SLY_G 6 дек 2019 в 10:00

Полное руководство по обновлению Windows 10 для предприятий любого размера

9 мин

26K

Информационная безопасность*Системное администрирование*

Перевод

Комментарии 33

vesper-bot 6 дек 2019 в 10:30

Лучшая политика обновления Win10 — GPO-объект с отключением wuauserv. Когда выясняется, что обновлять таки надо, можно и вот_так делать, вначале отключив/отсоединив политику, потом врубить обратно и забить на обновы до следующего раза.

yurybx 6 дек 2019 в 10:39

Это чревато тем, что в какой-то момент ваши компьютеры не получат вовремя какое-нибудь критическое обновление безопасности, и злоумышленники этим воспользуются.

vesper-bot 6 дек 2019 в 11:29

Тут согласен, в общем — но на это есть строка "когда выясняется", то есть когда проходит информация об обнаруженной уязвимости достаточно серьезного импакта (потому как "обычные" уязвимости в виндах патчат почитай каждый день), в этом случае можно сколько-то компов в тестовый OU перенести (либо вообще там держать, смотря что за требования к секурности оси на них) и смотреть, работает ли новая обнова как таковая, сколько жрет при обновлении, сколько занимает, нет ли багов, вызванных обновой, потом планировать даунтайм для остальных. А злоумышленники по статистике чаще пользуются не уязвимостями в ПО, а уязвимостями хуманских мозгов aka человеческим фактором. А он уже так легко не патчится.
А пока таких зеродеев не выявлено, работает принцип неуловимого Джо (какая вероятность, что атакующий полезет с приватным эксплойтом против вашей сети? Пропорциональная количеству денег под защитой той сети. Мало — не полезет), дополнительные эшелоны защиты (антивирус, бэкапы и т.п.) и взвешенная оценка времени, потерянного из-за вирусной атаки против времени, потерянного из-за ВНЕЗАПНых обнов десятки с потенциальными багами в них, парализующими работу РМ/сети. Моя текущая оценка — не стоит то время потенциальных потерь, пока таргет достаточно мелкий.

drWhy 6 дек 2019 в 12:46

Наверно у меня стала недоступной подсистема печати из-за недополученного вовремя критического обновления.

yurybx 6 дек 2019 в 10:49

Есть идея в нашей компании (50-100 рабочих мест) настроить следующую политику обновлений:
1. Запретить пользователям выключать компьютеры (при помощи GPO);
2. Настроить установку всех важных обновлений в конце рабочего дня без автоматической перезагрузки;
3. Перезагружать все компьютеры по скрипту, скажем, через час после окончания работы (если за компьютером кто-то работает, то ждём, когда он закончит);
4. Выключать все компьютеры по скрипту после вечерней перезагрузки.
Никаких уведомлений и перезагрузок в рабочее время, никаких ожиданий загрузки Windows по утрам из-за вчерашнего обновления. Как вам идея?

drWhy 6 дек 2019 в 12:48

Неплохо. Если эта не та вселенная, где компьютеры пользователей относительно слабые и ночи не хватает для установки обновления.

DaemonGloom 6 дек 2019 в 13:26

Но зачем так сурово, если компьютер для обновления можно просто будить?

drWhy 6 дек 2019 в 13:30

А ещё есть WOL. Но те, кому он действительно нужен, в курсе.

yurybx 6 дек 2019 в 14:54

WOL не работает в следующих случаях:
1. Ноутбуки подключены к сети по wifi;
2. Рабочие места находятся в мелких удалённых офисах, где нету сервера, который может послать magic-пакет (есть лишь простенький роутер, обеспечивающий VPN-подключение);
3. Материнская плата не умеет Wake-on-LAN.

drWhy 6 дек 2019 в 16:13

Может, и не так плохо, что Intel vPro AMT и ей подобные технологии встроены пока не везде.

dimakis 10 дек 2019 в 13:27

А еще при включенном WOL если юзер неактивен по сети сверх таймаута, WOL выключает сетевуху. И при обратном включении кроме всего прочего теряются билеты kerberos и ПК становится неавторизован в домене…

yurybx 6 дек 2019 в 10:58

Правильно ли я понимаю: обновления компонентов [feature updates] — это обновления до следующей версии Windows 10? Например, была версия 1809, а стала 1903? Можно ли отключить эти обновления полностью? Просто был случай, когда после такого обновления начались проблемы с RDP-подключением, а также сложилось впечатление, что такие обновления повышают требования О/С к железу (а ведь у нас лишь половина компьютеров используют SSD, остальные крутятся на медленных HDD).

НЛО прилетело и опубликовало эту надпись здесь

yurybx 6 дек 2019 в 12:34

Но в таком случае обновление версии всё-равно произойдёт через год. Существует ли способ отключить такие обновления навсегда?

vesper-bot 6 дек 2019 в 13:03

Может, добавить пару нулей?

