• Cloud, Guide, Sicurezza, Sistemi Operativi
• 6 Novembre 2019

La gestione di un ambiente lavorativo con dispositivi Windows 10 che offrono servizi mission critical 24 ore al giorno, 7 giorni alla settimana, può rappresentare una sfida per mantenere questi dispositivi aggiornati e distribuire gli aggiornamenti delle funzionalità. I processi usati per aggiornare i normali dispositivi con gli aggiornamenti delle funzionalità di Windows 10 spesso non sono il metodo più efficace per gestire questo tipo di servizi.

In realtà da sempre la gestione degli aggiornamenti ha rappresentato un problema in azienda e sempre più spesso mi capita di ricevere domande sulle best practices da implementare per distribuire i Windows Update. Windows as a Service offre un nuovo modo di concepire la compilazione, la distribuzione e la manutenzione del sistema operativo Windows. L’obiettivo del modello Windows as a Service è offrire continuamente nuove funzionalità e aggiornamenti, mantenendo allo stesso tempo un livello elevato di compatibilità hardware e software. Microsoft rilascia nuove funzionalità due volte all’anno, in quello che viene chiamato il Semi-Annual Channel (SAC).

Con Windows as a Service la metodologia di aggiornamento di Windows è completamente cambiata: Windows 10 suddivide l’impegno tradizionale associato alla distribuzione di un aggiornamento di Windows, che in genere avveniva a intervalli di qualche anno, in aggiornamenti più piccoli e continui.

Figura 1: Il livello di sforzo necessario per le distribuzioni tradizionali di Windows rispetto alla manutenzione di Windows 10 è ora distribuito in modo uniforme nel tempo rispetto agli aggiornamenti effettuati ogni pochi anni

In questo articolo vi voglio parlare di come monitorare gratuitamente gli aggiornamenti di Windows con Conformità aggiornamenti (Update Compliance)

Update Compliance è una soluzione di analisi di Windows che consente alle aziende di:

• Monitorare gli aggiornamenti di sicurezza, qualità e funzionalità per le edizioni di Windows 10 Professional, Education ed Enterprise.
• Visualizzare un report sui problemi relativi al dispositivo e all’aggiornamento relativi alla conformità (compliance) che richiedono attenzione.
• Verificare il risparmio di larghezza di banda quando si usa la delivery optimization.

Update Compliance viene offerto gratuitamente tramite il portale di Azure ed è incluso nelle licenze di Windows 10 Professional, Education ed Enterprise. Update Compliance raccoglie dati solo dalle versioni desktop di Windows 10 e attualmente non è compatibile con Windows Server, Surface Hub, IoT, ecc.

In più Update Compliance fornisce dati dettagliati sulla distribuzione per i dispositivi nel canale semestrale (SAC) e nel canale di manutenzione a lungo termine Long-Term Servicing Channel (LTSC). È possibile monitorare anche i dispositivi Windows Insider Preview, ma attualmente non vengono fornite informazioni dettagliate sul deployment.

I dati di diagnostica Windows 10 e Windows Defender Antivirus che vengono raccolti poi possono essere utilizzati per generare dei report. In più vengono raccolti i dati di sistema, tra cui lo stato di aggiornamento della distribuzione, i dati di configurazione di Windows Update for business , i dati di Windows Defender Antivirus e i dati sull’utilizzo della delivery optimization, che vengono inviati in Azure per poter essere archiviati e analizzati con Log Analytics.

Configurazione

Per poter utilizzare Update Compliance è necessario utilizzare il portale di Microsoft Azure. Dal Portale di Azure selezionate + Crea una risorsa e cercate la voce Update Compliance.

Figura 2: Creazione della risorsa Update Compliance nel portale di Mcirosoft Azure

Scegliete un’area di lavoro esistente di Log Analytics o create una nuova area di lavoro che verrà assegnata alla soluzione di Update Compliance. Nell’articolo Attivare un Workspace Log Analytics gratuito (per 30 giorni) in Microsoft Azure trovate tutte le indicazioni su come creare un nuovo workspace, nel caso non ne abbiate.

