ProHoster > Blog > Administrácia > Kompletný sprievodca inováciou systému Windows 10 pre firmy akejkoľvek veľkosti

Kompletný sprievodca inováciou systému Windows 10 pre firmy akejkoľvek veľkosti

Či už ste zodpovední za jeden počítač so systémom Windows 10 alebo za tisíce, výzvy súvisiace so správou aktualizácií sú rovnaké. Vaším cieľom je rýchlo nainštalovať aktualizácie zabezpečenia, pracovať inteligentnejšie s aktualizáciami funkcií a zabrániť strate produktivity v dôsledku neočakávaných reštartov.

Má vaša firma komplexný plán na spracovanie aktualizácií systému Windows 10? Je lákavé považovať tieto sťahovania za pravidelné nepríjemnosti, ktoré je potrebné riešiť hneď, ako sa objavia. Reaktívny prístup k aktualizáciám je však receptom na frustráciu a zníženú produktivitu.

Namiesto toho môžete vytvoriť stratégiu správy na testovanie a implementáciu aktualizácií, aby sa tento proces stal rovnako rutinným ako odosielanie faktúr alebo dokončovanie mesačných účtovných uzávierok.

Tento článok poskytuje všetky informácie, ktoré potrebujete, aby ste pochopili, ako spoločnosť Microsoft dodáva aktualizácie do zariadení so systémom Windows 10, ako aj podrobnosti o nástrojoch a technikách, ktoré môžete použiť na inteligentnú správu týchto aktualizácií na zariadeniach so systémom Windows 10 Pro, Enterprise alebo Education. (Windows 10 Home podporuje len veľmi základnú správu aktualizácií a nie je vhodný na použitie v obchodnom prostredí.)

Ale predtým, než sa pustíte do niektorého z týchto nástrojov, budete potrebovať plán.

Čo hovoria vaše zásady aktualizácií?

Cieľom pravidiel aktualizácie je urobiť proces aktualizácie predvídateľným, definovať postupy, ktoré upozornia používateľov, aby si mohli podľa toho naplánovať svoju prácu a vyhnúť sa neočakávaným prestojom. Pravidlá zahŕňajú aj protokoly na riešenie neočakávaných problémov vrátane vrátenia neúspešných aktualizácií.

Rozumné pravidlá aktualizácie vyčleňujú každý mesiac určitý čas na prácu s aktualizáciami. V malej organizácii môže na tento účel slúžiť špeciálne okno v pláne údržby pre každý počítač. Vo veľkých organizáciách je nepravdepodobné, že by univerzálne riešenia fungovali, a preto budú musieť rozdeliť celú populáciu počítačov do skupín aktualizácií (Microsoft ich nazýva „krúžky“), z ktorých každá bude mať svoju vlastnú stratégiu aktualizácie.

Pravidlá by mali popisovať niekoľko rôznych typov aktualizácií. Najzrozumiteľnejším typom sú mesačné kumulatívne aktualizácie zabezpečenia a spoľahlivosti, ktoré sa vydávajú každý druhý utorok v mesiaci („Patch Tuesday“). Toto vydanie zvyčajne obsahuje nástroj Windows Malicious Software Removal Tool, ale môže obsahovať aj niektorý z nasledujúcich typov aktualizácií:

  • Aktualizácie zabezpečenia pre .NET Framework
  • Aktualizácie zabezpečenia pre Adobe Flash Player
  • Servisné aktualizácie zásobníka (ktoré je potrebné nainštalovať od začiatku).

Inštaláciu ktorejkoľvek z týchto aktualizácií môžete odložiť až o 30 dní.

V závislosti od výrobcu počítača môžu byť hardvérové ​​ovládače a firmvér distribuované aj prostredníctvom kanála Windows Update. Môžete to odmietnuť alebo ich spravovať podľa rovnakých schém ako ostatné aktualizácie.

Nakoniec sa aktualizácie funkcií distribuujú aj prostredníctvom služby Windows Update. Tieto hlavné balíky aktualizujú Windows 10 na najnovšiu verziu a vydávajú sa každých šesť mesiacov pre všetky vydania Windowsu 10 okrem Long Term Service Channel (LTSC). Inštaláciu aktualizácií funkcií môžete odložiť pomocou služby Windows Update for Business až o 365 dní; V prípade verzií Enterprise a Education môže byť inštalácia odložená až o 30 mesiacov.

