Windows 10 as a Service – Gestione degli aggiornamenti Features Update

Questo articolo è parte di una serie che vuole parlare dei concetti di Windows come Servizio

• Parte 1 – Introduzione a Windows come servizio
• Parte 2 – Ciclo di vita di una build e supportabilità
• Parte 3 – Gestione degli aggiornamenti Quality Updates
• Parte 4 – Overview sugli aggiornamenti Features Update

E' uscita una nuova build, come faccio ad adottarla?

Come detto negli articoli precedenti, Microsoft crea due Feature Updates (le build) due volte l'anno, a Marzo e Settembre, rilasciandole tramite i suoi canali nel mese successivo alla fine dello sviluppo (quindi in Aprile e Ottobre).

I canali da cui è possibile ricevere queste build sono Windows Update e il sito Volume License (per chi ha acquisito la licenza E3 o E5 di Windows).

Riguardo agli strumenti di aggiornamento, è possibile utilizzare:

• Windows Update/Windows Update for Business
• Windows Server Update Services (WSUS)
• System Center Configuration Manager (SCCM)
• Tool di terze parti similari a SCCM

Windows Update/Windows Update for Business

I features update vengono rilasciati come pacchetti di aggiornamento da Windows Update.

Ho quindi la possibilità di lasciare che il device contatti Windows Update, si accorga dell'aggiornamento, lo scarichi e lo applichi.

Per evitare un riavvio indesiderato, meglio impostare correttamente "l'orario attività" presente nel nuovo pannello di controllo nella sezione "Aggiornamento e sicurezza".

E' inoltre possibile configurare se si vuole ricevere subito una build (ramo Current Branch) o attendere 4 mesi dal rilascio (ramo Current Branch for Business). Ci sono altre opzioni interessanti compresa quella della sospensione temporanea (fino a 7 giorni) degli aggiornamenti.

Si trova tutto nella sezione "Aggiornamenti Avanzati"

E' inoltre possibile risparmiare traffico di rete utilizzando la feature Delivery Optimization che permette la condivisione degli aggiornamenti tra macchine vicine. Ne ho parlato in questo articolo a proposito dei Quality Updates.

Sempre nello stesso articolo ho parlato di Windows Update for Business che altro non è che una serie di policy (Group policy o MDM policy) che comandano il device a prendersi un aggiornamento (Quality o Feature) dopo x-giorni dalla pubblicazione.

Sarà quindi possibile impostare un gruppo di macchine pilota che installerà l'aggiornamento da Windows Update il giorno stesso della sua disponibilità, un altro gruppo che lo installerà qualche giorno dopo e così via andando per scaglioni.

Se utilizzo un Mobile Device Manager tool tipo Intune per gestire il mio Windows 10, gli aggiornamenti comprese i Features Updates verranno presi da Windows Update for Business e ci penserà la policy MDM a gestire le opzioni disponibili.

Windows Server Update Services

Se si utilizza WSUS, la build verrà comunque trattata come se fosse una patch. WSUS supporta sia Branch Cache (feature di Windows 10 Enterprise) che Delivery Optimization per ottimizzare la banda utilizzata.

System Center Configuration Manager

SCCM ha una sua sezione specifica chiamata "Windows 10 Servicing" che permette di:

• Avere delle dashboard in grado di fornire informazioni su quanti e quali sistemi utilizzano una certa build
• Creare dei Servicing Plan

I Servicing Plan permettono di automatizzare l'installazione della build andando a definire dei gruppi di adozione (i ring) e le tempistiche di innesco dell'installazione.

SCCM permette l'utilizzo sia di Branch Cache che di Peer Cache per l'ottimizzazione del traffico di rete.

Tool di gestione di terze parti

Qui entriamo in un terreno che non è il mio nel senso che conosco abbastanza bene tutta una serie di tool di gestione quali LanDesk, IBM TEM, Symantec Altiris... Ma per quanto riguarda Windows 10, al momento della scrittura di questo articolo, non sono a conoscenza di processi per l'aggiornamento delle build simili a quello descritto qui sopra per SCCM.

Comunque sia, anche che non ci fossero, è sempre possibile innescare l'aggiornamento di una build tramite uno script nel senso che il "motore" di aggiornamento viene scatenato dal classico Setup.exe presente nella ISO di Windows 10 condito da tutta una serie di switch che permettono l'installazione silente.

Per sapere quali sono questi switch, basta da riga di comando eseguire setup.exe /?

Cifratura del disco

Come punto di attenzione vorrei sollevare la tematica della cifratura del disco... Windows 10 sia Professional che Enterprise permettono di utilizzare la feature Bitlocker compresa nel sistema operativo (in Windows 7 era disponibile solo nella versione Enterprise) ma ci sono disponibili sul mercato altre soluzioni di terze parti.

Il punto d'attenzione è dato dal fatto che la procedura di aggiornamento del sistema operativo passa dal seguente processo:

• I file vengono inseriti nella cache locale del device da aggiornare
• I file vengono scompattati, si cambia il boot order e si effettua un riavvio
• Viene avviato in automatico Windows PE (versione minimale di Windows che lavora esclusivamente in RAM)
• Windows PE che lavora in RAM vede "dall'alto" il disco ed è in grado di aggiornare il sistema operativo

Se la cifratura è Bitlocker, allora il sistema la conosce e quindi prima di effettuare il riavvio questa viene messa in pausa e quindi il processo di aggiornamento non ha problemi ad effettuarsi.

Se però la cifratura è di terze parti, sarà compito di chi aggiorna premunirsi di mettere in pausa/disabilitare la cifratura prima di innescare l'aggiornamento pena la non riuscita dello stesso.

Con questo non voglio sconsigliare i tool di terze parti per la cifratura, ma voglio semplicemente darvi la consapevolezza che in loro presenza è necessario una serie di azioni pre e post per far si che l'aggiornamento di build abbia successo.

Antivirus di terze parti

Punto di attenzione simile a quello su Bitlocker... Essendo che gli antivirus lavorano a stretto contatto con il sistema operativo è sempre necessario assicurarsi di avere la versione corretta dell'antivirus prima di effettuare l'aggiornamento di Windows 10.

Il pericolo è che l'aggiornamento di build non si completi correttamente perché l'antivirus lo riconosce come azione malevola oppure che l'antivirus non funzioni correttamente una volta completato il Feature Update.

In ogni caso sempre meglio guardare la pagina web del proprio vendor Antivirus o contattarlo per sapere se ci sono problematiche note (non succede spesso ma se succede si potrebbe perdere tempo).

Utilizzando Windows Defender come antivirus non si hanno tipicamente problemi essendo parte del sistema operativo che si aggiorna.

Aggiornamento per Delta

E' in fase di sviluppo (al momento della scrittura di questo articolo) la possibilità di aggiornare le build andando a mettere nella cache del device solo i file che sono stati cambiati/aggiunti tra una build e l'altra. In questo modo si sitima un risparmio di grandezza dell'update di almeno il 35%.

Il rilascio di questa funzionalità è previsto con Fall Creators Update ovvero la prossima build prevista per Settembre 2017.

Conclusioni

Il Windows as a Service introduce dei concetti decisamente nuovi per le aziende andando a semplificare la gestione delle postazioni di lavoro e aggiungendo in modo continuo funzionalità in grado di seguire i bisogni degli utenti in termini di utilizzo e protezione del loro device.

Vengono rilasciate due build all'anno che non rappresentano un nuovo sistema operativo ma una strettissima derivazione del precedente dove la compatibilità applicativa con il passato vuole essere preservata.

L'installazione sia di Quality che Features update può essere facilitata dai meccanismi differenziali e di condivisione dei contenuti.