Se você é responsável pelo único PC com Windows 10 ou por milhares, as dificuldades de gerenciar atualizações são as mesmas para você. Seu objetivo é instalar rapidamente atualizações relacionadas à segurança, trabalhar de forma inteligente com atualizações de componentes e evitar quedas de produtividade devido a reinicializações inesperadas
Sua empresa possui um plano abrangente de atualização do Windows 10? É tentador considerar esses downloads como interferências periódicas, das quais você precisa se livrar assim que aparecerem. No entanto, uma abordagem proativa das atualizações é uma receita para frustração e produtividade reduzida.
Em vez disso, você pode criar uma estratégia de gerenciamento para testar e implementar atualizações, para que esse processo se torne tão diário quanto o envio de faturas ou tabulação mensal.
O artigo contém todas as informações necessárias para entender como a Microsoft envia atualizações para dispositivos executando o Windows 10, além de detalhes sobre ferramentas e técnicas que podem ser usadas para gerenciar essas atualizações de maneira inteligente em dispositivos que executam as versões Pro, Enterprise ou Windows 10 do Windows 10. Educação (O Windows 10 Home suporta apenas os recursos mais básicos de gerenciamento de atualizações e não é adequado para uso em um ambiente de negócios).
Mas antes de avançar para qualquer uma dessas ferramentas, você precisará de um plano.
O que está escrito nas suas regras de atualização?
O significado das regras de atualização é tornar o processo de atualização previsível, definir procedimentos para avisar os usuários, para que eles possam planejar seu trabalho adequadamente e evitar períodos de inatividade inesperados. As regras também incluem protocolos para lidar com problemas inesperados, incluindo reversão de atualizações com falha.
As regras de atualização razoáveis levam um certo tempo para trabalhar com atualizações todos os meses. Em uma organização pequena, uma janela especial na programação de serviços de cada PC pode servir a esse propósito. Em grandes organizações, é improvável que as soluções universais funcionem e elas precisarão dividir toda a população de PCs em grupos de atualização (eles são chamados de "anéis" na Microsoft), cada um dos quais com sua própria estratégia de atualização.
As regras devem descrever vários tipos diferentes de atualizações. O tipo mais compreensível são as atualizações cumulativas mensais de segurança e confiabilidade que aparecem na segunda terça-feira de cada mês ("terça-feira de patches"). Esta versão geralmente contém a Ferramenta de Remoção de Software Mal-Intencionado do Windows e pode haver qualquer um dos seguintes tipos de atualizações:
- Atualizações de segurança para o .NET Framework
- Atualizações de segurança para o Adobe Flash Player
- Atualizações da pilha de serviços (a serem instaladas desde o início).
Você pode atrasar a instalação de qualquer uma dessas atualizações por até 30 dias.
Dependendo do fabricante do PC, os drivers de hardware e o firmware também podem ser distribuídos pelo canal do Windows Update. Você pode recusar ou gerenciá-los de acordo com os mesmos esquemas que em outras atualizações.
Por fim, as atualizações de recursos são distribuídas pelo Windows Update. Esses principais pacotes atualizam o Windows 10 para a versão mais recente e são lançados a cada seis meses para todas as edições do Windows 10, exceto o LTSC (Long Term Servicing Channel). Você pode atrasar a instalação das atualizações de componentes usando o Windows Update for Business por até 365 dias; As edições Enterprise e Education podem atrasar a instalação por até 30 meses.
Diante de tudo isso, você pode começar a criar regras de atualização, que devem incluir os seguintes elementos para cada um dos PCs atendidos:
- Prazo para a instalação de atualizações mensais. Por padrão, no Windows 10, as atualizações mensais são baixadas e instaladas dentro de 24 horas após o lançamento na terça-feira dos patches. Você pode adiar o download dessas atualizações para alguns ou todos os PCs da empresa para ter tempo de verificar a compatibilidade; esse atraso também permite evitar problemas no caso de a Microsoft detectar um problema com a atualização após o lançamento, como aconteceu muitas vezes com o Windows 10.
- Prazo para instalar atualizações semestrais de componentes. Nas configurações padrão, as atualizações de componentes são baixadas e instaladas quando a Microsoft pensa que está pronta. Em um dispositivo que a Microsoft considerou adequado para atualização, as atualizações de componentes podem aparecer alguns dias após o lançamento. Em outros dispositivos, as atualizações de componentes podem aparecer em alguns meses ou podem ser totalmente bloqueadas devido a problemas de compatibilidade. Você pode definir um atraso para alguns ou todos os PCs da sua organização para ter tempo de verificar uma nova versão. A partir da versão 1903, os usuários de PC receberão atualizações de componentes; no entanto, apenas os próprios usuários fornecerão instruções para fazer o download e instalá-los.
- Quando permitir que o PC reinicie para concluir a instalação das atualizações: a maioria das atualizações requer reinicialização para concluir a instalação. Esse reinício ocorre fora do período do "período de atividade" de 8 a 17 horas; essa configuração pode ser alterada conforme desejado, estendendo o intervalo para 18 horas. As ferramentas de gerenciamento permitem definir um horário específico para baixar e instalar atualizações.
- Como notificar os usuários sobre atualizações e reiniciar: para evitar surpresas desagradáveis, o Windows 10 notifica os usuários sobre atualizações. O gerenciamento dessas notificações nas configurações do Windows 10 é limitado. Muito mais opções estão disponíveis nas "políticas de grupo".
- Às vezes, a Microsoft lança atualizações críticas de segurança fora do cronograma regular de patches de terça-feira. Isso geralmente é necessário para corrigir falhas de segurança que são maliciosamente exploradas por terceiros. Devo acelerar o uso dessas atualizações ou aguardar a próxima janela no cronograma?
- O que fazer com as atualizações malsucedidas: se a atualização falhar ao ser exibida corretamente ou causar problemas, o que você fará neste caso?
Depois de identificar esses elementos, é hora de escolher ferramentas para trabalhar com atualizações.
Gerenciamento de atualização manual
Em empresas muito pequenas, incluindo lojas de funcionário único, é muito fácil configurar manualmente as atualizações do Windows. Opções> Atualização e segurança> Windows Update. Lá você pode ajustar dois grupos de configurações.
Primeiro, selecione “Alterar período da atividade” e ajuste as configurações para se adequar aos seus hábitos de trabalho. Se você costuma trabalhar à noite, pode evitar o tempo de inatividade definindo esses valores de 18 a meia-noite, resultando em reinicializações programadas pela manhã.
Em seguida, selecione "Opções avançadas" e a configuração "Escolha quando instalar atualizações", escrevendo-a de acordo com suas regras:
- Escolha quantos dias atrasar a instalação das atualizações do componente. O valor máximo é 365.
- Escolha quantos dias atrasar a instalação de atualizações de qualidade, incluindo atualizações de segurança cumulativas que saem na "Terça-feira de patches". O valor máximo é de 30 dias.
Outras configurações nesta página controlam a exibição de notificações de reinicialização (ativadas por padrão) e a permissão para baixar atualizações em conexões levando em consideração o tráfego (desativadas por padrão).
Antes do Windows 10 1903, havia também uma configuração para selecionar um canal - semestral ou semestral de destino. Foi removido na versão 1903 e, nas versões mais antigas, simplesmente não funciona.
Obviamente, o objetivo de atrasar as atualizações não é apenas sair desse processo e surpreender os usuários um pouco mais tarde. Se, por exemplo, você definir o atraso na instalação de atualizações de qualidade para 15 dias, precisará usar esse tempo para verificar a compatibilidade de atualizações e agendar uma janela para manutenção em um horário conveniente antes do término desse período.
Gerenciar atualizações por meio de diretivas de grupo
Todas as configurações manuais mencionadas também podem ser aplicadas por meio de políticas de grupo e, na lista completa de políticas relacionadas às atualizações do Windows 10, há muito mais configurações do que aquelas disponíveis nas configurações manuais regulares.
Eles podem ser aplicados a computadores individuais usando o editor de diretivas de grupo local Gpedit.msc ou scripts. Porém, na maioria das vezes, eles são usados em um domínio do Windows com o Active Directory, onde você pode gerenciar combinações de políticas em grupos de PCs.
Um número significativo de diretivas é usado exclusivamente no Windows 10. As mais importantes estão relacionadas às Atualizações do Windows para Empresas, localizadas em Configuração do Computador> Modelos Administrativos> Componentes do Windows> Windows Update> Windows Update> Windows Update para Empresas.
- Escolha quando receber pré-builds - canal e atrasos para atualizações de componentes.
- Escolha quando receber atualizações de qualidade - atrasos nas atualizações cumulativas mensais e outras atualizações relacionadas à segurança.
- Gerenciar pré-builds: quando o usuário pode conectar a máquina ao programa Windows Insider e definir o anel interno.
Um grupo adicional de políticas está localizado em Configuração do Computador> Modelos Administrativos> Componentes do Windows> Windows Update, onde você pode:
- Remova o acesso à função de suspensão da atualização, que impedirá que os usuários interfiram na instalação, atrasando-a por 35 dias.
