Oavsett om du är ansvarig för en enda Windows 10-dator eller tusentals, är utmaningarna med att hantera uppdateringar desamma. Ditt mål är att snabbt installera säkerhetsuppdateringar, arbeta smartare med funktionsuppdateringar och förhindra produktivitetsförluster på grund av oväntade omstarter.
Har ditt företag en heltäckande plan för hantering av Windows 10-uppdateringar? Det är frestande att tänka på dessa nedladdningar som periodiska störningar som måste åtgärdas så snart de dyker upp. Ett reaktivt förhållningssätt till uppdateringar är dock ett recept på frustration och minskad produktivitet.
Istället kan du skapa en förvaltningsstrategi för att testa och implementera uppdateringar så att processen blir lika rutin som att skicka fakturor eller slutföra månatliga bokföringssaldon.
Den här artikeln ger all information du behöver för att förstå hur Microsoft skickar uppdateringar till enheter som kör Windows 10, samt detaljer om de verktyg och tekniker du kan använda för att smart hantera dessa uppdateringar på enheter som kör Windows 10 Pro, Enterprise eller Education. (Windows 10 Home stöder endast mycket grundläggande uppdateringshantering och är inte lämplig för användning i en företagsmiljö.)
Men innan du hoppar in i något av dessa verktyg behöver du en plan.
Vad säger din uppdateringspolicy?
Poängen med uppgraderingsregler är att göra uppgraderingsprocessen förutsägbar, definiera procedurer för att varna användare så att de kan planera sitt arbete därefter och undvika oväntade driftstopp. Reglerna inkluderar även protokoll för att hantera oväntade problem, inklusive återställning av misslyckade uppdateringar.
Rimliga uppdateringsregler tilldelar en viss tid för att arbeta med uppdateringar varje månad. I en liten organisation kan ett speciellt fönster i underhållsschemat för varje PC tjäna detta syfte. I stora organisationer är det osannolikt att lösningar som passar alla kommer att fungera, och de kommer att behöva dela upp hela PC-populationen i uppdateringsgrupper (Microsoft kallar dem "ringar"), som var och en kommer att ha sin egen uppdateringsstrategi.
Reglerna ska beskriva flera olika typer av uppdateringar. Den mest begripliga typen är månatliga kumulativa säkerhets- och tillförlitlighetsuppdateringar, som släpps den andra tisdagen i varje månad ("Patch Tuesday"). Den här utgåvan innehåller vanligtvis Windows-verktyget för borttagning av skadlig programvara, men kan också innehålla någon av följande typer av uppdateringar:
- Säkerhetsuppdateringar för .NET Framework
- Säkerhetsuppdateringar för Adobe Flash Player
- Servicestackuppdateringar (som måste installeras från början).
Du kan skjuta upp installationen av någon av dessa uppdateringar i upp till 30 dagar.
Beroende på PC-tillverkaren kan hårdvarudrivrutiner och firmware också distribueras via Windows Update-kanalen. Du kan vägra detta eller hantera dem enligt samma scheman som andra uppdateringar.
Slutligen distribueras även funktionsuppdateringar via Windows Update. Dessa stora paket uppdaterar Windows 10 till den senaste versionen och släpps var sjätte månad för alla utgåvor av Windows 10 förutom Long Term Servicing Channel (LTSC). Du kan skjuta upp installationen av funktionsuppdateringar genom att använda Windows Update for Business i upp till 365 dagar; För Enterprise- och Education-utgåvor kan installationen skjutas upp ytterligare i upp till 30 månader.
Med hänsyn till allt detta kan du börja utarbeta uppdateringsregler, som bör innehålla följande element för var och en av de servade datorerna:
- Installationsperiod för månatliga uppdateringar. Som standard laddar Windows 10 ned och installerar månatliga uppdateringar inom 24 timmar efter att de släpptes på Patch Tuesday. Du kan fördröja nedladdningen av dessa uppdateringar för vissa eller alla ditt företags datorer så att du har tid att kontrollera kompatibiliteten; Denna fördröjning låter dig också undvika problem i händelse av att Microsoft upptäcker ett problem med uppdateringen efter release, vilket har hänt många gånger med Windows 10.
- Installationsperiod för halvårliga komponentuppdateringar. Som standard laddas funktionsuppdateringar ner och installeras när Microsoft tror att de är redo. På en enhet som Microsoft har ansett vara kvalificerad för en uppdatering kan det ta några dagar innan funktionsuppdateringar kommer efter release. På andra enheter kan det ta flera månader innan funktionsuppdateringar visas, eller så kan de blockeras helt på grund av kompatibilitetsproblem. Du kan ställa in en fördröjning för några eller alla datorer i din organisation för att ge dig själv tid att granska en ny version. Från och med version 1903 kommer PC-användare att erbjudas komponentuppdateringar, men endast användarna själva kommer att ge kommandon för att ladda ner och installera dem.
