本文档将详细介绍在受Deep Freeze Enterprise保护的工作站上运行Windows更新的建议最佳实践。Deep Freeze Standard不包括自动执行Windows Update过程所需的选项,除非与Deep Freeze Cloud Connector一起使用。
Faronics Deep Freeze包括通过在客户端工作站上使用预定维护期来自动执行将更新应用于受保护工作站的过程的功能。这将自动将计算机启动到非受保护(解冻)状态,并开始在系统管理员指定的时间将适用的更新下载到客户端工作站。为了确保及时提供更新,Faronics建议在客户端系统上配置许多选项。
Deep Freeze通过在计划的维护期间与Windows Update API连接来处理安装Windows更新的过程。此计划的维护期将自动禁用Deep Freeze,并在客户端计算机上安装和应用更新。根据您使用的Deep Freeze版本,计划的维护任务在不同的位置配置;
- Deep Freeze Enterprise – 在“工作站任务”页面的Deep Freeze配置管理器中。
- 在Deep Freeze Cloud中 – 在Workstation Tasks页面下工作站的策略设置的Deep Freeze页面中。
- 带有云连接器的Deep Freeze Standard – 在Workstation Tasks页面下工作站的策略设置的Deep Freeze页面中。
维护事件应配置为工作站预期在线但不是用户要求的时间范围。下表列出了运行Windows更新的建议设置;
|
设置 |
推荐值 |
注意 |
|
维护开始时间 |
管理员已配置 |
|
|
维护结束时间。 |
Windows Update完成时 |
这允许安装更新,但会限制计算机不受保护的时间。如果 需要运行其他任务管理员应确保Windows Update任务最后运行,以便在运行时间不会干扰其他任务。
请注意,如果Windows Update进程遇到问题,此设置会有六小时超时。 |
|
允许用户取消任务 |
残 |
只有在通常发生更新时用户有可能在计算机上工作时才应启用。 |
|
任务后关机 |
禁用。 |
在维护任务之后关闭将阻止其他维护任务发生,仅在这是工作站的最后一个事件时才启用。 |
|
禁用键盘和鼠标 |
启用 |
此设置将阻止用户在不受保护的情况下访问计算机。 |
|
显示消息 |
3分钟 |
此设置定义系统何时通知用户维护事件。
请注意,该消息将在计划的维护时间显示,然后计算机将在此时间段后重新启动到解冻状态。因此,计算机将在开始时间过去3分钟后才进入解冻状态。设置长警告时间可能以不期望的方式延迟维护周期的开始。 |
注 – 对于1:1部署或在需要定期维护时系统可能不在线的情况,管理员需要安排机器可以由最终用户或管理人员联机的时间用于目的应用更新。
更新频率
Faronics建议客户按照其补丁管理流程及其可能受到的任何监管要求的频率安装更新。如果这些标准不存在,我们建议进行配置,以便在两个阶段中部署更新,其中一个较小的一组计算机在获得批准后立即接收更新,另一组计算机在其进入后安装了更新放置在第一组机器上一段时间没有问题。这允许较小的一组机器提供有关更新过程的任何问题的预先警告,而不会由于更新错误的问题而使整个企业面临问题的风险。
高级设置
Deep Freeze在Deep Freeze配置管理器的Windows Update屏幕和Deep Freeze云策略中的Deep Freeze设置的Windows Update页面中包含许多Windows Update特定设置。下面列出了这些设置以及我们的建议。
|
设置 |
推荐值 |
注意 |
|
允许Deep Freeze选择下载Windows更新的方式。 |
启用(已选中) |
选中此选项将允许Deep Freeze控制在客户端计算机上下载更新的过程。根据更新缓存的配置,我们可能会在冻结时完全禁止下载,或者允许下载更新但在计算机进入维护窗口之前不会安装。
不选择此选项将使系统上已配置的任何设置生效,并可能导致在不合适的时间安装更新或其他问题。 选择此选项后,将禁止Windows Update服务,在某些版本中将禁止客户端计算机上的BITS服务。有关此行为的更多信息,请参见此处。 |
|
不要缓存Windows更新/缓存Windows更新 |
缓存Windows更新 |
缓存更新允许Deep Freeze创建一个容器,以便在冻结时下载更新。这允许下载在一天中展开,缩短了安装更新所需的时间,因为当计算机进入维护窗口时不必下载它们。 |
|
从中检索Windows更新 |
Windows Server更新服务(WSUS) |
Faronics建议用户尽可能使用WSUS服务器,因为它可以更好地控制更新过程,而不是从Microsoft托管的Windows Update Service下载更新时。 |
延迟冻结重启以完成Windows更新选项。
Deep Freeze(8.35及更高版本)的更新版本包含一个选项,允许软件在计算机尝试在Tahwed和Frozen状态之间转换时执行其他重新启动以清除任何挂起的更新。此选项旨在防止系统陷入重新启动循环,尝试应用更新。启用后,Deep Freeze将执行最多六次重新启动,以尝试在系统进入“冻结”状态之前清除客户端系统上的任何挂起的更新。
Faronics建议此选项保持启用状态。
Windows软件更新服务
WSUS是Windows Server操作系统的一个组件,可以通过Server 2008或Server 2012上的服务器管理器中的“添加角色/功能”向导添加到现有服务器。通过Microsoft Update服务下载更新时,Deep Freeze将仅安装已标记为“严重”或“安全”更新的更新。使用WSUS服务器时,可以根据系统管理员的意愿在机器上批准或隐藏更新,从而可以更好地控制更新及其配置方式。
Windows 10特别关注
Windows 10大大减少了管理员在某些版本的Windows中应用客户端工作站更新的选项数量。Deep Freeze仍然可以在客户端工作站上运行和控制更新过程,但Windows 10可能会更改提供给客户端工作站的更新类型,具体取决于安装的Windows版本以及管理员是否使用WSUS服务器。希望保持对更新过程的控制的客户应调查在其环境中使用Windows 10 Enterprise的长期服务(LTS)分支和WSUS服务器。
客户应考虑在Windows 10更新设置中选择延迟升级选项(如果它们运行Windows的专业版或企业版),因为这样可以防止功能升级的安装自动发生。但是,这将需要在某些时候进行手动干预,因为Microsoft将停止推送更新到旧版本的Windows,直到安装升级。
使用3更新RD第三方工具。
对于谁是使用3客户第三届第三方工具来管理更新应小心以确保更新可以在一个时间Deep Freeze的解冻,以防止冲突进行调度。由于Deep Freeze的性质,不建议多个应用程序尝试控制更新过程。如果3 次党纲是使用管理员应该确保解冻的周期足够长,以确保所有需要执行(包括任何要求的重新启动)的任务,而不受计算机恢复到冰冻中断执行州。