Jak je to přesně s Windows 10 updaty? Jsou povinné? Jak je správně nastavit?

V souvislosti s Windows 10 se často setkávám s mylnými porozuměními nebo různými mýty o Windows 10 update, většinou v negativním směru. Tento článek píšu proto, abych krátce a jednoduše vysvětlil vše, co je potřeba vědět o Windows 10 update a abych případně mýty a drobná nedorozumění uvedl na pravou míru.

Jsou Windows 10 povinné, jak je správně nastavit z pozice administrátora?

Velmi často slýchávám od lidí z IT věty typu: Proč povinné updaty? Nebo věty typu Windows 10 jsou nevyspytatelné a není možné je ukočírovat.
Máme tři typy aktualizací ve Windows 10:

1) Servisní – ty jsou bezpečnostní a jsou povinné – nejdou odložit

2) Funkční – velký update, dodává do operačního systému nové funkcionality, vydává se maximálně 3x do roka, od podzimu 2017 tomu již bude pravidelně tak, že budou vždy 2 velké funkční updaty za rok. Příklad těchto updatů je Anniversary update, Creators update. Lze je odložit v závislosti na servisním modelu

3) Quality update– jedná se o různé typy oprav v OS, lze je odložit v závislosti na servisním modelu
Pojďme trochu více rozebrat, jak tomu tedy přesně je a co jako administrátor mám za možnosti….
Musíme vnímat rozdíl, že Windows 10 jsou podávány už ne čistě jako operační systém, ale jako služba. Pojďme se podívat na jednotlivé service modely, ze kterých si můžeme vybrat.
windowseditions
Jak ukazuje tabulka, možnost výběru Service modelu závisí v přední řadě na verzi Windows 10, jelikož ne každý model je podporován ve všech verzích….My sami můžeme zvolit podporovaný model vyhovující našim potřebám…

Co který Service model umožňuje?

Semmi-Annual Channel  (Targeted) – dříve CurrentBranch
Pokud máme Windows 10 Home, jediný pro nás dostupný model je Semmi-Annual Channel  (Targeted). Tento model znamená, že se nám velké funkční updaty stáhnou v jedné vlně okamžitě po prvním otestování, tzv. Insider.  V rámci Home edice máme možnost pouze řídit následný restart stanice následující po proběhlé instalaci updatu. Pokud máme verzi Pro nebo Enterprise (Education), můžeme nastavit  odložení instalace tohoto updatu až o 365 dní.
To provedete např. pomocí Settings -> Windows Update

Semmi-Annual Channel – dříve CurrentBranch for Business
Pokud používáte Windows 10 ve firemním prostředí, bude vás jistě mnohem více zajímat druhý model, a sice Semmi-Annual Channel. V tomto servisním modelu obdržíte feature updates až po cca 4 měsících od vydání updatu. Mezitím se ještě opraví některé chybky a Windows se ustabilizují. Zároveň v tomto modelu máte možnost odložit instalaci funkčních updatů až o 1 rok pomocí politik, Tzv. quality update, které opravují potíže, mohu odložit až o 30 dní.
Jedná se konkrétně o tyto politiky:
Administrative Templates -> Windows Components -> Windows Update -> Defer Windows Update

LTSB – toto je speciální verze pro zařízení, které jsou špatně přizpůsobivé změnám a chtějí updaty pouze velmi výjimečné. Takovým příkladem, kde se tato verze Windows 10 využívá, může být například medicína. Updaty zde přicházejí pouze jednou za 2 – 3 roky. Tuto verzi opravdu je nutné však používat pouze ve velmi specifických případech, neboť je například o mnohem náchylnější na zero day útoky, což způsobuje právě málo častý update tohoto systému.

WSUS – velmi často na diskuzních fórech vidíte a i mezi IT administrátory se začíná rozšiřovat fáma, že WSUS s Windows 10 funguje nesprávně. A že vlastně updaty pomocí WSUS odložit nelze. Že si je případně Windows 10 stejně stáhnou z Microsoft serverů.
Sám jsem s tímto bojoval a nakonec jsem od jednoho technického poradce Microsoft obdržel vysvětlení, čím je to nejčastěji způsobeno, že si Windows 10 „dělají co chtějí“…..
Řídit updaty pomocí WSUS serveru je hned další možností, která mě jako administrátorovi dovolí mít absolutní kontrolu nad tím, kdy a jaké aktualizace se do stanic budou instalovat.
V první řadě je nutno nastavit pomocí GPO, že Windows stanice mohou stahovat aktualizace pouze z interního WSUS serveru.
Konkrétně se jedná o tuto politiku:

Administrative template -> Windows Components -> Windows Update -> Specify intranet Microsoft update service location

Dále nesmíme nakonfigurovat žádnou politiku, která něco říká o odkládání updatů (Defer Windows update) případně politiku Do not include drivers with Windows Update. Pokud  bychom to udělali, klientské stanice Windows by se sami přepli do modelu CurrentBranch for Bussiness (Semmi-Annual Channel ) a kontaktovali pro získání updatů Microsoftí server.
Více o WSUS a jeho praktickém nastavení zase v příštím článku….

WSUS napůl – co to je?
Jedná se o takovou specialitku, kterou se může podařit nedopatřením nastavit IT a administrátorovi pomocí GPO. O těchto politikách jsme hovořili výše. Proč napůl? Protože Windows 10 se ptá WSUS serveru na info o nových změnách, ale zároveň chce takové změny, které se netýkají aktualizací OS. Následně kontaktuje server Microsoft a stáhne si od něj updaty opračního systému. Toto je nejhorší možnost, kterou lze mít nastavenou. WSUS v tomto případě má ve firemním prostředí poněkud zbytečnou roli.
SCCM (System Center Configuration manager)
Updaty jsou samozřejmě i nadále spravovat pomocí Configuration Managera, který v sobě má WSUS integrovaný…

Jak je to se supportem

Ještě před Creators platila ohledně podpory verze operačního systému trošku matematika. Musel člověk zapnout i ten Excel, aby si správně určil, kdy mu na jeho verzi OS končí support. Ale teď vážně. Platila přesně tato pravidla:
1) Vydání velkých updatů (Creators, Anniversary…) probíhá 2 – 3 krát do roka
2) Podporovány jsou vždy dvě poslední verze + ještě 60 dní
3) Aktualizace znamená v podstatě přeinstalování celého systému, instalační balíky mají kolem 4 GB

Od creators se mnoho věcí ustabilizovalo, vylepšilo
1) Nyní již máte přesně pevně dané, jak dlouho bude váš systém podporován, tj. minimálně 18 měsíců od data vydání dané verze
2) Velké updaty budou přicházet pravidelně z jara a na podzim, celkem 2 velké updaty za rok.
3) Instalace updatů již neprobíhá jako kompletní reinstalace systému. Aktualizace jsou pouze rozdílové, tj. rozdíl funkcí oproti předchozí verzi.
Graficky rozebraný support jednotlivých verzí zahrnuje obrázek níže:
windowsservicesupport
Souhrn všech verzí Windows 10 a vydání jejich updatů najdete zde:

https://technet.microsoft.com/en-us/windows/release-info.aspx