Windows 10 è famoso per tante cose ed è stato sicuramente “rivoluzionario” in certe logiche scelte da Microsoft e non da meno lo è stato la sua controparte server, ovvero Windows Server 2016. Una di queste rivoluzioni è legata al mondo degli aggiornamenti, che ha raccolto i feedback degli utenti, i quali per anni si sono dovuti scontrare con orde di patch da scaricare con ore ed ore di attesa, che obbligavano ad eseguire il patching durante le ore più disparate.
Un plauso a Microsoft, che però si è trovata a creare nuovi modelli di aggiornamento ed ha implementato nuovi modi per migliorare l’esperienza utente. Questo ha portato a nuovi termini, nuove sigle ed acronimi che molti IT admin ignorano profondamente e che non hanno idea a cosa servano. In questo articolo vedremo di fare un po’ di chiarezza nella giungla del sistema patching di Windows 10 e Windows Server.
Update Types
Esistono tre tipologie di aggiornamenti:
Full Update – questo pacchetto contiene tutte le patch rilasciate da quando il sistema operativo è stato immesso sul mercato. Scaricando oggi l’ultima Cumulative Update (8B – Agosto) di Windows 10 1803, build rilasciata ad Aprile, avrete in un colpo solo tutte le patch a bordo, senza dover fare altri cicli di aggiornamento. Non serve dire che il peso di questo pacchetto è molto grande, circa 1.2GB per CU, ed impatta sulle performance di rete in modo pesante. Il canale di distribuzione è il Microsoft Update.
Express Update – questo pacchetto contiene solo le patch necessarie al fix della macchina, calcolando il delta di quello che serve realmente. Il peso di questo pacchetto è molto significativo, perchè tende ad accumulare tutti gli aggiornamenti fino a N-5, il che porta il server a memorizzare circa 6-7GB di dati; rispetto ad un Full Update, per il client la cosa cambia, perchè il download degli aggiornamenti necessari si riduce a poche centinaia di megabyte (dipende da cosa ha bisogno). I canali di distribuzione sono Windows Update, WSUS e prodotti di terze parti.
Quality Update – questo pacchetto sarà una delle novità di Windows 10 1809 e Windows Server 2019 e ricalca in tutto e per tutto la logica dei Full Update, con la differenza che il peso sarà di pochi mega grazie ad un nuovo sistema di compressione. Per tutte le organizzazioni significa ridurre l’utilizzo della banda fino al 40%, con o senza una piattaforma di patching. Per gli utenti finali, sarà possibile scaricare il singolo pacchetto andando a ridurre il tempo di download. Dai primi test fatti, i primi update peseranno circa 40MB per arrivare fino a 150MB fino alla prossima major release. I canali di distribuzione saranno Microsoft Update, Windows Update, WSUS e prodotti di terze parti.
Figura 1 – Dimensione Aggiornamenti
I Quality Update saranno un’esclusiva solo dei prossimi sistemi operativi, per quelli antecedenti, come Windows 10 1803, rimarranno in essere gli Express e Full Update.
Update Groups
Ogni singolo mese vengono rilasciati aggiornamenti con differenti gruppi o classi:
“B” Release – questo è il classico rilascio fatto il secondo martedì del mese (il famoso Patch Tuesday) che contiene tutti gli update relativi alla sicurezza, oltre al bug fix e tutto quello che serve per rendere il sistema operativo stabile.
“C” e “D” Release – questi aggiornamenti arrivano durante la terza e la quarta settimana del mese e contengono fix a problemi critici, niente sull’aspetto di sicurezza. Per esempio, ad Aprile del 2018 è stata rilasciata una patch di classe D, codice 4D, per risolvere un problema con i sistemi S2D.
Out-of-Band Release – questi aggiornamenti riguardano i device e la loro stabilità, come il rilascio di driver che evitano un blocco del dispositivo. Non esiste una scadenza fissa, perchè dipende da quello che succede con i rilasci mensili.
Quanto Installare le Patch?
Con tutte queste classi, viene da chiedersi come fare per aggiornare le macchine e quale sia il periodo giusto per farlo. Seguire il Patch Tuesday è la cosa migliore, perchè i rilasci di classe C e D non sono sempre certi e non è detto che quello che il fix riguardi la vostra infrastruttura (vedi il fix di S2D). Gli aggiornamenti dovrebbero essere fatti ogni mese, ma a volte questo non è possibile e quindi conviene quanto meno stare indietro di un ciclo (N-1); tutto questo deve essere fatto per avere pieno supporto da parte di Microsoft, per dare stabilità al sistema operativo ma soprattutto per evitare problemi sulla sicurezza.
Per avere uno stato sull’eventuale instabilità delle patch rilasciate, è bene seguire il blog del team di prodotto che, raccogliendo i feedback degli utenti, può bloccare o rilasciare notizie in merito a problemi. Ultimo, ma non ultimo, ricordate che installare le patch e non effettuare il riavvio, non è supportato da Microsoft.