Función de actualización de Windows de escaneo dual - Solución automatizada para la administración de actualizaciones

Microsoft ha dado un nuevo significado a la administración de actualizaciones con la combinación de Windows Update para empresas y Windows como servicio; aquí viene Escaneo dual. Esto es un Característica de actualización de Windows lo que no requiere que los administradores aprueben cada actualización manualmente.

"Creemos que esta solución de administración automatizada es el futuro, y queremos asegurarnos de que todos los que quieran pasar a la administración de actualizaciones moderna (es decir, la nube en primer lugar) puedan hacerlo"..

¿Qué es Dual Scan?

Dual Scan es un comportamiento de cliente de Windows Update (WU) que se introdujo con Windows 10 1607 para administrar automáticamente el flujo de trabajo de recibir actualizaciones directamente desde Windows Updates (WU) y aún así poder distribuir contenido como controladores o actualizaciones publicadas localmente a través de WSUS.

Activar el escaneo dual de manera efectiva significa obtener las actualizaciones de Windows de internet y las actualizaciones no de Windows de WSUS. La exploración dual se habilita automáticamente cuando se habilita una combinación de políticas de grupo de Windows Update:

• DeferQualityUpdate
• DeferQualityUpdatePeriodInDays
• PauseQualityUpdate
• DeferFeatureUpdate
• DeferFeatureUpdatePeriodInDays
• PauseFeatureUpdate

Este modelo solo puede ser utilizado por aquellas empresas que desean que WU sea su principal fuente de actualización, mientras que Windows Server Update Services (WSUS) proporciona todo el resto del contenido..

Pérdida de control no deseada de Dual Scan

Dual Scan introduce una pérdida de control no deseada para aquellos que aún desean continuar administrando las actualizaciones de la forma anterior. Anteriormente a Windows 10, uno no podía actualizar involuntariamente una máquina administrada a una nueva compilación simplemente escaneando contra Windows Update (WU). Esto se debió a que ese canal solo proporcionó actualizaciones de calidad, generalmente porque los administradores no estaban preocupados por la exploración de sus clientes contra WU, ya que nunca podría llevar a cambios significativos en el estado del cliente..

Pero con las actualizaciones de funciones que se ofrecen en WU, los clientes administrados a través de WSUS o Configuration Manager pueden recibir actualizaciones de funciones que su administrador rechazó anteriormente haciendo clic en "Compruebe en línea para actualizaciones de Microsoft Update" enlazar.

Controles de negocios en el escenario local

Debido a que los administradores locales estaban correctamente preocupados por el escenario anterior, seleccionaron habilitar la WU para la política de negocios que les permitió seleccionar cuándo se recibieron las actualizaciones de funciones que tuvieron el efecto planeado: las exploraciones contra Windows Update ya no impulsaban la función no aprobada actualizaciones.

Sin embargo, esta configuración también cumplió con los criterios para habilitar el escaneo dual, lo que hace que WSUS o Configuration Manager no controlen la máquina para las actualizaciones de Windows.

Pero, ¿cómo puede un usuario evitar que las actualizaciones de características no aprobadas se instalen mientras mantiene el control de la administración de actualizaciones con sus herramientas locales existentes??

Microsoft dice-

“Hemos recibido suficientes comentarios sobre este escenario que nos hemos comprometido a lanzar una actualización de calidad para 1607 que le permite aprovechar los controles de WU for Business incluso en el escenario local; es decir, para las exploraciones de "Buscar actualizaciones en línea". Podrás diferir las actualizaciones de las funciones sin cambiar automáticamente al comportamiento de escaneo dual ".

La política no se pudo configurar de forma predeterminada, se debe habilitar la misma para garantizar que el cliente WU se comporte como se esperaba. Microsoft planea lanzar la actualización de calidad para 1607 que se lanzará este verano.

Para desbloquear este escenario

Microsoft enumeró los pasos para desbloquear el escenario de inmediato. Con estos pasos, los clientes administrados pueden realizar exploraciones contra WSUS / Configuration Manager y acceder a Microsoft Store. Con esta configuración, restringirá las actualizaciones de funciones para que se instalen automáticamente en las máquinas y también restringirá cualquier contenido de actualización para instalarse a través de Windows Update. Para todos los clientes administrados, Microsoft recomienda las siguientes soluciones:

1. Establezca todas las políticas de WU for Business en No configurado. Esto asegura que no se encuentre en el modo de escaneo dual.
2. Verifique que haya instalado la actualización acumulativa de noviembre de 2016 para 1607, o cualquier actualización acumulativa más reciente.
3. Habilitar la directiva de grupo Sistema / Administración de comunicación de Internet / Configuración de comunicación de Internet / Desactivar el acceso a todas las funciones de Windows Update
4. En un símbolo del sistema elevado, ejecute "gpupdate / force", seguido de "UsoClient.exe startscan"
5. Abra la interfaz de usuario de Windows Update (espere a que se complete el análisis) y observe:

Microsoft dijo que la activación de "Eliminar el acceso a todas las funciones de Windows Update" no sería útil para este escenario. Dual Scan también es compatible en el escenario local. La política de grupo incluye una configuración - No permita que las políticas de aplazamiento de actualización causen análisis en Windows Update. Para una lectura completa sobre el tema, visite Microsoft.