Windows 10 типы обновлений

Обновлено: 07.07.2024

Отвечаете ли вы за единственный ПК с Windows 10, или за тысячи, трудности с управлением обновлениями у вас одни и те же. Ваша цель – быстро устанавливать обновления, связанные с безопасностью, по-умному работать с обновлениями компонентов, и предотвращать падение продуктивности из-за неожиданных перезагрузок

Есть ли у вашего предприятия всеобъемлющий план работы с обновлениями Windows 10? Есть соблазн считать эти скачивания периодическими помехами, от которых нужно избавляться сразу, как только они появляются. Однако реактивный подход к обновлениям – это рецепт разочарований и снижения продуктивности.

Вместо этого можно создать стратегию управления для тестирования и внедрения обновлений, чтобы этот процесс стал настолько же повседневным, как отправка счетов или ежемесячное подведение бухгалтерских итогов.

В статье указана вся информация, необходимая для понимания того, как Microsoft отправляет обновления на устройства под управлением Windows 10, а также детали по поводу инструментов и техник, которые можно использовать для умного управления этими обновлениями на устройствах под управлением Windows 10 версий Pro, Enterprise или Education. (Windows 10 Home поддерживает лишь самые базовые возможности управления обновлениями и непригодна для использования в бизнес-среде).

Но перед тем, как перейти к любому из этих инструментов, вам понадобится план.

Что написано в ваших правилах обновления?

Смысл правил обновления в том, чтобы сделать процесс обновления предсказуемым, определить процедуры предупреждения пользователей, чтобы те могли соответственно планировать свою работу и избежать неожиданного простоя. Также в правила входят протоколы обработки неожиданных проблем, включая откат с неудачно вставших обновлений.

Разумные правила обновлений отводят определённое время на работу с обновлениями ежемесячно. В небольшой организации этой цели может служить специальное окошко в графике обслуживания каждого ПК. В крупных организациях универсальные решения уже вряд ли сработают, и в них нужно будет делить всю популяцию ПК на группы обновлений (в Microsoft их называют «кольцами»), в каждой из которых будет своя стратегия обновлений.

Правила должны описывать несколько различных типов обновлений. Наиболее понятный тип – ежемесячные кумулятивные обновления безопасности и надёжности, которые выходят во второй вторник каждого месяца («вторник патчей»). В этом релизе обычно присутствует Windows Malicious Software Removal Tool, а также могут быть и любые из следующих типов обновлений:

В зависимости от производителя ПК, драйверы оборудования и прошивки тоже могут распространяться по каналу Windows Update. Можно отказаться от этого или же управляться с ними по тем же схемам, что и с другими обновлениями.

Наконец, через Windows Update распространяются и обновления компонентов [feature updates]. Эти крупные пакеты обновляют Windows 10 до последней версии, и выходят каждые шесть месяцев для всех редакций Windows 10, кроме долгосрочного канала обслуживания Long Term Servicing Channel (LTSC). Отложить установку обновлений компонентов можно при помощи Windows Update for Business на срок до 365 дней; для редакций Enterprise и Education возможна дальнейшая отсрочка установки на срок до 30 месяцев.

Учитывая всё это, можно начинать составлять правила обновлений, куда должны входить следующие элементы для каждого из обслуживаемых ПК:

  • Срок установки ежемесячных обновлений. По умолчанию в Windows 10 ежемесячные обновления скачиваются и устанавливаются в течение 24 часов после их выхода во «вторник патчей». Можно откладывать скачивание этих обновлений для некоторых или всех ПК в компании, чтобы у вас было время проверить их на совместимость; эта задержка также позволяет вам избежать проблем в случае, когда Microsoft обнаруживает проблему с обновлением после выхода, как это уже много раз случалось с Windows 10.
  • Срок установки полугодовых обновлений компонентов. При настройках по умолчанию обновления компонентов скачиваются и устанавливаются тогда, когда Microsoft считает, что они готовы. На устройстве, которое Microsoft посчитали подходящим для обновления, обновления компонентов могут появиться через несколько дней после выхода. На других устройствах обновления компонентов могут появиться через несколько месяцев, или их вообще могут заблокировать из-за проблем с совместимостью. Можно установить задержку для некоторых или для всех ПК в организации, чтобы получить время на проверку нового релиза. Начиная с версии 1903, пользователям ПК предложат обновления компонентов, однако команды на скачивание и установку их будут давать только сами пользователи.
  • Когда разрешать ПК перезапускаться для завершения установки обновлений: большая часть обновлений требует перезапуска для завершения установки. Этот перезапуск происходит вне промежутка «периода активности» с 8 до 17 часов; эту настройку можно поменять по желанию, продлив длительность интервала до 18 часов. Инструменты управления позволяют назначить определённое время для скачивания и установки обновлений.
  • Как уведомлять пользователей о наличии обновлений и перезапуске: во избежание неприятных сюрпризов, Windows 10 уведомляет пользователей о наличии обновлений. Управление этими уведомлениями в настройках Windows 10 ограничено. Гораздо больше настроек доступно в «групповых политиках».
  • Иногда Microsoft выпускает критически важные обновления безопасности вне обычного графика «вторников патчей». Обычно это нужно для исправления недочётов в безопасности, которыми злонамеренно пользуются третьи лица. Ускорять ли применение таких обновлений или ждать следующего окна в графике?
  • Что делать с неудачными обновлениями: если обновлению не удалось встать правильно, или оно вызывает проблемы, что вы будете делать в этом случае?

