Microsoft : Ce sont les politiques de Windows Update à utiliser pour vos PC (et montagnes russes)

Microsoft a détaillé comment vous devez utiliser les politiques de Windows Update pour maintenir vos appareils à jour et sécurisés, des appareils mono-utilisateur aux kiosques et panneaux d’affichage – et montagnes russes.

Le premier conseil du géant de la technologie pour les administrateurs utilisant la stratégie de groupe Windows pour gérer les appareils d’entreprise Windows 10 et Windows 11 est de ne pas trop jouer avec les valeurs par défaut.

Les administrateurs ne devraient pas s’efforcer de personnaliser les correctifs de sécurité des appareils et les mises à jour des fonctionnalités, car les valeurs par défaut sont “souvent les meilleures”, selon Microsoft. Cet accent mis sur les valeurs par défaut permet aux utilisateurs de rester heureux et productifs, tout en garantissant que les appareils sont corrigés et à jour.

VOIR: Sécurité de Windows 11 : comment protéger les PC de votre maison et de votre petite entreprise

Les administrateurs peuvent utiliser la stratégie de groupe pour contrôler le calendrier des mises à jour pour Patch Tuesday, les correctifs d’urgence et nouvelles versions de fonctionnalités de Windows. La valeur par défaut pour Windows Update dans l’entreprise ressemble beaucoup à l’expérience des consommateurs sur les PC Windows. Mais il existe de nombreuses autres façons d’utiliser Windows et Windows Update pour maintenir toutes sortes d’appareils opérationnels en cas de besoin et également corrigés régulièrement pendant les temps d’arrêt.

La politique par défaut de Windows Update consiste à ce que les appareils analysent quotidiennement, téléchargent et installent automatiquement toutes les mises à jour applicables “à un moment optimisé pour réduire les interférences avec l’utilisation, puis essaient automatiquement de redémarrer lorsque l’utilisateur final est absent”. selon Aria Carley, responsable principale du programme Microsoft.

“Exploitez les paramètres par défaut !” dit Carly.

Mais il y a tellement de cas d’utilisation pour Windows que les valeurs par défaut ne peuvent pas couvrir tous les scénarios. Outre les appareils Windows personnels mono-utilisateur, il existe : des appareils multi-utilisateurs ; appareils éducatifs; kiosques et guichets automatiques bancaires ; les machines d’usine, les montagnes russes et les infrastructures critiques ; et les appareils Microsoft Teams Rooms.

Alors que les valeurs par défaut sont une bonne base de référence, Carley Détails des offres sur la façon d’utiliser la stratégie de groupe pour ajuster le calendrier des mises à jour automatiques pour chaque cas d’utilisation. Elle a également compilé un liste des 25 paramètres de stratégie de groupe que les administrateurs ne doivent pas utiliser.

Pour les cas d’utilisation où la stratégie de groupe peut être utilisée, les administrateurs peuvent spécifier “le nombre de jours avant qu’une mise à jour ne soit forcée d’installer” pendant les heures actives, lorsque l’utilisateur peut être présent. Cela s’applique aux appareils mono-utilisateur qui peuvent être connectés au réseau de l’entreprise ou utilisés à distance.

Microsoft recommande l’utilisation de délais en raison des risques de sécurité accrus liés aux rançongiciels et aux logiciels malveillants destructeurs. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis est Des logiciels malveillants destructeurs inquiets pourraient cibler des organisations américaines en raison des sanctions américaines contre la Russie pour son invasion de l’Ukraine.

Les appareils multi-utilisateurs tels que HoloLens ou un PC dans un laboratoire ou une bibliothèque peuvent avoir des périodes d’utilisation définies, telles que les heures d’ouverture d’un bâtiment. Les mettre à jour à minuit, lorsque le personnel est absent, pourrait être idéal.

Pour les appareils éducatifs, les administrateurs peuvent s’assurer que les notifications de mise à jour Windows ou les redémarrages automatiques ne se produisent pas pendant la journée scolaire. Pour ce faire tout en restant patché, les administrateurs peuvent cocher la nouvelle option de la boîte de stratégie de groupe “Appliquer uniquement pendant les heures actives”.

Cependant, cette fonctionnalité n’est actuellement disponible que pour les appareils du programme Windows Insider pour les entreprises dans les canaux Dev ou Beta. Remarques de Microsoft : “Pour ceux qui utilisent des appareils Windows 10 ou Windows 11, version 21H2, nous ne recommandons pas de configurer ceci et recommandons plutôt de tirer parti de l’expérience par défaut.”

Un autre paramètre de stratégie de groupe pertinent est “Désactiver le redémarrage automatique des mises à jour pendant les heures actives”, qui remplace les “heures actives intelligentes” par défaut de Microsoft – une mesure calculée sur les appareils en fonction de l’utilisation de l’utilisateur.

VOIR: Comment parler de technologie : cinq façons d’intéresser les gens à votre nouveau projet

Pour des éléments tels que les kiosques, les panneaux d’affichage et les distributeurs automatiques de billets, les propriétaires peuvent ne souhaiter aucune notification ni redémarrage automatique, et préférer redémarrer pendant les heures de “faible visibilité”. Il existe quatre politiques pertinentes pour ces appareils afin d’éviter les notifications qui seraient inutiles et perturbatrices pour les utilisateurs passifs, ainsi que les redémarrages pendant les heures d’activité typiques. Les administrateurs ont la possibilité de configurer la mise à jour pour qu’elle se produise à 3 heures du matin tous les jours, l’heure de faible visibilité supposée.

Certains appareils ne nécessitent peut-être pas une mise à jour Windows, mais même les administrateurs d’appareils d’usine, de montagnes russes et d’infrastructures critiques reçoivent également des conseils sur la façon de gérer le comportement de mise à jour automatique si nécessaire.

Comme le note Carley : “Les machines sur le sol de l’usine, les montagnes russes dans les parcs d’attractions et d’autres infrastructures critiques peuvent toutes nécessiter des mises à jour. Compte tenu de la criticité de ces appareils, il est essentiel qu’ils restent sécurisés, restent fonctionnels et ne soient pas interrompus au milieu. d’une tâche. Il s’agit souvent de certains des appareils de la dernière vague lors du déploiement d’une mise à jour après que tout le reste a été validé. »

Carley ajoute : “Remarque : il s’agit de l’un des seuls cas d’utilisation où les délais de conformité ne sont pas recommandés, car les mises à jour automatiques ne sont jamais acceptables dans ce scénario.”

Leave a Comment