Cho dù bạn chịu trách nhiệm cho một máy tính để bàn Windows 10 hoặc hàng ngàn máy tính để bàn trong doanh nghiệp, các thách thứ mà bạn gặp phải trong việc quản lý các bản cập nhật là như nhau. Mục tiêu của bạn là cài đặt các bản cập nhật bảo mật kịp thời, quản lý các bản cập nhật tính năng một cách thông minh và ngăn chặn việc khởi động lại bất ngờ làm giảm năng suất.
Doanh nghiệp của bạn có kế hoạch toàn diện để xử lý các bản cập nhật Windows hay không? Thật không đúng khi nghĩ rằng những tải xuống đó là một sự phiền toái không thường xuyên, sẽ bị xóa đi khi chúng được tải về.
Cách khác là tạo ra một chiến lược quản lý để thử nghiệm và triển khai các bản cập nhật, để quá trình này trở thành thói quen như gửi hóa đơn và đóng sổ sách vào mỗi tháng.
Bài viết này bao gồm tất cả thông tin người dùng cần biết để hiểu cách Microsoft cung cấp các bản cập nhật cho các thiết bị chạy Windows 10, cũng như chi tiết về các công cụ và kỹ thuật người dùng có thể sử dụng để quản lý các bản cập nhật đó một cách thông minh trên các thiết bị chạy phiên bản Windows 10 Pro, Enterprise hoặc Education. (Windows 10 Home không hỗ trợ bất kỳ tính năng quản lý cập nhật nào và không phù hợp để triển khai trong cài đặt doanh nghiệp.
Nhưng trước khi bạn chạm vào bất kỳ công cụ nào, bạn cần có một kế hoạch.
Chính sách cập nhật của bạn là gì?
Quan điểm của chính sách cập nhật là làm cho quá trình cập nhật có thể dự đoán được, với các thủ tục thông báo cho người dùng để họ có thể lập kế hoạch công việc phù hợp và tránh thời gian ngừng hoạt động bất ngờ. Nó cũng bao gồm các giao thức để xử lý các sự cố không mong muốn, bao gồm khôi phục các bản cập nhật thất bại.
Chính sách cập nhật hợp lý dành thời gian để xử lý các cập nhật mỗi tháng. Trong một tổ chức nhỏ, đây có thể là cửa sổ bảo trì được chỉ định cho mọi máy tính để bàn trong doanh nghiệp. Các tổ chức lớn ít có khả năng thực hiện chính sách một kích cỡ phù hợp với tất cả số lượng và sẽ được hưởng lợi từ việc chia số lượng các PC của họ thành các nhóm cập nhật (Microsoft gọi chúng là "ring"), với các chiến lược cập nhật khác nhau cho mỗi nhóm.
Chính sách cần giải quyết một số loại cập nhật riêng biệt.
Quen thuộc nhất là các bản cập nhật bảo mật và độ tin cậy tích lũy hàng tháng được phân phối vào Thứ Ba tuần thứ hai của mỗi tháng (hay còn gọi là Patch Tuesday). Bản phát hành Patch Tuesday thường bao gồm Công cụ loại bỏ phần mềm độc hại của Windows (Windows Malicious Software Removal Tool) và có thể bao gồm bất kỳ loại cập nhật bổ sung nào sau đây:
Việc cài đặt bất kỳ hoặc tất cả các bản cập nhật có thể được hoãn lại trong vòng tối đa 30 ngày.
Tùy thuộc vào nhà sản xuất PC, trình điều khiển phần cứng và cập nhật chương trình cơ sở cũng có thể được phân phối thông qua Windows Update. Bạn có thể chọn không tham gia danh mục cập nhật này hoặc quản lý chúng bằng các cài đặt tương tự áp dụng cho các cập nhật khác.
Cuối cùng, các bản cập nhật tính năng cũng được phân phối qua Windows Update. Các gói lớn này cập nhật Windows 10 lên phiên bản mới nhất và được phát hành sáu tháng một lần cho tất cả các phiên bản Windows ngoại trừ các bản phát hành Kênh phục vụ dài hạn (LTSC - Long Term Servicing Channel). Người dùng có thể trì hoãn cài đặt các bản cập nhật tính năng trong tối đa 365 ngày bằng Windows Update for Business; giới thiệu bổ sung lên đến 30 tháng có sẵn cho các phiên bản Doanh nghiệp và Giáo dục.
Với nền tảng đó, giờ đây bạn có thể bắt đầu lắp ráp chính sách cập nhật, bao gồm các yếu tố sau cho mỗi PC được quản lý:
Sau khi xác định các yếu tố đó, đã đến lúc chọn công cụ quản lý của bạn.
Quản lý cập nhật thủ công
Trong các doanh nghiệp siêu nhỏ, bao gồm các cửa hàng một người, thật dễ dàng để định cấu hình Windows Update thủ công. Bắt đầu tại Cài đặt (Settings) > Cập nhật & Bảo mật (Update & Security) > Cập nhật Windows (Windows Update). Ở đó, bạn có thể điều chỉnh hai nhóm cài đặt.
Đầu tiên, nhấp vào Thay đổi giờ hoạt động (Change Active Hours) và điều chỉnh cài đặt để phản ánh thói quen làm việc thực tế của bạn. Nếu bạn thường xuyên làm việc vào buổi tối, bạn có thể tránh thời gian chết bằng cách định cấu hình các giá trị này từ 6 giờ sáng đến nửa đêm, do đó đảm bảo rằng mọi khởi động lại theo lịch trình xảy ra trong vòng vài giờ của buổi sáng.
Tiếp theo, nhấp vào Tùy chọn nâng cao (Advanced Options) và điều chỉnh cài đặt trong tùy chọn Chọn khi cập nhật được cài đặt (Choose When Updates Are Installed) để phản ánh chính sách của bạn.
Các cài đặt khác trên trang này kiểm soát việc hiển thị các thông báo khởi động lại (theo mặc định) và cho phép các bản cập nhật tải xuống trên các kết nối có đồng hồ đo (tắt theo mặc định).
Tất nhiên, điểm trì hoãn cập nhật không chỉ đơn giản lùi ngày cập nhật để bạn (và người dùng của bạn) có thể cập nhật vào cuối tháng. Ví dụ: nếu bạn đặt độ trễ 15 ngày cho các cập nhật chất lượng, bạn nên sử dụng thời gian đó để kiểm tra các bản cập nhật về tính tương thích và lên lịch cho cửa sổ bảo trì của bạn trong một thời gian thuận tiện trước khi hết thời gian trì hoãn 15 ngày.
Quản lý cập nhật chính sách sử dụng
Tất cả các cài đặt thủ công được liệt kê trong phần trước cũng có thể được áp dụng bằng Chính sách nhóm và danh sách đầy đủ các cài đặt Chính sách nhóm liên quan đến Windows Update bao gồm một số tùy chọn vượt xa những gì có sẵn trong Cài đặt.
Người dùng có thể áp dụng các cài đặt này cho các PC riêng lẻ bằng Trình chỉnh sửa chính sách nhóm cục bộ (Local Group Policy Editor), Gpedit.msc hoặc sử dụng tập lệnh. Nhưng việc sử dụng phổ biến nhất là trong một miền Windows với Active Directory, nơi người dùng có thể đẩy các kết hợp chính sách cho các nhóm PC.
Một số lượng chính sách đáng kể dành riêng cho Windows 10. Quan trọng nhất là những chính sách được liên kết với tính năng Windows Update for Business, được đặt trong Cấu hình máy tính (Computer Configuration) > Mẫu quản trị (Administrative Templates) > Cấu phần Windows (Windows Components) > Windows Update (Windows cập nhật) > Windows cập nhật cho doanh nghiệp (Windows Update for Business).
Một nhóm chính sách bổ sung nằm trong Cấu hình máy tính > Mẫu quản trị > Cấu phần Windows > Windows cập nhật.
Các cài đặt sau, tất cả cụ thể cho Windows 10, áp dụng để khởi động lại và thông báo:
Các chính sách sau áp dụng cho Windows 10 cũng như một số phiên bản Windows cũ hơn:
Các công cụ quản lý cho doanh nghiệp
Đối với các tổ chức lớn có cơ sở hạ tầng mạng Windows hiện tại, có thể bỏ qua các máy chủ cập nhật của Microsoft và thay vào đó triển khai các bản cập nhật từ máy chủ được quản lý cục bộ. Khả năng này đòi hỏi sự chú ý đáng kể từ bộ phận công nghệ thông tin của công ty, nhưng nó được đền đáp về tính linh hoạt. Hai tùy chọn phổ biến nhất là Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM).
WSUS là đơn giản hơn trong hai tùy chọn. Nó hoạt động như một vai trò Máy chủ Windows và cung cấp một cửa hàng trung tâm cho các bản cập nhật Windows trong một tổ chức. Sử dụng Chính sách nhóm, quản trị viên mạng kết nối PC Windows 10 vào máy chủ WSUS, đóng vai trò là nguồn tải xuống duy nhất cho toàn bộ tổ chức. Từ bảng điều khiển quản trị WSUS, quản trị viên có thể phê duyệt các bản cập nhật và chọn thời điểm phân phối chúng cho các PC hoặc nhóm khách hàng cá nhân. PC có thể được gán cho các nhóm theo cách thủ công hoặc người dùng có thể sử dụng nhắm mục tiêu phía máy khách để cung cấp các bản cập nhật dựa trên các nhóm bảo mật Active Directory hiện có.
Vì các tệp cập nhật Cumulative Update (bản vá định kỳ hàng tháng) ngày càng lớn hơn với mỗi bản phát hành mới, lượng băng thông mà các bản cập nhật sử dụng có thể là đáng kể. Các máy chủ WSUS có thể tiết kiệm băng thông bằng cách sử dụng một tính năng có tên Express Install Files, yêu cầu nhiều không gian hơn trên máy chủ WSUS nhưng giảm đáng kể kích thước của các tệp cập nhật được gửi đến PC khách.
Trên các máy chủ chạy WSUS 4.0 trở lên, người dùng cũng có thể quản lý và triển khai các bản cập nhật tính năng của Windows 10.
Tùy chọn thứ hai, Trình quản lý cấu hình hệ thống trung tâm, sử dụng Trình quản lý cấu hình mạnh mẽ cho Windows, kết hợp với WSUS, để triển khai các bản cập nhật chất lượng và nhiều tính năng. Bảng điều khiển phục vụ Windows 10 cho phép quản trị viên mạng giám sát việc sử dụng Windows 10 trên toàn mạng và tạo các gói dịch vụ dựa trên nhóm bao gồm thông tin về PC khi chúng gần hết tuổi thọ hỗ trợ.
Đối với các tổ chức đã triển khai Trình quản lý cấu hình để quản lý các phiên bản Windows trước đó, việc thêm hỗ trợ cho Windows 10 là một nhiệm vụ khá đơn giản.