a także szczegółowe informacje na temat narzędzi i technik, których można użyć do inteligentnego zarządzania tymi aktualizacjami na urządzeniach z systemem Windows 10 Pro, Enterprise lub Education. (Windows 10 Home obsługuje tylko bardzo podstawowe zarządzanie aktualizacjami i nie nadaje się do użytku w środowisku biznesowym.)

Zanim jednak skorzystasz z któregokolwiek z tych narzędzi, będziesz potrzebować planu.

Co mówią zasady aktualizacji?

Celem reguł aktualizacji jest zapewnienie przewidywalności procesu aktualizacji, zdefiniowanie procedur ostrzegających użytkowników, aby mogli odpowiednio zaplanować swoją pracę i uniknąć nieoczekiwanych przestojów. Reguły obejmują również protokoły postępowania z nieoczekiwanymi problemami, w tym wycofywaniem nieudanych aktualizacji.

Rozsądne zasady aktualizacji przeznaczają co miesiąc określoną ilość czasu na pracę z aktualizacjami. W małej organizacji może temu służyć specjalne okno w harmonogramie konserwacji każdego komputera PC. W dużych organizacjach uniwersalne rozwiązania raczej nie sprawdzą się i będą musiały podzielić całą populację komputerów PC na grupy aktualizacji (Microsoft nazywa je „pierścieniami”), z których każda będzie miała własną strategię aktualizacji.

Reguły powinny opisywać kilka różnych typów aktualizacji. Najbardziej zrozumiałym typem są comiesięczne zbiorcze aktualizacje zabezpieczeń i niezawodności, które są publikowane w drugi wtorek każdego miesiąca („wtorek z łatkami”). To wydanie zazwyczaj zawiera narzędzie Windows do usuwania złośliwego oprogramowania, ale może również zawierać dowolne z następujących typów aktualizacji:

  • Aktualizacje zabezpieczeń dla .NET Framework
  • Aktualizacje zabezpieczeń dla programu Adobe Flash Player
  • Obsługa aktualizacji stosu (które należy zainstalować od początku).

Możesz opóźnić instalację dowolnej z tych aktualizacji o maksymalnie 30 dni.

W zależności od producenta komputera sterowniki sprzętu i oprogramowanie sprzętowe mogą być również dystrybuowane za pośrednictwem kanału Windows Update. Możesz odmówić tego lub zarządzać nimi według tych samych schematów, co innymi aktualizacjami.

Wreszcie aktualizacje funkcji są również dystrybuowane za pośrednictwem witryny Windows Update. Te główne pakiety aktualizują system Windows 10 do najnowszej wersji i są wydawane co sześć miesięcy dla wszystkich wersji systemu Windows 10 z wyjątkiem kanału obsługi długoterminowej (LTSC). Możesz odroczyć instalację aktualizacji funkcji, korzystając z usługi Windows Update dla firm na maksymalnie 365 dni; W przypadku wersji Enterprise i Education instalacja może zostać odroczona do 30 miesięcy.

Biorąc to wszystko pod uwagę, można przystąpić do tworzenia reguł aktualizacji, które powinny uwzględniać następujące elementy dla każdego z serwisowanych komputerów:

