无论您是负责单个Windows 10 PC还是数千台企业PC,管理更新的挑战都是相同的。您的目标是及时安装安全更新,智能地管理功能更新,并防止意外重新启动降低生产力。由Ed Bott 为Ed Bott报告 | 2019年7月24日 - 格林尼治标准时间12:58(格林威治标准时间20:58 + 08:00) | 主题:企业软件如何配置Windows 10 PC以避免常见的安全问题?遗憾的是,没有软件魔术弹,这些工具对于小型企业和企业来说是不同的。这是值得注意的。
您的企业是否有处理Windows更新的全面计划?人们很容易将这些下载视为偶尔的麻烦,随着它们的到来而被淘汰。但是,以反应性方式处理更新是挫折感和生产力损失的处方。
另一种方法是创建一个用于测试和部署更新的管理策略,以便该过程像每个月发送发票和关闭账簿一样常规。
本文包含了解Microsoft如何为运行Windows 10的设备提供更新所需的所有信息,以及有关可用于在运行Windows 10 Pro,Enterprise或Education版本的设备上智能管理这些更新的工具和技术的详细信息。(Windows 10 Home 仅支持最基本的更新管理功能,不适合在业务设置中部署。)
但在触摸任何这些工具之前,您需要一个计划。
您的更新政策中包含哪些内容?
更新策略的目的是使更新过程可预测,并通过程序通知用户,以便他们可以相应地规划工作并避免意外停机。它还包括用于处理意外问题的协议,包括回滚失败的更新。
合理的更新策略留出了每个月处理更新的时间。在小型组织中,这可能是商店中每台PC的指定维护窗口。大型组织不太可能采用“一刀切”的策略,并且可以将其PC群体划分为更新组(Microsoft称之为“响铃”),每个组都有不同的更新策略。
该策略需要解决几种不同类型的更新。
最熟悉的是每月第二个星期二(又名补丁星期二)的每月累积安全性和可靠性更新。补丁星期二版本通常还包括Windows恶意软件删除工具,可能包括以下任何其他类型的更新:
.NET Framework的安全更新
Adobe Flash Player的安全更新
服务堆栈更新(必须在其他更新之前安装)
任何或所有这些更新的安装可延迟最多30天。
根据PC制造商的不同,还可以通过Windows Update提供硬件驱动程序和固件更新。您可以选择退出此类更新,也可以使用适用于其他更新的相同设置对其进行管理。
最后,还通过Windows Update提供功能更新。这些大型软件包将Windows 10更新为最新版本,并且除了长期服务通道(LTSC)版本之外,所有Windows版本每六个月发布一次。您可以使用Windows Update for Business将功能更新的安装延迟最多365天; 企业版和教育版可以使用长达30个月的额外延期。
在此背景下,您现在可以开始组装更新策略,该策略应包括每个托管PC的以下元素:
何时安装每月更新: 使用默认Windows设置,每月更新将在星期二补丁发布后的24小时内下载并安装。您可以选择推迟组织中某些或所有PC的这些下载,以便您有时间测试更新的兼容性; 如果Microsoft发现更新问题,这种延迟还可以避免受到影响,就像Windows 10多次发生一样。
何时安装半年度功能更新: 使用默认Windows设置,当Microsoft表示已准备就绪时,将下载并安装功能更新。在Microsoft评估的设备上,该设备最适合更新,功能更新可能会在发布后的几天内到达。对于其他设备,功能更新可能会在几个月后到达,或者甚至可能因兼容性问题而被阻止。您可以为组织中的某些或所有PC 指定延迟,以便有时间测试新版本。从版本1903开始,非托管PC的用户将获得功能更新,但只有在用户明确请求时才会下载和安装这些功能。
何时允许PC重新启动以完成更新安装: 大多数更新需要重新启动才能完成安装。此重新启动发生在上午8点到下午5点的默认活动时间设置之外; 您可以将此设置更改为您选择的时间间隔,最长可达18小时。使用管理工具,您可以设置下载和安装更新的特定时间。
如何通知PC用户挂起的更新和重新启动:为了避免令人不快的意外,Windows 10会在更新未决时通知用户。您在Windows 10设置中对这些通知的控制有限。使用组策略设置可以获得更多选项。
如何处理带外更新: 有时,Microsoft会在其正常的Patch Tuesday计划之外发布关键安全更新。通常,这些旨在解决“在野外”被利用的安全漏洞。您是否加快了这些更新的部署或等到下一个预定的更新窗口?
如何处理更新失败: 如果更新无法安装或导致问题,您的响应计划是什么?
定义这些元素后,就可以选择管理工具了。
必读:
Windows更新问题:微软揭示了为什么最近的补丁破坏了一些PC
Windows 10 Enterprise客户现在将获得类似Linux的支持
Windows即服务失败:微软让客户陷入困境
微软恢复推出Windows 10版本1809,承诺质量变化
手动管理更新
在非常小的企业中,包括一人商店,手动配置Windows Update很容易。从设置>更新和安全> Windows Update开始。在那里,您可以调整两组设置。
首先,单击“更改活动时间”并调整设置以反映您的实际工作习惯。如果您经常在晚上工作,您可以通过从早上6点到午夜配置这些值来避免停机,从而确保任何预定的重新启动都会在凌晨时分发生。
接下来,单击“高级选项”并调整“安装时更新时选择”标题下的设置以反映您的策略。
选择半年度频道而不是默认的半年度频道(目标)来延迟功能更新的安装,直到Microsoft宣布它们已准备好进行广泛的业务采用(通常至少两个月)。
选择延迟安装功能更新的天数。最大值为365天。
选择延迟安装质量更新的天数,包括补丁星期二发布的累积安全更新。最大值为30天。
此页面上的其他设置控制重新启动通知的显示(默认情况下已启用)以及是否允许在计量连接上下载更新(默认情况下已禁用)。
当然,延迟更新的目的不仅仅是让你的(以及你的用户)在本月晚些时候感到惊讶。例如,如果您为质量更新设置了15天的延迟,则应使用该时间来测试更新的兼容性,并在15天的延期期限到期之前安排维护窗口一段时间。
必读:
常见问题:如何管理Windows 10更新
Windows 10提示:何时应该(并且不应该)暂停更新
使用组策略管理更新
也可以使用组策略应用上一节中列出的所有手动设置,并且与Windows Update相关的组策略设置的完整列表包含许多远远超出“设置”中可用选项的选项。
您可以使用本地组策略编辑器,Gpedit.msc或使用脚本将这些设置应用于各个PC。但最常见的用途是在具有Active Directory的Windows域中,您可以将策略组合推送到PC组。
大量策略专门针对Windows 10.最重要的是与Windows Update for Business功能相关的策略,这些功能位于“计算机配置”>“管理模板”>“Windows组件”>“Windows Update”>“Windows Update for Business”中。
在收到预览构建和功能更新时 选择:选择服务通道并设置功能更新的延迟。
选择何时收到质量更新: 设置每月累积更新和其他与安全相关的更新的延迟。
管理预览版本: 指定用户是否可以将计算机加入Windows Insider程序,如果启用,则指定Insider环。
另一组策略位于“计算机配置”>“管理模板”>“Windows组件”>“Windows Update”中。
删除对“暂停更新”功能的访问权限: 通过删除暂停更新最多35天的选项,防止用户干扰更新安装。
删除对所有Windows Update功能的访问权限: 阻止用户更改任何Windows Update设置。
允许通过计量连接自动下载 更新:允许使用计量连接(如LTE连接)在设备上安装更新。
不包含Windows更新的驱动程序: 阻止Windows Update安装设备驱动程序。
所有特定于Windows 10的以下设置适用于重新启动和通知:
在活动时间关闭自动重新启动以进行更新: 确保设备在正常工作时间内不重新启动以安装更新。
指定自动重新启动的活动小时范围: 更改默认活动小时数设置。
在更新安装的自动重新启动之前指定截止日期: 选择截止日期(2到14天之间),之后将自动重新启动以应用更新。
为更新配置自动重新启动提醒通知: 在通知用户时,增加计划重新启动之前的时间。可接受的值为15分钟(默认)到240分钟。
关闭更新安装的自动重新启动通知: 完全禁用重新启动通知。
为更新配置自动重新启动所需通知: 防止通知在25秒后消失,而是要求用户解除。
不允许更新延迟策略导致针对Windows Update的扫描: 使用此策略可防止PC在分配延迟时检查Windows Update。
为更新指定参与的重新启动转换和通知计划: 使用此策略允许用户计划重新启动并“暂停”重新启动提醒。
为更新配置自动重新启动警告通知计划: 配置自动重启的提醒(从4到24小时)和即将重启的警告(从15到60分钟)。
更新购物车重新启动的电源政策: 此政策适用于一夜之间保留在购物车上的教育系统,即使使用电池供电也可以安装更新。
显示更新通知的选项: 使用这些设置可以完全禁用更新通知,并选择包含或排除重新启动警告。
Windows 10 May 2019更新:新功能... 查看全部图库
1 - 5 of 21 下一个
以下策略适用于Windows 10以及一些较旧的Windows版本:
配置自动更新: 此强大的设置组允许您指定一致的每周,每两周或每月更新计划,并可选择指定自动下载和安装所有可用更新的日期和时间。
指定Intranet Microsoft更新服务位置: 使用此策略在Windows域网络上配置Windows Server Update Services(WSUS)服务器。(有关此选项的更多信息,请参阅以下部分。)
启用客户端定向: 此设置允许管理员在使用WSUS时使用Active Directory安全组来定义部署环。
不要连接到任何Windows Update Internet位置: 在连接到本地更新服务器的PC上,阻止与外部更新服务器(包括Microsoft Update和Microsoft Store)的任何连接。
启用Windows Update电源管理以自动唤醒系统以安装预设更新: 允许系统唤醒计算机并安装更新; 只有在有可用更新的情况下,系统才会唤醒。如果设备使用电池供电,则不会安装更新,并会在2分钟后重新进入睡眠状态。
始终在计划的时间自动重新启动: 使用此设置配置计时器(15分钟到180分钟)并在安装更新后自动重新启动,而不是通知用户。
对于已安排的自动更新安装,不会对已登录用户进行自动重新启动: 此策略会覆盖以前的策略并阻止用户登录时重新启动。
企业管理工具
对于具有现有Windows网络基础结构的大型组织,可以绕过Microsoft的更新服务器并从本地管理的服务器部署更新。这种能力需要公司IT部门的高度重视,但在灵活性方面却有所回报。两个最常用的选项是Windows Server Update Services(WSUS)和System Center Configuration Manager(SCCM)。
WSUS是两个选项中较简单的选项。它作为Windows Server角色运行,并为组织内的Windows更新提供中央存储。使用组策略,网络管理员将Windows 10 PC指向WSUS服务器,该服务器作为整个组织的单一下载源。在WSUS管理控制台中,管理员可以批准更新并选择何时将更新交付给各个客户端PC或组。可以手动将PC分配给组,也可以使用客户端目标基于现有Active Directory安全组来提供更新。
由于Windows 10累积更新文件随每个新版本逐渐增大,因此更新使用的带宽量可能会很大。WSUS服务器可以通过使用称为快速安装文件的功能来节省带宽,这需要WSUS服务器上的更多空间,但会大大减少发送到客户端PC的更新文件的大小。
在运行WSUS 4.0或更高版本的服务器上,您还可以管理和部署Windows 10功能更新。
第二个选项System Center Configuration Manager使用功能强大的Windows配置管理器与WSUS结合使用,以部署质量和功能更新。Windows 10服务仪表板使网络管理员可以监控整个网络中的Windows 10使用情况,并创建基于组的服务计划,其中包括有关PC接近其支持生命周期的信息。
对于已部署Configuration Manager来管理早期Windows版本的组织,添加对Windows 10的支持是一项相当简单的任务。
