Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Patch Management per Windows: FAQ

Argomento

Questo articolo risponde alle domande più frequenti sulla gestione delle patch di Windows. 

Per ulteriori articoli sull'applicazione delle patch in NinjaOne, consulta Catalogo delle risorse sulle patch.

Ambiente

  • Gestione delle patch in NinjaOne
  • Sistema operativo Windows

Descrizione

Domande frequenti

Domande frequenti generali

Come vengono scritte le impostazioni del registro per i server WSUS in NinjaOne?

Se la modalità "Controllo" è disabilitata in NinjaOne, gli aggiornamenti automatici del sistema operativo sono disabilitati. Se si configurano modifiche a WSUS in NinjaOne, tali modifiche vengono applicate anche al registro.

NinjaOne continuerà a funzionare per applicare le patch al sistema operativo se disabilitiamo gli aggiornamenti di Windows in GPO? 

Se non si desidera che gli utenti eseguano manualmente Windows Update, è possibile utilizzare questo GPO: https://learn.microsoft.com/en-us/windows/deployment/update/waas-wu-settings#remove-access-to-use-all-windows-update-features.

Esiste un limite al numero di lingue in cui possono essere tradotti i messaggi di riavvio generati da NinjaOne e dall'icona nella barra delle applicazioni? Esiste un modo per conoscere le lingue tradotte? 

Questo messaggio specifico (e le sue varianti a seconda che il riavvio avvenga entro un determinato periodo di tempo) è disponibile in tutte le lingue che supportiamo: inglese, tedesco, francese, spagnolo, italiano, olandese, svedese, norvegese, danese, portoghese, polacco e russo.

L'agente NinjaRMM è compatibile con Windows 11?

NinjaOne ha testato l'agente NinjaRMM e i suoi componenti integrati su installazioni sia nuove che aggiornate di Windows 11 e lo abbiamo aggiunto come sistema operativo supportato alla nostra documentazione NinjaOne Endpoint Management: Requisiti di sistema e compatibilità. Contatta l'assistenza se riscontri problemi.

Come classificherà Windows la patch e l'aggiornamento a Windows 11?

Secondo l'articolo di Microsoft dedicato alla panoramica su Windows 11, l'aggiornamento a Windows 11 è classificato come aggiornamento delle funzionalità:

Per gli amministratori che gestiscono i dispositivi per conto della propria organizzazione, Windows 11 sarà disponibile attraverso gli stessi canali familiari che si utilizzano oggi per gli aggiornamenti delle funzionalità di Windows 10. Sarà possibile utilizzare gli strumenti di distribuzione e gestione esistenti, come Windows Update for Business, Microsoft Endpoint Manager e Windows Autopilot. Per ulteriori informazioni, consultare Pianificare Windows 11.

Come posso assicurarmi che i miei dispositivi Windows 10 non vengano aggiornati a Windows 11?

Gli aggiornamenti di Windows funzionano come segue: l'aggiornamento delle funzionalità per Windows 11, 22H2, verrà suggerito per i dispositivi Windows 10. Se avete approvato questo aggiornamento delle funzionalità, NinjaOne aggiornerà i vostri dispositivi Windows 10 a Windows 11. Per evitare ciò, dovete selezionare "Rimanere su Windows 10 per ora" nell'interfaccia grafica locale di Windows Update.

È possibile utilizzare il seguente script per automatizzare il comando:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 1
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersionInfo /t REG_SZ /d 22H2
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v ProductVersion /t REG_SZ /d "Windows 10"

Utilizza questa riga per sbloccare il comando:

reg add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /f /v TargetReleaseVersion /t REG_DWORD /d 0

In NinjaOne, puoi trovare le impostazioni di approvazione per il tipo di patch "Aggiornamenti delle funzionalità" in Patch di WindowsApprovazioni avanzate nelle impostazioni della politica di gestione delle patch del sistema operativo.