  • Okres instalacji miesięcznych aktualizacji. Domyślnie system Windows 10 pobiera i instaluje comiesięczne aktualizacje w ciągu 24 godzin od ich wydania we wtorek z łatką. Możesz opóźnić pobieranie tych aktualizacji dla niektórych lub wszystkich komputerów w firmie, aby mieć czas na sprawdzenie zgodności; to opóźnienie pozwala również uniknąć problemów w przypadku, gdy Microsoft odkryje problem z aktualizacją po wydaniu, jak to miało miejsce wiele razy w przypadku systemu Windows 10.
  • Okres instalacji półrocznych aktualizacji komponentów. Domyślnie aktualizacje funkcji są pobierane i instalowane, gdy Microsoft uzna, że ​​są gotowe. Na urządzeniu, które firma Microsoft uznała za kwalifikujące się do aktualizacji, aktualizacje funkcji mogą pojawić się po kilku dniach od ich wydania. Na innych urządzeniach aktualizacje funkcji mogą pojawić się po kilku miesiącach lub mogą zostać całkowicie zablokowane ze względu na problemy ze zgodnością. Możesz ustawić opóźnienie dla niektórych lub wszystkich komputerów w organizacji, aby dać sobie czas na przejrzenie nowej wersji. Począwszy od wersji 1903, użytkownikom komputerów PC będą oferowane aktualizacje komponentów, ale tylko oni sami będą wydawać polecenia ich pobrania i zainstalowania.
  • Kiedy zezwolić na ponowne uruchomienie komputera w celu dokończenia instalacji aktualizacji: Większość aktualizacji wymaga ponownego uruchomienia w celu ukończenia instalacji. To ponowne uruchomienie następuje poza „okresem aktywności” trwającym od 8:17 do 18:XNUMX; To ustawienie można dowolnie zmieniać, wydłużając czas trwania przerwy do XNUMX godzin. Narzędzia do zarządzania pozwalają zaplanować określone godziny pobierania i instalowania aktualizacji.
  • Jak powiadamiać użytkowników o aktualizacjach i ponownym uruchomieniu: Aby uniknąć przykrych niespodzianek, system Windows 10 powiadamia użytkowników, gdy aktualizacje będą dostępne. Kontrola tych powiadomień w ustawieniach systemu Windows 10 jest ograniczona. Znacznie więcej ustawień dostępnych jest w „zasadach grupowych”.
  • Czasami firma Microsoft publikuje krytyczne aktualizacje zabezpieczeń poza normalnym harmonogramem wtorkowych aktualizacji. Zwykle jest to konieczne, aby naprawić luki w zabezpieczeniach, które są złośliwie wykorzystywane przez osoby trzecie. Czy powinienem przyspieszyć stosowanie takich aktualizacji, czy poczekać na kolejne okno w harmonogramie?
  • Postępowanie w przypadku nieudanych aktualizacji: Jeśli aktualizacja nie zostanie poprawnie zainstalowana lub powoduje problemy, co z tym zrobisz?

Kiedy już zidentyfikujesz te elementy, czas wybrać narzędzia do obsługi aktualizacji.

Ręczne zarządzanie aktualizacjami

W bardzo małych firmach, w tym sklepach zatrudniających tylko jednego pracownika, ręczna konfiguracja aktualizacji systemu Windows jest dość łatwa. Ustawienia > Aktualizacja i zabezpieczenia > Windows Update. Można tam dostosować dwie grupy ustawień.

Najpierw wybierz „Zmień okres aktywności” i dostosuj ustawienia do swoich nawyków pracy. Jeśli zazwyczaj pracujesz wieczorami, możesz uniknąć przestojów, konfigurując te wartości od 18:XNUMX do północy, co spowoduje, że zaplanowane ponowne uruchomienie nastąpi rano.

Następnie wybierz „Opcje zaawansowane” i opcję „Wybierz, kiedy zainstalować aktualizacje”, ustawiając je zgodnie ze swoimi zasadami:

  • Wybierz, o ile dni opóźnić instalację aktualizacji funkcji. Maksymalna wartość to 365.
  • Wybierz, o ile dni opóźnić instalację aktualizacji jakościowych, w tym zbiorczych aktualizacji zabezpieczeń wydawanych we wtorki z poprawkami. Maksymalna wartość to 30 dni.

Inne ustawienia na tej stronie kontrolują, czy wyświetlane są powiadomienia o ponownym uruchomieniu (domyślnie włączone) i czy można pobierać aktualizacje w przypadku połączeń uwzględniających ruch (domyślnie wyłączone).

Przed wersją 10 systemu Windows 1903 istniało również ustawienie wyboru kanału — półroczny lub docelowy półroczny. Został usunięty w wersji 1903, a w starszych wersjach po prostu nie działa.