Berúc do úvahy toto všetko, môžete začať zostavovať pravidlá aktualizácie, ktoré by mali obsahovať nasledujúce prvky pre každý zo servisovaných počítačov:

  • Inštalačné obdobie pre mesačné aktualizácie. Windows 10 štandardne sťahuje a inštaluje mesačné aktualizácie do 24 hodín od ich vydania v utorok opravy. Môžete odložiť sťahovanie týchto aktualizácií pre niektoré alebo všetky počítače vašej spoločnosti, aby ste mali čas skontrolovať kompatibilitu; toto oneskorenie vám tiež umožňuje vyhnúť sa problémom v prípade, že spoločnosť Microsoft po vydaní zistí problém s aktualizáciou, ako sa to stalo mnohokrát pri Windowse 10.
  • Obdobie inštalácie pre polročné aktualizácie komponentov. V predvolenom nastavení sa aktualizácie funkcií stiahnu a nainštalujú, keď sa spoločnosť Microsoft domnieva, že sú pripravené. Na zariadení, ktoré spoločnosť Microsoft považuje za vhodné na aktualizáciu, môže doručenie aktualizácií funkcií trvať niekoľko dní po vydaní. Na iných zariadeniach môže trvať niekoľko mesiacov, kým sa aktualizácie funkcií objavia, alebo môžu byť úplne zablokované z dôvodu problémov s kompatibilitou. Môžete nastaviť oneskorenie pre niektoré alebo všetky počítače vo vašej organizácii, aby ste mali čas na preskúmanie nového vydania. Počnúc verziou 1903 budú používateľom PC ponúkané aktualizácie komponentov, ale iba samotní používatelia budú dávať príkazy na ich stiahnutie a inštaláciu.
  • Kedy povoliť reštart počítača, aby sa dokončila inštalácia aktualizácií: Väčšina aktualizácií vyžaduje na dokončenie inštalácie reštart. Tento reštart nastane mimo „obdobia aktivity“ od 8:17 do 18:XNUMX; Toto nastavenie je možné podľa potreby zmeniť, čím sa interval predĺži až na XNUMX hodín. Nástroje na správu vám umožňujú naplánovať konkrétne časy sťahovania a inštalácie aktualizácií.
  • Ako upozorniť používateľov na aktualizácie a reštarty: Aby sa predišlo nepríjemným prekvapeniam, systém Windows 10 upozorní používateľov, keď sú dostupné aktualizácie. Ovládanie týchto upozornení v nastaveniach systému Windows 10 je obmedzené. Oveľa viac nastavení je dostupných v „skupinových politikách“.
  • Spoločnosť Microsoft niekedy vydáva kritické aktualizácie zabezpečenia mimo svojho bežného plánu opravného utorok. Zvyčajne je to potrebné na opravu bezpečnostných nedostatkov, ktoré so zlým úmyslom zneužívajú tretie strany. Mám urýchliť aplikáciu takýchto aktualizácií alebo počkať na ďalšie okno v pláne?
  • Riešenie neúspešných aktualizácií: Ak sa aktualizácia nenainštaluje správne alebo spôsobuje problémy, čo s tým urobíte?

Po identifikácii týchto prvkov je čas vybrať si nástroje na spracovanie aktualizácií.

Manuálna správa aktualizácií

Vo veľmi malých podnikoch, vrátane obchodov s iba jedným zamestnancom, je celkom jednoduché manuálne nakonfigurovať aktualizácie systému Windows. Nastavenia > Aktualizácia a zabezpečenie > Windows Update. Tu môžete upraviť dve skupiny nastavení.

Najprv zvoľte „Zmeniť obdobie aktivity“ a upravte nastavenia tak, aby vyhovovali vašim pracovným návykom. Ak zvyčajne pracujete vo večerných hodinách, môžete sa vyhnúť prestojom nastavením týchto hodnôt od 18:XNUMX do polnoci, čo spôsobí, že plánované reštarty nastanú ráno.