  • L'opzione"Rifiuta" impedirà l'installazione della patch (e di qualsiasi altro aggiornamento delle funzionalità) sui computer gestiti quando il sistema la rileva durante una scansione.
  • L'opzione "Approva" invierà la patch ai computer gestiti durante il ciclo di applicazione successivo, dopo che il sistema l'avrà rilevata durante una scansione.
  • L'opzione "Manuale " consentirà di scegliere se rifiutare o approvare la patch quando il sistema la rileva durante una scansione.


Figura 1: Modifica dell'approvazione per gli aggiornamenti delle funzionalità a livello di politica in NinjaOne

Fai riferimento a Politiche: Gestione delle patch di Windows per ulteriori informazioni sulla configurazione di queste impostazioni.

Come funziona lo strumento di gestione delle patch di Windows di NinjaOne?

L'eseguibile dello strumento di gestione delle patch di NinjaOne si trova nella directory di installazione dell'agente NinjaOne. Questo eseguibile gestisce il rilevamento e l'installazione delle patch tramite l'API di Windows Update Agent. A seconda delle configurazioni dei criteri, un tipico ciclo di scansione WPM eseguirà fino a tre scansioni:

  • Una scansione per gli aggiornamenti consigliati che include tutto ciò che è classificato come Importante nella sezione Approvazioni delle impostazioni della politica di patch del sistema operativo.
  • Una scansione degli aggiornamenti opzionali e degli aggiornamenti delle funzionalità (se abilitati).
  • Una scansione per i driver (se abilitata).

Quando sarà disponibile la patch di aggiornamento a Windows 11 per i miei computer gestiti tramite lo strumento di gestione delle patch di Windows di NinjaOne?

Per ulteriori informazioni, consultare NinjaOne Endpoint Management: Requisiti di sistema e compatibilità è compatibile con la nostra gestione delle patch di Windows. Tuttavia, molte versioni di Windows Vista, Windows 7 e Windows Server 2008 non supportano la gestione delle patch di Windows perché Microsoft ha interrotto un endpoint del servizio Windows Update obsoleto (Endpoint basati su SHA-1 di Windows Update interrotti per i dispositivi Windows meno recenti).

È possibile aggiornare i dispositivi che eseguono Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 per consentire la gestione delle patch di Windows seguendo i passaggi descritti nell'articolo Microsoft collegato sopra.

Da dove provengono i dati nel campo "Riavvio richiesto" quando si visualizza l'elenco delle patch in sospeso/approvate/rifiutate?

Questi dati vengono estratti direttamente dal catalogo Microsoft Update per ciascuna patch.

Cosa significano i dati nel campo "Installato/Tentato da" quando si visualizza l'elenco delle patch installate/non riuscite?

  • Un valore indicato come " Aggiornamento pianificato da NinjaRMM" indica che la patch è stata installata durante un ciclo di aggiornamento pianificato della gestione delle patch di Windows, in base alle impostazioni dei criteri del dispositivo.
  • Un valore indicato come "NinjaRMM: <Nome tecnico>" indica che il tecnico in questione ha avviato un ciclo di aggiornamento ad hoc della gestione delle patch di Windows, che ha installato la patch sul dispositivo.
  • Un valore indicato come " NinjaRMM Update Engine" indica che la patch è stata installata dal motore di aggiornamento legacy di NinjaOne.
  • Qualsiasi altro valore indica che la patch non è stata installata dallo strumento di gestione delle patch di Windows di NinjaOne.

Se la patch non è stata installata da NinjaOne, il valore indicato dipende interamente dall'entità che ha installato il software (ad esempio, questo campo potrebbe essere vuoto). Di seguito sono riportati alcuni esempi di altri valori che potresti vedere qui:

Come è possibile modificare la lingua nella finestra di dialogo di riavvio di Windows Patch Management?

La finestra di richiesta di riavvio di Windows Patch Management utilizzerà la lingua del sistema operativo installato. Al momento supporta francese, tedesco, spagnolo e inglese.

Perché a volte le patch continuano ad apparire nell'elenco "Installate" in NinjaOne, anche se le ho disinstallate localmente dal computer?

Ciò è dovuto alla natura della cronologia di Microsoft. In alcuni casi, quando le patch vengono disinstallate localmente su un computer, continuano a essere visualizzate nell'elenco Installate all'interno di NinjaOne.

Dopo l'esecuzione degli aggiornamenti delle funzionalità sui computer, l'elenco Installato appare vuoto. Perché si verifica questo?

Ciò è dovuto a una funzionalità di Windows che può cancellare la cronologia delle patch locali da un computer quando viene installato un aggiornamento delle funzionalità. Quando ciò si verifica, l'elenco delle patch installate viene visualizzato come vuoto, ma la versione del sistema operativo del dispositivo viene aggiornata per visualizzare la versione di Windows prevista.

Quando è abilitata l'opzione per riattivare un sistema per l'applicazione delle patch, in che modo NinjaOne riattiva il dispositivo?

Questa opzione utilizza una funzione API di Windows per impostare l'ora di riattivazione di un dispositivo. I dispositivi possono essere riattivati dallo stato di sospensione. Affinché questa funzione funzioni, il sistema deve avere i timer di riattivazione abilitati.

È possibile che i dispositivi richiedano un riavvio dopo un ciclo di scansione, anziché un ciclo di applicazione?

A partire dalla versione 9.0, i cicli di scansione non attivano più i riavvii. Ciò impedisce riavvii imprevisti dei dispositivi e rende le scansioni sicure da eseguire.  

La data dell'ultima scansione elencata in "Visualizza cronologia aggiornamenti" nell'applicazione Windows Update locale riflette le scansioni eseguite tramite NinjaOne?

No. NinjaOne non può aggiornare la data dell'ultima scansione nell'applicazione Windows Update. Tale data riflette l'ultima volta in cui è stata eseguita una scansione manuale delle patch da parte di Windows Update, piuttosto che da NinjaOne. 

Le patch di NinjaOne verranno visualizzate in "Visualizza cronologia aggiornamenti" localmente sul dispositivo?

Le patch installate tramite NinjaOne non vengono visualizzate. Tuttavia, le patch installate localmente vengono comunque mostrate in "Cronologia aggiornamenti" sul dispositivo.

Perché un'operazione manuale di scansione e applicazione va in timeout?

La durata impostata nella politica viene applicata anche alle scansioni manuali e ai cicli di applicazione.

NinjaOne esegue gli aggiornamenti del BIOS?

NinjaOne gestisce tutte le patch distribuite tramite Microsoft, che occasionalmente includono aggiornamenti del BIOS. Per garantire la coerenza, consigliamo di utilizzare script personalizzati per gli aggiornamenti del BIOS, disponibili nel nostro articolo Script Share: Gestione delle patch

Domande frequenti sulla pianificazione delle patch

Posso pianificare l'esecuzione simultanea di un ciclo di scansione e di un ciclo di aggiornamento delle patch di Windows?

Si consiglia di separare le pianificazioni di scansione e aggiornamento di almeno un'ora per consentire che un'azione venga completata prima che l'altra abbia inizio. Se si pianificano i cicli di scansione e aggiornamento in modo che vengano eseguiti contemporaneamente, oppure se un ciclo di applicazione ha inizio prima che il ciclo di scansione abbia avuto modo di completarsi, la scansione viene saltata o interrotta e il ciclo di aggiornamento avrà la priorità.

Il ciclo di scansione viene eseguito immediatamente prima del ciclo di applicazione?

Sì. Durante un ciclo di applicazione della gestione delle patch di Windows, viene eseguita una scansione prima dell'applicazione degli aggiornamenti.

Perché ricevo una notifica "Riavvio richiesto" per l'applicazione delle patch di Windows e posso impedire il riavvio automatico? 