Oczywiście celem opóźniania aktualizacji nie jest po prostu uniknięcie procesu i późniejsze zaskoczenie użytkowników. Jeśli planujesz opóźnienie aktualizacji jakościowych na przykład o 15 dni, powinieneś wykorzystać ten czas na sprawdzenie aktualizacji pod kątem zgodności i zaplanować okno konserwacji w dogodnym czasie przed końcem tego okresu.

Zarządzanie aktualizacjami poprzez zasady grupy

Wszystkie wspomniane ustawienia ręczne można zastosować również poprzez zasady grupowe, a na pełnej liście zasad związanych z aktualizacjami systemu Windows 10 znajduje się znacznie więcej ustawień niż tych dostępnych w zwykłych ustawieniach ręcznych.

Można je zastosować na poszczególnych komputerach za pomocą lokalnego edytora zasad grupy Gpedit.msc lub za pomocą skryptów. Jednak najczęściej są one używane w domenie Windows z usługą Active Directory, gdzie można zarządzać kombinacjami polityk na grupach komputerów.

Znaczna liczba polityk jest używana wyłącznie w systemie Windows 10. Najważniejsze z nich dotyczą „Aktualizacji systemu Windows dla firm”, znajdujących się w Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Windows Update > Windows Update dla firm.

  • Wybierz, kiedy chcesz otrzymywać wersje zapoznawcze – kanały i opóźnienia w aktualizacjach funkcji.
  • Wybierz, kiedy chcesz otrzymywać aktualizacje wysokiej jakości — opóźniaj comiesięczne aktualizacje zbiorcze i inne aktualizacje związane z bezpieczeństwem.
  • Zarządzaj kompilacjami podglądu: gdy użytkownik może zarejestrować komputer w programie Windows Insider i zdefiniować krąg niejawnych testerów.

Dodatkowa grupa zasad znajduje się w obszarze Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Windows Update i umożliwia:

  • Usuń dostęp do funkcji wstrzymywania aktualizacji, która uniemożliwi użytkownikom zakłócanie instalacji poprzez opóźnienie ich o 35 dni.
  • Usuń dostęp do wszystkich ustawień aktualizacji.
  • Zezwalaj na automatyczne pobieranie aktualizacji połączeń na podstawie ruchu.
  • Nie pobieraj razem z aktualizacjami sterowników.

Poniższe ustawienia dotyczą tylko systemu Windows 10 i dotyczą ponownego uruchomienia i powiadomień:

  • Wyłącz automatyczne ponowne uruchamianie aktualizacji w aktywnym okresie.
  • Określ zakres aktywnego okresu dla automatycznego ponownego uruchomienia.
  • Określ termin automatycznego ponownego uruchomienia w celu zainstalowania aktualizacji (od 2 do 14 dni).
  • Skonfiguruj powiadomienia przypominające o automatycznym ponownym uruchomieniu: zwiększ czas, w którym użytkownik będzie o tym ostrzegany (z 15 do 240 minut).
  • Wyłącz automatyczne powiadomienia o ponownym uruchomieniu, aby zainstalować aktualizacje.
  • Skonfiguruj powiadomienie o automatycznym ponownym uruchomieniu, aby nie znikało automatycznie po 25 sekundach.
  • Nie zezwalaj, aby zasady opóźnień aktualizacji uruchamiały skanowanie w witrynie Windows Update: ta zasada uniemożliwia komputerowi sprawdzanie dostępności aktualizacji, jeśli przypisano opóźnienie.
  • Zezwalaj użytkownikom na zarządzanie czasem ponownego uruchomienia i odkładaniem powiadomień.
  • Skonfiguruj powiadomienia o aktualizacjach (pojawianie się powiadomień od 4 do 24 godzin) oraz ostrzeżenia o rychłym ponownym uruchomieniu (od 15 do 60 minut).
  • Zaktualizuj politykę zasilania, aby ponownie uruchomić kosz (ustawienie dla systemów edukacyjnych, które umożliwia aktualizacje nawet przy zasilaniu bateryjnym).
  • Pokaż ustawienia powiadomień o aktualizacjach: umożliwia wyłączenie powiadomień o aktualizacjach.