- Remova o acesso a todas as configurações de atualização.
- Permite o download automático de atualizações nas conexões, levando em consideração o tráfego.
- Não faça o download com atualizações de driver.
As seguintes instalações estão disponíveis apenas no Windows 10 e estão relacionadas a reinicializações e notificações:
- Desative a reinicialização automática para atualizações durante o período de atividade.
- Indique o intervalo do período de atividade para reinicialização automática.
- Especifique o prazo para a reinicialização automática para instalar atualizações (de 2 a 14 dias).
- Defina as notificações com um lembrete para reiniciar automaticamente: aumente o tempo pelo qual o usuário é avisado sobre isso (de 15 para 240 minutos).
- Desative as notificações de reinicialização automática para instalar atualizações.
- Defina a notificação de reinicialização automática para que não desapareça automaticamente após 25 segundos.
- Não permita que políticas de atraso de retenção de atualização iniciem a verificação no Windows Update: essa política impede que o PC verifique se há um atraso atribuído.
- Permita que os usuários controlem os tempos de reinicialização e adiem as notificações.
- Configure notificações sobre atualizações (a aparência das notificações, de 4 a 24 horas) e avisos sobre uma reinicialização iminente (de 15 a 60 minutos).
- Atualização da política de energia para reiniciar a lixeira (uma configuração para sistemas educacionais que permite a atualização mesmo com a energia da bateria).
- Exibir configurações de notificação de atualização: permite proibir notificações de atualização.
As políticas a seguir existem no Windows 10 e em algumas versões mais antigas do Windows:
- Definindo atualizações automáticas: esse grupo de configurações permite selecionar um agendamento de atualização semanal, quinzenal ou mensal, incluindo o dia da semana e o horário para download e instalação automáticos de atualizações.
- Especifique o local do serviço Microsoft Update na intranet: configure o servidor Windows Server Update Services (WSUS) no domínio.
- Permitir que o cliente ingresse no grupo de destino: Os administradores podem usar grupos de segurança do Active Directory para definir os anéis de implantação do WSUS.
- Não conecte-se aos locais do Windows Update na Internet: proíba que os PCs que trabalham com o servidor de atualização local se comuniquem com servidores de atualização externos.
- Permita que o Windows Update Power Management ative o sistema para instalar atualizações agendadas.
- Sempre reinicie automaticamente o sistema no horário agendado.
- Não reinicie automaticamente se os usuários estiverem executando no sistema.
Ferramentas para trabalhar em grandes organizações (Enterprise)
Grandes organizações com uma infraestrutura de rede Windows podem ignorar o servidor de atualização da Microsoft e implantar atualizações no servidor local. Isso requer maior atenção do departamento de TI corporativo, mas adiciona flexibilidade à empresa. As duas opções mais populares são o Windows Server Update Services (WSUS) e o System Center Configuration Manager (SCCM).
O servidor WSUS é mais simples. Ele atua como um Windows Server e fornece armazenamento centralizado de atualizações do Windows em uma organização. Usando políticas de grupo, o administrador direciona o PC com Windows 10 para o servidor WSUS, que serve como a única fonte de arquivos para toda a organização. No console do administrador, você pode aprovar atualizações, escolher quando instalá-las em PCs ou grupos de PCs separados. Você pode vincular PCs manualmente a diferentes grupos ou usar o direcionamento do lado do cliente para implantar atualizações com base nos grupos de segurança existentes do Active Directory.
À medida que as atualizações cumulativas do Windows 10 crescem cada vez mais a cada nova versão, elas podem ocupar uma parte significativa da largura de banda dos canais de comunicação. Os servidores WSUS economizam tráfego usando o Express Installation Files - isso requer mais espaço livre no norte, mas reduz significativamente o tamanho dos arquivos de atualização enviados aos PCs clientes.
Em servidores executando o WSUS 4.0 e posterior, você também pode gerenciar atualizações dos componentes do Windows 10.
A segunda opção, System Center Configuration Manager, usa o rico recurso Configuration Manager para Windows em conjunto com o WSUS para implantar atualizações de qualidade e componente. O painel de controle permite que os administradores de rede monitorem o uso do Windows 10 em toda a rede e criem planos de serviços baseados em grupo que incluem informações para todos os PCs que estão chegando ao final do seu ciclo de suporte.
Se sua organização já possui o Gerenciador de Configurações instalado para funcionar com versões anteriores do Windows, a adição de suporte ao Windows 10 será bastante simples.