Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB52186 Come configurare le policy e tenere sotto controllo gli aggiornamenti di sistema di Windows 10

Ultimo aggiornamento: 15/07/2019
Articolo valido per Datto RMM versione: SaaS

Windows 10 Patch Management con Datto RMM

INDICE: 

- Premessa
- Disabilitare Windows Update tramite Policy
- Implementare la Patch Management Policy
- Riepilogo dello status delle patch
- Reportistica


Premessa


Questo articolo ha lo scopo di fornire linee guida sull’implementazione del Patch Management in Datto RMM per ciò che riguarda gli aggiornamenti di Windows 10.
L’approccio attuale di Microsoft con questo sistema operativo è definito Windows-as-a-service, ciò sta a significare che le nuove funzionalità e aggiornamenti verranno continuamente emessi e proposti in maniera costante nel tempo.
Tutto questo tramite due tipi di updates: Feature Updates e Quality Updates.
Feature Updates: Escono due volte l’anno e comprendono nuove funzionalità; la loro installazione è piuttosto corposa in termini di dimensioni e durata.
Quality Updates: Sono più frequenti durante l’anno e comprendono aggiornamenti di sicurezza e bug-fix. Sono di tipo cumulativo, quindi l’ultimo che installo applicherà alla macchina anche i precedenti. Sono aggiornamenti piuttosto leggeri.

I passi principali da seguire per gestire tramite Datto RMM gli udate di Windows evitando il disagio degli automatic updates sono i seguenti:
 
  1. Disabilitare il Windows Update automatico
  2. Implementare una Patch Management Policy

Disabilitare Windows Update tramite Policy


Questo primo passo è necessario al fine di limitare il più possibile l’applicazione automatica degli Updates, e permetterci quindi di gestirli a nostro piacimento, come vedremo più avanti.
A livello Account o Site creare una nuova Policy di tipo Windows Update.







 
 

Nella sezione Targets potremo ovviamente specificare i dispositivi interessati.
E’ possibile impostare WSUS se intenzionati ad utilizzarlo. In questo caso lasciamo flaggato Microsoft Update.
 

 
 

Nella sezione Windows-As-A-Service definirò, oltre alle Active Hours (intese come orario lavorativo in cui non verrà effettuato un riavvio sulle macchine), la parte definita Update Channel. Qui andremo a ritardare il più possibile le Feature e Quality Updates, e disabiliteremo il Fast Startup per essere sicuri che gli aggiornamenti vengano applicati.


 
 

Lasceremo spenta l’impostazione Automatic Updates.







 
 


Implementare la Patch Management Policy

 
Arrivati a questo punto, dopo aver disabilitato lo strumento Windows Update, è giunto il momento di crearci la Policy vera e propria di gestione del patching. E' qui che definiremo i criteri secondo i quali avverranno gli aggiornamenti del sistema operativo per i PC target.
A Livello Site o Account, creiamo una nuova Policy di tipo Patch Management



 
 





Definiamo quali macchine saranno bersaglio di questa policy nella sezione Targets.
E’ possibile flaggare Audit only per lanciare sulle macchine scelte un interrogazione riguardo le patch già applicate e visualizzare cosa risulta in Pending.


 
 


La schedulazione per ciò che riguarda i client potrebbe essere questa:


 
 
 




Per ciò che riguarda i server, la schedulazione potrebbe essere questa:


 
 





Scegliere se scaricare da Windows Update o appoggiarsi a una local cache

 






Impostare come approvate di default le le patch rilevanti in termini di sicurezza e criticità, secondo il modello mostrato di seguito.
Impostare come non approvate tutte le patch che riguardano driver, hardware, preview. Se necessario è possibile disabilitare specifiche patch per numero di KB.


 
 

Per quanto riguarda il riavvio automatico a fine aggiornamento, possiamo lasciare all’utente la possibilità di rinviare per un numero limitato di volte.


 
 


Riepilogo dello status delle patch


E’ possibile avere una panoramica dello stato degli aggiornamenti Windows. A livello account, sezione Manage, il grafico a torta ci dà il colpo d’occhio. Qui sarà mostrato in particolare quali PC sono in stato No Policy, No Data, Fully Patched, Approved Pending e Reboot Required

 












A livello Site c’è sempre una pagina di riepilogo dello stato aggiornamento, identica a come visto sopra.
Scegliendo tasto Manage e scorrendo fino in basso troviamo le policies applicate al site, con la possibilità di abilitarle o meno e la possibilità di lanciarle in maniera estemporanea:
 
 



A livello Device, sempre in sezione Manage, vedrò quali patch policies sono applicate, e quali patch sono state installate, sono approvate o non approvate:


 
 
  

Reportistica
 

La sezione report della console si arrichisce dandoci la possibiltà di avere costanti aggiornamenti sullo stato del patching. Provando a crearne uno nuovo infatti, nella sezione Select Report > Executive > Executive Summary > Select sections for this report, vedrò la scelta Patch Management:
























Nella stessa pagina, sezione Patch Management, ho la possibilità di specificare il range di date, le patch specifiche che mi interessano e lo status di questi aggiornamenti:


 


NB: Fare riferimento alla KB52199 per scoprire quali Component Datto RMM mette a disposizione per il Patch Management.

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.