Następujące zasady istnieją zarówno w systemie Windows 10, jak i w niektórych starszych wersjach systemu Windows:

  • Ustawienia automatycznej aktualizacji: Ta grupa ustawień umożliwia wybranie harmonogramu aktualizacji tygodniowych, dwutygodniowych lub miesięcznych, w tym dnia tygodnia i godziny automatycznego pobierania i instalowania aktualizacji.
  • Określ lokalizację usługi Microsoft Update w intranecie: Skonfiguruj serwer Windows Server Update Services (WSUS) w domenie.
  • Zezwalaj klientowi na dołączanie do grupy docelowej: Administratorzy mogą używać grup zabezpieczeń Active Directory do definiowania pierścieni wdrażania programu WSUS.
  • Nie łącz się z lokalizacjami Windows Update w Internecie: uniemożliwiaj komputerom, na których działa lokalny serwer aktualizacji, kontaktowanie się z zewnętrznymi serwerami aktualizacji.
  • Zezwól zarządzaniu energią usługi Windows Update na wybudzenie systemu w celu zainstalowania zaplanowanych aktualizacji.
  • Zawsze automatycznie uruchamiaj system ponownie o zaplanowanej godzinie.
  • Nie uruchamiaj automatycznie ponownie, jeśli w systemie są uruchomieni użytkownicy.

Narzędzia do pracy w dużych organizacjach (Enterprise)

Duże organizacje posiadające infrastrukturę sieciową Windows mogą ominąć serwery aktualizacji firmy Microsoft i wdrażać aktualizacje z serwera lokalnego. Wymaga to większej uwagi ze strony korporacyjnego działu IT, ale zwiększa elastyczność firmy. Dwie najpopularniejsze opcje to usługi Windows Server Update Services (WSUS) i System Center Configuration Manager (SCCM).

Serwer WSUS jest prostszy. Działa w roli Windows Server i zapewnia scentralizowane przechowywanie aktualizacji systemu Windows w całej organizacji. Korzystając z zasad grupy, administrator kieruje komputer z systemem Windows 10 do serwera WSUS, który służy jako pojedyncze źródło plików dla całej organizacji. W konsoli administracyjnej możesz zatwierdzać aktualizacje i decydować, kiedy mają być instalowane na poszczególnych komputerach lub grupach komputerów. Komputery można ręcznie przypisywać do różnych grup lub można zastosować kierowanie po stronie klienta w celu wdrożenia aktualizacji w oparciu o istniejące grupy zabezpieczeń Active Directory.

Ponieważ liczba aktualizacji zbiorczych systemu Windows 10 z każdą nową wersją staje się coraz większa, mogą one zająć znaczną część przepustowości. Serwery WSUS oszczędzają ruch, korzystając z plików instalacji ekspresowej - wymaga to więcej wolnego miejsca na serwerze, ale znacznie zmniejsza rozmiar plików aktualizacji wysyłanych do komputerów klienckich.

Na serwerach z programem WSUS 4.0 lub nowszym można także zarządzać aktualizacjami funkcji systemu Windows 10.

Druga opcja: Menedżer konfiguracji programu System Center korzysta z bogatego w funkcje Menedżera konfiguracji dla systemu Windows w połączeniu z programem WSUS w celu wdrażania aktualizacji jakości i aktualizacji funkcji. Pulpit nawigacyjny umożliwia administratorom sieci monitorowanie wykorzystania systemu Windows 10 w całej sieci i tworzenie grupowych planów konserwacji obejmujących informacje dla wszystkich komputerów, których cykl wsparcia dobiega końca.

Jeśli w Twojej organizacji zainstalowano już menedżera konfiguracji umożliwiającego współpracę z wcześniejszymi wersjami systemu Windows, dodanie obsługi systemu Windows 10 jest dość łatwe.

Źródło: www.habr.com

Dodaj komentarz