ProHoster > Блог > адміністрування > Повний посібник з оновлення Windows 10 для підприємств будь-якого розміру

Повний посібник з оновлення Windows 10 для підприємств будь-якого розміру

Чи відповідаєте ви за єдиний ПК з Windows 10, або за тисячі, труднощі з керуванням оновленнями у вас одні й ті самі. Ваша мета – швидко встановлювати оновлення, пов'язані з безпекою, по-розумному працювати з оновленнями компонентів, та запобігати падінню продуктивності через несподівані перезавантаження.

Чи є у вашого підприємства комплекс роботи з оновленнями Windows 10? Є спокуса вважати ці завантаження періодичними перешкодами, яких потрібно позбавлятися відразу, як тільки вони з'являються. Проте реактивний підхід до оновлень – це рецепт розчарувань та зниження продуктивності.

Натомість можна створити стратегію управління для тестування та впровадження оновлень, щоб цей процес став настільки ж повсякденним, як надсилання рахунків або щомісячне підбиття бухгалтерських підсумків.

У статті вказана вся інформація, необхідна для розуміння того, як Microsoft надсилає оновлення на пристрої під керуванням Windows 10, а також деталі щодо інструментів і технік, які можна використовувати для розумного керування цими оновленнями на пристроях під керуванням Windows 10 версій Pro, Enterprise або Education. (Windows 10 Home підтримує лише базові можливості управління оновленнями і непридатна для використання в бізнес-середовищі).

Але перед тим, як перейти до будь-якого з цих інструментів вам знадобиться план.

Що написано у ваших правилах оновлення?

Сенс правил оновлення в тому, щоб зробити процес оновлення передбачуваним, визначити процедури попередження користувачів, щоб вони могли відповідно планувати свою роботу та уникнути несподіваного простою. Також до правил входять протоколи обробки несподіваних проблем, включаючи відкат з оновлень, що невдало встали.

Розумні правила оновлення відводять певний час на роботу з оновленнями щомісяця. У невеликій організації цієї мети може бути спеціальне віконце у графіку обслуговування кожного ПК. У великих організаціях універсальні рішення вже навряд чи спрацюють, і в них потрібно буде ділити всю популяцію ПК на групи оновлень (у Microsoft їх називають "кільцями"), у кожній з яких буде своя стратегія оновлень.

Правила повинні описувати декілька різних типів оновлень. Найбільш зрозумілий тип – щомісячні кумулятивні оновлення безпеки та надійності, які виходять у другий вівторок кожного місяця (вівторок патчів). У цьому релізі зазвичай є Windows Malicious Software Removal Tool, а також можуть бути і будь-які з наступних типів оновлень:

  • Оновлення безпеки для .NET Framework
  • Оновлення безпеки для Adobe Flash Player
  • Оновлення стека обслуговування (які потрібно встановлювати із самого початку).

Встановлення будь-якого з цих оновлень можна відкласти терміном до 30 днів.

Залежно від виробника ПК драйвери обладнання та прошивки також можуть поширюватися по каналу Windows Update. Можна відмовитися від цього або керуватися з ними за тими ж схемами, що й з іншими оновленнями.

Зрештою, через Windows Update поширюються й оновлення компонентів [feature updates]. Ці великі пакети оновлюють Windows 10 до останньої версії, і кожні шість місяців виходять для всіх редакцій Windows 10, крім довгострокового каналу обслуговування Long Term Servicing Channel (LTSC). Відкласти інсталяцію оновлень компонентів можна за допомогою Windows Update for Business на строк до 365 днів; для редакцій Enterprise та Education можливе подальше відстрочення установки на строк до 30 місяців.

Враховуючи все це, можна починати складати правила оновлень, куди повинні входити такі елементи для кожного з ПК, що обслуговуються:

  • Термін встановлення щомісячних оновлень. За промовчанням у Windows 10 щомісячні оновлення завантажуються і встановлюються протягом 24 годин після їх виходу у «вівторок патчів». Можна відкладати завантаження цих оновлень для деяких або всіх ПК у компанії, щоб у вас був час перевірити їх на сумісність; ця затримка також дозволяє уникнути проблем у випадку, коли Microsoft виявляє проблему з оновленням після виходу, як це вже багато разів траплялося з Windows 10.
  • Термін встановлення піврічних оновлень компонентів. За замовчуванням оновлення компонентів завантажуються та встановлюються, коли Microsoft вважає, що вони готові. На пристрої, який Microsoft вважає за потрібне для оновлення, оновлення компонентів можуть з'явитися через кілька днів після виходу. На інших пристроях оновлення компонентів можуть з'явитися через кілька місяців, або їх взагалі можуть заблокувати через проблеми із сумісністю. Можна встановити затримку для деяких або всіх ПК в організації, щоб отримати час на перевірку нового релізу. Починаючи з версії 1903, користувачам ПК запропонують оновлення компонентів, однак команди на скачування та встановлення їх будуть давати лише користувачі.
  • Коли дозволити ПК перезапускатися для завершення інсталяції оновлень: більшість оновлень потребує перезапуску для завершення інсталяції. Цей перезапуск відбувається поза проміжком «періоду активності» з 8 до 17 години; це налаштування можна змінити за бажанням, продовживши тривалість інтервалу до 18 годин. Інструменти керування дозволяють призначити певний час для завантаження та встановлення оновлень.
  • Як повідомляти користувачів про наявність оновлень та перезапуск: щоб уникнути неприємних сюрпризів, Windows 10 повідомляє користувачів про наявність оновлень. Керування цими повідомленнями в установках Windows 10 обмежено. Набагато більше опцій доступно в «групових політиках».
  • Іноді Microsoft випускає критично важливі оновлення безпеки поза звичайним графіком «вівторків патчів». Зазвичай це потрібно для виправлення недоліків у безпеці, якими зловмисно користуються треті особи. Чи прискорювати застосування таких оновлень чи чекати наступного вікна у графіку?
  • Що робити з невдалими оновленнями: якщо оновленню не вдалося встати правильно, або воно викликає проблеми, що ви робитимете в цьому випадку?

Визначивши ці елементи, настав час вибрати інструменти для роботи з оновленнями.

Ручне керування оновленнями

На дуже малих підприємствах, включаючи магазини з єдиним працівником, досить легко здійснити ручне налаштування оновлень Windows. Установки > Оновлення та безпека > Windows Update. Там можна підправити дві групи налаштувань.

Спочатку виберіть «Змінити період активності» та підправте налаштування, щоб вони відповідали вашим робочим звичкам. Якщо ви зазвичай працюєте вечорами, можна уникнути простою, налаштувавши ці значення з 18 до півночі, внаслідок чого заплановані перезапуски відбуватимуться вранці.

Потім виберіть «Додаткові параметри» та налаштування «Виберіть, коли встановлювати оновлення», прописавши її відповідно до ваших правил:

  • Виберіть, скільки днів затримувати інсталяцію оновлень компонентів. Максимальне значення – 365.
  • Виберіть, на скільки днів затримувати встановлення оновлень якості, включаючи кумулятивні оновлення безпеки, що виходять за «вівторками патчів». Максимальне значення – 30 днів.

Інші налаштування на цій сторінці керують демонстрацією повідомлень про перезапуск (ввімкнено за замовчуванням) та дозволом завантажувати оновлення на з'єднаннях з урахуванням трафіку (вимкнено за замовчуванням).

До версії Windows 10 1903 там було ще налаштування вибору каналу - піврічного, або цільового піврічного. Її прибрали у версії 1903 року, а в більш старих версіях вона просто не працює.

Звичайно, сенс затримки оновлень не в тому, щоб просто ухилятися від цього процесу, а потім здивувати користувачів трохи пізніше. Якщо ви, наприклад, призначаєте затримку встановлення оновлень якості на 15 днів, вам потрібно використовувати цей час на перевірку оновлень на сумісність, і запланувати у графіку віконце на техобслуговування на зручний час перед тим, як цей період закінчиться.

Управління оновленнями через Групові політики

Всі згадані ручні налаштування можна застосовувати і через групові політики, а в повному списку політик, пов'язаних з оновленнями Windows 10, налаштувань набагато більше, ніж тих, що доступні у звичайних ручних налаштуваннях.

Їх можна застосовувати до окремих ПК за допомогою редактора локальної групової політики Gpedit.msc або за допомогою скриптів. Але найчастіше їх використовують у домені Windows із Active Directory, де можна керувати комбінаціями політик на групах ПК.

Значна кількість політик використовується виключно у Windows 10. Найважливіші з них пов'язані з «Оновленнями Windows для бізнесу», що знаходяться в Конфігурація комп'ютера > Адміністративні шаблони > Компоненти Windows > Windows Update > Windows Update для бізнесу.

  • Виберіть, коли отримувати попередні збірки – канал та затримки для оновлення компонентів.
  • Виберіть, коли отримувати оновлення якості – затримки щомісячних кумулятивних оновлень та інших оновлень, пов'язаних із безпекою.
  • Керуйте попередніми збираннями: коли користувач може підключити машину до програми Windows Insider і визначте кільце інсайдерів.

Додаткова група політик знаходиться в Конфігурація комп'ютера > Адміністративні шаблони > Компоненти Windows > Windows Update, де можна:

  • Видалити доступ до функції призупинення оновлень, що не дасть користувачам заважати установці затримуючи її на 35 днів.
  • Видалити доступ до всіх параметрів оновлень.
  • Дозволити автоматичне завантаження оновлень на з'єднаннях з урахуванням трафіку.
  • Не завантажувати разом із оновленнями драйвера.