Ручное управление обновлениями

Сначала выберите «Изменить период активности» и подправьте настройки, чтобы они соответствовали вашим рабочим привычкам. Если вы обычно работаете по вечерам, можно избежать простоя, настроив эти значения с 18 до полуночи, в результате чего запланированные перезапуски будут происходить по утрам.

Затем выберите «Дополнительные параметры» и настройку «Выберите, когда устанавливать обновления», прописав её в соответствии с вашими правилами:

  • Выберите, на сколько дней задерживать установку обновлений компонентов. Максимальное значение – 365.
  • Выберите, на сколько дней задерживать установку обновлений качества, включая кумулятивные обновления безопасности, выходящие по «вторникам патчей». Максимальное значение – 30 дней.

До версии Windows 10 1903 там была ещё настройка выбора канала – полугодового, или же целевого полугодового. Её убрали в версии 1903, а в более старых версиях она просто не работает.

Конечно, смысл задержки обновлений не в том, чтобы просто отлынивать от этого процесса, а потом удивить пользователей чуть позже. Если вы, к примеру, назначаете задержку установки обновлений качества на 15 дней, вам нужно использовать это время на проверку обновлений на совместимость, и запланировать в графике окошко на техобслуживание на удобное время перед тем, как этот период окончится.

Управление обновлениями через Групповые политики

Все упомянутые ручные настройки можно применять и через групповые политики, а в полном списке политик, связанных с обновлениями Windows 10, настроек куда как больше, чем тех, что доступны в обычных ручных настройках.

Их можно применять к отдельным ПК при помощи редактора локальной групповой политики Gpedit.msc, или при помощи скриптов. Но чаще всего их используют в домене Windows с Active Directory, где можно управлять комбинациями политик на группах ПК.

Значительное количество политик используется исключительно в Windows 10. Наиболее важные из них связаны с «Обновлениями Windows для бизнеса», расположенными в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса.

  • Выберите, когда получать предварительные сборки – канал и задержки для обновлений компонентов.
  • Выберите, когда получать обновления качества – задержки ежемесячных кумулятивных обновлений и других обновлений, связанных с безопасностью.
  • Управляйте предварительными сборками: когда пользователь может подключить машину к программе Windows Insider и определите кольцо инсайдеров.
  • Удалить доступ к функции приостановки обновлений, что не даст пользователям мешать установке, задерживая её на 35 дней.
  • Удалить доступ ко всем настройкам обновлений.
  • Разрешить автоматическое скачивание обновлений на соединениях с учётом трафика.
  • Не скачивать вместе с обновлениями драйвера.
  • Отключить автоматическую перезагрузку для обновлений во время периода активности.
  • Указать диапазон периода активности для автоматического перезапуска.
  • Указать крайний срок для автоматического перезапуска с целью установки обновлений (от 2 до 14 дней).
  • Настроить уведомления с напоминанием об автоматическом перезапуске: увеличить время, за которое пользователя предупреждают об этом (от 15 до 240 минут).
  • Отключить уведомления об автоматическом перезапуске с целью установки обновлений.
  • Настроить уведомление об автоматическом перезапуске так, чтобы оно не исчезало автоматически через 25 сек.
  • Не разрешать политикам задержки получения обновлений инициировать сканирование в Центре обновления Windows: эта политика запрещает ПК проверять обновления, если назначена задержка.
  • Разрешить пользователям управлять временем перезапуска и откладывать уведомления.
  • Настроить уведомления об обновлениях (появление уведомлений, от 4 до 24 часов), и предупреждений о неминуемом перезапуске (от 15 до 60 минут).
  • Обновление политики электропитания для перезапуска корзины (настройка для образовательных систем, позволяющая обновляться даже при питании от батареи).
  • Выводить настройки уведомлений об обновлениях: позволяет запретить уведомления об обновлениях.
  • Настройка автоматического обновления: эта группа настроек позволяет выбрать еженедельный, раз в две недели или ежемесячный график обновлений, включая день неделе и время для автоматического скачивания и установки обновлений.
  • Указать размещение службы обновлений Microsoft в интрасети: настроить сервер Windows Server Update Services (WSUS) в домене.
  • Разрешить клиенту присоединяться к целевой группе: администраторы могут использовать группы безопасности Active Directory для определения колец развёртывания WSUS.
  • Не подключаться к расположениям Центра обновления Windows в интернете: запретить ПК, работающим с местным сервером обновления, связываться с внешними серверами обновлений.
  • Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений.
  • Всегда автоматически перезапускать систему в запланированное время.
  • Не выполнять автоматическую перезагрузку, если в системе работают пользователи.