Potom vyberte položku „Rozšírené možnosti“ a nastavenie „Vyberte, kedy sa majú inštalovať aktualizácie“ a nastavte ho v súlade s vašimi pravidlami:

  • Vyberte, o koľko dní sa má odložiť inštalácia aktualizácií funkcií. Maximálna hodnota je 365.
  • Vyberte, o koľko dní sa má oneskoriť inštalácia kvalitných aktualizácií vrátane kumulatívnych bezpečnostných aktualizácií vydaných v utorok s opravou. Maximálna hodnota je 30 dní.

Ďalšie nastavenia na tejto stránke určujú, či sa budú zobrazovať upozornenia na reštart (v predvolenom nastavení povolené) a či je možné sťahovať aktualizácie na pripojeniach s ohľadom na premávku (v predvolenom nastavení zakázané).

Pred verziou Windows 10 1903 existovalo aj nastavenie výberu kanála - polročný alebo cieľový polročný. Vo verzii 1903 bol odstránený a v starších verziách jednoducho nefunguje.

Samozrejme, zmyslom oneskorenia aktualizácií nie je jednoducho vyhnúť sa procesu a potom prekvapiť používateľov o niečo neskôr. Ak naplánujete oneskorenie aktualizácií kvality napríklad o 15 dní, mali by ste tento čas využiť na kontrolu kompatibility aktualizácií a naplánovať obdobie údržby na vhodný čas pred koncom tohto obdobia.

Správa aktualizácií prostredníctvom zásad skupiny

Všetky spomenuté manuálne nastavenia je možné aplikovať aj prostredníctvom skupinových zásad a v úplnom zozname zásad priradených k aktualizáciám Windowsu 10 je oveľa viac nastavení, než aké sú dostupné v bežných manuálnych nastaveniach.

Môžu byť aplikované na jednotlivé PC pomocou lokálneho editora skupinovej politiky Gpedit.msc alebo pomocou skriptov. Najčastejšie sa však používajú v doméne Windows s Active Directory, kde je možné spravovať kombinácie politík na skupinách počítačov.

Značný počet politík sa používa výhradne v systéme Windows 10. Najdôležitejšie z nich súvisia s „Aktualizáciami systému Windows pre firmy“, ktoré sa nachádzajú v časti Konfigurácia počítača > Šablóny pre správu > Komponenty systému Windows > Windows Update > Windows Update for Business.

  • Vyberte, kedy chcete dostávať ukážkové zostavy – kanál a oneskorenia aktualizácií funkcií.
  • Vyberte si, kedy chcete dostávať kvalitné aktualizácie – odložte mesačné kumulatívne aktualizácie a ďalšie aktualizácie súvisiace so zabezpečením.
  • Spravujte zostavy ukážok: keď používateľ môže zaregistrovať počítač do programu Windows Insider a definovať kruh Insider.

Ďalšia skupina politík sa nachádza v časti Konfigurácia počítača > Šablóny pre správu > Súčasti systému Windows > Windows Update, kde môžete:

  • Odstráňte prístup k funkcii pozastavenia aktualizácií, ktorá zabráni používateľom zasahovať do inštalácií ich odložením o 35 dní.
  • Odstráňte prístup ku všetkým nastaveniam aktualizácie.
  • Povoliť automatické sťahovanie aktualizácií pri pripojeniach na základe návštevnosti.
  • Nesťahujte spolu s aktualizáciami ovládačov.

Nasledujúce nastavenia sú len v systéme Windows 10 a týkajú sa reštartov a upozornení:

  • Zakázať automatický reštart pre aktualizácie počas aktívneho obdobia.
  • Zadajte rozsah aktívneho obdobia pre automatický reštart.
  • Zadajte termín automatického reštartu na inštaláciu aktualizácií (od 2 do 14 dní).
  • Nastavte si upozornenia, ktoré vám pripomenú automatický reštart: predĺžte čas, počas ktorého je používateľ na to upozornený (z 15 na 240 minút).
  • Ak chcete nainštalovať aktualizácie, vypnite automatické upozornenia na reštart.
  • Nakonfigurujte upozornenie na automatický reštart tak, aby po 25 sekundách automaticky nezmizlo.
  • Nepovoliť pravidlám oneskorenia aktualizácií spúšťať kontroly služby Windows Update: Táto zásada zabraňuje počítaču kontrolovať aktualizácie, ak je priradené oneskorenie.
  • Umožnite používateľom spravovať časy reštartovania a stlmiť upozornenia.
  • Nakonfigurujte upozornenia na aktualizácie (vzhľad upozornení od 4 do 24 hodín) a upozornenia na blížiaci sa reštart (od 15 do 60 minút).
  • Aktualizujte politiku napájania na reštartovanie koša (nastavenie pre vzdelávacie systémy, ktoré umožňuje aktualizácie aj pri napájaní z batérie).
  • Zobraziť nastavenia upozornení na aktualizácie: Umožňuje vám vypnúť upozornenia na aktualizácie.

Nasledujúce zásady existujú v systéme Windows 10 a niektorých starších verziách systému Windows:

  • Nastavenia automatickej aktualizácie: Táto skupina nastavení vám umožňuje vybrať týždenný, dvojtýždňový alebo mesačný plán aktualizácií vrátane dňa v týždni a času automatického sťahovania a inštalácie aktualizácií.
  • Zadajte umiestnenie služby Microsoft Update na intranete: Nakonfigurujte server Windows Server Update Services (WSUS) v doméne.
  • Povoliť klientovi pripojiť sa k cieľovej skupine: Správcovia môžu použiť skupiny zabezpečenia služby Active Directory na definovanie kruhov nasadenia služby WSUS.
  • Nepripájajte sa k umiestneniu služby Windows Update na internete: Zabráňte počítačom s lokálnym aktualizačným serverom kontaktovať externé aktualizačné servery.
  • Umožnite správe napájania Windows Update prebudiť systém a nainštalovať plánované aktualizácie.
  • Vždy automaticky reštartujte systém v naplánovanom čase.
  • Nereštartujte automaticky, ak v systéme bežia používatelia.

Nástroje pre prácu vo veľkých organizáciách (Enterprise)

Veľké organizácie so sieťovou infraštruktúrou Windows môžu obísť aktualizačné servery spoločnosti Microsoft a nasadiť aktualizácie z lokálneho servera. Vyžaduje si to zvýšenú pozornosť podnikového IT oddelenia, no firme to dodáva flexibilitu. Dve najpopulárnejšie možnosti sú Windows Server Update Services (WSUS) a System Center Configuration Manager (SCCM).

Server WSUS je jednoduchší. Beží v úlohe Windows Server a poskytuje centralizované ukladanie aktualizácií systému Windows v rámci organizácie. Pomocou skupinových zásad správca nasmeruje počítač so systémom Windows 10 na server WSUS, ktorý slúži ako jediný zdroj súborov pre celú organizáciu. Z jeho administrátorskej konzoly môžete schvaľovať aktualizácie a vybrať si, kedy ich nainštalovať na jednotlivé počítače alebo skupiny počítačov. Počítače možno manuálne priradiť k rôznym skupinám alebo je možné použiť cielenie na strane klienta na nasadenie aktualizácií na základe existujúcich skupín zabezpečenia služby Active Directory.

Keďže kumulatívne aktualizácie systému Windows 10 rastú s každým novým vydaním viac a viac, môžu zaberať značnú časť vašej šírky pásma. Servery WSUS šetria prevádzku pomocou expresných inštalačných súborov – to si vyžaduje viac voľného miesta na serveri, ale výrazne znižuje veľkosť aktualizačných súborov odosielaných na klientske počítače.

Na serveroch so systémom WSUS 4.0 a novším môžete spravovať aj aktualizácie funkcií systému Windows 10.

Druhá možnosť, System Center Configuration Manager, používa na nasadenie kvalitných aktualizácií a aktualizácií funkcií funkčne bohatý Configuration Manager pre Windows v spojení s WSUS. Ovládací panel umožňuje správcom siete monitorovať používanie systému Windows 10 v celej svojej sieti a vytvárať plány údržby založené na skupinách, ktoré obsahujú informácie pre všetky počítače, ktoré sa blížia ku koncu cyklu podpory.

Ak už má vaša organizácia nainštalovaný Configuration Manager na prácu so staršími verziami Windowsu, pridanie podpory pre Windows 10 je pomerne jednoduché.

Zdroj: hab.com

Pridať komentár