Windows update for business что это

Обновлено: 07.07.2024

На новом грандиозном ИТ-мероприятии Microsoft, Ignite, было объявлено о выпуске новой технологии обновления для бизнеса. Цель сего новшества — помочь компаниям управлять обновлениями Windows 10. Объявление о Windows Update for Business — важное событие, произошедшее в то время, когда о службе мало что было известно, кроме амбициозных планов распространения, периодов обслуживания, сведений об одноранговой доставке и интеграции с существующими инструментами. Но благодаря посещению штаб-квартиры Microsoft в Редмонде и нескольким беседам со специалистами круг моих знаний расширился. Вокруг Windows Update for Business существовало так много ложных представлений, которые даже излагались в недавно опубликованных статьях, что мне захотелось разобраться во всем самому.

Ко времени объявления о Windows Update for Business операционная система Windows 10 оставалась на начальных стадиях развития в рамках бета-программы Windows Insider и еще не имела официального статуса. Но по сравнению с Windows 10 того времени служба Windows Update for Business находилась едва ли в младенческом возрасте. В Microsoft мне рассказали, что сама идея Windows Update for Business появилась всего за пару недель до объявления на мероприятии Ignite. За прошедший после этого месяц у разработчиков Microsoft было дополнительное время для совершенствования планов в отношении Windows Update for Business. Но, как и сама Windows 10, проект продолжит развиваться.

Сразу надо пояснить, что Windows Update for Business — не продукт. То, что заявление было сделано на конференции Ignite, и способ объявления представлялись явным указанием на то, что Microsoft работает над выпуском настоящего продукта. И это первое заблуждение, которое, похоже, охватило нас всех.

Поэтому, несмотря на публикации и слухи, продукт Windows Update for Business не будет выпущен в этом году.

Windows Update for Business — это набор компонентов в составе Windows 10, призванный усовершенствовать процесс обновления в соответствии с новой моделью «Windows как служба». Частота и скорость обновлений операционной системы Windows 10 увеличились, поэтому Microsoft нуждается в решении, которое помогло бы компаниям управлять обновлениями. С появлением Windows 10 значительно изменился способ доставки компонентов самой операционной системы, поэтому необходимо изменить и способы применения дополнительных обновлений.

Два компонента Windows Update for Business уже доступны в открытой сборке Windows 10. Таким образом, заложена основа для дополнительной функциональности в будущем.

Что можно использовать сегодня

Два компонента Windows Update for Business реализованы в Windows 10, и в следующем крупном обновлении, которое должно быть выпущено в 2015 году, их число увеличится.

Доступные на сегодня компоненты:

Defer updates (часть плана обслуживания Current Branch for Business). Когда вы откладываете обновления, новые компоненты Windows не загружаются и не устанавливаются в течение нескольких месяцев, при этом обновления безопасности не затрагиваются. Обратите внимание, что задержка обновлений не позволит получить новейшие функции Windows сразу после их появления.
Windows Update Delivery Optimization (одноранговый механизм обновления). Windows Update Delivery Optimization позволяет получать обновления Windows и приложения Windows Store из других источников, помимо Microsoft. В результате можно будет быстрее получать обновления и приложения через ограниченные или ненадежные интернет-соединения. Владельцы двух или нескольких компьютеров смогут снизить полосу пропускания сети, необходимую для обновления всех компьютеров. Delivery Optimization также передает обновления и приложения с одного компьютера на другой по локальной сети или через Интернет.

Эти два компонента выглядят довольно скромно, но они составляют основу плана Microsoft.

Целевая аудитория

Компоненты Windows Update for Business будут доступны для использования в редакциях Windows 10 Pro и Корпоративная, подключенных к домену и управляемых через существующие решения доставки исправлений на основе WSUS (то есть WSUS, Enterprise Mobility Suite, System Center Configuration Manager и т. д.). Windows Update for Business предназначается на клиентов из сферы бизнеса, которым нужны более проработанные средства управления обновлениями Windows 10.

Планы на будущее

Как и Windows 10, компоненты для Windows Update for Business постоянно совершенствуются. Дополнительные функции должны появиться в ноябре, когда будет готово следующее крупное обновление Windows 10. Пока не ясно, как много дополнительных функций будет доступно, но об этом мы узнаем уже скоро. Джим Альков обещал, что новые функции войдут в сборку Windows Insider, до выпуска которой осталось совсем немного. Не стоит думать, что следующий набор компонентов будет последним. Microsoft чрезвычайно серьезно относится к отзывам потребителей. В своем отчете об изменениях в стратегии Microsoft я отмечал, что компания активно прислушивается к мнению клиентов и более не считает, что ей все известно о нуждах потребителей. Новые функции наверняка продолжат совершенствоваться, и дополнительные возможности будут внедряться по запросам пользователей.

Есть неофициальные сведения, что может потребоваться до двух лет, чтобы набор функций Windows Update for Business приобрел окончательный вид. Но по мере развития Windows 10 неизбежно будет изменяться и механизм Windows Update for Business.