Le notifiche "Riavvio richiesto" derivano dalle opzioni di gestione delle patch
Figura 2: Esempio di richiesta "Riavvio richiesto" (clicca per ingrandire)


Figura 3: Esempio di configurazione del messaggio "Riavvio richiesto" (clicca per ingrandire)

Domande frequenti sulla disponibilità delle patch

Di seguito è riportato un elenco di domande frequenti relative alla disponibilità delle patch con lo strumento di gestione delle patch Windows di NinjaOne.

Come fa NinjaOne a sapere cosa aggiornare?

Microsoft distribuisce le patch appena rilasciate tramite i canali di servizio.

  • Se il dispositivo è in grado di rilevare l'aggiornamento in questione durante una normale scansione degli aggiornamenti locale, NinjaOne può rilevarle anche durante la successiva scansione di gestione delle patch.
  • Se il dispositivo non è in grado di rilevare la patch, NinjaOne non la visualizza, poiché NinjaOne utilizza i risultati e i dati provenienti da Windows Updater.

NinjaOne rileva le patch solo se sono disponibili al momento dell'esecuzione di una scansione delle patch di Windows. È importante notare che una patch di Windows in esecuzione localmente su un dispositivo bypassa qualsiasi impostazione della politica di gestione delle patch di Windows configurata in NinjaOne (quindi, le patch non verrebbero approvate o rifiutate in base alle impostazioni della politica configurata).

Cosa succede se una patch non è disponibile?

In casi limitati, potrebbe esserci un ritardo tra il momento in cui Microsoft rilascia un aggiornamento di sicurezza e il momento in cui tale patch è disponibile direttamente tramite Windows Update. Microsoft distribuisce le patch a tutti i dispositivi Windows in modo graduale nel tempo, motivo per cui le vedrai disponibili su un dispositivo ma non su un altro, anche se esegui un aggiornamento manuale direttamente sui dispositivi. Clicca qui per un elenco degli aggiornamenti di sicurezza di Microsoft.

Microsoft aggiunge solitamente le patch al catalogo di Windows Update il secondo martedì di ogni mese. Prima che queste patch vengano aggiunte, NinjaOne non può rilevarle durante un ciclo di scansione. Clicca qui per un elenco delle patch recenti disponibili tramite Windows Update e, di conseguenza, tramite la funzionalità di gestione delle patch di NinjaOne.

Come posso installare una patch se non è disponibile in NinjaOne?

Se il servizio Windows Update del dispositivo non rileva ancora la patch disponibile da Microsoft, è necessario installarla manualmente.

Se non si desidera attendere che Microsoft comunichi al dispositivo che la patch è disponibile per quel dispositivo, ci sono due opzioni:

  • Esegui Windows Update manualmente sui dispositivi per scaricare la patch non appena è disponibile. Potrebbe essere necessario ripetere l'operazione più volte se la patch non è ancora disponibile da Microsoft.
  • Scaricare la patch dal catalogo Microsoft Update e installarla manualmente tramite la riga di comando o uno script personalizzato.

Perché è necessario eseguire questa operazione manualmente?

  • NinjaOne non dispone di un repository di patch per la distribuzione delle patch ai dispositivi.
  • NinjaOne utilizza il servizio Windows Update locale sul singolo dispositivo, che a sua volta contatta i server Microsoft per scoprire quali patch sono disponibili per esso in base a diversi fattori. Una volta che il servizio di aggiornamento ottiene il proprio catalogo di patch disponibili, NinjaOne comunica al dispositivo quando installarle in base alle impostazioni configurate nella console NinjaOne.

Il riavvio automatico pianificato avverrà anche se gli utenti sono ancora connessi ma non stanno utilizzando attivamente il computer?

No. Inoltre, sconsigliamo di riavviare un computer inattivo, poiché si potrebbero perdere dati importanti non salvati e lavori aperti e non completati.

Domande frequenti

Passi successivi