ProHoster > Blog > administração > O guia completo para atualização do Windows 10 para empresas de qualquer tamanho

O guia completo para atualização do Windows 10 para empresas de qualquer tamanho

Quer você seja responsável por um único PC com Windows 10 ou por milhares, os desafios de gerenciar atualizações são os mesmos. Seu objetivo é instalar atualizações de segurança rapidamente, trabalhar de maneira mais inteligente com atualizações de recursos e evitar perdas de produtividade devido a reinicializações inesperadas.

A sua empresa tem um plano abrangente para lidar com as atualizações do Windows 10? É tentador pensar nesses downloads como incômodos periódicos que precisam ser resolvidos assim que aparecem. No entanto, uma abordagem reativa às atualizações é uma receita para a frustração e a diminuição da produtividade.

Em vez disso, você pode criar uma estratégia de gestão para testar e implementar atualizações para que o processo se torne tão rotineiro quanto o envio de faturas ou o preenchimento de saldos contábeis mensais.

Este artigo fornece todas as informações necessárias para entender como a Microsoft envia atualizações para dispositivos que executam o Windows 10, bem como detalhes sobre as ferramentas e técnicas que você pode usar para gerenciar de maneira inteligente essas atualizações em dispositivos que executam o Windows 10 Pro, Enterprise ou Education. (O Windows 10 Home oferece suporte apenas ao gerenciamento de atualizações muito básico e não é adequado para uso em um ambiente empresarial.)

Mas antes de entrar em qualquer uma dessas ferramentas, você precisará de um plano.

O que diz sua política de atualização?

O objetivo das regras de atualização é tornar o processo de atualização previsível, definir procedimentos para alertar os usuários para que possam planejar seu trabalho adequadamente e evitar tempos de inatividade inesperados. As regras também incluem protocolos para lidar com problemas inesperados, incluindo a reversão de atualizações malsucedidas.

Regras de atualização razoáveis ​​alocam um certo tempo para trabalhar com atualizações todos os meses. Em uma organização pequena, uma janela especial no cronograma de manutenção de cada PC pode servir para esse propósito. Em grandes organizações, é improvável que soluções únicas funcionem e será necessário dividir toda a população de PCs em grupos de atualização (a Microsoft os chama de “anéis”), cada um dos quais terá sua própria estratégia de atualização.

As regras devem descrever vários tipos diferentes de atualizações. O tipo mais compreensível são as atualizações cumulativas mensais de segurança e confiabilidade, lançadas na segunda terça-feira de cada mês (“Patch Tuesday”). Esta versão geralmente inclui a Ferramenta de Remoção de Software Malicioso do Windows, mas também pode incluir qualquer um dos seguintes tipos de atualizações:

  • Atualizações de segurança para o .NET Framework
  • Atualizações de segurança para Adobe Flash Player
  • Manutenção de atualizações de pilha (que precisam ser instaladas desde o início).

Você pode atrasar a instalação de qualquer uma dessas atualizações por até 30 dias.

Dependendo do fabricante do PC, os drivers de hardware e firmware também podem ser distribuídos através do canal Windows Update. Você pode recusar ou gerenciá-los de acordo com os mesmos esquemas de outras atualizações.

Por fim, as atualizações de recursos também são distribuídas pelo Windows Update. Esses pacotes principais atualizam o Windows 10 para a versão mais recente e são lançados a cada seis meses para todas as edições do Windows 10, exceto o Long Term Servicing Channel (LTSC). Você pode adiar a instalação de atualizações de recursos usando o Windows Update for Business por até 365 dias; Para as edições Enterprise e Education, a instalação pode ser adiada por até 30 meses.

Levando tudo isso em consideração, você pode começar a traçar regras de atualização, que devem incluir os seguintes elementos para cada um dos PCs atendidos:

  • Período de instalação para atualizações mensais. Por padrão, o Windows 10 baixa e instala atualizações mensais dentro de 24 horas após seu lançamento no Patch Tuesday. Você pode atrasar o download dessas atualizações para alguns ou todos os PCs da sua empresa para ter tempo de verificar a compatibilidade; esse atraso também permite evitar problemas caso a Microsoft descubra um problema com a atualização após o lançamento, como já aconteceu muitas vezes com o Windows 10.
  • Período de instalação para atualizações semestrais de componentes. Por padrão, as atualizações de recursos são baixadas e instaladas quando a Microsoft acredita que estão prontas. Em um dispositivo que a Microsoft considerou elegível para uma atualização, as atualizações de recursos podem levar alguns dias para chegar após o lançamento. Em outros dispositivos, as atualizações de recursos podem levar vários meses para aparecer ou podem ser totalmente bloqueadas devido a problemas de compatibilidade. Você pode definir um atraso para alguns ou todos os PCs da sua organização para ter tempo de revisar uma nova versão. A partir da versão 1903, os usuários de PC receberão atualizações de componentes, mas apenas os próprios usuários darão comandos para baixá-los e instalá-los.
  • Quando permitir que o seu PC reinicie para concluir a instalação das atualizações: A maioria das atualizações exige uma reinicialização para concluir a instalação. Este reinício ocorre fora do “período de atividade” das 8h às 17h; Esta configuração pode ser alterada conforme desejado, estendendo a duração do intervalo em até 18 horas. As ferramentas de gerenciamento permitem agendar horários específicos para download e instalação de atualizações.
  • Como notificar os usuários sobre atualizações e reinicializações: Para evitar surpresas desagradáveis, o Windows 10 notifica os usuários quando atualizações estão disponíveis. O controle dessas notificações nas configurações do Windows 10 é limitado. Muito mais configurações estão disponíveis em “políticas de grupo”.
  • Às vezes, a Microsoft lança atualizações críticas de segurança fora de sua programação normal de Patch Tuesday. Isso geralmente é necessário para corrigir falhas de segurança que são exploradas maliciosamente por terceiros. Devo acelerar a aplicação dessas atualizações ou aguardar a próxima janela da programação?
  • Lidando com atualizações com falha: Se uma atualização não for instalada corretamente ou estiver causando problemas, o que você fará a respeito?

Depois de identificar esses elementos, é hora de escolher as ferramentas para lidar com as atualizações.

Gerenciamento de atualização manual

Em empresas muito pequenas, incluindo lojas com apenas um funcionário, é muito fácil configurar manualmente as atualizações do Windows. Configurações > Atualização e segurança > Windows Update. Lá você pode ajustar dois grupos de configurações.

Primeiro, selecione "Alterar período de atividade" e ajuste as configurações de acordo com seus hábitos de trabalho. Se você costuma trabalhar à noite, pode evitar o tempo de inatividade configurando esses valores das 18h à meia-noite, fazendo com que as reinicializações programadas ocorram pela manhã.

Em seguida, selecione “Opções avançadas” e a configuração “Escolha quando instalar as atualizações”, configurando-a de acordo com suas regras:

  • Selecione quantos dias atrasará a instalação de atualizações de recursos. O valor máximo é 365.
  • Escolha quantos dias atrasar a instalação de atualizações de qualidade, incluindo atualizações de segurança cumulativas lançadas nas Patch Tuesdays. O valor máximo é de 30 dias.

Outras configurações nesta página controlam se as notificações de reinicialização são mostradas (ativadas por padrão) e se as atualizações podem ser baixadas em conexões com reconhecimento de tráfego (desativadas por padrão).

Antes do Windows 10 versão 1903, também havia uma configuração para selecionar um canal - semestral ou semestral de destino. Foi removido na versão 1903 e em versões mais antigas simplesmente não funciona.

É claro que o objetivo de atrasar as atualizações não é simplesmente fugir do processo e surpreender os usuários um pouco mais tarde. Se você programar atualizações de qualidade com atraso de 15 dias, por exemplo, você deve usar esse tempo para verificar a compatibilidade das atualizações e agendar uma janela de manutenção em um horário conveniente antes do término desse período.

Gerenciando atualizações por meio de políticas de grupo

Todas as configurações manuais mencionadas também podem ser aplicadas por meio de políticas de grupo e, na lista completa de políticas associadas às atualizações do Windows 10, há muito mais configurações do que aquelas disponíveis nas configurações manuais normais.

Eles podem ser aplicados a PCs individuais usando o editor de política de grupo local Gpedit.msc ou usando scripts. Mas na maioria das vezes eles são usados ​​em um domínio do Windows com Active Directory, onde combinações de políticas podem ser gerenciadas em grupos de PCs.

Um número significativo de políticas é usado exclusivamente no Windows 10. As mais importantes estão relacionadas ao “Windows Updates for Business”, localizado em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Windows Update > Windows Update for Business.

  • Escolha quando receber versões de visualização - canal e atrasos para atualizações de recursos.
  • Escolha quando receber atualizações de qualidade - adie atualizações cumulativas mensais e outras atualizações relacionadas à segurança.
  • Gerenciar compilações de visualização: quando um usuário pode inscrever uma máquina no programa Windows Insider e definir um anel Insider.