Figura 3: Creazione di un nuovo workspace di Log Analytics a cui collegare la risorsa Update Compliance

Distribuire l’ID commerciale ai dispositivi

Un ID commerciale è un identificatore univoco globale assegnato a una specifica area di Log Analytics che verrà utilizzato per poter collegare la macchina Windows 10 da monitorare. Per trovare l’ID commerciale dal portale di Azure andate alla scheda Soluzioni del Log Analytics Workspace che avete scelto e selezionate la soluzione WaaSUpdateInsights. Dal nodo Update Compliance Settings avrete la possibilità di copiare il vostro Commercial ID

ATTENZIONE: Rigenerate il Commercial ID solo se la chiave ID originale non può più essere usata o se si vuole reimpostare completamente l’area di lavoro. La rigenerazione del Commercial ID non può essere annullata e comporterà la perdita di dati per tutti i dispositivi che hanno l’ID commerciale corrente fino a quando non viene distribuito il nuovo ID commerciale ai dispositivi tramite Group Policy o tramite un criterio di gestione di dispositivi mobili (MDM)
a partire da Windows 10, versione 1607.

Figura 4: Recupero del Commercial ID per collegare la risorsa al workspace di Log Analytics

Distribuzione del Commercial ID tramite Group Policy

Per distribuire il Commercial ID tramite GPO e procedere alla configurazione vi basterà modificare la policy Computer Configuration\Administrative Templates\Windows Components\Data Collection and Preview Builds, sia per le macchine Windows 10 in dominio che per quelle in workgroup.

I parametri da modificare sono:

• Allow device name to be sent in Windows diagnostic data (A partire da Windows 10, versione 1803, il nome del dispositivo non viene più raccolto come parte dei normali dati di diagnostica di Windows e deve essere autorizzato esplicitamente ad essere inviato a Microsoft. Se i dispositivi non hanno questo criterio abilitato, il nome del dispositivo verrà visualizzato come “#”)
• Allow Telemetry (deve essere configurata almeno Basic (level 1))
• Configure the Commercial ID
  

Figura 5: Modifica della Group Policy per la distribuzione del COmmercial ID e dei dati di telemetria

NOTA: Dopo aver registrato i dispositivi (configurando CommercialID e Windows Diagnostic Data settings), potrebbero essere necessarie 24 ore per visualizzare i primi dati nella soluzione. Fino ad allora, Update Compliance indicherà che sta ancora valutando i dispositivi.

Figura 6: ci possono volere fino a 24 ore per raccogliere i primi dati e vedere funzionare la soluzione di Update Compliance

Dopo che Microsoft ha raccolto ed elaborato i dati del dispositivo associati al proprio Commercial ID, il riquadro verrà sostituito con un riepilogo con il numero totale dei dispositivi da cui si stanno ricevendo i dati.

Figura 7: Dispositivi da cui si stanno ricevendo i dati

Cliccando sull’area di lavoro Summary si verrà reindirizzati ad una blade che fornisce tutti i dettagli dei dati raccolti e ad una serie di report sugli aggiornamenti mancanti

Figura 8: La lama Panoramica della conformità di aggiornamento riepiloga tutta la conformità di aggiornamento dei dati fornita

Cliccando sui diversi riquadri sarà possibile ricevere ulteriori dettagli

Figura 9: Dettagli sullo stato dei Security Updates

Per maggiori dettagli sull’utilizzo dell’Update Compliance potete visitare il link https://docs.microsoft.com/it-it/windows/deployment/update/update-compliance-using

Conclusioni

Monitorare gli aggiornamenti di Windows e lo stato di Windows Defender Antivirus diventa estremamente semplice grazie alla soluzione gratuita di Update Compliance offerta da Microsoft Azure. Intervenire sui dispositivi che  presentano problemi relativi agli aggiornamenti è indispensabile per assicurare un alto livello di sicurezza in azienda e per permettere ai dispositivi Windows 10 che offrono servizi mission critical 24 ore al giorno di poter evitare downtime dovuti a bug del sistema operativo o peggio ancora essere utilizzati dai pirati informatici come punti di accesso alla rete interna, grazie allo sfruttamento di vulnerabilità del sistema.