Политики для соответствия требованиям обновлений, действий и взаимодействия с пользователем

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

Поддержание устройств в актуальном состоянии — лучший способ обеспечить их бесперебойную и безопасную работу.

Крайние сроки соответствия обновлений

Вы можете контролировать, как строго устройства должны надежно соответствовать требуемому расписанию обновлений, используя политики крайних сроков обновления. Компоненты Windows адаптируются в соответствии с этими крайними сроками. Кроме того, они могут найти компромисс между взаимодействием с пользователем и скоростью, чтобы соответствовать требуемым крайним срокам обновления. Например, они могут определять приоритеты взаимодействия с пользователем задолго до наступления крайнего срока, а затем определять приоритет скорости по мере приближения крайнего срока, при этом предоставляя пользователю некоторые возможности контроля.

Сроки

Начиная с Windows 10 версии 1903 и обновления для системы безопасности за август 2019 г. для Windows 10 версии 1709 и более поздних версий (включая Windows 11), была введена новая политика для замены старых политик, похожих на крайний срок: укажите крайние сроки для автоматических обновлений и перезапусков.

Старые политики начали применять крайние сроки после того, как устройство достигло restart pending состояния для обновления. Новая политика начинает обратный отсчет для крайнего срока установки обновления с момента публикации обновления и любой отсрочки. Кроме того, эта политика включает настраиваемый льготный период и возможность отказаться от автоматических перезапусков до достижения крайнего срока (хотя мы рекомендуем всегда разрешать автоматические перезапуски для максимальной скорости обновления).

Мы рекомендуем установить крайние сроки следующим образом:

• Крайний срок обновления качества в днях: 2
• Крайний срок обновления компонентов в днях: 2

Уведомления автоматически предоставляются пользователю в соответствующее время, и пользователи могут напомнить позже, перепланировать или немедленно перезапустить в зависимости от того, насколько истек крайний срок. Рекомендуется не задавать политики уведомлений, так как они автоматически настраиваются с соответствующими значениями по умолчанию. Исключением является использование киосков или цифровых вывесок.

Хотя мы рекомендуем три дня для обновлений качества и семь дней для обновлений компонентов, вы можете решить, что хотите больше или меньше, в зависимости от вашей организации и ее требований, и эта политика настраивается как минимум до двух дней.

Важно.

Если устройству не удается подключиться к Интернету, оно не может определить, когда корпорация Майкрософт опубликовала обновление, поэтому оно не сможет применить крайний срок. Узнайте больше об устройствах с низкой активностью.

Льготные периоды

Вы можете задать период в днях для Windows, чтобы найти минимальное время автоматического перезапуска до принудительного перезапуска. Это особенно полезно в тех случаях, когда пользователь не был в течение многих дней (например, в отпуске), чтобы устройство не было вынуждено немедленно обновиться при возвращении пользователя.

Рекомендуется задать следующие параметры:

• Льготный период в днях: 5

После истечения крайнего срока и льготного периода обновления применяются автоматически, и перезапуск происходит независимо от времени активности.

Разрешить Windows выбрать время перезапуска

Windows может использовать взаимодействие с пользователем для динамического определения наименьшего прерывания автоматического перезапуска. Чтобы воспользоваться этой функцией, убедитесь, что параметр ConfigureDeadlineNoAutoReboot имеет значение Отключено.

Политики действий устройств

Для успешного завершения обновления системы Windows обычно требуется, чтобы устройство было активным и подключено к Интернету в течение по крайней мере шести часов с по крайней мере двумя непрерывными действиями. Устройство может иметь другие физические обстоятельства, которые препятствуют успешной установке обновления, например, если ноутбук работает от батареи, или пользователь выключил устройство до окончания часы активности и устройство не может соответствовать крайнему сроку.

Вы можете использовать параметры, приведенные в этом разделе, чтобы убедиться, что устройства доступны для установки обновлений в течение периода соответствия обновлений.

Часы активности

"Часы активности" определяют период времени, когда устройство должно использоваться. Как правило, перезапуски происходят вне этих часов. Windows 10 версии 1903 появились "интеллектуальные часы активности", которые позволяют системе изучать часы активности на основе действий пользователя, а не вам как администратору, который принимает решения для вашей организации или позволяет пользователю выбирать часы активности, которые сводят к минимуму период, когда система может установить обновление.

Важно.

Если вы использовали параметр Настроить часы активности в предыдущих версиях Windows 10, эти параметры должны быть отключены, чтобы воспользоваться преимуществами интеллектуального времени активности.

Если вы все же настроили часы активности, рекомендуется задать для следующих политик значение Отключено , чтобы увеличить скорость обновления:

• Задержка автоматической перезагрузки. Хотя можно настроить для системы задержку перезапусков для пользователей, которые вошли в систему, этот параметр может отложить обновление на неопределенный срок, если пользователь всегда входил в систему или завершал работу. Вместо этого рекомендуется задать для следующих политик значение Отключено:

  • Отключение автоматического перезапуска в часы активности

  • Нет автоматического перезапуска для пользователей, вошедшего в систему для запланированных автоматических обновлений

  • Ограничение задержек перезапуска. Используя крайние сроки соответствия требованиям, пользователи получают уведомления о том, что будут происходить обновления, поэтому рекомендуется задать для этой политики значение Отключено, чтобы обеспечить соблюдение крайних сроков, чтобы исключить возможность задержки перезапуска пользователя за пределами параметров крайнего срока соответствия.

