但在触摸任何这些工具之前,您需要一个计划。
您的更新政策中包含哪些内容?
更新策略的目的是使更新过程可预测,并通过程序通知用户,以便他们可以相应地规划工作并避免意外停机。它还包括用于处理意外问题的协议,包括回滚失败的更新。
合理的更新策略留出了每个月处理更新的时间。在小型组织中,这可能是商店中每台PC的指定维护窗口。大型组织不太可能采用“一刀切”的策略,并且可以将其PC群体划分为更新组(Microsoft称之为“响铃”),每个组都有不同的更新策略。
该策略需要解决几种不同类型的更新。
最熟悉的是每月第二个星期二(又名补丁星期二)的每月累积安全性和可靠性更新。补丁星期二版本通常还包括Windows恶意软件删除工具,可能包括以下任何其他类型的更新:
.NET Framework的安全更新
Adobe Flash Player的安全更新
服务堆栈更新(必须在其他更新之前安装)
任何或所有这些更新的安装可延迟最多30天。
根据PC制造商的不同,还可以通过Windows Update提供硬件驱动程序和固件更新。您可以选择退出此类更新,也可以使用适用于其他更新的相同设置对其进行管理。
最后,还通过Windows Update提供功能更新。这些大型软件包将Windows 10更新为最新版本,并且除了长期服务通道(LTSC)版本之外,所有Windows版本每六个月发布一次。您可以使用Windows Update for Business将功能更新的安装延迟最多365天;企业版和教育版可以使用长达30个月的额外延期。
在此背景下,您现在可以开始组装更新策略,该策略应包括每个托管PC的以下元素:
何时安装每月更新:
使用默认Windows设置,每月更新将在星期二补丁发布后的24小时内下载并安装。您可以选择推迟组织中某些或所有PC的这些下载,以便您有时间测试更新的兼容性;如果Microsoft发现更新问题,这种延迟还可以避免受到影响,就像Windows 10多次发生一样。
何时安装半年度功能更新:
使用默认Windows设置,当Microsoft表示已准备就绪时,将下载并安装功能更新。在Microsoft评估的设备上,该设备最适合更新,功能更新可能会在发布后的几天内到达。对于其他设备,功能更新可能会在几个月后到达,或者甚至可能因兼容性问题而被阻止。您可以为组织中的某些或所有PC指定延迟,以便有时间测试新版本。从版本1903开始,非托管PC的用户将获得功能更新,但只有在用户明确请求时才会下载和安装这些功能。
何时允许PC重新启动以完成更新安装:
大多数更新需要重新启动才能完成安装。此重新启动发生在上午8点到下午5点的默认活动时间设置之外;您可以将此设置更改为您选择的时间间隔,最长可达18小时。使用管理工具,您可以设置下载和安装更新的特定时间。
如何通知PC用户挂起的更新和重新启动:
为了避免令人不快的意外,Windows 10会在更新未决时通知用户。您在Windows 10设置中对这些通知的控制有限。使用组策略设置可以获得更多选项。
如何处理带外更新:
有时,Microsoft会在其正常的Patch Tuesday计划之外发布关键安全更新。通常,这些旨在解决“在野外”被利用的安全漏洞。您是否加快了这些更新的部署或等到下一个预定的更新窗口?
如何处理更新失败:
如果更新无法安装或导致问题,您的响应计划是什么?
定义这些元素后,就可以选择管理工具了。
必读:
Windows更新问题:微软揭示了为什么最近的补丁破坏了一些PC
Windows 10 Enterprise客户现在将获得类似Linux的支持
Windows即服务失败:微软让客户陷入困境
微软恢复推出Windows 10版本1809,承诺质量变化
手动管理更新
在非常小的企业中,包括一人商店,手动配置Windows Update很容易。从设置>更新和安全> Windows Update开始。在那里,您可以调整两组设置。
首先,单击“更改活动时间”并调整设置以反映您的实际工作习惯。如果您经常在晚上工作,您可以通过从早上6点到午夜配置这些值来避免停机,从而确保任何预定的重新启动都会在凌晨时分发生。
接下来,单击“高级选项”并调整“安装时更新时选择”标题下的设置以反映您的策略。
选择半年度频道而不是默认的半年度频道(目标)来延迟功能更新的安装,直到Microsoft宣布它们已准备好进行广泛的业务采用(通常至少两个月)。
选择延迟安装功能更新的天数。最大值为365天。
选择延迟安装质量更新的天数,包括补丁星期二发布的累积安全更新。最大值为30天。
此页面上的其他设置控制重新启动通知的显示(默认情况下已启用)以及是否允许在计量连接上下载更新(默认情况下已禁用)。
当然,延迟更新的目的不仅仅是让你的(以及你的用户)在本月晚些时候感到惊讶。例如,如果您为质量更新设置了15天的延迟,则应使用该时间来测试更新的兼容性,并在15天的延期期限到期之前安排维护窗口一段时间。
必读:
常见问题:如何管理Windows 10更新
Windows 10提示:何时应该(并且不应该)暂停更新
使用组策略管理更新
也可以使用组策略应用上一节中列出的所有手动设置,并且与Windows Update相关的组策略设置的完整列表包含许多远远超出“设置”中可用选项的选项。
您可以使用本地组策略编辑器,Gpedit.msc或使用脚本将这些设置应用于各个PC。但最常见的用途是在具有Active Directory的Windows域中,您可以将策略组合推送到PC组。
大量策略专门针对Windows 10.最重要的是与Windows Update for Business功能相关的策略,这些功能位于“计算机配置”>“管理模板”>“Windows组件”>“Windows Update”>“Windows Update for Business”中。
在收到预览构建和功能更新时
选择选择服务通道并设置功能更新的延迟。
选择何时收到质量更新:
设置每月累积更新和其他与安全相关的更新的延迟。
管理预览版本:
指定用户是否可以将计算机加入Windows Insider程序,如果启用,则指定Insider环。
另一组策略位于“计算机配置”>“管理模板”>“Windows组件”>“Windows Update”中。
删除对“暂停更新”功能的访问权限:
通过删除暂停更新最多35天的选项,防止用户干扰更新安装。
删除对所有Windows Update功能的访问权限:
阻止用户更改任何Windows Update设置。
允许通过计量连接自动下载
更新允许使用计量连接(如LTE连接)在设备上安装更新。
不包含Windows更新的驱动程序:
阻止Windows Update安装设备驱动程序。
所有特定于Windows 10的以下设置适用于重新启动和通知:
在活动时间关闭自动重新启动以进行更新:
确保设备在正常工作时间内不重新启动以安装更新。
指定自动重新启动的活动小时范围:
更改默认活动小时数设置。
在更新安装的自动重新启动之前指定截止日期:
选择截止日期(2到14天之间),之后将自动重新启动以应用更新。
为更新配置自动重新启动提醒通知:
在通知用户时,增加计划重新启动之前的时间。可接受的值为15分钟(默认)到240分钟。
关闭更新安装的自动重新启动通知:
完全禁用重新启动通知。
为更新配置自动重新启动所需通知:
防止通知在25秒后消失,而是要求用户解除。
不允许更新延迟策略导致针对Windows Update的扫描:
使用此策略可防止PC在分配延迟时检查Windows Update。
为更新指定参与的重新启动转换和通知计划:
使用此策略允许用户计划重新启动并“暂停”重新启动提醒。
为更新配置自动重新启动警告通知计划:
配置自动重启的提醒(从4到24小时)和即将重启的警告(从15到60分钟)。
更新购物车重新启动的电源政策:
此政策适用于一夜之间保留在购物车上的教育系统,即使使用电池供电也可以安装更新。
显示更新通知的选项:
使用这些设置可以完全禁用更新通知,并选择包含或排除重新启动警告。