Кроме того, можно предположить, что системы доставки обновлений Microsoft (WSUS, Configuration Manager и Enterprise Management Suite) со временем будут усовершенствованы, чтобы полнее использовать достоинства новых функций Windows 10. Microsoft обещает тесную интеграцию с существующими системами, поэтому их можно будет по-прежнему использовать как единый центр для управления системами. Уже известно, что готовится к выпуску новая версия System Center Configuration Manager, но в то же время есть сведения, что службы WSUS также будут обновлены. В ближайшем будущем службы WSUS должны обеспечить переход на запланированный на осень 2015 года выпуск Windows 10.

Официальное заявление Microsoft о Windows Update for Business

Windows Update for Business — группа компонентов, которые помогут клиентам из сферы бизнеса своевременно обновлять и надежно защитить устройства через соединение с Windows Update. Клиенты могут зарегистрироваться в плане обслуживания Current Branch for Business, а также воспользоваться преимуществами оптимизации доставки из центра обновления Windows. Windows Update for Business позволяет сократить затраты на управление, контролировать развертывание обновлений, быстрее получать обновления безопасности и критически важные исправления, а также незамедлительно получать доступ ко всем новшествам Microsoft.

Итак, мы вряд ли увидим официальный, торжественный выпуск продукта под названием Windows Update for Business, хотя, пожалуй, он нужен, чтобы привлечь пользователей. Вместо этого элементы технологии будут встраиваться непосредственно в Windows 10 и поставляться постепенно, что позволит компаниям более эффективно использовать уже имеющиеся технологии обновления (Windows Update, Enterprise Mobility Suite, WSUS, System Center Configuration Manager).

Если все пойдет хорошо, текущие процессы обновления не претерпят серьезных изменений. Просто у потребителя появится больше удобных вариантов, чтобы обеспечить надежную защиту и полноту функциональности Windows 10.

«ЮниКредит Банк» использует DeviceLock для защиты от утечек информации

Уже почти 5 лет «ЮниКредит Банк» успешно использует программный комплекс DeviceLock DLP Suite для обеспечения защиты конфиденциальной информации. Внедрение DeviceLock в банке потребовало относительно небольших затрат ресурсов, а простота настройки в совокупности с оперативностью работы службы технической поддержки DeviceLock позволили в достаточно короткие сроки ввести решение в эксплуатацию. Для эффективной эксплуатации системы в банке были своевременно созданы регламентирующие документы, а также регулярно проводится инструктаж пользователей и сотрудников службы технической поддержки.

Как рассказал начальник отдела информационной безопасности «ЮниКредит Банка» Иван Маршев, требования бизнеса к гибкости механизмов контроля информационных потоков в сочетании с требованиями регуляторов подтолкнули руководство банка к принятию дополнительных мер в обеспечении информационной безопасности в части предотвращения утечек данных через подключаемые устройства и носители данных: «В 2010 году по результатам сравнительной оценки стоимости и функциональных возможностей был выбран и с тех пор успешно эксплуатируется российский программный продукт DeviceLock».

В 2011 году «ЮниКредит Банк» присоединился к стандарту Банка России СТО БР ИББС. Банк проводит оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС, требованиям закона ФЗ-161 «О национальной платежной системе» и других регламентирующих данный вопрос документов.

АО «ЮниКредит Банк» — это коммерческий банк, работающий в России с 1989 года. Он является крупнейшим российским банком с иностранным участием и стоит на 10-м месте в рейтинге Интерфакс-100 по объему активов по результатам 2014 года. «ЮниКредит Банк» занимает сильные позиции на российском рынке корпоративных банковских услуг и одновременно входит в число ведущих банков на рынке финансовых услуг для частных клиентов.

Windows Обновление для бизнеса — это бесплатная служба, доступная для всех выпусков премиум-класса, включая выпуски Windows 10 и Windows 11 Pro, Enterprise, Pro для рабочих станций и образовательных выпусков.

Windows Обновление для бизнеса позволяет ИТ-администраторам поддерживать Windows клиентских устройств в своей организации всегда в курсе последних функций безопасности и Windows, непосредственно подключив эти системы к службе Windows Update. Можно использовать решения групповой политики или управления мобильными устройствами (MDM), такие как Microsoft Intune, чтобы настроить параметры обновления Windows для бизнеса, которые контролируют, как и когда обновляются устройства.

В частности, Windows update for Business позволяет управлять предложениями и опытом обновления, чтобы обеспечить надежность и тестирование производительности на подмножество устройств перед развертыванием обновлений в организации. Он также предоставляет положительный опыт обновления для людей в вашей организации.

Что можно сделать с Windows для бизнеса?

Windows Обновление для бизнеса позволяет коммерческим клиентам управлять тем, какие Windows обновления получаются при их приеме, а также при их приеме на устройстве.

Вы можете управлять Windows обновлениями для бизнеса с помощью средств управления мобильными устройствами (MDM), таких как Microsoft Intune или средств управления групповой политикой, таких как местная политика группы или консоль управления групповой политикой (GPMC), а также различные другие средства управления, не в составе Microsoft. MDMs используют политики поставщика служб конфигурации (CSP) вместо групповой политики. Intune дополнительно использует облачные политики. Не все политики доступны во всех форматах (CSP, Group Policy или Cloud policy).

Управление развертыванием Windows обновлений

С помощью Windows update for Business вы можете управлять типами обновлений Windows, предлагаемых устройствам в вашей экосистеме, при применении обновлений и развертыванием на устройствах в организации в волнах.

Управление предлагаемыми обновлениями

Windows Обновление для бизнеса позволяет ИТ-администратору получать и управлять различными типами Windows обновлений.

Типы обновлений, управляемых Windows для бизнеса

Windows Обновление для бизнеса предоставляет политики управления для нескольких типов обновлений для Windows 10 устройств:

Обновления функций: Ранее именуемые "обновлениями", обновления функций содержат не только изменения безопасности и качества, но и значительные дополнения и изменения функций. Обновления функций выпускаются, как только они становятся доступными.
Обновления качества: Обновления качества — это традиционные обновления операционной системы, которые обычно выпускаются во второй вторник каждого месяца (хотя они могут быть выпущены в любое время). К ним относятся обновления для системы безопасности, драйверов и критические обновления. Windows Обновление для бизнеса также относится к Windows обновлениям (например, обновлениям для Microsoft Office или Visual Studio) в качестве обновлений качества. Эти не Windows обновления известны как "Обновления Майкрософт", и вы можете настроить устройства для получения таких обновлений (или нет) вместе с их Windows обновлениями.
Обновления драйвера: Обновления для драйверов, не в microsoft, которые имеют отношение к вашим устройствам. Обновления драйверов находятся в режиме обновления по умолчанию, но вы можете использовать Windows обновления для бизнес-политик, чтобы отключить их, если вы хотите.
Обновления продуктовМайкрософт: обновления для других продуктов Майкрософт, например версий Office, установленных с помощью Windows установки (MSI). Версии веб-Office, установленные с помощью click-to-Run, не могут обновляться с помощью Windows обновления для бизнеса. Обновления продукта отключены по умолчанию. Их можно включить с помощью Windows обновления для бизнеса.

Предложение

Вы можете контролировать, когда применяются обновления, например, откладывая установку обновления на устройстве или прио паузу обновлений на определенный период.

Управление при предлагаемых обновлениях

Можно отложить или приостановить установку обновлений в течение определенного периода времени.

Уровень готовности филиала позволяет администраторам указать, какой канал обновлений функций они хотят получать. Сегодня существуют параметры уровня готовности филиалов как для предварительного выпуска, так и для выпуска обновлений:

Windows Insider Dev
Windows Бета-версия insider
Windows Insider Preview
Канал общей доступности

Отсрочка обновления

Администратор Windows для бизнеса может отложить установку обновлений функций и качества с развертывания на устройства в ограниченный диапазон времени с тех пор, когда эти обновления впервые будут доступны в службе Windows Update. Эту отсрочку можно использовать для проверки развертывания по мере их переноса на устройства. Отсрочки работают, позволяя указать количество дней после выпуска обновления, прежде чем оно будет предложено устройству. То есть, если вы установите срок отсрочки обновления функций в 365 дней, устройство не установит обновление функций, которое было выпущено менее 365 дней. Чтобы отложить обновления функций, используйте политику Select when Preview Builds and feature updates are Received.

Категория	Максимальный период отсрочки
Обновления компонентов	365 дней
Исправления	30 дней
Неоткладываемые	нет

Приостановка обновления

При обнаружении проблемы при развертывании обновления функции или качества ИТ-администратор может приостановить обновление на 35 дней с указанной даты начала, чтобы предотвратить его установку другими устройствами до решения проблемы. Если приостановить обновление функций, устройствам по-прежнему предлагаются качественные обновления для обеспечения их безопасности. Период паузы для обновлений функций и качества рассчитывается с назначенной даты начала.

Чтобы приостановить обновления функций, используйте политику Select when Preview Builds and feature updates are Received, а для приостановки обновления качества используйте политику Select when Quality Updates are Received. Дополнительные сведения см. в дополнительных сведениях о обновлениях функций Pause и о качестве паузы.

Встроенные преимущества. При обновлении с Windows Update вы получаете дополнительные преимущества встроенных проверок совместимости, чтобы предотвратить плохое обновление для устройства, а также проверку, чтобы предотвратить повторные откаты.

Управление пользовательским интерфейсом при получении Windows обновлений

Windows Обновление для бизнеса предоставляет элементы управления, которые помогут соответствовать стандартам безопасности организации, а также предоставляют отличный интерфейс для конечных пользователей. Мы делаем это, позволяя вам устанавливать автоматические обновления в периоды, которые хорошо работают для людей в вашей организации, и устанавливать сроки для обновления качества и функций. Поскольку Windows update включает встроенный интеллект, для управления пользовательским опытом лучше использовать меньше элементов управления.

Обновление базового плана

Большое количество предлагаемых политик может ошеломить. Update Baseline предоставляет четкий список рекомендуемых параметров политики Windows для ИТ-администраторов, которые хотят наилучшего пользовательского интерфейса, а также достижения целей соответствия требованиям к обновлению. Базовый параметр обновления для Windows 10 содержит рекомендации по настройкам политик, охватывающим конфигурацию крайних сроков, поведение перезагрузки, политики питания и другие.

Набор базовых обновлений упрощает применение ИТ-администраторами базового обновления к устройствам. Набор базовых обновлений можно получить в Центре загрузки.

Набор базовых обновлений доступен только для групповой политики. Обновление базовой версии не влияет на политики предложения, независимо от того, используете ли вы отсрочки или целевую версию для управления обновлениями, которые предлагаются вашим устройствам, когда. Обновление Базовое в настоящее время не поддерживается для Windows 11.

Отвечаете ли вы за единственный ПК с Windows 10, или за тысячи, трудности с управлением обновлениями у вас одни и те же. Ваша цель – быстро устанавливать обновления, связанные с безопасностью, по-умному работать с обновлениями компонентов, и предотвращать падение продуктивности из-за неожиданных перезагрузок

Есть ли у вашего предприятия всеобъемлющий план работы с обновлениями Windows 10? Есть соблазн считать эти скачивания периодическими помехами, от которых нужно избавляться сразу, как только они появляются. Однако реактивный подход к обновлениям – это рецепт разочарований и снижения продуктивности.

Вместо этого можно создать стратегию управления для тестирования и внедрения обновлений, чтобы этот процесс стал настолько же повседневным, как отправка счетов или ежемесячное подведение бухгалтерских итогов.

В статье указана вся информация, необходимая для понимания того, как Microsoft отправляет обновления на устройства под управлением Windows 10, а также детали по поводу инструментов и техник, которые можно использовать для умного управления этими обновлениями на устройствах под управлением Windows 10 версий Pro, Enterprise или Education. (Windows 10 Home поддерживает лишь самые базовые возможности управления обновлениями и непригодна для использования в бизнес-среде).

Но перед тем, как перейти к любому из этих инструментов, вам понадобится план.

Что написано в ваших правилах обновления?

Смысл правил обновления в том, чтобы сделать процесс обновления предсказуемым, определить процедуры предупреждения пользователей, чтобы те могли соответственно планировать свою работу и избежать неожиданного простоя. Также в правила входят протоколы обработки неожиданных проблем, включая откат с неудачно вставших обновлений.

Разумные правила обновлений отводят определённое время на работу с обновлениями ежемесячно. В небольшой организации этой цели может служить специальное окошко в графике обслуживания каждого ПК. В крупных организациях универсальные решения уже вряд ли сработают, и в них нужно будет делить всю популяцию ПК на группы обновлений (в Microsoft их называют «кольцами»), в каждой из которых будет своя стратегия обновлений.

Правила должны описывать несколько различных типов обновлений. Наиболее понятный тип – ежемесячные кумулятивные обновления безопасности и надёжности, которые выходят во второй вторник каждого месяца («вторник патчей»). В этом релизе обычно присутствует Windows Malicious Software Removal Tool, а также могут быть и любые из следующих типов обновлений:

В зависимости от производителя ПК, драйверы оборудования и прошивки тоже могут распространяться по каналу Windows Update. Можно отказаться от этого или же управляться с ними по тем же схемам, что и с другими обновлениями.

Наконец, через Windows Update распространяются и обновления компонентов [feature updates]. Эти крупные пакеты обновляют Windows 10 до последней версии, и выходят каждые шесть месяцев для всех редакций Windows 10, кроме долгосрочного канала обслуживания Long Term Servicing Channel (LTSC). Отложить установку обновлений компонентов можно при помощи Windows Update for Business на срок до 365 дней; для редакций Enterprise и Education возможна дальнейшая отсрочка установки на срок до 30 месяцев.

Учитывая всё это, можно начинать составлять правила обновлений, куда должны входить следующие элементы для каждого из обслуживаемых ПК:

Срок установки ежемесячных обновлений. По умолчанию в Windows 10 ежемесячные обновления скачиваются и устанавливаются в течение 24 часов после их выхода во «вторник патчей». Можно откладывать скачивание этих обновлений для некоторых или всех ПК в компании, чтобы у вас было время проверить их на совместимость; эта задержка также позволяет вам избежать проблем в случае, когда Microsoft обнаруживает проблему с обновлением после выхода, как это уже много раз случалось с Windows 10.
Срок установки полугодовых обновлений компонентов. При настройках по умолчанию обновления компонентов скачиваются и устанавливаются тогда, когда Microsoft считает, что они готовы. На устройстве, которое Microsoft посчитали подходящим для обновления, обновления компонентов могут появиться через несколько дней после выхода. На других устройствах обновления компонентов могут появиться через несколько месяцев, или их вообще могут заблокировать из-за проблем с совместимостью. Можно установить задержку для некоторых или для всех ПК в организации, чтобы получить время на проверку нового релиза. Начиная с версии 1903, пользователям ПК предложат обновления компонентов, однако команды на скачивание и установку их будут давать только сами пользователи.
Когда разрешать ПК перезапускаться для завершения установки обновлений: большая часть обновлений требует перезапуска для завершения установки. Этот перезапуск происходит вне промежутка «периода активности» с 8 до 17 часов; эту настройку можно поменять по желанию, продлив длительность интервала до 18 часов. Инструменты управления позволяют назначить определённое время для скачивания и установки обновлений.
Как уведомлять пользователей о наличии обновлений и перезапуске: во избежание неприятных сюрпризов, Windows 10 уведомляет пользователей о наличии обновлений. Управление этими уведомлениями в настройках Windows 10 ограничено. Гораздо больше настроек доступно в «групповых политиках».
Иногда Microsoft выпускает критически важные обновления безопасности вне обычного графика «вторников патчей». Обычно это нужно для исправления недочётов в безопасности, которыми злонамеренно пользуются третьи лица. Ускорять ли применение таких обновлений или ждать следующего окна в графике?
Что делать с неудачными обновлениями: если обновлению не удалось встать правильно, или оно вызывает проблемы, что вы будете делать в этом случае?

Ручное управление обновлениями

Сначала выберите «Изменить период активности» и подправьте настройки, чтобы они соответствовали вашим рабочим привычкам. Если вы обычно работаете по вечерам, можно избежать простоя, настроив эти значения с 18 до полуночи, в результате чего запланированные перезапуски будут происходить по утрам.

Затем выберите «Дополнительные параметры» и настройку «Выберите, когда устанавливать обновления», прописав её в соответствии с вашими правилами:

Выберите, на сколько дней задерживать установку обновлений компонентов. Максимальное значение – 365.
Выберите, на сколько дней задерживать установку обновлений качества, включая кумулятивные обновления безопасности, выходящие по «вторникам патчей». Максимальное значение – 30 дней.

До версии Windows 10 1903 там была ещё настройка выбора канала – полугодового, или же целевого полугодового. Её убрали в версии 1903, а в более старых версиях она просто не работает.

Конечно, смысл задержки обновлений не в том, чтобы просто отлынивать от этого процесса, а потом удивить пользователей чуть позже. Если вы, к примеру, назначаете задержку установки обновлений качества на 15 дней, вам нужно использовать это время на проверку обновлений на совместимость, и запланировать в графике окошко на техобслуживание на удобное время перед тем, как этот период окончится.

Управление обновлениями через Групповые политики

Все упомянутые ручные настройки можно применять и через групповые политики, а в полном списке политик, связанных с обновлениями Windows 10, настроек куда как больше, чем тех, что доступны в обычных ручных настройках.

Их можно применять к отдельным ПК при помощи редактора локальной групповой политики Gpedit.msc, или при помощи скриптов. Но чаще всего их используют в домене Windows с Active Directory, где можно управлять комбинациями политик на группах ПК.

Значительное количество политик используется исключительно в Windows 10. Наиболее важные из них связаны с «Обновлениями Windows для бизнеса», расположенными в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса.

Выберите, когда получать предварительные сборки – канал и задержки для обновлений компонентов.
Выберите, когда получать обновления качества – задержки ежемесячных кумулятивных обновлений и других обновлений, связанных с безопасностью.
Управляйте предварительными сборками: когда пользователь может подключить машину к программе Windows Insider и определите кольцо инсайдеров.

Удалить доступ к функции приостановки обновлений, что не даст пользователям мешать установке, задерживая её на 35 дней.
Удалить доступ ко всем настройкам обновлений.
Разрешить автоматическое скачивание обновлений на соединениях с учётом трафика.
Не скачивать вместе с обновлениями драйвера.

Отключить автоматическую перезагрузку для обновлений во время периода активности.
Указать диапазон периода активности для автоматического перезапуска.
Указать крайний срок для автоматического перезапуска с целью установки обновлений (от 2 до 14 дней).
Настроить уведомления с напоминанием об автоматическом перезапуске: увеличить время, за которое пользователя предупреждают об этом (от 15 до 240 минут).
Отключить уведомления об автоматическом перезапуске с целью установки обновлений.
Настроить уведомление об автоматическом перезапуске так, чтобы оно не исчезало автоматически через 25 сек.
Не разрешать политикам задержки получения обновлений инициировать сканирование в Центре обновления Windows: эта политика запрещает ПК проверять обновления, если назначена задержка.
Разрешить пользователям управлять временем перезапуска и откладывать уведомления.
Настроить уведомления об обновлениях (появление уведомлений, от 4 до 24 часов), и предупреждений о неминуемом перезапуске (от 15 до 60 минут).
Обновление политики электропитания для перезапуска корзины (настройка для образовательных систем, позволяющая обновляться даже при питании от батареи).
Выводить настройки уведомлений об обновлениях: позволяет запретить уведомления об обновлениях.

Настройка автоматического обновления: эта группа настроек позволяет выбрать еженедельный, раз в две недели или ежемесячный график обновлений, включая день неделе и время для автоматического скачивания и установки обновлений.
Указать размещение службы обновлений Microsoft в интрасети: настроить сервер Windows Server Update Services (WSUS) в домене.
Разрешить клиенту присоединяться к целевой группе: администраторы могут использовать группы безопасности Active Directory для определения колец развёртывания WSUS.
Не подключаться к расположениям Центра обновления Windows в интернете: запретить ПК, работающим с местным сервером обновления, связываться с внешними серверами обновлений.
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений.
Всегда автоматически перезапускать систему в запланированное время.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи.

Инструменты работы в крупных организациях (Enterprise)

Крупные организации с сетевой инфраструктурой Windows могут обойти сервера обновления Microsoft и развёртывать обновления с местного сервера. Это требует повышенного внимания со стороны корпоративного IT-отдела, но добавляет компании гибкости. Два самых популярных варианта – это Windows Server Update Services (WSUS) и System Center Configuration Manager (SCCM).

Сервер WSUS устроен проще. Он работает в роли Windows Server и обеспечивает централизованное хранение обновлений Windows в организации. Используя групповые политики, администратор направляет ПК с Windows 10 на сервер WSUS, служащий единственным источником файлов для всей организации. С его консоли администратора можно одобрять обновления, выбирать, когда их ставить на отдельные ПК или группы ПК. ПК можно вручную привязывать к разным группам, или можно использовать выбор целей на стороне клиента для развёртывания обновлений на основе существующих групп безопасности Active Directory.

Поскольку кумулятивные обновления Windows 10 растут всё сильнее с каждым новым выпуском, они могут занимать значительную часть пропускной способности каналов связи. Сервера WSUS экономят трафик, используя Express Installation Files – это требует больше свободного места на севере, но значительно уменьшает размер файлов обновления, отправляемых на клиентские ПК.

На серверах версий WSUS 4.0 и далее можно также управлять обновлениями компонентов Windows 10.

Второй вариант, System Center Configuration Manager использует богатый по возможностям Configuration Manager for Windows совместно с WSUS для развёртывания обновлений качества и обновлений компонентов. Панель управления позволяет администраторам сети отслеживать использование Windows 10 во всей сети и создавать планы обслуживания на основе групп, включающие информацию по всем ПК, приближающимся к завершению своего цикла поддержки.

Если в организации уже установлен Configuration Manager для работы с более ранними версиями Windows, то добавить в него поддержку Windows 10 будет достаточно просто.

На конференции Ignite я поделился радостной новостью: мы создали Центр обновления Windows для бизнеса. С его помощью ИТ-специалисты смогут регулярно обновлять свои устройства Windows, устанавливая на них новейшие пакеты безопасности и возможностей Windows. Центр обновления Windows для бизнеса станет бесплатным сервисом для всех устройств, на которых установлена Windows Профессиональная и Корпоративная. В этом посте я хочу рассказать, в чем заключается уникальность этого сервиса и почему он так важен в рамках современных экосистем смарт-устройств.

Сервис, о котором мы объявили, стал результатом работы, начавшейся в сентябре, когда мы впервые представили Windows 10 для бизнеса. С тех пор мы рассказывали о других главах из истории Windows 10 для бизнеса, делая упор на безопасность, развертывание, управляемость и многое другое. И конечно, в основе всего этого — функционал Windows 10 для пользователей, расширяющий их возможности. Меню «Пуск», новый Центр поддержки, Континуум, Windows Hello и, разумеется, Кортана (вскоре вы сможете увидеть демонстрацию, в которой Джо Бельфиоре показывал возможности Кортана: пользователь сможет задавать вопросы на обычном языке и экстраполировать ответы из Power BI. Она будет размещена здесь).