• Не разрешайте пользователям утверждать обновления и перезагрузки. Предоставление пользователям утверждения или участия в процессе обновления за пределами политик крайнего срока снижает скорость обновления и повышает риск. Для этих политик необходимо задать значение Отключено:

  • Update/RequireUpdateApproval
  • Update/EngagedRestartDeadline
  • Update/EngagedRestartDeadlineForFeatureUpdates
  • Update/EngagedRestartSnoozeSchedule
  • Update/EngagedRestartSnoozeScheduleForFeatureUpdates
  • Update/EngagedRestartTransitionSchedule

• Настройте автоматическое обновление. Правильно настроив политики для настройки автоматических обновлений, вы можете увеличить скорость обновления за счет обращения клиентов к серверу Windows Server Update Services (WSUS), чтобы он смог управлять ими. Рекомендуется задать для этой политики значение Отключено. Однако если вам нужно указать значения, убедитесь, что загрузка устанавливается автоматически, задав для групповая политиказначение 4. Если вы используете Microsoft Intune, установите значение Сброс по умолчанию.

• Разрешить автоматическую загрузку клиентский компонент Центра обновления Windows через лимитные сети. Так как все больше устройств в основном используют передачу данных сотовой связи и не имеют доступа к Wi-Fi, рассмотрите возможность автоматического скачивания обновлений из сети с лимитным тарифом. Хотя параметр по умолчанию не разрешает загрузку по лимитной сети, установка этого значения 1 может увеличить скорость, позволяя пользователям получать обновления независимо от того, подключены они к Интернету или нет, при условии, что у них есть сотовая связь.

Важно.

Более старые версии Windows не поддерживают интеллектуальные часы активности. Если на устройстве установлена версия Windows до Windows 10 версии 1903, рекомендуется задать следующие политики:

• Настройте часы активности. Начиная с Windows 10 версии 1703, можно указать максимальный диапазон активных часов, который рассчитывается из времени начала активных часов. Рекомендуется задать для этого значения значение 10.
• Запланируйте установку обновлений. В параметрах Настройка автоматического Обновления есть два способа управления принудительным перезапуском после указанного времени установки. Если вы используете установку обновления по расписанию, не включайте оба параметра, так как они, скорее всего, будут конфликтовать.
  • Укажите время автоматического обслуживания. Этот параметр позволяет задать более широкие периоды обслуживания обновлений и гарантирует, что это расписание не конфликтует с активными часами. Рекомендуется задать для этого значения значение 3 (соответствует 3:00). Если в середине рабочей смены находится 3:00, выберите другое время, по крайней мере за пару часов до начала запланированного рабочего времени.
  • Запланируйте время установки. Этот параметр позволяет запланировать время установки для перезапуска. Не рекомендуется задавать значение Отключено, так как это может конфликтовать с активными часами.

Политики питания

Для обновления устройства должны быть доступны в неактивные часы. Они не могут сделать это, если политики власти мешают им просыпаться. В нашей организации мы стремимся установить баланс между безопасностью и экологически чистыми конфигурациями. Мы рекомендуем следующие параметры, чтобы достичь того, что мы считаем подходящим компромиссом:

Для пользователя устройство либо включено, либо выключено, но для Windows существуют состояния, которые позволяют выполнять обновление (активно), а состояния, которые не выполняются (неактивно). Некоторые состояния считаются активными (спящий режим), но пользователь может подумать, что устройство выключено. Кроме того, существуют состояния питания (подключено к батарее), которые Windows проверяет перед запуском обновления.

Вы можете переопределить параметры по умолчанию и запретить пользователям изменять их, чтобы обеспечить доступность устройств для обновлений в неактивные часы.

Примечание.

Один из способов убедиться, что устройства могут устанавливать обновления при необходимости, — научить пользователей поддерживать подключение устройств в неактивные часы. Даже с лучшими политиками устройство, которое не подключено, не будет обновляться даже в спящем режиме.

Мы рекомендуем следующие параметры управления питанием:

• Режим спящего режима (S1 или S0 с низким энергопотреблением в режиме простоя или современный режим ожидания). Когда устройство находится в спящем режиме, система, кажется, отключена, но если доступно обновление, оно может разбудить устройство, чтобы принять обновление. Энергопотребление в спящем режиме находится между работой (система полностью используется) и гибернации (S4 — самый низкий уровень питания перед завершением работы). Если устройство не используется, система, как правило, переходит в спящий режим, прежде чем перейти в режим гибернации. Проблемы с скоростью возникают, когда время между спящего режима и гибернации слишком короткое, а Windows не успеет завершить обновление. Спящий режим является важным параметром, так как система может вывести систему из спящего режима, чтобы запустить процесс обновления, при условии, что достаточно энергии.