Наступні установки є тільки в Windows 10, і вони відносяться до перезапуску та сповіщень:

  • Вимкнути автоматичне перезавантаження для оновлень під час активності.
  • Вказати діапазон періоду активності для автоматичного перезапуску.
  • Вказати крайній термін автоматичного перезапуску з метою встановлення оновлень (від 2 до 14 днів).
  • Налаштувати повідомлення з нагадуванням про автоматичний перезапуск: збільшити час, за який користувача попереджають про це (від 15 до 240 хвилин).
  • Вимкнути повідомлення про автоматичне перезапуск з метою встановлення оновлень.
  • Налаштувати повідомлення про автоматичне перезапуск так, щоб воно не зникало автоматично через 25 сек.
  • Не дозволяти політикам затримки отримання оновлень ініціювати сканування в Windows Update: ця політика забороняє ПК перевіряти оновлення, якщо призначено затримку.
  • Дозволити користувачам керувати часом перезапуску та відкладати повідомлення.
  • Налаштувати повідомлення про оновлення (поява повідомлень від 4 до 24 годин) та попередження про неминучий перезапуск (від 15 до 60 хвилин).
  • Оновлення політики електроживлення для перезапуску кошика (налаштування для освітніх систем, що дозволяє оновлюватись навіть при живленні від батареї).
  • Виводити установки повідомлень про оновлення: дозволяє заборонити повідомлення про оновлення.

Наступні політики є як у Windows 10, так і в деяких старіших версіях Windows:

  • Налаштування автоматичного оновлення: ця група налаштувань дозволяє вибрати щотижневий, раз на два тижні або щомісячний графік оновлень, включаючи день тижня та час для автоматичного скачування та встановлення оновлень.
  • Вказати розміщення служби оновлень Microsoft в інтрамережі: налаштувати сервер Windows Server Update Services (WSUS) у домені.
  • Дозволити клієнту приєднатися до цільової групи: адміністратори можуть використовувати групи безпеки Active Directory для визначення кілець розгортання WSUS.
  • Не підключатися до веб-сайтів Windows Update: заборонити ПК, які працюють з місцевим сервером оновлення, зв'язуватися із зовнішніми серверами оновлень.
  • Дозволити керуванню живленням центру оновлень Windows виводити систему зі сплячого режиму для встановлення запланованих оновлень.
  • Завжди автоматично перезапускайте систему у запланований час.
  • Не виконуйте автоматичне перезавантаження, якщо у системі працюють користувачі.

Інструменти роботи у великих організаціях (Enterprise)

Великі організації з інфраструктурою мережі Windows можуть обійти сервери оновлення Microsoft і розгортати оновлення з місцевого сервера. Це вимагає підвищеної уваги з боку корпоративного IT-відділу, але додає гнучкості компанії. Два найпопулярніші варіанти – це Windows Server Update Services (WSUS) та System Center Configuration Manager (SCCM).

Сервер WSUS влаштований простіше. Він працює в ролі Windows Server та забезпечує централізоване зберігання оновлень Windows в організації. Використовуючи групові політики, адміністратор направляє ПК з Windows 10 на сервер WSUS, який є єдиним джерелом файлів для організації. З його консолі адміністратора можна схвалювати оновлення, вибирати коли їх ставити на окремі ПК або групи ПК. ПК можна вручну прив'язувати до різних груп або використовувати вибір цілей на стороні клієнта для розгортання оновлень на основі існуючих груп безпеки Active Directory.

Оскільки кумулятивні оновлення Windows 10 збільшуються все сильніше з кожним новим випуском, вони можуть займати значну частину пропускної спроможності каналів зв'язку. Сервери WSUS заощаджують трафік, використовуючи Express Installation Files – це потребує більше вільного місця на півночі, але значно зменшує розмір файлів оновлення, які надсилаються на клієнтські ПК.

На серверах версій WSUS 4.0 і далі також можна керувати оновленнями компонентів Windows 10.

Другий варіант, System Center Configuration Manager використовує багатий на можливості Configuration Manager for Windows спільно з WSUS для розгортання оновлень якості та оновлень компонентів. Панель керування дозволяє адміністраторам мережі відстежувати використання Windows 10 у всій мережі та створювати плани обслуговування на основі груп, що включають інформацію по всіх ПК, що наближаються до завершення свого циклу підтримки.

Якщо в організації вже встановлено Configuration Manager для роботи з попередніми версіями Windows, то додати в нього підтримку Windows 10 буде досить просто.

Джерело: habr.com

Додати коментар або відгук