НЛО прилетело и опубликовало эту надпись здесь

vesper-bot 9 дек 2019 в 11:25

Довольно тупой вариант — создать вместо записи политики эквивалентную запись в реестре через GPP, а в нем поставить уже 36500. Будет работать или нет? Я думаю, что MS поленились сделать проверку корректности данных, взятых из реестра, так как типа их проверили на этапе ввода. :D

Victor_koly 9 дек 2019 в 11:57

А там dword? Или какой там тип данных на 64 битных системах (если есть разница) точно может превышать 32767?

vesper-bot 9 дек 2019 в 12:08

В реестре числовые данные обычно хранят как REG_DWORD. Он вполне может превышать 32767. Другое дело, если в значении типа DWORD хранится время не в днях, а скажем в секундах — в этом случае столетний интервал не влезет, но и 50 лет вполне неплохо поместится, а нам больше и не надо.

НЛО прилетело и опубликовало эту надпись здесь

DaemonGloom 6 дек 2019 в 13:30

Есть проблема. Версия винды обычная поддерживается 18 месяцев. Дальше всё равно нужен апгрейд до свежей — ибо официально патчей больше нет.
А что за проблемы с RDP, кстати? Если речь про ошибку с Oracle CredSSP — то оно было очень большим и глобальным фейлом всего подряд, а не конкретной версии Win10.

yurybx 6 дек 2019 в 14:47

Не знал о такой короткой поддержке. Но мне и не нужны патчи, мне нужны только заплатки для критических уязвимостей. Неужели Microsoft откажется выпускать обновления безопасности для старых версий Windows 10?
Насчёт проблем с RDP. После обновления до 1903 у бухгалтера заглючил буфер обмена при работе через RDP: текст при вставке дублировался. То-есть вместо «вставленный текст» получалось «вставленный текствставленный текст».

dartraiden 6 дек 2019 в 16:36

Но мне и не нужны патчи, мне нужны только заплатки для критических уязвимостей.

Это синонимы.

Неужели Microsoft откажется выпускать обновления безопасности для старых версий Windows 10?

Конечно, всему приходит конец. Не вечно же поддерживать.

Для предприятий существует Enterprise с долгосрочной поддержкой (10 лет), если вы можете позволить себе его приобрести. Перед этим очень советую прочитать подборку популярных мифов об этом выпуске, многие почему-то ошибочно полагают, что в этом канале обслуживания приходят только обновления безопасности.

yurybx 6 дек 2019 в 17:40

Но ведь Microsoft выпустила заплатки BlueKeep-2 для всех версий Windows 10, включая самую старую — build 10240. Как это объяснить?

iDm1 6 дек 2019 в 18:56

В случае очень критических уязвимостей Microsoft и для Windows XP может выпускать заплатки. Всё зависит от потенциальной угрозы.

drWhy 6 дек 2019 в 18:59

Как заплатка от Пети? А зачем она, если это была одноразовая акция.

iDm1 6 дек 2019 в 22:55

Так уязвимость-то не одноразовая. Если ее не закрыть, то помимо Пети будет и Вася, и Саша, и кто угодно еще.

drWhy 6 дек 2019 в 23:34

А заплатка — только от Пети. А, допустим, отключение SMB v.1 — решение действенное и правильное, но не реализуемое без практически полной замены железа и софта. А вот если бы MS пофиксила уязвимость SMB v.1 в XP или выпустила для неё SMB v.3, то это и была бы честная заплатка на XP, а не чопик, как сейчас.

dartraiden 6 дек 2019 в 16:47

Даже этого не требуется.

Microsoft изменила процедуру установки обновления компонентов в версии 1903, а заодно ретроспективно портировала ее в 1809 и 1803. Теперь центр обновления лишь уведомляет о наличии новой версии, оставляя решение об установке вам.

Принудительно она ставится только ближе к окончанию срока поддержки, который составляет 18 месяцев. На практике обновление выполняется до версии, вышедшей через год после установленной. Происходит это незадолго до выпуска следующей версии. Так, владельцам 1803 начали устанавливать версию 1903 во второй половине июля 2019 года.

Таким образом, новая версия не поставится сама, пока пользователь явно не захочет сделать это вручную, либо не подойдет окончание поддержки.

НЛО прилетело и опубликовало эту надпись здесь

Victor_koly 6 дек 2019 в 13:43

К проблеме «далеко не у всех на компе есть SSD» замечу, что при установке обнов к Десятке (конкретно — Enterprise 2016 LTSB) основную нагрузку видел именно на винт (то есть у меня HDD был, на 2 ТБ вроде).
Насколько существенно это было при обновлении версии, скажем 1803->1809 — не помню.

dartraiden 6 дек 2019 в 16:49

Без SSD вообще очень грустно, независимо от версии Windows и от ОС вообще. Даже если ПК совсем старый, первое, с чего начинается вдыхание в него жизни — установка SSD.

Victor_koly 6 дек 2019 в 13:21

Этот перезапуск происходит вне промежутка «периода активности» с 8 до 17 часов; эту настройку можно поменять по желанию, продлив длительность интервала до 18 часов.

Уже везде круглосуточная техподдержка перешла с Win на Linux?

Не скачивать вместе с обновлениями драйвера.

Попробовал установить какой-то принтер, а потом Десятка при каждом поиске обнов пыталась установить на него драйвер, но не выходило.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий