Vollständiges Upgrade-Handbuch für Windows 10 für Unternehmen jeder Größe

Unabhängig davon, ob Sie für den einzigen Windows 10-PC oder für Tausende verantwortlich sind, sind die Schwierigkeiten beim Verwalten von Updates für Sie gleich. Ihr Ziel ist es, sicherheitsrelevante Updates schnell zu installieren, intelligent mit Komponentenupdates zu arbeiten und Produktivitätsverluste durch unerwartete Neustarts zu vermeiden

Verfügt Ihr Unternehmen über einen umfassenden Windows 10-Updateplan? Es ist verlockend, diese Downloads als periodische Störungen zu betrachten, die Sie beseitigen müssen, sobald sie auftreten. Ein proaktiver Ansatz für Updates ist jedoch ein Rezept für Frustration und verringerte Produktivität.

Stattdessen können Sie eine Verwaltungsstrategie zum Testen und Implementieren von Updates erstellen, sodass dieser Prozess so alltäglich wird wie das Senden von Rechnungen oder die monatliche Auflistung.

Der Artikel enthält alle Informationen, die erforderlich sind, um zu verstehen, wie Microsoft Updates an Geräte unter Windows 10 sendet, sowie Details zu Tools und Techniken, die zum intelligenten Verwalten dieser Updates auf Geräten unter Windows 10-Versionen von Pro, Enterprise oder verwendet werden können Bildung (Windows 10 Home unterstützt nur die grundlegendsten Updateverwaltungsfunktionen und ist nicht für die Verwendung in einer Geschäftsumgebung geeignet.)

Bevor Sie jedoch mit einem dieser Tools fortfahren, benötigen Sie einen Plan.

Was steht in deinen Update-Regeln?

Die Bedeutung von Aktualisierungsregeln besteht darin, den Aktualisierungsprozess vorhersehbar zu machen, Verfahren zum Warnen von Benutzern zu definieren, damit diese ihre Arbeit entsprechend planen und unerwartete Ausfallzeiten vermeiden können. Die Regeln enthalten auch Protokolle zur Behandlung unerwarteter Probleme, einschließlich des Rollbacks von fehlgeschlagenen Aktualisierungen.

Angemessene Update-Regeln benötigen eine gewisse Zeit, um jeden Monat mit Updates zu arbeiten. In einer kleinen Organisation kann ein spezielles Fenster im Wartungsplan jedes PCs diesen Zweck erfüllen. In großen Organisationen ist es unwahrscheinlich, dass universelle Lösungen funktionieren, und sie müssen die gesamte PC-Population in Aktualisierungsgruppen aufteilen (in Microsoft werden sie als "Ringe" bezeichnet), von denen jede ihre eigene Aktualisierungsstrategie hat.

Regeln sollten verschiedene Arten von Updates beschreiben. Der verständlichste Typ sind die monatlichen kumulativen Sicherheits- und Zuverlässigkeitsupdates, die am zweiten Dienstag eines jeden Monats ("Dienstag der Patches") erscheinen. Diese Version enthält normalerweise das Windows-Tool zum Entfernen bösartiger Software. Möglicherweise gibt es die folgenden Arten von Updates:

• Sicherheitsupdates für .NET Framework
• Sicherheitsupdates für Adobe Flash Player
• Service-Stack-Updates (von Anfang an zu installieren).

Sie können die Installation eines dieser Updates um bis zu 30 Tage verzögern.

Je nach PC-Hersteller können Hardwaretreiber und Firmware auch über den Windows Update-Kanal verteilt werden. Sie können dies ablehnen oder nach den gleichen Regeln wie bei anderen Updates verwalten.

Schließlich werden Feature-Updates über Windows Update verteilt. Diese Hauptpakete aktualisieren Windows 10 auf die neueste Version und werden alle sechs Monate für alle Editionen von Windows 10 mit Ausnahme des Long Term Servicing Channel (LTSC) veröffentlicht. Sie können die Installation von Komponentenupdates mit Windows Update for Business um bis zu 365 Tage verzögern. Enterprise- und Education-Editionen können die Installation um bis zu 30 Monate verzögern.