Um grupo de políticas adicional está localizado em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Windows Update, onde você pode:

  • Remova o acesso ao recurso de pausar atualizações, que impedirá que os usuários interfiram nas instalações, atrasando-as por 35 dias.
  • Remova o acesso a todas as configurações de atualização.
  • Permitir download automático de atualizações em conexões com base no tráfego.
  • Não baixe junto com atualizações de driver.

As configurações a seguir estão apenas no Windows 10 e estão relacionadas a reinicializações e notificações:

  • Desative a reinicialização automática para atualizações durante o período ativo.
  • Especifique o intervalo de período ativo para reinicialização automática.
  • Especifique o prazo de reinicialização automática para instalação de atualizações (de 2 a 14 dias).
  • Configure notificações para lembrá-lo do reinício automático: aumente o tempo em que o usuário é avisado sobre isso (de 15 para 240 minutos).
  • Desative as notificações de reinicialização automática para instalar atualizações.
  • Configure a notificação de reinicialização automática para que ela não desapareça automaticamente após 25 segundos.
  • Não permitir que políticas de atraso de atualização acionem verificações do Windows Update: esta política impede que o PC verifique atualizações se um atraso for atribuído.
  • Permitir que os usuários gerenciem os tempos de reinicialização e suspendam as notificações.
  • Configure notificações sobre atualizações (aparecimento de notificações, de 4 a 24 horas) e avisos sobre reinicialização iminente (de 15 a 60 minutos).
  • Atualize a política de energia para reiniciar a lixeira (uma configuração para sistemas educacionais que permite atualizações mesmo quando estiver usando bateria).
  • Mostrar configurações de notificação de atualização: permite desativar notificações de atualização.

As seguintes políticas existem no Windows 10 e em algumas versões mais antigas do Windows:

  • Configurações de atualização automática: Este grupo de configurações permite selecionar uma programação de atualização semanal, quinzenal ou mensal, incluindo o dia da semana e o horário para baixar e instalar atualizações automaticamente.
  • Especifique o local do serviço Microsoft Update na intranet: Configure um servidor Windows Server Update Services (WSUS) no domínio.
  • Permitir que o cliente ingresse no grupo de destino: os administradores podem usar grupos de segurança do Active Directory para definir anéis de implantação do WSUS.
  • Não se conecte a locais do Windows Update na Internet: evite que PCs que executam o servidor de atualização local entrem em contato com servidores de atualização externos.
  • Permita que o gerenciamento de energia do Windows Update desperte o sistema para instalar atualizações agendadas.
  • Sempre reinicie automaticamente o sistema no horário programado.
  • Não reinicialize automaticamente se houver usuários em execução no sistema.

Ferramentas para trabalhar em grandes organizações (Enterprise)

Grandes organizações com infraestrutura de rede Windows podem ignorar os servidores de atualização da Microsoft e implantar atualizações de um servidor local. Isso requer maior atenção do departamento de TI corporativo, mas acrescenta flexibilidade à empresa. As duas opções mais populares são Windows Server Update Services (WSUS) e System Center Configuration Manager (SCCM).

O servidor WSUS é mais simples. Ele é executado na função Windows Server e fornece armazenamento centralizado de atualizações do Windows em uma organização. Usando políticas de grupo, um administrador direciona um PC com Windows 10 para um servidor WSUS, que serve como fonte única de arquivos para toda a organização. No console de administração, você pode aprovar atualizações e escolher quando instalá-las em PCs individuais ou grupos de PCs. Os PCs podem ser atribuídos manualmente a grupos diferentes ou o direcionamento do lado do cliente pode ser usado para implantar atualizações com base em grupos de segurança existentes do Active Directory.

À medida que as atualizações cumulativas do Windows 10 crescem cada vez mais a cada nova versão, elas podem ocupar uma parte significativa da sua largura de banda. Os servidores WSUS economizam tráfego usando arquivos de instalação expressa - isso requer mais espaço livre no servidor, mas reduz significativamente o tamanho dos arquivos de atualização enviados aos PCs clientes.

Em servidores que executam o WSUS 4.0 e posterior, você também pode gerenciar atualizações de recursos do Windows 10.

A segunda opção, System Center Configuration Manager, usa o Configuration Manager para Windows rico em recursos em conjunto com o WSUS para implantar atualizações de qualidade e atualizações de recursos. O painel permite que os administradores de rede monitorem o uso do Windows 10 em toda a rede e criem planos de manutenção baseados em grupo que incluem informações para todos os PCs que estão chegando ao fim do ciclo de suporte.

Se a sua organização já tiver o Configuration Manager instalado para funcionar com versões anteriores do Windows, adicionar suporte para o Windows 10 é bastante fácil.

Fonte: habr.com

Adicionar um comentário