Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Patch Management per Windows: FAQ

Argomento

Questo articolo risponde alle domande più frequenti sulla gestione delle patch di Windows. 

Per ulteriori articoli sul patching in NinjaOne, consultate il nostro Catalogo delle risorse per il patching.

Ambiente

  • Patch management NinjaOne
  • Sistema operativo Windows

Descrizione

FAQ Generali:

FAQ Generali:

Come vengono scritte le impostazioni del registro per i server WSUS in NinjaOne?

Se la modalità "Controllo" è disattivata all'interno di NinjaOne, gli aggiornamenti automatici del sistema operativo sono disabilitati. Se si configurano modifiche a WSUS in NinjaOne, tali modifiche vengono applicate anche al registro.

NinjaOne funzionerà ancora per applicare le patch al sistema operativo se disabilitiamo gli aggiornamenti di Windows in GPO? 

Se non si desidera che gli utenti eseguano manualmente Windows Update, è possibile utilizzare questa GPO: https://learn.microsoft.com/en-us/windows/deployment/update/waas-wu-settings#remove-access-to-use-all-windows-update-features.

Esiste un limite al numero di lingue in cui possono essere tradotti i prompt di riavvio attivati da NinjaOne e l'icona Systray? C'è un modo per conoscere le lingue tradotte? 

Questo messaggio specifico (e le sue variazioni a seconda che il riavvio avvenga entro un certo lasso di tempo) è disponibile in tutte le lingue supportate: Inglese, tedesco, francese, spagnolo, italiano, olandese, svedese, norvegese, danese, portoghese, polacco e russo.

L'agente NinjaOne è compatibile con Windows 11?

NinjaOne ha testato l'agente NinjaRMM e i suoi componenti integrati su installazioni nuove e aggiornate di Windows 11, che abbiamo aggiunto come sistema operativo supportato alla nostra documentazione sui requisiti di sistema e sul supporto dei sistemi operativi. Contattare l'assistenza se si riscontrano problemi.

In che modo Windows classificherà la patch e l'aggiornamento a Windows 11?

Secondo l'articolo di Microsoft sulla panoramica di Windows 11, l'aggiornamento di Windows 11 è classificato come un aggiornamento di funzionalità:

Per gli amministratori che gestiscono i dispositivi per conto della propria organizzazione, Windows 11 sarà disponibile attraverso gli stessi canali già noti che oggi si utilizzano per gli aggiornamenti delle funzionalità di Windows 10. Potrai utilizzare gli strumenti di distribuzione e gestione esistenti, come Windows Update for Business, Microsoft Endpoint Manager e Windows Autopilot. Per maggiori informazioni, consulta ilPiano per Windows 11.

Come posso assicurarmi che i miei dispositivi Windows 10 non vengano aggiornati a Windows 11?

Gli aggiornamenti di Windows funzionano come segue: L'aggiornamento di funzionalità per il passaggio a Windows 11, 22H2, sarà proposto per i dispositivi Windows 10. Se avete approvato questo aggiornamento della funzionalità, NinjaOne aggiornerà i vostri dispositivi Windows 10 a Windows 11. Per evitare che ciò accada, è necessario selezionare "Rimani su Windows 10 per ora" nella GUI locale di Windows Updates.

È possibile utilizzare il seguente script per automatizzare il comando:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 1reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersionInfo /t REG_SZ /d 22H2reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v ProductVersion /t REG_SZ /d "Windows 10"

Utilizzare questa riga per sbloccare il comando:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 0

In NinjaOne, le impostazioni di approvazione per il tipo di patch "Aggiornamenti delle funzionalità" si trovano in Windows PatchesApprovazioni avanzate nelle impostazioni dei criteri di gestione delle patch del sistema operativo.

  • Rifiuta bloccherà l'installazione della patch (e di qualsiasi altro aggiornamento di funzionalità) sui computer gestiti quando il sistema la trova durante una scansione.
  • Approve invierà la patch ai computer gestiti durante il ciclo di applicazione successivo, dopo che il sistema l'avrà trovata durante una scansione.
  • Manuale consente di scegliere se rifiutare o approvare la patch quando il sistema la trova durante una scansione.

policy_windows patch_feature updates_edit approval.png 
Immagine 1: Modifica dell'approvazione per gli aggiornamenti delle funzionalità a livello di policy in NinjaOne

Consultare il sito : Patch management per Windows per maggiori informazioni su come configurare queste impostazioni.

Come funziona lo strumento di patch management per Windows di NinjaOne?

L'eseguibile dello strumento di gestione delle patch di NinjaOne si trova nella directory di installazione dell'agente NinjaOne. Questo eseguibile gestisce il rilevamento e l'installazione delle patch tramite l'API di Windows Update Agent. A seconda delle configurazioni dei criteri, un tipico ciclo di scansione WPM eseguirà fino a tre scansioni:

  • Una scansione per cercare gli aggiornamenti consigliati, che include tutto ciò che viene inserito in Importante nella sezione Approvazioni relativa alle impostazioni dei criteri di patching del sistema operativo;
  • Una scansione per cercare Aggiornamenti facoltativi e Aggiornamenti di funzionalità (se abilitati);
  • Una scansione per cercare i Driver (se abilitata).

Quando sarà disponibile la patch di aggiornamento a Windows 11 per le mie macchine gestite attraverso lo strumento di patch management per Windows di NinjaOne?

Consultare  Gestione patch di Windows: Disponibilità delle patch per ulteriori informazioni. 

Qual è la differenza tra lo strumento di patch management per Windows di NinjaOne e Windows Updates?

La gestione delle patch di Windows e gli aggiornamenti di Windows di NinjaOne attingono entrambi direttamente dal catalogo di Windows Update di tutte le patch disponibili. NinjaOne rileva la cronologia delle patch durante una scansione e segnala le patch installate tramite Windows Updates al di fuori di NinjaOne. Tuttavia, è essenziale notare che NinjaOne non può bloccare un cliente dall'installazione di una patch tramite Windows Update.

Cosa succede quando Microsoft rilascia una nuova patch? 

Microsoft distribuisce le patch appena rilasciate attraverso i canali di assistenza. Se il dispositivo è in grado di rilevare l'aggiornamento durante una scansione di aggiornamento locale, NinjaOne può rilevare le patch anche durante la successiva scansione di gestione delle patch. Se il dispositivo non è in grado di rilevare la patch, NinjaOne non la visualizza, perché utilizza i risultati e i dati di Windows Updater.

NinjaOne rileva le patch solo se sono disponibili quando si esegue una scansione delle patch di Windows. È importante notare che l'esecuzione di una scansione delle patch in locale su un dispositivo bypassa qualsiasi impostazione dei criteri di gestione delle patch di Windows configurata in NinjaOne.

Ho trovato un aggiornamento di sicurezza disponibile tramite Microsoft, ma non viene rilevato nei cicli di scansione delle patch di NinjaOne. Perché?

In casi limitati, può verificarsi un ritardo tra il momento in cui Microsoft rilascia un aggiornamento di sicurezza e quello in cui la patch è disponibile direttamente tramite Windows Update. Il catalogo di Windows Update aggiunge in genere le patch il secondo martedì di ogni mese. NinjaOne non può rilevare queste patch durante un ciclo di scansione finché Windows Update non le aggiunge al catalogo.

Fate clic qui per un elenco delle patch recenti disponibili tramite Windows Update e, di conseguenza, la funzionalità di gestione delle patch di NinjaOne. Per ulteriori informazioni sulla disponibilità delle patch, consultare Windows Patch Management: Disponibilità delle patch.

Come posso impedire l'installazione di una patch specifica sui miei dispositivi?

Per evitare che una patch non ancora trovata in una scansione venga installata sui dispositivi, è possibile aggiungere un rifiuto preventivo per la KB a livello di criterio o globale. In alternativa, è possibile rifiutare manualmente una patch per i propri dispositivi/polizze se NinjaOne la trova in una scansione. Consultare Gestione patch di Windows: Approvazione e rifiuto delle patch per ulteriori informazioni. 

Come posso configurare NinjaOne per distribuire i driver o gli aggiornamenti di funzionalità?

È possibile configurare le patch di aggiornamento dei driver e delle funzioni in modo simile ad altri tipi di patch. Nelle impostazioni del criterio delle patch di Windows, passare alla sezione Approvazione avanzata , selezionare le caselle accanto a Driver e/o Aggiornamenti delle funzionalità per attivarle e designare l'opzione di approvazione preferita (approva, manuale o rifiuta).

Se preferite distribuire gli aggiornamenti delle funzioni al di fuori della funzionalità di gestione delle patch di NinjaOne, utilizzate la seguente risorsa di script: Script personalizzato: Aggiorna build di Windows 10.

Posso configurare le mie impostazioni di patch management di Windows per impedire a Windows Defender di distribuire le patch (come per esempio gli aggiornamenti delle definizioni)?

No. Lo strumento di gestione delle patch di Windows di NinjaOne non può disabilitare la distribuzione delle patch da parte di Windows Defender.

Quali versioni di Windows sono compatibili con lo strumento di gestione delle patch di Windows di NinjaOne?

La maggior parte dei sistemi operativi indicati nella documentazione sui requisiti di sistema e sul supporto dei sistemi operativi è compatibile con la gestione delle patch di Windows. Tuttavia, molte versioni di Windows Vista, Windows 7 e Windows Server 2008 non supportano la gestione delle patch di Windows perché Microsoft ha dismesso un endpoint del servizio Windows Update ormai obsoleto(Windows Update SHA-1-based endpoints discontinued for older Windows devices).

È possibile aggiornare i dispositivi che eseguono Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 per consentire la gestione delle patch di Windows seguendo i passaggi indicati nell'articolo di Microsoft collegato sopra.

Da dove provengono i dati nel campo Riavvio richiesto durante la visualizzazione dell'elenco delle patch in attesa/approvate/rifiutate?

Questi dati vengono estratti direttamente dai dati del catalogo di Microsoft Update per ogni patch.

Cosa significano i dati nel campo “Installata”/”Tentativo effettuato da” durante la visualizzazione dell'elenco delle patch in attesa/approvate/rifiutate?

  • Un valore elencato come NinjaRMM Scheduled Update indica che la patch è stata installata durante un ciclo di aggiornamento programmato di Windows patch management secondo le impostazioni dei criteri del dispositivo.
  • Un valore elencato come NinjaRMM: <Technician Name> indica che il tecnico in questione ha attivato un ciclo di aggiornamento della gestione delle patch di Windows ad hoc, che ha installato la patch sul dispositivo.
  • Un valore elencato come NinjaRMM Update Engine indica che la patch è stata installata dal motore di aggiornamento legacy di NinjaOne.
  • Qualsiasi altro valore indica che la patch non è stata installata dallo strumento di patch management per Windows di NinjaOne.

Se la patch non è stata installata da NinjaOne, il valore indicato dipende completamente da chi/cosa ha installato il software (ad esempio, questo campo può essere vuoto). Qui di seguito, alcuni esempi di altri valori che potresti vedere:

Come è possibile modificare la lingua nella richiesta di riavvio del patch management di Windows?

Il prompt di riavvio di Windows Patch Management utilizzerà la lingua del sistema operativo installato. Al momento supporta le lingue francese, tedesca, spagnola e inglese.

Perché a volte le patch continuano a comparire nell'elenco “Installate” di NinjaOne, anche se sono state disinstallate localmente dal computer?

Questa situazione è dovuta alla natura della cronologia di Microsoft. In alcuni casi, quando le patch vengono disinstallate localmente su un computer, continueranno a essere visualizzate nell'elenco “Installate” di NinjaOne.

Dopo l'esecuzione degli aggiornamenti delle funzioni sui computer, l'elenco Installato appare vuoto. Perché si verifica ciò?

Questa situazione è dovuta a una funzione di Windows che può cancellare la cronologia del patching locale da una macchina quando viene installato un aggiornamento di funzionalità. In questo caso, l'elenco delle patch installate viene visualizzato vuoto, ma la versione del sistema operativo del dispositivo viene aggiornata per visualizzare la versione di Windows prevista.

Quando l'opzione di risvegliare un sistema per il patching è abilitata, come fa NinjaOne a risvegliare il dispositivo?

Questa opzione utilizza una funzione API di Windows per impostare l'ora di sveglia di un dispositivo. I dispositivi possono essere riattivati da uno stato di sospensione. Affinché questa funzione funzioni, il sistema deve avere i timer di sveglia abilitati.

È possibile che i dispositivi richiedano un riavvio dopo un ciclo di scansione invece che dopo un ciclo di applicazione?

A partire dalla versione 9.0, i cicli di scansione non attivano più i riavvii. In questo modo si evitano riavvii imprevisti del dispositivo e si rende sicura l'esecuzione delle scansioni.  

La data dell'ultima scansione elencata in "Visualizza cronologia aggiornamenti" nell'applicazione Windows Update locale riflette le scansioni eseguite tramite NinjaOne?

No. NinjaOne non può aggiornare la data dell'ultima scansione nell'applicazione Windows Update. Questa data riflette l'ultima volta che è stata eseguita una scansione manuale delle patch da Windows Update, piuttosto che da NinjaOne. 

Le patch presenti in NinjaOne vengono visualizzate in "Visualizza cronologia aggiornamenti" localmente sul dispositivo?

Le patch installate tramite NinjaOne non vengono visualizzate. Tuttavia, le patch installate localmente vengono ancora visualizzate in "Cronologia aggiornamenti" sul dispositivo.

Perché un lavoro di scansione e applicazione manuale si interrompe?

La durata massima impostata all'interno del criterio viene applicata anche ai cicli di scansione/applicazione manuali.

NinjaOne esegue aggiornamenti del BIOS?

NinjaOne controlla tutte le patch inviate da Microsoft, che occasionalmente includono gli aggiornamenti del BIOS. Per coerenza, si consiglia di utilizzare uno script personalizzato per gli aggiornamenti del BIOS, che è possibile trovare nel nostro Script Share: Articolo sul patch management

FAQ sulla programmazione delle patch

  • Posso programmare una scansione delle patch di Windows e un ciclo di aggiornamento in modo da eseguirli contemporaneamente?
  • Un ciclo di scansione viene eseguito immediatamente prima che si verifichi un ciclo dell'applicazione?
  • Perché ricevo una notifica di riavvio richiesto per il patching di Windows, e c'è un modo per impedire il riavvio automatico? 

Posso programmare una scansione delle patch di Windows e un ciclo di aggiornamento in modo da eseguirli contemporaneamente?

Si consiglia di separare le pianificazioni di scansione e aggiornamento di almeno un'ora, in modo da avere il tempo sufficiente per completare un'azione prima che inizi l'altra. Se si pianifica l'esecuzione contemporanea dei cicli di scansione e di aggiornamento o se un ciclo di applicazione inizia prima che il ciclo di scansione sia stato completato, la scansione viene saltata o interrotta e il ciclo di aggiornamento avrà la priorità.

Un ciclo di scansione viene eseguito immediatamente prima che si verifichi un ciclo dell'applicazione?

Sì. Durante un ciclo di applicazione della gestione delle patch di Windows, viene eseguita anche una scansione prima di applicare gli aggiornamenti.

Perché ricevo una notifica di riavvio richiesto per il patching di Windows, e c'è un modo per impedire il riavvio automatico? 

le notifiche di "Riavvio richiesto" partono dalle opzioni di gestione delle patch impostate a livello di criterio. I tecnici possono scegliere tra diverse opzioni, tra cui quella di consentire all'utente finale di accettare un riavvio, di riavviarlo con notifica o di effettuare il riavvio automaticamente. Se la pianificazione del patch management è stata impostata per chiedere all'utente di riavviare, il tecnico ha un'opzione aggiuntiva per forzare il riavvio dopo un numero specifico di richieste. 

Di seguito è riportato un esempio di notifica di riavvio come la vede l'utente finale e le opzioni di impostazione del riavvio come le vede il tecnico. I tecnici hanno anche una finestra di dialogo per aggiungere messaggi personalizzati, quindi il messaggio di notifica del riavvio richiesto può variare in base alle specifiche del cliente. 

NuovaUI_PebootDialog.png 
Figura 2: esempio di richiesta di "Riavvio richiesto" (fare clic per ingrandire)

richiesta di riavvio ex.png 
Immagine 3: Esempio di configurazione del prompt "riavvio richiesto" (fare clic per ingrandire)

FAQ sulla disponibilità delle patch

Di seguito sono elencate le domande più frequenti sulla disponibilità di patch con lo strumento di gestione delle patch di Windows di NinjaOne.

Come fa NinjaOne a sapere che cosa necessita di una patch?

Microsoft distribuisce le patch appena rilasciate attraverso i canali di assistenza.

  • Se il dispositivo è in grado di rilevare l'aggiornamento in questione durante una normale scansione di aggiornamento locale, NinjaOne può anche rilevare tali patch durante la successiva scansione di gestione delle patch.
  • Se il dispositivo non è in grado di rilevare la patch, NinjaOne non la visualizza, poiché utilizza i risultati e i dati di Windows Updater.

NinjaOne rileva le patch solo se sono disponibili quando viene eseguita una scansione di Windows Patch. È importante notare che una patch di Windows eseguita localmente su un dispositivo bypassa qualsiasi impostazione dei criteri di gestione delle patch di Windows configurata in NinjaOne (pertanto, le patch non verrebbero approvate o rifiutate in base alle impostazioni dei criteri configurati).

Cosa succede quando una patch non è disponibile?

In casi limitati, può verificarsi un ritardo tra il momento in cui Microsoft rilascia un aggiornamento di sicurezza e quello in cui la patch è disponibile direttamente tramite Windows Update. Microsoft distribuisce lentamente le patch a tutti i dispositivi Windows nel corso del tempo, motivo per cui le vedrete disponibili su un dispositivo ma non su un altro, anche se eseguite un aggiornamento manuale direttamente sui dispositivi. Clicca qui per un elenco degli aggiornamenti di sicurezza di Microsoft.

In genere Microsoft aggiunge le patch al catalogo di Windows Update il secondo martedì di ogni mese. Prima che queste patch vengano aggiunte, NinjaOne non può rilevarle durante un ciclo di scansione. Fate clic qui per un elenco delle patch recenti disponibili tramite Windows Update e, di conseguenza, la funzionalità di gestione delle patch di NinjaOne.

Come posso installare una patch se non è disponibile in NinjaOne?

Se il servizio Windows Update del dispositivo non vede ancora la patch disponibile da Microsoft, è necessario installare la patch manualmente.

Se non volete aspettare che Microsoft comunichi al dispositivo che la patch è disponibile per quel dispositivo, ci sono due opzioni:

  • Eseguite manualmente l'aggiornamento di Windows sul dispositivo per ottenere la patch non appena disponibile. Potrebbe essere necessario eseguire questa operazione più volte se la patch non è ancora disponibile presso Microsoft.
  • Scaricate la patch dal catalogo di Microsoft Update e installatela manualmente tramite la riga di comando o uno script personalizzato.

Perché questa operazione deve essere effettuata manualmente?

  • NinjaOne non mantiene un repository di patch per la distribuzione delle patch ai dispositivi.
  • NinjaOne utilizza il servizio locale di Windows Update sul singolo dispositivo, che a sua volta contatta i server Microsoft per scoprire quali patch sono disponibili per il dispositivo in base a diversi fattori. Una volta che il servizio di aggiornamento riceve il catalogo delle patch disponibili, NinjaOne indica al dispositivo quando installarle in base alle impostazioni effettuate nella console NinjaOne .

Il riavvio automatico programmato avverrà anche se gli utenti sono ancora connessi ma non utilizzano attivamente il computer?

No. Si sconsiglia inoltre di riavviare un computer inattivo, poiché si potrebbero perdere dati importanti non salvati e lavori aperti e non completati.

Domande frequenti

Passi successivi