Инструменты работы в крупных организациях (Enterprise)

Крупные организации с сетевой инфраструктурой Windows могут обойти сервера обновления Microsoft и развёртывать обновления с местного сервера. Это требует повышенного внимания со стороны корпоративного IT-отдела, но добавляет компании гибкости. Два самых популярных варианта – это Windows Server Update Services (WSUS) и System Center Configuration Manager (SCCM).

Сервер WSUS устроен проще. Он работает в роли Windows Server и обеспечивает централизованное хранение обновлений Windows в организации. Используя групповые политики, администратор направляет ПК с Windows 10 на сервер WSUS, служащий единственным источником файлов для всей организации. С его консоли администратора можно одобрять обновления, выбирать, когда их ставить на отдельные ПК или группы ПК. ПК можно вручную привязывать к разным группам, или можно использовать выбор целей на стороне клиента для развёртывания обновлений на основе существующих групп безопасности Active Directory.

Поскольку кумулятивные обновления Windows 10 растут всё сильнее с каждым новым выпуском, они могут занимать значительную часть пропускной способности каналов связи. Сервера WSUS экономят трафик, используя Express Installation Files – это требует больше свободного места на севере, но значительно уменьшает размер файлов обновления, отправляемых на клиентские ПК.

На серверах версий WSUS 4.0 и далее можно также управлять обновлениями компонентов Windows 10.

Второй вариант, System Center Configuration Manager использует богатый по возможностям Configuration Manager for Windows совместно с WSUS для развёртывания обновлений качества и обновлений компонентов. Панель управления позволяет администраторам сети отслеживать использование Windows 10 во всей сети и создавать планы обслуживания на основе групп, включающие информацию по всем ПК, приближающимся к завершению своего цикла поддержки.

Если в организации уже установлен Configuration Manager для работы с более ранними версиями Windows, то добавить в него поддержку Windows 10 будет достаточно просто.

Мы включаем здесь сведения о многих различных типах обновлений, о которые вы услышите, но два распространенных типа, над которые вы имеете самый непосредственный контроль, — это обновления функций и обновления качества. **

  • Обновления функций: Выпускаются ежегодно. Обновления компонентов добавляют новые функции и функции в Windows 10. Так как они доставляются часто (а не каждые 3-5 лет), управлять ими проще.
  • Обновления качества: Обновления качества обеспечивают исправление как безопасности, так и небезопасности. В исправления включаются обновления системы безопасности, критически важные обновления, обновления служебного стека и обновления драйверов. Как правило, они выпускаются во второй вторник каждого месяца, но могут выпускаться и в любое другое время. Выпуски во второй вторник посвящены обновлениям безопасности. Обновления качества являются накопительными, поэтому установки последнего обновления качества достаточно для получения всех доступных исправлений для определенного ** обновления функций, включая любые внеполосые исправления безопасности и любые обновления стека обслуживания, которые могли быть выпущены ранее. **
  • Обслуживание обновлений стека: "Стек обслуживания" — это компонент кода, который на самом деле Windows обновлений. Время от времени сам стек обслуживания должен обновляться, чтобы нормально функционировать. Если не установить последнее обновление стека обслуживания, существует риск того, что устройство не может быть обновлено с помощью последних исправлений безопасности Майкрософт. Обновления стека для обслуживания не обязательно ** включаются в каждое ежемесячное обновление качества, а иногда выпускаются из группы для решения поздней проблемы. Всегда установите последнее доступное обновление качества, чтобы поймать все обновления стека обслуживания, которые могли быть выпущены. В стеке обслуживания также содержится "стек обслуживания на основе компонентов" (CBS), который является ключевым компонентом для нескольких элементов развертывания Windows, таких как DISM, SFC, изменение Windows функций или ролей и ремонт компонентов. CBS — это небольшой компонент, который обычно не имеет обновлений, выпускающихся каждый месяц. Список обновлений стека обслуживания можно найти в последних обновлениях стека обслуживания. Дополнительные подробности об обслуживании обновлений стека см. в дополнительных подробностях.
  • Обновления драйверов. Эти драйверы обновления, применимые к вашим устройствам. Обновления драйверов по умолчанию отключаются в Windows Server Update Services (WSUS), но для облачных методов обновления можно управлять установкой или нет.
  • Обновления продуктов Майкрософт: Эти обновления других продуктов Майкрософт, таких как Office. Вы можете включить или отключить обновления Майкрософт с помощью политик, контролируемых различными средствами обслуживания.

