无论您是负责一台Windows 10 PC还是数千台Windows PC,管理更新的困难对您来说都是一样的。 您的目标是快速安装与安全相关的更新,以智能方式处理组件更新,并防止由于意外重启而导致生产率下降
贵公司是否有全面的Windows 10更新计划? 诱人的是,将这些下载视为周期性的干扰,您需要在它们出现后尽快消除它们。 但是,一种主动的更新方法会导致沮丧和降低生产率。
相反,您可以创建用于测试和实施更新的管理策略,以使该过程变得与发送发票或每月制表一样日常。
本文包含了解Microsoft如何向运行Windows 10的设备发送更新的所有必要信息,以及有关可用于在运行Windows 10 Pro,Enterprise或Windows 10版本的设备上智能管理这些更新的工具和技术的详细信息。学历 (Windows 10家庭版仅支持最基本的更新管理功能,不适合在商业环境中使用)。
但是在继续使用这些工具之前,您需要一个计划。
您的更新规则中写了什么?
更新规则的含义是使更新过程可预测,定义警告用户的过程,以便他们可以相应地计划其工作并避免意外的停机。 该规则还包括用于处理意外问题的协议,包括从失败的更新回滚。
合理的更新规则每月花费一定的时间来进行更新。 在小型组织中,每台PC的服务计划中都有一个特殊的窗口可以满足此目的。 在大型组织中,通用解决方案不太可能起作用,它们需要将整个PC群体划分为更新组(在Microsoft中称为“环”),每个组都有自己的更新策略。
规则应描述几种不同类型的更新。 最容易理解的类型是每月累积的每月安全性和可靠性更新,该更新出现在每个月的第二个星期二(“补丁星期二”)。 此版本通常包含Windows恶意软件删除工具,并且可能存在以下任何类型的更新:
- .NET Framework的安全更新
- Adobe Flash Player的安全更新
- 服务堆栈更新(从一开始就安装)。
您最多可以将任何这些更新的安装延迟30天。
根据PC制造商的不同,还可以通过Windows Update通道分发硬件驱动程序和固件。 您可以拒绝此请求,也可以根据与其他更新相同的方案来管理它们。
最后,功能更新是通过Windows Update分发的。 这些主要软件包将Windows 10升级到最新版本,并且对于Windows 10的所有版本(长期服务频道(LTSC))每六个月发布一次。 您可以使用Windows Update for Business最多延迟365天安装组件更新; 企业版和教育版可能会将安装延迟最多30个月。
有了所有这些,您就可以开始制定更新规则,其中应为所服务的每台PC包含以下元素:
- 安装每月更新的截止日期。 默认情况下,在Windows 10中,每月更新在星期二发布修补程序后的24小时内下载并安装。 您可以推迟为公司中的部分或全部PC下载这些更新,以便有时间检查兼容性。 这种延迟还使您可以避免Microsoft退出后检测到更新问题的问题,这与Windows 10一样。
- 安装半年更新组件的截止日期。 在默认设置下,Microsoft认为已准备就绪时,将下载并安装组件更新。 在Microsoft认为适合更新的设备上,组件更新可能会在发布后几天出现。 在其他设备上,组件更新可能会在几个月后出现,或者由于兼容性问题而可能被完全阻止。 您可以为组织中的某些或所有PC设置延迟,以便有时间检查新版本。 从1903版开始,将为PC用户提供组件更新,但是,只有用户自己会提供下载和安装说明。
- 何时允许PC重新启动以完成更新的安装:大多数更新都需要重新启动才能完成安装。 重新启动发生在8到17个小时的“活动时间”周期之外; 可以根据需要更改此设置,将间隔延长到18小时。 管理工具使您可以设置下载和安装更新的特定时间。
- 如何通知用户更新并重新启动:为了避免不愉快的意外,Windows 10会通知用户更新。 在Windows 10设置中管理这些通知是受限制的。 “组策略”中提供了更多选项。
- 有时,Microsoft在常规的星期二补丁计划之外发布重要的安全更新。 这通常是纠正第三方恶意利用的安全漏洞所必需的。 我应该加速使用此类更新,还是等待时间表中的下一个窗口?
- 如果更新失败,该怎么办:如果更新无法正确启动或导致问题,在这种情况下您将如何处理?
确定了这些元素之后,就该选择用于更新的工具了。
手动更新管理
在很小的企业中,包括单雇员商店,手动配置Windows更新非常容易。 选项>更新和安全> Windows更新。 您可以在那里调整两组设置。
首先选择“更改活动时间”并调整设置以适合您的工作习惯。 如果您通常在晚上工作,则可以通过将这些值设置为18到午夜来避免停机,从而可以在早上按计划重新启动。
然后选择“高级选项”和“选择何时安装更新”设置,并根据您的规则进行编写:
- 选择多少天来延迟组件更新的安装。 最大值为365。
- 选择多少天来延迟质量更新的安装,包括在“补丁程序周二”发布的累积安全更新。 最大值为30天。
此页面上的其他设置控制重新启动通知的显示(默认情况下启用)以及考虑到流量的连接下载更新的权限(默认情况下禁用)。
在Windows 10 1903之前,还存在用于选择频道的设置-半年一次或半年一次。 在1903版中已将其删除,而在较旧的版本中则无法使用。
当然,延迟更新的意义不仅在于从此过程中脱颖而出,而且稍后会使用户感到惊讶。 例如,如果将安装质量更新的延迟设置为15天,则需要使用该时间检查更新的兼容性,并在此期间结束之前的方便时间安排维护时段。
通过组策略管理更新
所有提到的手动设置也可以通过组策略来应用,并且在与Windows 10更新相关的策略的完整列表中,有比常规手动设置更多的设置。
可以使用Gpedit.msc本地组策略编辑器或脚本将它们应用于单个PC。 但最常见的是,它们在带有Active Directory的Windows域中使用,您可以在其中管理PC组上的策略组合。
Windows 10中专门使用了大量策略。这些策略中最重要的是与Windows Update for Business有关,位于计算机配置>管理模板> Windows组件> Windows Update> Windows Update for Business中。
- 选择何时接收预构建-通道和组件更新的延迟。
- 选择何时接收质量更新-每月累积更新和其他与安全相关的更新的延迟。
- 管理预构建:用户可以将计算机连接到Windows Insider程序并定义内部人员环时。
另一组策略位于“计算机配置”>“管理模板”>“ Windows组件”>“ Windows Update”中,您可以在其中:
- 删除对更新暂停功能的访问权限,该功能将阻止用户干扰安装,将安装延迟35天。
- 删除对所有更新设置的访问权限。
- 考虑到流量,允许自动下载连接更新。
- 不要下载驱动程序更新。
以下安装仅在Windows 10上可用,并且与重新启动和通知有关:
- 在活动期间,禁用自动重启以进行更新。
- 指示自动重启的活动时间范围。
- 指定自动重新启动的截止日期以安装更新(2到14天)。
- 设置带有提醒的通知以自动重新启动:将警告用户的时间延长(从15分钟到240分钟)。
- 禁用自动重启通知以安装更新。
- 设置自动重启通知,以使其在25秒后不会自动消失。
- 不允许更新保留延迟策略在Windows Update中启动扫描:如果分配了延迟,此策略将阻止PC检查更新。
- 允许用户控制重新启动时间和延迟通知。
- 设置有关更新的通知(通知的显示,从4到24小时),以及有关即将重启的警告(从15到60分钟)。
- 更新电源策略以重新启动回收站(教育系统的一种设置,即使使用电池电源也可以进行更新)。
- 显示更新通知设置:允许您禁止更新通知。
Windows 10和某些旧版Windows上均存在以下策略:
- 设置自动更新:通过这组设置,您可以选择每周,每两周或每月一次的更新计划,包括一周中的某天以及自动下载和安装更新的时间。
- 指定Intranet上Microsoft Update服务的位置:在域中配置Windows Server Update Services(WSUS)服务器。
- 允许客户端加入目标组:管理员可以使用Active Directory安全组来定义WSUS部署环。
- 不要连接到Internet上的Windows Update位置:禁止使用本地更新服务器的PC与外部更新服务器进行通信。
- 允许Windows Update电源管理唤醒系统以安装计划的更新。
- 始终在计划的时间自动重新启动系统。
- 如果用户正在系统上运行,请不要自动重启。
在大型组织中工作的工具(企业)
具有Windows网络基础结构的大型组织可以绕过Microsoft更新服务器并从本地服务器部署更新。 这需要公司IT部门的更多关注,但会增加公司的灵活性。 最受欢迎的两个选项是Windows Server Update Services(WSUS)和System Center Configuration Manager(SCCM)。
WSUS服务器更简单。 它充当Windows Server,并在组织中提供Windows更新的集中存储。 管理员使用组策略将Windows 10 PC定向到WSUS服务器,该服务器充当整个组织的唯一文件源。 在其管理员控制台中,您可以批准更新,选择何时将其安装在单独的PC或PC组上。 您可以将PC手动绑定到不同的组,也可以使用客户端定位基于现有的Active Directory安全组来部署更新。
随着Windows 10的累积更新随着每个新版本的增长而越来越多,它们会占据通信通道带宽的很大一部分。 WSUS服务器使用“快速安装文件”节省了流量-北部需要更多的可用空间,但会大大减少发送到客户端PC的更新文件的大小。
在运行WSUS 4.0及更高版本的服务器上,您还可以管理Windows 10组件的更新。
第二个选项是System Center Configuration Manager,它将丰富的Windows Configuration Manager功能与WSUS结合使用,以部署质量和组件更新。 通过控制面板,网络管理员可以监视整个网络中Windows 10的使用情况,并创建基于组的服务计划,其中包括在支持周期即将结束时所有PC的信息。
如果您的组织已经安装了Configuration Manager以与Windows的早期版本一起使用,则向其添加Windows 10支持将非常简单。