适用于各种规模的企业的完整指南

如何配置Windows 10 PC以避免常见的安全问题?遗憾的是，没有软件魔术弹，这些工具对于小型企业和企业来说是不同的。这是值得注意的。您的企业是否有处理Windows更新的全面计划?人们很容易将这些下载视为偶尔的麻烦，随着它们的到来而被淘汰。但是，以反应性方式处理更新是挫折感和生产力损失的处方。另一种方法是创建一个用于测试和部署更新的管理策略，以便该过程像每个月发送发票和关闭账簿一样常规。包含了解Microsoft如何为运行Windows 10的设备提供更新所需的所有信息，以及有关可用于在运行Windows 10 Pro，Enterprise或Education版本的设备上智能管理这些更新的工具和技术的详细信息。(Windows 10 Home仅支持最基本的更新管理功能，不适合在业务设置中部署。)

但在触摸任何这些工具之前，您需要一个计划。

您的更新政策中包含哪些内容?

更新策略的目的是使更新过程可预测，并通过程序通知用户，以便他们可以相应地规划工作并避免意外停机。它还包括用于处理意外问题的协议，包括回滚失败的更新。

合理的更新策略留出了每个月处理更新的时间。在小型组织中，这可能是商店中每台PC的指定维护窗口。大型组织不太可能采用“一刀切”的策略，并且可以将其PC群体划分为更新组(Microsoft称之为“响铃”)，每个组都有不同的更新策略。

该策略需要解决几种不同类型的更新。

最熟悉的是每月第二个星期二(又名补丁星期二)的每月累积安全性和可靠性更新。补丁星期二版本通常还包括Windows恶意软件删除工具，可能包括以下任何其他类型的更新：

.NET Framework的安全更新

Adobe Flash Player的安全更新

服务堆栈更新(必须在其他更新之前安装)

任何或所有这些更新的安装可延迟最多30天。

根据PC制造商的不同，还可以通过Windows Update提供硬件驱动程序和固件更新。您可以选择退出此类更新，也可以使用适用于其他更新的相同设置对其进行管理。

最后，还通过Windows Update提供功能更新。这些大型软件包将Windows 10更新为最新版本，并且除了长期服务通道(LTSC)版本之外，所有Windows版本每六个月发布一次。您可以使用Windows Update for Business将功能更新的安装延迟最多365天;企业版和教育版可以使用长达30个月的额外延期。

在此背景下，您现在可以开始组装更新策略，该策略应包括每个托管PC的以下元素：

何时安装每月更新：

使用默认Windows设置，每月更新将在星期二补丁发布后的24小时内下载并安装。您可以选择推迟组织中某些或所有PC的这些下载，以便您有时间测试更新的兼容性;如果Microsoft发现更新问题，这种延迟还可以避免受到影响，就像Windows 10多次发生一样。

何时安装半年度功能更新：

使用默认Windows设置，当Microsoft表示已准备就绪时，将下载并安装功能更新。在Microsoft评估的设备上，该设备最适合更新，功能更新可能会在发布后的几天内到达。对于其他设备，功能更新可能会在几个月后到达，或者甚至可能因兼容性问题而被阻止。您可以为组织中的某些或所有PC指定延迟，以便有时间测试新版本。从版本1903开始，非托管PC的用户将获得功能更新，但只有在用户明确请求时才会下载和安装这些功能。

何时允许PC重新启动以完成更新安装：

大多数更新需要重新启动才能完成安装。此重新启动发生在上午8点到下午5点的默认活动时间设置之外;您可以将此设置更改为您选择的时间间隔，最长可达18小时。使用管理工具，您可以设置下载和安装更新的特定时间。

如何通知PC用户挂起的更新和重新启动：

为了避免令人不快的意外，Windows 10会在更新未决时通知用户。您在Windows 10设置中对这些通知的控制有限。使用组策略设置可以获得更多选项。

如何处理带外更新：

有时，Microsoft会在其正常的Patch Tuesday计划之外发布关键安全更新。通常，这些旨在解决“在野外”被利用的安全漏洞。您是否加快了这些更新的部署或等到下一个预定的更新窗口?

如何处理更新失败：

如果更新无法安装或导致问题，您的响应计划是什么?

定义这些元素后，就可以选择管理工具了。

必读：

Windows更新问题：微软揭示了为什么最近的补丁破坏了一些PC

Windows 10 Enterprise客户现在将获得类似Linux的支持

Windows即服务失败：微软让客户陷入困境

微软恢复推出Windows 10版本1809，承诺质量变化

手动管理更新

在非常小的企业中，包括一人商店，手动配置Windows Update很容易。从设置>更新和安全> Windows Update开始。在那里，您可以调整两组设置。

首先，单击“更改活动时间”并调整设置以反映您的实际工作习惯。如果您经常在晚上工作，您可以通过从早上6点到午夜配置这些值来避免停机，从而确保任何预定的重新启动都会在凌晨时分发生。

接下来，单击“高级选项”并调整“安装时更新时选择”标题下的设置以反映您的策略。

选择半年度频道而不是默认的半年度频道(目标)来延迟功能更新的安装，直到Microsoft宣布它们已准备好进行广泛的业务采用(通常至少两个月)。

选择延迟安装功能更新的天数。最大值为365天。

选择延迟安装质量更新的天数，包括补丁星期二发布的累积安全更新。最大值为30天。

此页面上的其他设置控制重新启动通知的显示(默认情况下已启用)以及是否允许在计量连接上下载更新(默认情况下已禁用)。

当然，延迟更新的目的不仅仅是让你的(以及你的用户)在本月晚些时候感到惊讶。例如，如果您为质量更新设置了15天的延迟，则应使用该时间来测试更新的兼容性，并在15天的延期期限到期之前安排维护窗口一段时间。

必读：

常见问题：如何管理Windows 10更新

Windows 10提示：何时应该（并且不应该）暂停更新

使用组策略管理更新

也可以使用组策略应用上一节中列出的所有手动设置，并且与Windows Update相关的组策略设置的完整列表包含许多远远超出“设置”中可用选项的选项。

您可以使用本地组策略编辑器，Gpedit.msc或使用脚本将这些设置应用于各个PC。但最常见的用途是在具有Active Directory的Windows域中，您可以将策略组合推送到PC组。

大量策略专门针对Windows 10.最重要的是与Windows Update for Business功能相关的策略，这些功能位于“计算机配置”>“管理模板”>“Windows组件”>“Windows Update”>“Windows Update for Business”中。

在收到预览构建和功能更新时

选择选择服务通道并设置功能更新的延迟。

选择何时收到质量更新：

设置每月累积更新和其他与安全相关的更新的延迟。

管理预览版本：

指定用户是否可以将计算机加入Windows Insider程序，如果启用，则指定Insider环。

另一组策略位于“计算机配置”>“管理模板”>“Windows组件”>“Windows Update”中。

删除对“暂停更新”功能的访问权限：

通过删除暂停更新最多35天的选项，防止用户干扰更新安装。

删除对所有Windows Update功能的访问权限：

阻止用户更改任何Windows Update设置。

允许通过计量连接自动下载

更新允许使用计量连接(如LTE连接)在设备上安装更新。

不包含Windows更新的驱动程序：

阻止Windows Update安装设备驱动程序。

所有特定于Windows 10的以下设置适用于重新启动和通知：

在活动时间关闭自动重新启动以进行更新：

确保设备在正常工作时间内不重新启动以安装更新。

指定自动重新启动的活动小时范围：

更改默认活动小时数设置。

在更新安装的自动重新启动之前指定截止日期：

选择截止日期(2到14天之间)，之后将自动重新启动以应用更新。

为更新配置自动重新启动提醒通知：

在通知用户时，增加计划重新启动之前的时间。可接受的值为15分钟(默认)到240分钟。

关闭更新安装的自动重新启动通知：

完全禁用重新启动通知。

为更新配置自动重新启动所需通知：

防止通知在25秒后消失，而是要求用户解除。

不允许更新延迟策略导致针对Windows Update的扫描：

使用此策略可防止PC在分配延迟时检查Windows Update。

为更新指定参与的重新启动转换和通知计划：

使用此策略允许用户计划重新启动并“暂停”重新启动提醒。

为更新配置自动重新启动警告通知计划：

配置自动重启的提醒(从4到24小时)和即将重启的警告(从15到60分钟)。

更新购物车重新启动的电源政策：

此政策适用于一夜之间保留在购物车上的教育系统，即使使用电池供电也可以安装更新。

显示更新通知的选项：

使用这些设置可以完全禁用更新通知，并选择包含或排除重新启动警告。