Каналы обслуживания

Существует три канала обслуживания, каждый из которых обеспечивает другой уровень гибкости при доставке обновлений на устройства и при их доставке. Использование различных каналов обслуживания позволяет развертывать Windows как службу, которая представляет развертывание как непрерывный процесс обновлений, которые развертываются по всей организации волнами. В этом подходе обновление подключается к этому процессу, и во время его работы вы отслеживаете аномалии, ошибки или влияние пользователя и реагируете по мере возникновения проблем, не прерывая весь процесс.

Первым шагом к контролю за установкой обновлений на устройствах и их установкой является назначение их соответствующему каналу обслуживания. Можно назначить устройства определенному каналу с любым из нескольких инструментов, включая Microsoft Endpoint Configuration Manager, Windows Server Update Services (WSUS) и параметры групповой политики, применяемые любым из нескольких средств. Разделив устройства на разные группы ("группы развертывания" или "кольца"), можно использовать назначение каналов обслуживания, а затем другие функции управления, такие как политики отсрочки обновления, для создания поэтапного развертывания любого обновления, которое позволяет начинать с ограниченного пилотного развертывания для тестирования перед переходом на широкое развертывание по всей организации.

Канал общей доступности

В канале общего доступа обновления функций выпускаются ежегодно. Пока устройство не задается для отсрочки обновлений функций, любое устройство в этом канале установит обновление функций, как только оно будет выпущено. Если вы используете Windows для бизнеса, канал предоставляет три месяца дополнительного общего времени развертывания, прежде чем потребуется обновить до следующего выпуска.

Программа предварительной оценки Windows для бизнеса

Предварительные выпуски предварительного предварительного просмотра доступны во время разработки функций, которые будут отправлены в следующем обновлении функций, что позволяет организациям проверять новые функции и совместимость с существующими приложениями и инфраструктурой, обеспечивая обратную связь с Корпорацией Майкрософт по любым встречам. Существует три варианта в программе Windows для бизнеса:

  • Windows Insider Dev
  • Windows бета-версия
  • Программа Windows Insider Release Preview

Рекомендуется использовать канал предварительного просмотра Windows предварительного просмотра для проверки.

Long-term Servicing Channel

Канал долгосрочного обслуживания предназначен для использования только для специализированных устройств (которые обычно не работают Office), например для управления медицинским оборудованием или банкоматами. Устройства на этом канале получают новые выпуски функций каждые два-три года. Служба LTSC выпускает специальное издание Windows 10 LTSC и доступно только через Центр лицензирования томов Майкрософт.

Канал общей доступности является каналом обслуживания по умолчанию для всех Windows, за исключением устройств с установленным выпуском LTSC. В следующей таблице показаны каналы обслуживания, доступные каждому выпуску.

Выпуск Канал общей доступности Программа предварительной оценки Long-Term Servicing Channel
Домашняя Да.
 Нет
 Нет
Pro Да.
 Да
 Нет
Корпоративная Да.
 Да
 Нет
Корпоративная LTSC Нет.
 Нет
 Да
Pro для образовательных учреждений Да.
 Да
 Нет
Education Да.
 Да
 Нет

Средства обслуживания

Средства для локальной доставки обновления

Windows Server Update Services (WSUS): вы создали сервер WSUS, который массово скачивает обновления из Microsoft. Затем отдельные устройства подключаются к серверу для установки обновлений.

Вы можете настроить, управлять и управлять процессом сервера и обновления с помощью нескольких средств:

  • Автономный Windows Server Update Services работает напрямую
  • Инструменты, не в microsoft

Средства для доставки обновлений на облачной основе

Отдельные устройства подключаются непосредственно к конечным точкам Майкрософт для получения обновлений. Сведения об этом процессе (как часто устройства загружают обновления различных видов, из каких каналов, отложений и сведения об опыте установки пользователей) устанавливаются на устройствах с помощью политик групповой политики или MDM, которые можно контролировать с помощью любого из нескольких инструментов:

Гибридные сценарии

Кроме того, можно объединить локальное распространение обновлений на основе WSUS с облачной доставкой обновлений.

Материалы по системному и сетевому администрированию, информационной безопасности, администрированию баз данных и бизнес аналитике (BI).

четверг, 6 июня 2019 г.

Категории обновлений Windows


Сегодня мы поговорим о различных типах обновлений Windows.

  • Критические обновления (Critical Update).
  • Обновления безопасности (Security Update).
  • Обновления определений (Definition Update).
  • Накопительные обновления (Update Rollup).
  • Пакеты обслуживания (Service Pack).
  • Инструменты (Tool).
  • Пакеты возможностей (Feature Pack).
  • Обновления (Update).

Каждое обновление безопасности также имеет индекс объяснения (Exploration Index), который не предоставлен пользователю в Windows Update или WSUS.

Основное непонимание категорий связанно с отображением категорий обновлений во WSUS, Windows Update и реже MBSA.

Windows Server Update Services (WSUS).


Центр обновления Windows (Windows Update).

Центр обновления Windows (Windows Update) отображает упрощенные категории для конечного пользователя, которому, как правило, не требуется знать о рейтинге серьезности (Severity) или типе обновления:


На диаграмме ниже отображаются более точная диаграмма упрощения типов, используемая центром обновления Windows (Windows Update) в панели управления (Control Panel):

P.S. Надеюсь, данный пост помог понять основные отличия категорий обновлений (Categories) от уровня серьезности (Severity Level). В следующий раз я расскажу про изменения Центра обновления Windows в Windows 10.

Не следует путать критические обновления (Critical Updates), которые исправляют критические ошибки, не связанные с безопасностью и критические обновления безопасности (Critical Security Updates), которые исправляют критические угрозы безопасности.

Также не следует путать важные (Important) обновления, которые отображаются в центре обновления Windows (Windows Update) и включают все обновления безопасности (Security Updates) не зависимо от уровня серьезности (Severity Level), а также другие категории обновлений, такие как критические обновления (Critical Updates), обновления определений (Definition Updates) и так далее.

В этом руководстве я объясню в чем разница между этими двумя типами обновлений.

Начиная с Windows 10 компания Microsoft представила нам новый сервис обновлений ПО. Вместо того, чтобы каждый раз выпускать новую ОС каждые 3 года, компания начала выпускать "Обновления компонентов". Все новые функции появляются именно в этом обновлении. Таким образом нам больше не придется ждать выпуска новой версии ОС, чтобы получить значительное улучшение и добавление новых функции в этой ОС.

Что такое Обновления компонентов?

Эти обновления выходят примерно дважды в год. На данный момент они устанавливаются осенью и весной.

Такие обновления содержат в себе большой набор различных улучшений, такие как изменение дизайна, переработка или добавление функций, улучшение работы системы и безопасности. Перед выпуском такие обновления тщательно тестируются пользователями по всему миру. Кстати вы тоже можете поучаствовать в тестировании. Для этого найдите в настройках пункт "Программа предварительной оценки Windows".

Такие обновления требуют значительного времени, так как система устанавливается заново, а само обновление занимает около 3-4 ГБ.

Что такое Исправления?

Это обновления безопасности. Они выходят ежемесячно, иногда чаще. Содержать некоторые улучшения функций и багов. В отличии по предыдущего типа, такие обновления скачиваются и устанавливаются намного быстрее, так как не требуют полной переустановки. Однако и новых дополнительных функций они не несут.

Такие обновления нельзя отложить, они будут устанавливаться в любом случае, так как важны для стабильной работы системы.

Что важнее?

Оба типа обновлений важны для системы. Однако если вы консерватор и не хотите видеть новых функций, для вас стабильность превыше всего, тогда можете отключить обновления компонентов. Как сделать написано в статье "Как отключить обновления Windows 10".

Пишите свои вопросы в комментариях. Ставьте лайки и не забудьте подписаться. :)

Читайте также: