Cập nhật Windows 10: Hướng dẫn đầy đủ cho các doanh nghiệp

Doanh nghiệp của bạn có kế hoạch toàn diện để xử lý các bản cập nhật Windows hay không? Thật không đúng khi nghĩ rằng những tải xuống đó là một sự phiền toái không thường xuyên, sẽ bị xóa đi khi chúng được tải về.

Cách khác là tạo ra một chiến lược quản lý để thử nghiệm và triển khai các bản cập nhật, để quá trình này trở thành thói quen như gửi hóa đơn và đóng sổ sách vào mỗi tháng.

Bài viết này bao gồm tất cả thông tin người dùng cần biết để hiểu cách Microsoft cung cấp các bản cập nhật cho các thiết bị chạy Windows 10, cũng như chi tiết về các công cụ và kỹ thuật người dùng có thể sử dụng để quản lý các bản cập nhật đó một cách thông minh trên các thiết bị chạy phiên bản Windows 10 Pro, Enterprise hoặc Education. (Windows 10 Home không hỗ trợ bất kỳ tính năng quản lý cập nhật nào và không phù hợp để triển khai trong cài đặt doanh nghiệp.

Nhưng trước khi bạn chạm vào bất kỳ công cụ nào, bạn cần có một kế hoạch.

Chính sách cập nhật của bạn là gì?

Quan điểm của chính sách cập nhật là làm cho quá trình cập nhật có thể dự đoán được, với các thủ tục thông báo cho người dùng để họ có thể lập kế hoạch công việc phù hợp và tránh thời gian ngừng hoạt động bất ngờ. Nó cũng bao gồm các giao thức để xử lý các sự cố không mong muốn, bao gồm khôi phục các bản cập nhật thất bại.

Chính sách cập nhật hợp lý dành thời gian để xử lý các cập nhật mỗi tháng. Trong một tổ chức nhỏ, đây có thể là cửa sổ bảo trì được chỉ định cho mọi máy tính để bàn trong doanh nghiệp. Các tổ chức lớn ít có khả năng thực hiện chính sách một kích cỡ phù hợp với tất cả số lượng và sẽ được hưởng lợi từ việc chia số lượng các PC của họ thành các nhóm cập nhật (Microsoft gọi chúng là "ring"), với các chiến lược cập nhật khác nhau cho mỗi nhóm.

Chính sách cần giải quyết một số loại cập nhật riêng biệt.

Quen thuộc nhất là các bản cập nhật bảo mật và độ tin cậy tích lũy hàng tháng được phân phối vào Thứ Ba tuần thứ hai của mỗi tháng (hay còn gọi là Patch Tuesday). Bản phát hành Patch Tuesday thường bao gồm Công cụ loại bỏ phần mềm độc hại của Windows (Windows Malicious Software Removal Tool) và có thể bao gồm bất kỳ loại cập nhật bổ sung nào sau đây:

• Cập nhật bảo mật cho .NET Framework
• Cập nhật bảo mật cho Adobe Flash Player
• Phục vụ cập nhật ngăn xếp (phải được cài đặt trước các cập nhật khác)

Việc cài đặt bất kỳ hoặc tất cả các bản cập nhật có thể được hoãn lại trong vòng tối đa 30 ngày.

Tùy thuộc vào nhà sản xuất PC, trình điều khiển phần cứng và cập nhật chương trình cơ sở cũng có thể được phân phối thông qua Windows Update. Bạn có thể chọn không tham gia danh mục cập nhật này hoặc quản lý chúng bằng các cài đặt tương tự áp dụng cho các cập nhật khác.

Cuối cùng, các bản cập nhật tính năng cũng được phân phối qua Windows Update. Các gói lớn này cập nhật Windows 10 lên phiên bản mới nhất và được phát hành sáu tháng một lần cho tất cả các phiên bản Windows ngoại trừ các bản phát hành Kênh phục vụ dài hạn (LTSC - Long Term Servicing Channel). Người dùng có thể trì hoãn cài đặt các bản cập nhật tính năng trong tối đa 365 ngày bằng Windows Update for Business; giới thiệu bổ sung lên đến 30 tháng có sẵn cho các phiên bản Doanh nghiệp và Giáo dục.

Với nền tảng đó, giờ đây bạn có thể bắt đầu lắp ráp chính sách cập nhật, bao gồm các yếu tố sau cho mỗi PC được quản lý:

• Khi cài đặt bản cập nhật hàng tháng: Sử dụng cài đặt Windows mặc định, các bản cập nhật hàng tháng được tải xuống và cài đặt trong vòng 24 giờ kể từ khi phát hành vào Patch Tuesday. Người dùng có thể chọn trì hoãn các bản tải xuống này cho một số hoặc tất cả các PC trong tổ chức của mình để có thời gian kiểm tra tính tương thích của các bản cập nhật này; sự chậm trễ này cũng cho phép người dùng tránh bị ảnh hưởng nếu Microsoft xác định sự cố với bản cập nhật, như đã xảy ra nhiều lần với Windows 10.
• Khi nào cần cài đặt các bản cập nhật tính năng sau 6 tháng: Sử dụng cài đặt Windows mặc định, các bản cập nhật tính năng được tải xuống và cài đặt khi Microsoft cho biết chúng đã sẵn sàng. Trên một thiết bị mà Microsoft đánh giá là phù hợp với bản cập nhật, bản cập nhật tính năng có thể đến trong vòng vài ngày sau khi phát hành. Đối với các thiết bị khác, bản cập nhật tính năng có thể đến sau nhiều tháng hoặc thậm chí có thể bị chặn do sự cố tương thích. Người dùng có thể chỉ định độ trễ cho một số hoặc tất cả các PC trong tổ chức của mình để có thời gian thử nghiệm bản phát hành mới.
• Khi nào cho phép PC khởi động lại để hoàn tất cài đặt bản cập nhật: Hầu hết các bản cập nhật đều yêu cầu khởi động lại để hoàn tất cài đặt. Khởi động lại này xảy ra bên ngoài cài đặt Giờ hoạt động mặc định từ 8 giờ sáng đến 5 giờ chiều; người dùng có thể thay đổi cài đặt này thành một khoảng thời gian tự chọn, tối đa 18 giờ. Sử dụng các công cụ quản lý, người dùng có thể đặt thời gian cụ thể để tải xuống và cài đặt các bản cập nhật.
• Cách thông báo cho người dùng PC về các bản cập nhật đang chờ xử lý và khởi động lại: Để tránh những bất ngờ khó chịu, Windows 10 thông báo cho người dùng khi các bản cập nhật đang chờ xử lý. Người dùng có quyền kiểm soát hạn chế đối với các thông báo này từ trong Cài đặt Windows 10. Nhiều tùy chọn hơn có sẵn bằng cách sử dụng cài đặt Chính sách nhóm.
• Cách xử lý các bản cập nhật ngoài băng tần: Thỉnh thoảng, Microsoft phát hành các bản cập nhật bảo mật quan trọng ngoài lịch trình Patch Tuesday thông thường. Thông thường, chúng được dùng để giải quyết các lỗ hổng bảo mật đang bị khai thác "trong tự nhiên". Bạn có tăng tốc triển khai các bản cập nhật này hay đợi đến cửa sổ cập nhật theo lịch trình tiếp theo?
• Làm thế nào để xử lý các lỗi cập nhật: Trong trường hợp bản cập nhật không cài đặt được hoặc gây ra sự cố, kế hoạch phản hồi của bạn là gì?

Sau khi xác định các yếu tố đó, đã đến lúc chọn công cụ quản lý của bạn.

Quản lý cập nhật thủ công

Trong các doanh nghiệp siêu nhỏ, bao gồm các cửa hàng một người, thật dễ dàng để định cấu hình Windows Update thủ công. Bắt đầu tại Cài đặt (Settings) > Cập nhật & Bảo mật (Update & Security) > Cập nhật Windows (Windows Update). Ở đó, bạn có thể điều chỉnh hai nhóm cài đặt.

Đầu tiên, nhấp vào Thay đổi giờ hoạt động (Change Active Hours) và điều chỉnh cài đặt để phản ánh thói quen làm việc thực tế của bạn. Nếu bạn thường xuyên làm việc vào buổi tối, bạn có thể tránh thời gian chết bằng cách định cấu hình các giá trị này từ 6 giờ sáng đến nửa đêm, do đó đảm bảo rằng mọi khởi động lại theo lịch trình xảy ra trong vòng vài giờ của buổi sáng.

Tiếp theo, nhấp vào Tùy chọn nâng cao (Advanced Options) và điều chỉnh cài đặt trong tùy chọn Chọn khi cập nhật được cài đặt (Choose When Updates Are Installed) để phản ánh chính sách của bạn.

• Chọn Kênh cập nhật mỗi nửa năm (Semi-Annual Channel) thay vì Kênh cập nhật mỗi nửa năm mặc định (Semi-Annual Channel (Targeted)) để trì hoãn cài đặt các bản cập nhật tính năng cho đến khi Microsoft tuyên bố chúng sẵn sàng cho việc áp dụng kinh doanh rộng rãi (thường là tối thiểu hai tháng).
• Chọn số ngày để trì hoãn cài đặt các bản cập nhật tính năng. Giá trị tối đa là 365 ngày.
• Chọn số ngày để trì hoãn cài đặt các bản cập nhật chất lượng, bao gồm các bản cập nhật bảo mật tích lũy được phát hành trên Patch Tuesday. Giá trị tối đa là 30 ngày.

Các cài đặt khác trên trang này kiểm soát việc hiển thị các thông báo khởi động lại (theo mặc định) và cho phép các bản cập nhật tải xuống trên các kết nối có đồng hồ đo (tắt theo mặc định).

Tất nhiên, điểm trì hoãn cập nhật không chỉ đơn giản lùi ngày cập nhật để bạn (và người dùng của bạn) có thể cập nhật vào cuối tháng. Ví dụ: nếu bạn đặt độ trễ 15 ngày cho các cập nhật chất lượng, bạn nên sử dụng thời gian đó để kiểm tra các bản cập nhật về tính tương thích và lên lịch cho cửa sổ bảo trì của bạn trong một thời gian thuận tiện trước khi hết thời gian trì hoãn 15 ngày.

Quản lý cập nhật chính sách sử dụng

Tất cả các cài đặt thủ công được liệt kê trong phần trước cũng có thể được áp dụng bằng Chính sách nhóm và danh sách đầy đủ các cài đặt Chính sách nhóm liên quan đến Windows Update bao gồm một số tùy chọn vượt xa những gì có sẵn trong Cài đặt.

Người dùng có thể áp dụng các cài đặt này cho các PC riêng lẻ bằng Trình chỉnh sửa chính sách nhóm cục bộ (Local Group Policy Editor), Gpedit.msc hoặc sử dụng tập lệnh. Nhưng việc sử dụng phổ biến nhất là trong một miền Windows với Active Directory, nơi người dùng có thể đẩy các kết hợp chính sách cho các nhóm PC.

Một số lượng chính sách đáng kể dành riêng cho Windows 10. Quan trọng nhất là những chính sách được liên kết với tính năng Windows Update for Business, được đặt trong Cấu hình máy tính (Computer Configuration) > Mẫu quản trị (Administrative Templates) > Cấu phần Windows (Windows Components) > Windows Update (Windows cập nhật) > Windows cập nhật cho doanh nghiệp (Windows Update for Business).

•  Chọn khi nhận Bản cập nhật bản dựng (Preview Builds) và bản cập nhật tính năng (Feature Updates): Chọn kênh phục vụ và đặt độ trễ cho các bản cập nhật tính năng.
• Chọn khi nhận được bản Cập nhật chất lượng (Quality Updates): Đặt độ trễ cho các cập nhật tích lũy hàng tháng và các cập nhật liên quan đến bảo mật khác.
• Quản lý các bản dựng xem trước: Chỉ định xem người dùng có thể tham gia vào Chương trình Người dùng nội bộ Windows (Windows Insider Program) hay không và nếu được bật, hãy chỉ định vòng Người dùng nội bộ (Insider ring).

Một nhóm chính sách bổ sung nằm trong Cấu hình máy tính > Mẫu quản trị > Cấu phần Windows > Windows cập nhật.

• Xóa quyền truy cập vào tính năng "Tạm dừng cập nhật" (Pause updates): Ngăn người dùng can thiệp vào việc cài đặt các bản cập nhật bằng cách xóa tùy chọn tạm dừng cập nhật trong tối đa 35 ngày.
• Xóa quyền truy cập vào tất cả các tính năng của Windows Update: Ngăn người dùng thay đổi bất kỳ cài đặt Windows Update nào.
• Cho phép các bản cập nhật được tải xuống tự động qua các kết nối có đồng hồ đo: Cho phép các bản cập nhật được cài đặt trên các thiết bị sử dụng kết nối có đồng hồ đo như kết nối LTE.
• Không bao gồm trình điều khiển với Cập nhật Windows: Ngăn Windows Update cài đặt trình điều khiển thiết bị.

Các cài đặt sau, tất cả cụ thể cho Windows 10, áp dụng để khởi động lại và thông báo:

• Tắt tự động khởi động lại để cập nhật trong giờ hoạt động: Đảm bảo rằng thiết bị không khởi động lại để cài đặt bản cập nhật trong giờ làm việc bình thường.
• Chỉ định phạm vi giờ hoạt động để tự động khởi động lại: Thay đổi cài đặt giờ hoạt động mặc định.
• Chỉ định thời hạn trước khi tự động khởi động lại để cài đặt cập nhật: Chọn thời hạn (từ 2 đến 14 ngày) sau đó khởi động lại để áp dụng các bản cập nhật sẽ được tự động.
• Định cấu hình thông báo nhắc nhở tự động khởi động lại để cập nhật: Tăng thời gian trước khi khởi động lại theo lịch trình khi người dùng được thông báo. Giá trị được chấp nhận là 15 phút (mặc định) đến 240 phút.
• Tắt thông báo tự động khởi động lại để cài đặt cập nhật: Tắt hoàn toàn thông báo khởi động lại.
• Định cấu hình tự động khởi động lại thông báo cần thiết để cập nhật: Ngăn thông báo biến mất sau 25 giây và thay vào đó yêu cầu người dùng tự tắt thông báo.
• Không cho phép các chính sách trì hoãn cập nhật gây quét đối với Windows Update: Sử dụng chính sách này để ngăn PC kiểm tra Windows Update khi chỉ định trì hoãn.
• Chỉ định lịch chuyển đổi khởi động lại và lịch thông báo cho các bản cập nhật: Sử dụng chính sách này để cho phép người dùng lên lịch khởi động lại và "báo lại" lời nhắc khởi động lại.
• Định cấu hình lịch thông báo cảnh báo tự động khởi động lại để cập nhật: Định cấu hình nhắc nhở khởi động lại tự động (từ 4 đến 24 giờ) và cảnh báo khởi động lại sắp xảy ra (từ 15 đến 60 phút).
• Cập nhật chính sách năng lượng cho Khởi động: Chính sách này dành cho các hệ thống giáo dục vẫn hoạt động qua đêm và cho phép các bản cập nhật được cài đặt ngay cả trên nguồn pin.
• Hiển thị tùy chọn cho thông báo cập nhật: Sử dụng các cài đặt này để tắt hoàn toàn thông báo cập nhật với tùy chọn bao gồm hoặc loại trừ hoặc bao gồm các cảnh báo khởi động lại.

Các chính sách sau áp dụng cho Windows 10 cũng như một số phiên bản Windows cũ hơn:

• Định cấu hình Cập nhật tự động: Nhóm cài đặt mạnh mẽ này cho phép người dùng chỉ định lịch cập nhật hàng tuần, hai tuần hoặc hàng tháng một cách nhất quán, với tùy chọn chỉ định ngày và thời gian trong đó tất cả các bản cập nhật có sẵn được tự động tải xuống và cài đặt.
• Chỉ định mạng nội bộ Dịch vụ cập nhật của Microsoft: Sử dụng chính sách này để định cấu hình máy chủ Windows Server Update Services (WSUS) trên mạng miền Windows. (Xem phần sau để biết thêm về tùy chọn này.)
• Cho phép nhắm mục tiêu phía máy khách: Cài đặt này cho phép quản trị viên sử dụng các nhóm bảo mật Active Directory để xác định các vòng triển khai khi sử dụng WSUS.
• Không kết nối với bất kỳ vị trí Windows Update Internet nào: Trên PC được kết nối với máy chủ cập nhật cục bộ, ngăn chặn mọi kết nối với các máy chủ cập nhật bên ngoài, bao gồm Microsoft Update và Microsoft Store.
• Kích hoạt Windows Update Power Management để tự động đánh thức hệ thống để cài đặt các bản cập nhật theo lịch trình: Cho phép hệ thống đánh thức máy và cài đặt các bản cập nhật; hệ thống sẽ thức dậy chỉ khi có bản cập nhật. Nếu thiết bị đang chạy bằng pin, nó sẽ không cài đặt các bản cập nhật và sẽ trở lại trạng thái ngủ trong vòng 2 phút.
• Luôn tự động khởi động lại vào thời gian đã lên lịch: Sử dụng cài đặt này để định cấu hình bộ hẹn giờ (15 phút đến 180 phút) và tự động khởi động lại sau khi cài đặt các bản cập nhật, thay vì thông báo cho người dùng.
• Không tự động khởi động lại với người dùng đã đăng nhập để cài đặt cập nhật tự động theo lịch trình: Chính sách này ghi đè chính sách trước đó và ngăn khởi động lại khi người dùng đăng nhập.

Các công cụ quản lý cho doanh nghiệp

Đối với các tổ chức lớn có cơ sở hạ tầng mạng Windows hiện tại, có thể bỏ qua các máy chủ cập nhật của Microsoft và thay vào đó triển khai các bản cập nhật từ máy chủ được quản lý cục bộ. Khả năng này đòi hỏi sự chú ý đáng kể từ bộ phận công nghệ thông tin của công ty, nhưng nó được đền đáp về tính linh hoạt. Hai tùy chọn phổ biến nhất là Windows Server Update Services (WSUS) và System Center Configuration Manager (SCCM).

WSUS là đơn giản hơn trong hai tùy chọn. Nó hoạt động như một vai trò Máy chủ Windows và cung cấp một cửa hàng trung tâm cho các bản cập nhật Windows trong một tổ chức. Sử dụng Chính sách nhóm, quản trị viên mạng kết nối PC Windows 10 vào máy chủ WSUS, đóng vai trò là nguồn tải xuống duy nhất cho toàn bộ tổ chức. Từ bảng điều khiển quản trị WSUS, quản trị viên có thể phê duyệt các bản cập nhật và chọn thời điểm phân phối chúng cho các PC hoặc nhóm khách hàng cá nhân. PC có thể được gán cho các nhóm theo cách thủ công hoặc người dùng có thể sử dụng nhắm mục tiêu phía máy khách để cung cấp các bản cập nhật dựa trên các nhóm bảo mật Active Directory hiện có.

Vì các tệp cập nhật Cumulative Update (bản vá định kỳ hàng tháng) ngày càng lớn hơn với mỗi bản phát hành mới, lượng băng thông mà các bản cập nhật sử dụng có thể là đáng kể. Các máy chủ WSUS có thể tiết kiệm băng thông bằng cách sử dụng một tính năng có tên Express Install Files, yêu cầu nhiều không gian hơn trên máy chủ WSUS nhưng giảm đáng kể kích thước của các tệp cập nhật được gửi đến PC khách.

Trên các máy chủ chạy WSUS 4.0 trở lên, người dùng cũng có thể quản lý và triển khai các bản cập nhật tính năng của Windows 10.

Tùy chọn thứ hai, Trình quản lý cấu hình hệ thống trung tâm, sử dụng Trình quản lý cấu hình mạnh mẽ cho Windows, kết hợp với WSUS, để triển khai các bản cập nhật chất lượng và nhiều tính năng. Bảng điều khiển phục vụ Windows 10 cho phép quản trị viên mạng giám sát việc sử dụng Windows 10 trên toàn mạng và tạo các gói dịch vụ dựa trên nhóm bao gồm thông tin về PC khi chúng gần hết tuổi thọ hỗ trợ.

Đối với các tổ chức đã triển khai Trình quản lý cấu hình để quản lý các phiên bản Windows trước đó, việc thêm hỗ trợ cho Windows 10 là một nhiệm vụ khá đơn giản.