Задайте для следующих политик значение Включить или Не настраивать , чтобы разрешить устройству использовать спящий режим:

• Power/AllowStandbyStatesWhenSleepingOnBattery
• Power/AllowStandbyWhenSleepingPluggedIn

Задайте для следующих политик значение 1 (спящий режим), чтобы при закрытии пользователем крышки устройства система переходит в спящий режим и устройство имеет возможность выполнить обновление:

• Power/SelectLidCloseActionOnBattery

• Power/SelectLidCloseActionPluggedIn

• Гибернации. Когда устройство в режиме гибернации, энергопотребление низкое, и система не может проснуться без вмешательства пользователя, например нажатием кнопки питания. Если устройство находится в этом состоянии, оно не может быть обновлено, если оно не поддерживает устройство времени и сигнализации ACPI (TAD). При этом, если устройство, поддерживающее традиционный спящий режим (S3), подключено и доступно обновление Windows, состояние гибернации откладывается до завершения обновления.

Примечание.

Это не относится к устройствам, поддерживающим современный режим ожидания (S0 с низким энергопотреблением). Чтобы проверка, какое состояние спящего режима системы (S3 или S0 с низким энергопотреблением) поддерживает устройство, можно запустить powercfg /a в командной строке. Дополнительные сведения см. в разделе Параметры Powercfg.

Время ожидания по умолчанию на устройствах, поддерживающих традиционный спящий режим, равно 3 часам. Рекомендуется не уменьшать эти политики, чтобы разрешить клиентский компонент Центра обновления Windows возможность перезагрузить устройство перед отправкой в гибернацию:

• Power/HibernateTimeoutOnBattery
• Power/HibernateTimeoutPluggedIn

Старые или конфликтующие политики

Каждый выпуск клиента Windows может вводить новые политики, чтобы улучшить работу как для администраторов, так и для их организаций. При выпуске новой клиентской политики мы либо выпускаем ее исключительно для этого выпуска и более поздних версий, либо вернемся к ней, чтобы сделать ее доступной в более ранних версиях.

Важно.

Если вы используете групповая политика, обратите внимание, что мы не обновляем старые шаблоны ADMX, и для использования новой политики необходимо использовать более новый шаблон ADMX (1903). Кроме того, если вы используете средство MDM (Майкрософт или не майкрософт), вы не сможете использовать новую политику, пока она не будет доступна в интерфейсе средства.

Как администраторы, вы настроили и ожидаете определенное поведение, поэтому мы явно не удаляем старые политики, так как они были настроены для ваших конкретных вариантов использования. Однако если задать новую политику без отключения аналогичной более старой политики, может возникнуть конфликтное поведение, а обновления могут работать не так, как ожидалось.

Важно.

Иногда администраторы настраивают устройства для получения групповая политика параметров и параметров MDM с сервера MDM, например Microsoft Intune. Конфликты политик обрабатываются по-разному в зависимости от того, как они в конечном итоге настроены:

• Обновления Windows: параметры групповая политика имеют приоритет над MDM.
• Microsoft Intune. Если задать разные значения для одной политики в двух разных группах, вы получите оповещение, и ни одна из политик не будет задана до устранения конфликта. Очень важно отключить конфликтующие политики, чтобы устройства в вашей организации следовало принимать обновления должным образом. Например, если устройство не реагирует на изменения политики MDM, проверка, чтобы узнать, задана ли аналогичная политика в групповая политика с разным значением. Если вы обнаружите, что скорость обновления не так высока, как ожидалось, или если некоторые устройства работают медленнее, чем другие, может потребоваться очистить все политики и параметры и указать только рекомендуемые политики обновления. Сводный список рекомендуемых политик см. в справочнике по политикам и параметрам.

Ниже приведены политики, которые может потребоваться отключить, так как они могут снизить скорость обновления или существуют более удобные политики, которые могут конфликтовать.

• Отложить период Обновления компонентов в днях. Для максимальной скорости обновления лучше задать значение 0 (без отсрочки), чтобы можно было завершить обновление компонентов и предложить ежемесячные обновления для системы безопасности снова. Даже если требуется срочное обновление качества, которое необходимо быстро развернуть, лучше использовать функцию приостановки Обновления, а не устанавливать политику отсрочки. Вы можете выбрать более длительный период, если не хотите быть в курсе последних обновлений компонентов.
• Отложить период Обновления качества в днях. Чтобы свести к минимуму риск и увеличить скорость обновления, максимальное время, которое может потребоваться учитывать при оценке обновления с помощью другого круга устройств, составляет два-три дня.
• Приостановить Обновления время начала компонента. Установите значение Отключено, если не существует известной проблемы, требующей времени для ее решения.
• Приостановите время начала Обновления качества. Установите значение Отключено, если не существует известной проблемы, требующей времени на ее решение.
• Крайний срок без автоматической перезагрузки. Значение по умолчанию отключено — задайте значение 0 . Рекомендуется автоматически пытаться перезапустить устройства при получении обновления. Windows использует взаимодействие с пользователем для динамического определения наименьшего прерывания перезапуска.

Кроме того, дополнительные политики больше не поддерживаются или заменены.