In Anbetracht dessen können Sie beginnen, Aktualisierungsregeln zu erstellen, die die folgenden Elemente für jeden der bereitgestellten PCs enthalten sollten:

• Frist für die Installation monatlicher Updates. Standardmäßig werden in Windows 10 monatliche Updates heruntergeladen und innerhalb von 24 Stunden nach Veröffentlichung der Patches am Dienstag installiert. Sie können das Herunterladen dieser Updates für einige oder alle PCs im Unternehmen verschieben, damit Sie Zeit haben, die Kompatibilität zu überprüfen. Mit dieser Verzögerung können Sie auch Probleme vermeiden, wenn Microsoft nach der Veröffentlichung ein Problem mit dem Update feststellt, wie dies bei Windows 10 häufig vorgekommen ist.
• Frist für die Installation der halbjährlichen Komponentenaktualisierungen. In den Standardeinstellungen werden Komponentenaktualisierungen heruntergeladen und installiert, wenn Microsoft denkt, dass sie bereit sind. Auf einem Gerät, das Microsoft als für die Aktualisierung geeignet erachtet, werden Komponentenaktualisierungen möglicherweise einige Tage nach der Veröffentlichung angezeigt. Auf anderen Geräten werden Komponentenaktualisierungen möglicherweise nach einigen Monaten angezeigt oder aufgrund von Kompatibilitätsproblemen vollständig blockiert. Sie können eine Verzögerung für einige oder alle PCs in Ihrer Organisation festlegen, um Zeit für die Überprüfung auf eine neue Version zu erhalten. Ab Version 1903 werden PC-Benutzern Komponentenaktualisierungen angeboten. Sie werden jedoch nur von den Benutzern selbst heruntergeladen und installiert.
• Wann muss der PC neu gestartet werden, um die Installation der Updates abzuschließen? Die meisten Updates erfordern einen Neustart, um die Installation abzuschließen. Dieser Neustart erfolgt außerhalb des Zeitraums der „Aktivitätsperiode“ von 8 bis 17 Stunden. Diese Einstellung kann nach Belieben geändert werden und verlängert das Intervall auf 18 Stunden. Mit den Verwaltungstools können Sie einen bestimmten Zeitpunkt für das Herunterladen und Installieren von Updates festlegen.
• Benachrichtigen von Benutzern über Updates und Neustarten: Um unangenehme Überraschungen zu vermeiden, benachrichtigt Windows 10 Benutzer über Updates. Das Verwalten dieser Benachrichtigungen in Windows 10-Einstellungen ist beschränkt. In den "Gruppenrichtlinien" stehen viel mehr Optionen zur Verfügung.
• Manchmal veröffentlicht Microsoft wichtige Sicherheitsupdates außerhalb des regulären Patch-Zeitplans für Dienstag. Dies ist normalerweise erforderlich, um Sicherheitslücken zu schließen, die von Dritten böswillig ausgenutzt werden. Sollte ich die Verwendung solcher Updates beschleunigen oder auf das nächste Fenster im Zeitplan warten?
• Was tun bei fehlgeschlagenen Updates? Wenn das Update nicht ordnungsgemäß ausgeführt werden konnte oder Probleme verursacht, was tun Sie in diesem Fall?

Nachdem Sie diese Elemente identifiziert haben, müssen Sie Tools für die Arbeit mit Updates auswählen.

Manuelle Updateverwaltung

In sehr kleinen Unternehmen, einschließlich Einzelhandelsgeschäften, ist es recht einfach, Windows-Updates manuell zu konfigurieren. Optionen> Update und Sicherheit> Windows Update. Dort können Sie zwei Gruppen von Einstellungen anpassen.

Wählen Sie zunächst „Aktivitätszeitraum ändern“ und passen Sie die Einstellungen Ihren Arbeitsgewohnheiten an. Wenn Sie normalerweise abends arbeiten, können Sie Ausfallzeiten vermeiden, indem Sie diese Werte von 18 bis Mitternacht einstellen, was zu geplanten Neustarts am Morgen führt.

Wählen Sie dann "Erweiterte Optionen" und die Einstellung "Wählen Sie aus, wann Updates installiert werden sollen", und schreiben Sie sie gemäß Ihren Regeln:

• Wählen Sie aus, wie viele Tage die Installation der Komponentenaktualisierungen verzögert werden soll. Der Maximalwert beträgt 365.
• Legen Sie fest, wie viele Tage die Installation von Qualitätsupdates verzögert werden soll, einschließlich kumulativer Sicherheitsupdates, die am "Dienstag der Patches" veröffentlicht werden. Der Maximalwert beträgt 30 Tage.

Andere Einstellungen auf dieser Seite steuern die Anzeige von Neustartbenachrichtigungen (standardmäßig aktiviert) und die Berechtigung zum Herunterladen von Updates für Verbindungen unter Berücksichtigung des Datenverkehrs (standardmäßig deaktiviert).

Vor Windows 10 1903 gab es auch eine Einstellung zum Auswählen eines Kanals - halbjährlich oder halbjährlich als Ziel. Es wurde in Version 1903 entfernt, und in älteren Versionen funktioniert es einfach nicht.

Natürlich müssen Sie Aktualisierungen nicht nur verzögern, sondern die Benutzer auch etwas später überraschen. Wenn Sie beispielsweise die Installationsverzögerung für Qualitätsupdates auf 15 Tage festlegen, müssen Sie diese Zeit verwenden, um die Kompatibilität von Updates zu überprüfen und ein Wartungsfenster zu einem geeigneten Zeitpunkt vor Ablauf dieses Zeitraums zu planen.

Verwalten Sie Updates über Gruppenrichtlinien

Alle genannten manuellen Einstellungen können auch über Gruppenrichtlinien angewendet werden. In der vollständigen Liste der Richtlinien für Windows 10-Updates sind wesentlich mehr Einstellungen als in den normalen manuellen Einstellungen verfügbar.

Sie können mit dem lokalen Gruppenrichtlinien-Editor "Gpedit.msc" oder mithilfe von Skripts auf einzelne PCs angewendet werden. Am häufigsten werden sie jedoch in einer Windows-Domäne mit Active Directory verwendet, in der Sie Richtlinienkombinationen auf Gruppen von PCs verwalten können.

Eine erhebliche Anzahl von Richtlinien wird ausschließlich in Windows 10 verwendet. Die wichtigsten Richtlinien beziehen sich auf Windows Updates for Business unter Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Update> Windows Update for Business.

• Wählen Sie aus, wann Pre-Builds empfangen werden sollen - Kanal und Verzögerungen für Komponentenaktualisierungen.
• Wählen Sie aus, wann Sie Qualitätsupdates erhalten möchten - Verzögerungen bei monatlichen kumulativen Updates und anderen sicherheitsrelevanten Updates.
• Pre-Builds verwalten: Wenn der Benutzer die Maschine mit dem Windows Insider-Programm verbinden und den Insider-Ring definieren kann.

Eine weitere Gruppe von Richtlinien befindet sich unter Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Update. Dort können Sie:

• Entfernen Sie den Zugriff auf die Update-Suspendierungsfunktion, um zu verhindern, dass Benutzer die Installation beeinträchtigen, und verzögern Sie sie um 35 Tage.
• Entfernen Sie den Zugriff auf alle Update-Einstellungen.
• Ermöglichen Sie das automatische Herunterladen von Updates für Verbindungen unter Berücksichtigung des Datenverkehrs.
• Nicht mit Treiberupdates herunterladen.

Die folgenden Installationen sind nur unter Windows 10 verfügbar und beziehen sich auf Neustarts und Benachrichtigungen:

• Deaktivieren Sie den automatischen Neustart für Updates während des Aktivitätszeitraums.
• Geben Sie den Bereich des Aktivitätszeitraums für den automatischen Neustart an.
• Geben Sie die Frist für den automatischen Neustart an, um Updates zu installieren (von 2 bis 14 Tagen).
• Legen Sie Benachrichtigungen mit einer Erinnerung für den automatischen Neustart fest: Erhöhen Sie die Zeit, in der der Benutzer darüber gewarnt wird (von 15 auf 240 Minuten).
• Deaktivieren Sie die automatischen Neustartbenachrichtigungen, um Updates zu installieren.
• Stellen Sie die automatische Neustartbenachrichtigung so ein, dass sie nach 25 Sekunden nicht automatisch verschwindet.
• Erlauben Sie nicht, dass Richtlinien zur Verzögerung der Aufbewahrung von Updates das Scannen in Windows Update initiieren: Diese Richtlinie verhindert, dass der PC nach Updates sucht, wenn eine Verzögerung zugewiesen ist.
• Ermöglichen Sie Benutzern, die Neustartzeiten zu steuern und Benachrichtigungen zu verzögern.
• Richten Sie Benachrichtigungen über Aktualisierungen (das Auftreten von Benachrichtigungen von 4 bis 24 Stunden) und Warnungen über einen bevorstehenden Neustart (von 15 bis 60 Minuten) ein.
• Aktualisieren der Energierichtlinie für den Neustart des Papierkorbs (eine Einstellung für Bildungssysteme, die das Aktualisieren auch mit Batteriestrom ermöglicht).
• Einstellungen für Aktualisierungsbenachrichtigungen anzeigen: Mit dieser Option können Sie Aktualisierungsbenachrichtigungen verhindern.

Die folgenden Richtlinien gelten sowohl für Windows 10 als auch für einige ältere Versionen von Windows:

• Automatische Updates einstellen: In dieser Gruppe von Einstellungen können Sie einen wöchentlichen, zweiwöchentlichen oder monatlichen Update-Zeitplan auswählen, einschließlich Wochentag und Uhrzeit für das automatische Herunterladen und Installieren von Updates.
• Geben Sie den Speicherort des Microsoft Update-Diensts im Intranet an: Konfigurieren Sie den Windows Server Update Services-Server (WSUS) in der Domäne.
• Zulassen, dass der Client der Zielgruppe beitritt: Administratoren können mithilfe von Active Directory-Sicherheitsgruppen WSUS-Bereitstellungsringe definieren.
• Stellen Sie keine Verbindung zu Windows Update-Standorten im Internet her: Verhindern Sie, dass PCs, die mit dem lokalen Update-Server arbeiten, mit externen Update-Servern kommunizieren.
• Ermöglichen Sie Windows Update Power Management, das System zu aktivieren, um geplante Updates zu installieren.
• Starten Sie das System immer automatisch zur geplanten Zeit neu.
• Starten Sie nicht automatisch neu, wenn Benutzer auf dem System ausgeführt werden.

Tools für die Arbeit in großen Organisationen (Enterprise)

Große Organisationen mit einer Windows-Netzwerkinfrastruktur können den Microsoft Update-Server umgehen und Updates vom lokalen Server bereitstellen. Dies erfordert erhöhte Aufmerksamkeit von der IT-Abteilung des Unternehmens, erhöht jedoch die Flexibilität des Unternehmens. Die beiden beliebtesten Optionen sind Windows Server Update Services (WSUS) und System Center Configuration Manager (SCCM).

Der WSUS-Server ist einfacher. Es fungiert als Windows Server und bietet eine zentrale Speicherung von Windows-Updates in einer Organisation. Mithilfe von Gruppenrichtlinien leitet der Administrator den Windows 10-PC an den WSUS-Server weiter, der als einzige Quelle für Dateien für die gesamte Organisation dient. Über die Administratorkonsole können Sie Updates genehmigen und auswählen, wann sie auf separaten PCs oder Gruppen von PCs installiert werden sollen. Sie können PCs manuell an verschiedene Gruppen binden oder clientseitiges Targeting verwenden, um Updates basierend auf vorhandenen Active Directory-Sicherheitsgruppen bereitzustellen.

Da die Anzahl der kumulativen Updates für Windows 10 mit jeder neuen Version zunimmt, kann ein erheblicher Teil der Bandbreite der Kommunikationskanäle belegt werden. WSUS-Server sparen Datenverkehr mit Express-Installationsdateien - dies erfordert mehr freien Speicherplatz im Norden, verringert jedoch die Größe der Aktualisierungsdateien, die an Client-PCs gesendet werden.

Auf Servern mit WSUS 4.0 und höher können Sie auch Updates für Windows 10-Komponenten verwalten.

Die zweite Option, System Center Configuration Manager, verwendet das umfangreiche Feature von Configuration Manager für Windows in Verbindung mit WSUS, um Qualitäts- und Komponentenupdates bereitzustellen. Über das Bedienfeld können Netzwerkadministratoren die Verwendung von Windows 10 im gesamten Netzwerk überwachen und gruppenbasierte Servicepläne erstellen, die Informationen für alle PCs enthalten, die sich dem Ende ihres Supportzyklus nähern.

Wenn in Ihrer Organisation Configuration Manager bereits für frühere Windows-Versionen installiert ist, ist das Hinzufügen von Windows 10-Unterstützung ganz einfach.