Partager via


Mises à jour de système d’exploitation

Les appareils connectés ont le défi de nouvelles menaces de sécurité, les mises à jour sont un outil essentiel pour résoudre ce problème.

Le Centre de réponse à la sécurité Microsoft (MSRC) fait partie de la communauté defender et fait partie de la première ligne de l’évolution de la réponse de sécurité. La mission de MSRC est de protéger les clients contre les vulnérabilités de sécurité dans les produits et services de Microsoft. En créant votre solution avec Windows IoT Enterprise, vous avez l’engagement de Microsoft Security Response Center en matière de sécurité. Consultez leur Guide de mise à jour de sécurité pour vous assurer que vos appareils sont à jour et sécurisés.

Avantages de Windows Update :

  • Maintient l’appareil à jour avec les mises à jour logicielles de sécurité critiques
  • Utiliser l’infrastructure éprouvée et évolutive de Microsoft
  • Les mises à jour peuvent être facilement gérées et contrôlées par les propriétaires d’appareils

Windows IoT Enterprise vous donne la possibilité de gérer et de contrôler les mises à jour en fonction des besoins de l’appareil et de l’organisation.

Contrôler les mises à jour Windows

L’une des demandes les plus courantes des partenaires d’appareils est centrée sur le contrôle des mises à jour automatiques sur les appareils Windows IoT Enterprise. La nature des périphériques IoT est telle que les interruptions inattendues, résultant par exemple d’une mise à jour non planifiée, peuvent créer une mauvaise expérience d’utilisation du périphérique.

Vous devez vous poser les questions suivantes lorsque vous envisagez de contrôler les mises à jour Windows :

  • Le scénario du périphérique est-il tel qu’une interruption du flux de travail est inacceptable ?
  • Comment les mises à jour sont-elles validées avant le déploiement ?
  • Qu’est-ce que l’expérience utilisateur de mise à jour sur le périphérique lui-même ?

Si vous disposez d’un appareil où l’interruption de l’expérience utilisateur n’est pas acceptable, vous devez envisager de limiter les mises à jour à certaines heures, de désactiver les mises à jour automatiques ou de déployer des mises à jour manuellement ou via une solution de gestion des appareils tierce contrôlée.

Limiter les redémarrages à partir des mises à jour

Vous pouvez utiliser la stratégie de groupe relative aux heures d’activité, la MDM ou le paramètre de registre pour limiter les mises à jour à certaines heures.

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à
    Windows 10 : Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update
    Windows 11 : Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final
    et ouvrez le paramètre de stratégie Désactiver le redémarrage automatique pour les mises à jour pendant les heures actives. Activez la stratégie pour définir les heures de début et de fin d’activité.
  2. Définissez l’heure de début et de fin sur la fenêtre Heures d’activité. Par exemple, définissez l’heure de début des activités à 4 h et l’heure de fin à 2 h. Cela permet au système de redémarrer en cas de mises à jour entre 2 h et 4 h.

Désactiver les mises à jour Windows automatiques

La sécurité et la stabilité sont au cœur d’un projet IoT réussi, et Windows Update fournit des mises à jour pour garantir que Windows IoT Enterprise dispose des dernières mises à jour de sécurité et de stabilité applicables. Toutefois, il est possible que le scénario d’un périphérique soit tel que la mise à jour de Windows doit être gérée manuellement. Pour ce type de scénario, nous vous recommandons de désactiver la mise à jour automatique par le biais de Windows Update. Dans les versions précédentes de Windows, les partenaires de périphériques pouvaient arrêter et désactiver le service Windows Update, mais cette méthode pour désactiver les mises à jour automatiques n’est plus prise en charge. Windows dispose d’un certain nombre de stratégies qui vous permettent de configurer les mises à jour Windows de plusieurs façons.

Pour désactiver complètement la mise à jour automatique de Windows avec Windows Update :

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à
    Windows 10 : Configuration ordinateur\Modèles d’administration\Composants Windows\Windows update\Configurer les mises à jour automatiques.
    Windows 11 : Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final\Configurer les mises à jour automatiques.

  2. Définissez explicitement la stratégie sur Désactivé. Lorsque ce paramètre est défini sur Désactivé, toutes les mises à jour disponibles à partir de Windows Update doivent être téléchargées et installées manuellement, que vous pouvez effectuer dans l’application Paramètres sous Update & sécurité > Windows Update.

Désactiver l’accès à l’expérience utilisateur Windows Update

Dans certains scénarios, la configuration des mises à jour automatiques ne suffit pas à préserver l’expérience d’utilisation du périphérique souhaitée. Par exemple, un utilisateur final peut toujours avoir accès aux paramètres de Windows Update, ce qui permettrait des mises à jour manuelles via Windows Update. Vous pouvez configurer la stratégie de groupe pour interdire l’accès à Windows Update par le biais des paramètres.

Pour interdire l’accès à Windows Update :

  1. Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc) et accédez à

Windows 10 : Configuration ordinateur\Modèles d’administration\Composants Windows\Windows update\Supprimer l’accès pour utiliser toutes les fonctionnalités de Windows Update.
Windows 11 : Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Update\Gérer l’expérience utilisateur final\Supprimer l’accès pour utiliser toutes les fonctionnalités de Windows Update. 2. Définissez cette stratégie sur Activé pour empêcher l’option « Rechercher les mises à jour » pour les utilisateurs. Remarque : l’ensemble des téléchargements, des installations et des analyses de mise à jour en arrière-plan continueront de s’exécuter selon leur configuration. Cette stratégie empêche simplement l’utilisateur d’accéder à la vérification manuelle par le biais des paramètres. Utilisez les étapes décrites dans la section précédente pour désactiver également les analyses, les téléchargements et les installations.

Important

Veillez à définir une stratégie de maintenance bien conçue pour votre périphérique. Si vous désactivez les fonctionnalités Windows Update, et si votre périphérique n’est pas mis à jour d’une autre manière, l’état du périphérique est vulnérable.

Désactiver complètement les mises à jour Windows

Vous pouvez configurer Windows Update de plusieurs façons. En règle générale, pour les périphériques IoT, une attention particulière à la stratégie de maintenance et de gestion à utiliser sur les périphériques est de mise. Si votre stratégie de maintenance consiste à désactiver toutes les fonctionnalités de Windows Update, vous avez deux approches possibles. Vous pouvez désactiver les mises à jour via la stratégie de groupe ou via le Registre.

Remarque

En définissant cette stratégie, elle cesse également d’effectuer des mises à jour à partir d’autres ordinateurs sur le réseau local. Pour confirmer ce comportement, vous pouvez également désactiver l’optimisation de la distribution, qui est le sous-système pour obtenir des mises à jour d’autres utilisateurs sur votre réseau local.

Ressources complémentaires