Ya sea que usted sea responsable de la única PC con Windows 10 o de miles, las dificultades para administrar las actualizaciones son las mismas para usted. Su objetivo es instalar rápidamente actualizaciones relacionadas con la seguridad, trabajar de manera inteligente con actualizaciones de componentes y evitar caídas de productividad debido a reinicios inesperados
¿Tiene su empresa un plan integral de actualización de Windows 10? Es tentador considerar estas descargas como interferencias periódicas, de las que debe deshacerse tan pronto como aparezcan. Sin embargo, un enfoque proactivo para las actualizaciones es una receta para la frustración y la reducción de la productividad.
En su lugar, puede crear una estrategia de administración para probar e implementar actualizaciones para que este proceso sea tan cotidiano como enviar facturas o tabulaciones mensuales.
El artículo contiene toda la información necesaria para comprender cómo Microsoft envía actualizaciones a dispositivos que ejecutan Windows 10, así como detalles sobre herramientas y técnicas que se pueden usar para administrar de manera inteligente estas actualizaciones en dispositivos que ejecutan versiones de Windows 10 de Pro, Enterprise o Educacion (Windows 10 Home solo admite las funciones de administración de actualizaciones más básicas y no es adecuado para su uso en un entorno empresarial).
Pero antes de pasar a cualquiera de estas herramientas, necesitará un plan.
¿Qué está escrito en sus reglas de actualización?
El significado de las reglas de actualización es hacer que el proceso de actualización sea predecible, definir procedimientos para advertir a los usuarios para que puedan planificar su trabajo en consecuencia y evitar tiempos de inactividad inesperados. Las reglas también incluyen protocolos para manejar problemas inesperados, incluida la reversión de actualizaciones fallidas.
Las reglas de actualización razonables requieren una cierta cantidad de tiempo para trabajar con las actualizaciones cada mes. En una organización pequeña, una ventana especial en el programa de servicio de cada PC puede servir para este propósito. En las organizaciones grandes, es poco probable que las soluciones universales funcionen, y deberán dividir a toda la población de PC en grupos de actualización (se denominan "anillos" en Microsoft), cada uno de los cuales tendrá su propia estrategia de actualización.
Las reglas deben describir varios tipos diferentes de actualizaciones. El tipo más comprensible son las actualizaciones de seguridad y confiabilidad acumuladas mensuales que aparecen el segundo martes de cada mes ("martes de parches"). Esta versión generalmente contiene la Herramienta de eliminación de software malintencionado de Windows, y puede haber alguno de los siguientes tipos de actualizaciones:
- Actualizaciones de seguridad para .NET Framework
- Actualizaciones de seguridad para Adobe Flash Player
- Actualizaciones de la pila de servicios (se instalará desde el principio).
Puede retrasar la instalación de cualquiera de estas actualizaciones hasta por 30 días.
Dependiendo del fabricante de la PC, los controladores de hardware y el firmware también se pueden distribuir a través del canal de Windows Update. Puede rechazar esto o administrarlos de acuerdo con los mismos esquemas que con otras actualizaciones.
Finalmente, las actualizaciones de características se distribuyen a través de Windows Update. Estos paquetes principales actualizan Windows 10 a la última versión y se lanzan cada seis meses para todas las ediciones de Windows 10, excepto el Canal de servicio a largo plazo (LTSC). Puede retrasar la instalación de actualizaciones de componentes con Windows Update para empresas hasta 365 días; Las ediciones Enterprise y Education pueden retrasar la instalación hasta por 30 meses.
Dado todo esto, puede comenzar a hacer reglas de actualización, que deben incluir los siguientes elementos para cada una de las PC servidas:
- Fecha límite para instalar actualizaciones mensuales. De manera predeterminada, en Windows 10, las actualizaciones mensuales se descargan e instalan dentro de las 24 horas posteriores a su lanzamiento el martes de los parches. Puede posponer la descarga de estas actualizaciones para algunas o todas las PC de la empresa para tener tiempo de verificar la compatibilidad; Este retraso también le permite evitar problemas en caso de que Microsoft detecte un problema con la actualización después del lanzamiento, como ha sucedido muchas veces con Windows 10.
- Fecha límite para instalar actualizaciones semestrales de componentes. En la configuración predeterminada, las actualizaciones de componentes se descargan e instalan cuando Microsoft cree que están listas. En un dispositivo que Microsoft ha considerado adecuado para actualizar, las actualizaciones de componentes pueden aparecer unos días después del lanzamiento. En otros dispositivos, las actualizaciones de componentes pueden aparecer en unos pocos meses o pueden bloquearse por completo debido a problemas de compatibilidad. Puede establecer una demora para algunas o todas las PC de su organización para obtener tiempo para buscar una nueva versión. A partir de la versión 1903, a los usuarios de PC se les ofrecerán actualizaciones de componentes, sin embargo, solo los propios usuarios darán instrucciones para descargarlos e instalarlos.
- Cuándo permitir que la PC se reinicie para completar la instalación de las actualizaciones: la mayoría de las actualizaciones requieren un reinicio para completar la instalación. Este reinicio se produce fuera del período del "período de actividad" de 8 a 17 horas; esta configuración se puede cambiar según lo deseado, extendiendo el intervalo a 18 horas. Las herramientas de administración le permiten establecer un tiempo específico para descargar e instalar actualizaciones.
- Cómo notificar a los usuarios las actualizaciones y reiniciar: para evitar sorpresas desagradables, Windows 10 notifica a los usuarios las actualizaciones. La administración de estas notificaciones en la configuración de Windows 10 es limitada. Hay muchas más opciones disponibles en las "políticas de grupo".
- A veces, Microsoft publica actualizaciones críticas de seguridad fuera del horario regular de parches del martes. Esto generalmente es necesario para corregir fallas de seguridad que son explotadas maliciosamente por terceros. ¿Debo acelerar el uso de tales actualizaciones o esperar a la siguiente ventana en el cronograma?
- Qué hacer con las actualizaciones fallidas: si la actualización no se pudo ejecutar correctamente o si causa problemas, ¿qué hará en este caso?
Una vez identificados estos elementos, es hora de elegir herramientas para trabajar con actualizaciones.
Gestión de actualizaciones manuales
En empresas muy pequeñas, incluidas las tiendas de un solo empleado, es bastante fácil configurar manualmente las actualizaciones de Windows. Opciones> Actualización y seguridad> Actualización de Windows. Allí puede modificar dos grupos de configuraciones.
Primero seleccione "Cambiar período de actividad" y ajuste la configuración para adaptarla a sus hábitos de trabajo. Si normalmente trabaja por las tardes, puede evitar el tiempo de inactividad configurando estos valores de 18 a medianoche, lo que resulta en reinicios programados por la mañana.
Luego seleccione "Opciones avanzadas" y la configuración "Elegir cuándo instalar las actualizaciones", escríbala de acuerdo con sus reglas:
- Elija cuántos días retrasará la instalación de las actualizaciones de componentes. El valor máximo es 365.
- Elija cuántos días retrasará la instalación de actualizaciones de calidad, incluidas las actualizaciones de seguridad acumulativas que saldrán el "martes de parches". El valor máximo es de 30 días.
Otras configuraciones en esta página controlan la visualización de las notificaciones de reinicio (habilitadas de manera predeterminada) y el permiso para descargar actualizaciones en las conexiones teniendo en cuenta el tráfico (deshabilitado de manera predeterminada).
Antes de Windows 10 1903, también había una configuración para seleccionar un canal: semestral o semestral de destino. Se eliminó en la versión 1903, y en versiones anteriores simplemente no funciona.
Por supuesto, el objetivo de retrasar las actualizaciones no es solo despegar de este proceso, y luego sorprender a los usuarios un poco más tarde. Si, por ejemplo, establece el retraso para instalar actualizaciones de calidad en 15 días, debe usar este tiempo para verificar si hay actualizaciones de compatibilidad y programar una ventana de mantenimiento en un momento conveniente antes de que finalice este período.
Administrar actualizaciones a través de políticas de grupo
Todas las configuraciones manuales mencionadas también se pueden aplicar a través de políticas de grupo, y en la lista completa de políticas relacionadas con las actualizaciones de Windows 10, hay muchas más configuraciones que las disponibles en la configuración manual regular.
Se pueden aplicar a PC individuales mediante el editor de políticas de grupo local Gpedit.msc o mediante secuencias de comandos. Pero con mayor frecuencia se usan en un dominio de Windows con Active Directory, donde puede administrar combinaciones de políticas en grupos de PC.
Un número significativo de políticas se utilizan exclusivamente en Windows 10. Las más importantes están relacionadas con las Actualizaciones de Windows para empresas ubicadas en Configuración del equipo> Plantillas administrativas> Componentes de Windows> Actualización de Windows> Windows Update para empresas.
- Elija cuándo recibir las compilaciones previas: canal y demoras para las actualizaciones de componentes.
- Elija cuándo recibir actualizaciones de calidad: retrasos en las actualizaciones acumulativas mensuales y otras actualizaciones relacionadas con la seguridad.
- Administrar compilaciones previas: cuando el usuario puede conectar la máquina al programa Windows Insider y definir el anillo interno.
Un grupo adicional de políticas se encuentra en Configuración del equipo> Plantillas administrativas> Componentes de Windows> Windows Update, donde puede:
- Elimine el acceso a la función de suspensión de actualizaciones, lo que evitará que los usuarios interfieran con la instalación, retrasándola por 35 días.
- Eliminar el acceso a todas las configuraciones de actualización.
- Permita la descarga automática de actualizaciones en conexiones teniendo en cuenta el tráfico.
- No descargar con actualizaciones de controladores.
Las siguientes instalaciones solo están disponibles en Windows 10 y están relacionadas con reinicios y notificaciones:
- Inhabilite el reinicio automático para actualizaciones durante el período de actividad.
- Indique el rango del período de actividad para el reinicio automático.
- Especifique la fecha límite para el reinicio automático para instalar actualizaciones (de 2 a 14 días).
- Establezca notificaciones con un recordatorio para reiniciar automáticamente: aumente el tiempo durante el cual se advierte al usuario sobre esto (de 15 a 240 minutos).
- Deshabilite las notificaciones de reinicio automático para instalar actualizaciones.
- Configure la notificación de reinicio automático para que no desaparezca automáticamente después de 25 segundos.
- No permita que las políticas de retraso de retención de actualizaciones inicien el análisis en Windows Update: esta política impide que la PC busque actualizaciones si se asigna un retraso.
- Permitir a los usuarios controlar los tiempos de reinicio y retrasar las notificaciones.
- Configure notificaciones sobre actualizaciones (la aparición de notificaciones, de 4 a 24 horas) y advertencias sobre un reinicio inminente (de 15 a 60 minutos).
- Actualización de la política de energía para reiniciar la papelera de reciclaje (una configuración para sistemas educativos que permite la actualización incluso con batería).
- Mostrar configuración de notificaciones de actualización: le permite prohibir las notificaciones de actualización.
Las siguientes políticas existen tanto en Windows 10 como en algunas versiones anteriores de Windows:
- Configuración de actualizaciones automáticas: este grupo de configuraciones le permite seleccionar un programa de actualización semanal, quincenal o mensual, incluido el día de la semana y la hora para la descarga automática y la instalación de actualizaciones.
- Especifique la ubicación del servicio Microsoft Update en la intranet: configure el servidor Windows Server Update Services (WSUS) en el dominio.
- Permitir que el cliente se una al grupo objetivo: los administradores pueden usar los grupos de seguridad de Active Directory para definir los anillos de implementación de WSUS.
- No se conecte a ubicaciones de Windows Update en Internet: prohíba que las PC que trabajan con el servidor de actualización local se comuniquen con servidores de actualización externos.
- Permita que Windows Update Power Management active el sistema para instalar actualizaciones programadas.
- Siempre reinicie automáticamente el sistema a la hora programada.
- No reinicie automáticamente si los usuarios se están ejecutando en el sistema.
Herramientas para trabajar en grandes organizaciones (Enterprise)
Las grandes organizaciones con una infraestructura de red de Windows pueden omitir el servidor de actualizaciones de Microsoft e implementar actualizaciones desde el servidor local. Esto requiere una mayor atención por parte del departamento de TI corporativo, pero agrega flexibilidad a la empresa. Las dos opciones más populares son Windows Server Update Services (WSUS) y System Center Configuration Manager (SCCM).
El servidor WSUS es más simple. Actúa como un servidor de Windows y proporciona almacenamiento centralizado de actualizaciones de Windows en una organización. Usando políticas de grupo, el administrador dirige la PC con Windows 10 al servidor WSUS, que sirve como la única fuente de archivos para toda la organización. Desde su consola de administrador, puede aprobar actualizaciones, elegir cuándo instalarlas en PC separadas o grupos de PC. Puede vincular manualmente las PC a diferentes grupos, o puede utilizar la orientación del lado del cliente para implementar actualizaciones basadas en grupos de seguridad de Active Directory existentes.
A medida que las actualizaciones acumulativas de Windows 10 crecen cada vez más con cada nueva versión, pueden ocupar una parte significativa del ancho de banda de los canales de comunicación. Los servidores WSUS ahorran tráfico utilizando los archivos de instalación rápida: esto requiere más espacio libre en el norte, pero reduce significativamente el tamaño de los archivos de actualización enviados a las PC clientes.
En los servidores que ejecutan WSUS 4.0 y versiones posteriores, también puede administrar las actualizaciones de los componentes de Windows 10.
La segunda opción, System Center Configuration Manager, utiliza la rica función de Configuration Manager para Windows junto con WSUS para implementar actualizaciones de calidad y componentes. El panel de control permite a los administradores de red monitorear el uso de Windows 10 en toda la red y crear planes de servicio grupales que incluyen información para todas las PC que se acercan al final de su ciclo de soporte.
Si su organización ya tiene instalado Configuration Manager para trabajar con versiones anteriores de Windows, agregarle soporte de Windows 10 será bastante simple.