- När ska du låta din dator starta om för att slutföra installationen av uppdateringar: De flesta uppdateringar kräver en omstart för att slutföra installationen. Denna omstart sker utanför "aktivitetsperioden" 8:17 till 18:XNUMX; Denna inställning kan ändras efter önskemål, vilket förlänger intervallets varaktighet upp till XNUMX timmar. Med hanteringsverktyg kan du schemalägga specifika tider för nedladdning och installation av uppdateringar.
- Så här meddelar du användare om uppdateringar och omstarter: För att undvika obehagliga överraskningar meddelar Windows 10 användarna när uppdateringar är tillgängliga. Kontroll av dessa meddelanden i Windows 10-inställningar är begränsad. Mycket fler inställningar är tillgängliga i "grupppolicyer".
- Ibland släpper Microsoft kritiska säkerhetsuppdateringar utanför sitt normala Patch Tuesday-schema. Detta är vanligtvis nödvändigt för att åtgärda säkerhetsbrister som uppsåtligen utnyttjas av tredje part. Ska jag påskynda tillämpningen av sådana uppdateringar eller vänta på nästa fönster i schemat?
- Hantera misslyckade uppdateringar: Om en uppdatering inte installeras korrekt eller orsakar problem, vad gör du åt det?
När du har identifierat dessa element är det dags att välja verktygen för att hantera uppdateringar.
Manuell uppdateringshantering
I mycket små företag, inklusive butiker med endast en anställd, är det ganska enkelt att manuellt konfigurera Windows-uppdateringar. Inställningar > Uppdatering och säkerhet > Windows Update. Där kan du justera två grupper av inställningar.
Välj först "Ändra aktivitetsperiod" och justera inställningarna så att de passar dina arbetsvanor. Om du vanligtvis arbetar på kvällarna kan du undvika driftstopp genom att konfigurera dessa värden från 18 till midnatt, vilket gör att schemalagda omstarter sker på morgonen.
Välj sedan "Avancerade alternativ" och inställningen "Välj när uppdateringar ska installeras", ställ in det i enlighet med dina regler:
- Välj hur många dagar du vill försena installationen av funktionsuppdateringar. Maxvärdet är 365.
- Välj hur många dagar du vill försena installationen av kvalitetsuppdateringar, inklusive kumulativa säkerhetsuppdateringar som släpps på Patch Tuesdays. Maxvärdet är 30 dagar.
Andra inställningar på den här sidan styr om omstartsmeddelanden visas (aktiverad som standard) och om uppdateringar kan laddas ned på trafikmedvetna anslutningar (inaktiverad som standard).
Före Windows 10 version 1903 fanns det också en inställning för att välja en kanal - halvårlig eller målhalvårlig. Det togs bort i version 1903, och i äldre versioner fungerar det helt enkelt inte.
Naturligtvis är poängen med att fördröja uppdateringar inte att bara undvika processen och sedan överraska användarna lite senare. Om du schemalägger att kvalitetsuppdateringar ska försenas i 15 dagar, till exempel, bör du använda den tiden för att kontrollera uppdateringar för kompatibilitet och schemalägga ett underhållsfönster vid en lämplig tidpunkt innan den perioden slutar.
Hantera uppdateringar genom grupppolicyer
Alla de nämnda manuella inställningarna kan också tillämpas via grupppolicyer, och i den fullständiga listan över policyer förknippade med Windows 10-uppdateringar finns det mycket fler inställningar än de som är tillgängliga i vanliga manuella inställningar.
De kan appliceras på enskilda datorer med hjälp av den lokala grupppolicyredigeraren Gpedit.msc, eller med skript. Men oftast används de i en Windows-domän med Active Directory, där kombinationer av policyer kan hanteras på grupper av datorer.
Ett betydande antal policyer används uteslutande i Windows 10. De viktigaste är relaterade till "Windows Updates for Business", som finns i Datorkonfiguration > Administrativa mallar > Windows-komponenter > Windows Update > Windows Update for Business.
- Välj när du vill ta emot förhandsgranskningar – kanal och förseningar för funktionsuppdateringar.
- Välj när du vill ta emot kvalitetsuppdateringar - fördröja kumulativa månadsuppdateringar och andra säkerhetsrelaterade uppdateringar.
- Hantera förhandsgranskningar: när en användare kan registrera en dator i Windows Insider-programmet och definiera en Insider-ring.
En ytterligare policygrupp finns i Datorkonfiguration > Administrativa mallar > Windows-komponenter > Windows Update, där du kan:
- Ta bort åtkomsten till funktionen för pausuppdateringar, som förhindrar användare från att störa installationer genom att fördröja dem i 35 dagar.
- Ta bort åtkomst till alla uppdateringsinställningar.
- Tillåt automatisk nedladdning av uppdateringar på anslutningar baserat på trafik.
- Ladda inte ner tillsammans med drivrutinsuppdateringar.
Följande inställningar är bara på Windows 10 och de hänför sig till omstarter och aviseringar:
- Inaktivera automatisk omstart för uppdateringar under den aktiva perioden.
- Ange det aktiva periodintervallet för automatisk omstart.
- Ange deadline för automatisk omstart för att installera uppdateringar (från 2 till 14 dagar).
- Ställ in aviseringar för att påminna dig om automatisk omstart: öka tiden då användaren varnas om detta (från 15 till 240 minuter).
- Inaktivera automatiska omstartsmeddelanden för att installera uppdateringar.
- Konfigurera den automatiska omstartsaviseringen så att den inte försvinner automatiskt efter 25 sekunder.
- Tillåt inte policyer för uppdateringsfördröjning att utlösa Windows Update-sökningar: Denna policy förhindrar att datorn söker efter uppdateringar om en fördröjning tilldelas.
- Tillåt användare att hantera omstartstider och snooze aviseringar.
- Konfigurera aviseringar om uppdateringar (visande av meddelanden, från 4 till 24 timmar) och varningar om en förestående omstart (från 15 till 60 minuter).
- Uppdatera strömpolicy för att starta om papperskorgen (en inställning för utbildningssystem som tillåter uppdateringar även när den är på batteri).
- Visa inställningar för uppdateringsmeddelanden: Låter dig inaktivera uppdateringsmeddelanden.
Följande policyer finns i både Windows 10 och vissa äldre versioner av Windows:
- Automatiska uppdateringsinställningar: Denna grupp av inställningar låter dig välja ett vecko-, varannan- eller månadsuppdateringsschema, inklusive veckodag och tid för att automatiskt ladda ner och installera uppdateringar.
- Ange platsen för Microsoft Update-tjänsten på intranätet: Konfigurera en Windows Server Update Services-server (WSUS) i domänen.
- Tillåt klient att gå med i målgrupp: Administratörer kan använda Active Directory-säkerhetsgrupper för att definiera WSUS-distributionsringar.
- Anslut inte till Windows Update-platser på Internet: Förhindra att datorer som kör den lokala uppdateringsservern kontaktar externa uppdateringsservrar.
- Tillåt Windows Update Power Management att väcka systemet för att installera schemalagda uppdateringar.
- Starta alltid om systemet automatiskt vid den schemalagda tiden.
- Starta inte om automatiskt om det finns användare som kör på systemet.
Verktyg för att arbeta i stora organisationer (Enterprise)
Stora organisationer med en Windows-nätverksinfrastruktur kan kringgå Microsofts uppdateringsservrar och distribuera uppdateringar från en lokal server. Detta kräver ökad uppmärksamhet från företagets IT-avdelning, men tillför flexibilitet till företaget. De två mest populära alternativen är Windows Server Update Services (WSUS) och System Center Configuration Manager (SCCM).
WSUS-servern är enklare. Den körs i rollen Windows Server och tillhandahåller centraliserad lagring av Windows-uppdateringar i en organisation. Med hjälp av grupppolicyer dirigerar en administratör en Windows 10-dator till en WSUS-server, som fungerar som den enda filkällan för hela organisationen. Från dess administratörskonsol kan du godkänna uppdateringar och välja när du vill installera dem på enskilda datorer eller grupper av datorer. Datorer kan tilldelas manuellt till olika grupper, eller inriktning på klientsidan kan användas för att distribuera uppdateringar baserade på befintliga Active Directory-säkerhetsgrupper.
Eftersom Windows 10s kumulativa uppdateringar växer mer och mer för varje ny version, kan de ta upp en betydande del av din bandbredd. WSUS-servrar sparar trafik genom att använda expressinstallationsfiler - detta kräver mer ledigt utrymme på servern, men minskar avsevärt storleken på uppdateringsfilerna som skickas till klientdatorer.
På servrar som kör WSUS 4.0 och senare kan du också hantera funktionsuppdateringar i Windows 10.
Det andra alternativet, System Center Configuration Manager använder den funktionsrika Configuration Manager för Windows i kombination med WSUS för att distribuera kvalitetsuppdateringar och funktionsuppdateringar. Instrumentpanelen låter nätverksadministratörer övervaka Windows 10-användning över hela sitt nätverk och skapa gruppbaserade underhållsplaner som inkluderar information för alla datorer som närmar sig slutet av sin supportcykel.
Om din organisation redan har Configuration Manager installerad för att fungera med tidigare versioner av Windows, är det ganska enkelt att lägga till stöd för Windows 10.
Källa: will.com