Текущее положение дел в области безопасности

При этом, однако, ключевой приоритет в области проектирования Windows 10 — подготовить систему к работе в сложной среде, полной угроз безопасности высочайшего уровня. Безопасность Windows 10 охватывает все аспекты:

Защита устройств. Прежде всего, это аппаратная технология безопасной загрузки: она дает гарантию, что при включении устройства загрузится только надежное ПО. Также сюда относится новая функция Windows 10 Device Guard . Она разрешает запускать приложения только из надежных источников, включая Магазин Windows для бизнеса. Защиту Device Guard делает еще надежнее аппаратная изоляция Hyper-V, помогающая противостоять программным угрозам. Кроме того, Windows 10 включает новую функцию проверки работоспособности устройств, с помощью которой предприятия и веб-сайты смогут ограничивать доступ к сервисам. Так, к ним будут обращаться только те пользователи, чьи устройства работают нормально, содержат все нужные обновления и соответствуют необходимым требованиям.
Защита учетных данных. Функция Microsoft Passport, доступная в Windows 10 и работающая на основе аппаратной изоляции Hyper-V, защищает учетные данные пользователя и безопасно проверяет их подлинность на веб-сайтах и в сетях, не отправляя им пароль. Благодаря технологии Microsoft Passport пароль нельзя украсть с помощью фишинга у пользователя или с сервера, где он хранится. Теперь предприятия смогут навсегда забыть об атаках передачи хэша. И конечно, стоит упомянуть и Windows Hello, которая максимально упрощает биометрическую аутентификацию.
Защита приложений. Магазин Windows для бизнеса сертифицирует приложения до распространения, а Device Guard гарантирует, что на корпоративных устройствах будут выполняться только эти сертифицированные приложения.
Защита информации. Функция Windows 10 под названием защита корпоративных данных автоматически шифрует корпоративные приложения, данные, электронную почту, контент веб-сайта и другую конфиденциальную информацию при передаче ее на устройство из корпоративной сети.

Несмотря на все эти методы защиты, факт остается фактом: чтобы защитить свои устройства, прежде всего нужно устанавливать на них последние обновления безопасности. Мы в Майкрософт строго придерживаемся обязательств по обеспечению защиты Windows. Мы изучаем все обнаруженные проблемы безопасности, непрерывно тестируем свое ПО с помощью передовых методов и заранее выпускаем обновления для поддерживаемых устройств, чтобы предотвратить возможные проблемы. И сегодня мы объявляем о том, что этот непрерывный процесс обновления будет распространяться на все устройства под управлением Windows 10, включая телефоны.

Мы берем на себя более серьезные обязательства и гарантируем более обширную поддержку, чем, например, Google по отношению к платформе Android. Они отказываются брать на себя ответственность за обновление устройств клиентов, ежедневно подвергая потребителей и бизнес все более многочисленным и опасным угрозам.

Текущий процесс обновления

Для всех пользователей Windows в сегменте потребителей Центр обновления Windows работает бесплатно. С его помощью мы сегодня управляем более 850 млн самых разнообразных устройств на базе Windows, регулярно предлагая для них обновления безопасности и улучшения функций. В Windows 10 регулярным поставщиком инноваций Windows (помимо традиционных обновлений безопасности) по-прежнему останется Центр обновления Windows.

Коммерческим клиентам Windows мы можем предложить многообразие решений для управления обновлениями. С их помощью компании смогут сами выбирать, какие обновления и когда стоит развертывать на тех или иных устройствах. Коммерческие устройства под управлением Windows обновляются по принципу мэйнфреймов, где самое важное — это надежность и безотказность (иными словами, «пока работает, не трогай»). И сегодня эта возможность активно используется на множестве критически важных устройств под управлением Windows. В Windows 10 мы улучшаем нашу поддержку этих критически важных развертываний: мы предлагаем направления долгосрочного обслуживания Long Term Servicing, которые содержат ТОЛЬКО обновления безопасности без функциональных обновлений.

Однако если вспомнить, что сегодня в бизнесе широко применяются пользовательские устройства, становится ясно, что такой подход не идеален. Приходя на работу, люди хотят пользоваться теми же инновационными возможностями Windows, которые доступны на их потребительских устройствах. А из-за выборочного обновления эти инновации могут развертываться с задержкой. Кроме того, выборочное обновление в обширной инфраструктуре ухудшает качество работы отдельных пользователей, поскольку мы тщательно тестируем платформу как единое целое. Страдают от этого и разработчики: платформа становится более фрагментированной, что мешает инновациям и негативно влияет на качество приложений. И последний, но не менее важный аспект — выборочное обновление обходится дороже и дает дополнительную нагрузку на ИТ-отдел. Поэтому в Windows 10 мы решили внедрить новый подход к обновлению пользовательских устройств на рабочем месте.

Представляем Центр обновления Windows для бизнеса

В Windows 10 мы с гордостью представляем вам новый Центр обновления Windows для бизнеса. Вместе с ИТ-специалистами всего мира мы разрабатывали новые возможности Центра обновления Windows, учитывающие особенности работы пользовательских устройств в корпоративной среде. Итак, Центр обновления Windows для бизнеса включает:

Круги распространения. ИТ-специалисты смогут выбирать, какие устройства будут обновлены в рамках первой волны развертывания, а какие — позднее (когда будут устранены все проблемы с качеством).
Периоды обслуживания. ИТ-специалисты смогут задавать критические периоды, когда должны и не должны выполняться обновления.
Одноранговая доставка. С ее помощью ИТ-специалисты смогут настроить эффективную доставку обновлений в филиалы и на удаленные объекты с ограниченной пропускной способностью сети.
Интеграция с существующими средствами (такими как System Center и Enterprise Mobility Suite). Вы сможете по-прежнему управлять всеми системами через единое «окно».

Центр обновления Windows для бизнеса поможет снизить расходы на управление, обеспечит контроль за развертыванием обновлений, ускорит доступ к обновлениям безопасности и даст возможность регулярно получать последние инновации от Майкрософт. Этот сервис будет БЕСПЛАТНЫМ для устройств под управлением Windows Профессиональная и Корпоративная. Он станет компонентом интеллектуального облака Майкрософт: мы будем обновлять и обслуживать ваши устройства Windows, а вы сможете по-прежнему управлять их работой.

В первую очередь это относится к службе автоматического обновления. В зависимости от редакции Windows пользователям доступны различные варианты сервиса (service branches). Слово branch имеет несколько вариантов перевода, из которых наиболее точным (на мой взгляд) является ветвь или ветка. Таким образом, автоматическое обновление в Windows 10 поделено на четыре ветки, о которых и пойдет речь дальше.

Windows Insider Preview Branch

Ветка обновлений для участников программы Windows Insider. Все исправления и обновления безопасности, а также предварительные версии новых функций первым делом попадают в эту ветку. Инсайдеры тестируют новые возможности, после чего принимается решение о том, включать ли их в окончательную версию или нет.

Кстати, Windows Insider Preview Branch доступна не только для редакции Windows 10 Insider Preview. При желании пользователи редакций Pro, Enterprise и Education также могут получать обновления из этой ветки. Для этого надо зарегистрироваться в программе Insider Preview, после чего достаточно зайти в дополнительные настройки центра обновления и включить получение этих обновлений.

Current Branch

После того, как обновления протестированы на кошках участниках программы Windows Insider, они попадают в ветку Current Branch и распространяются на компьютеры через стандартный сервис Windows Update. Это наименее гибкая в плане управления ветка, т.к. все новые фичи, критические исправления и обновления безопасности применяются незамедлительно, без какой либо отсрочки.

Current Branch является единственной доступной веткой для пользователей Windows 10 Home, а также выбрана по умолчанию для редакций Pro, Enterprise и Education. Разница между ними заключается в том, что пользователи старших редакций Windows 10 имеют возможность отказаться от немедленной установки обновлений и отложить их на некоторое время, тогда как на компьютеры с Windows 10 Home все обновления ставятся немедленно, в принудительном порядке.

Current Branch for Business

Эта ветка предназначена для корпоративных пользователей и распространяется через новый сервис Windows Update for Business. В этой ветке можно отложить установку новых функций на срок около 4 месяцев (1 цикл обновления), что позволяет протестировать их перед массовым внедрением в организации. Соответственно устройства, подключенные к ветке CBB, получают новый функционал, который уже опробован и протестирован инсайдерами и домашними пользователями. Уточню, что отложить можно только новые функции, все критические исправления и обновления безопасности применяются регулярно.

Ветка CBB доступна пользователям Windows 10 Pro, Enterprise и Education. Переключиться на нее можно в дополнительных настройках центра обновления, отметив пункт «Отложить обновления», а для централизованного переключения можно воспользоваться групповыми политиками.

Кроме того, корпоративные пользователи для получения обновлений могут использовать сервера WSUS (Windows Server Update Services). WSUS является промежуточной точкой между серверами Windows Update и конечными пользователями и позволяет более гибко и централизованно управлять обновлениями внутри организации. С помощью WSUS можно разделять пользователей на группы и для каждой группы задавать различные циклы и варианты обновлений.

Long Term Servicing Branch

Ветка обновлений, доступная только владельцам Windows 10 Enterprise. LTSB предназначена для наиболее критичных систем, от которых требуется максимальная стабильность. Устройства, подключенные к ветке LTSB, получают только критические исправления и обновления безопасности, игнорируя все остальные обновления вплоть до выхода следующего релиза. Кроме того, у пользователей LTSB есть возможность при необходимости пропускать циклы обновления. Windows 10 Enterprise LTSB гарантирует получение обновлений безопасности без необходимости переходить на новый релиз в течение всего срока поддержки ОС (5 лет основной + 5 лет расширенной поддержки).

Надо сказать, что установка релиза LTSB по сути представляет из себя переход от одного выпуска ОС к другой (напр. Windows 8 -> Windows 8.1) и производится с помощью процедуры обновления на месте (Inplace Upgrade). Microsoft обязуется заранее информировать пользователей о выходе нового релиза, чтобы можно было спланировать его развертывание.

При необходимости устройство можно перевести из ветки LTSB в CBB и наоборот. Сделать это можно так же с помощью Inplace Upgrade либо переустановив ОС поверх (с сохранением всех настроек).

Заключение

Читайте также: